Regulación
Lo que los fundadores estadounidenses no entienden sobre el EU AI Act
22 abr 2026 · 8 min de lectura
Por Marcos Maceo, Fundador, OpSprint
Punto clave
El EU AI Act alcanza a las empresas estadounidenses por el mismo mecanismo que el GDPR: aplicación extraterritorial a outputs 'usados en la UE'. Si los datos de un solo residente de la UE pasan por tu IA, estás dentro del alcance.
El paralelo con el GDPR
En 2018, muchos fundadores estadounidenses asumieron que el GDPR no les aplicaba porque estaban incorporados en Delaware, alojados en AWS us-east-1, y nunca habían abierto una oficina europea. La mayoría estaba equivocada. El GDPR aplicó desde el momento en que procesaron datos personales de residentes de la UE — sin importar dónde estaba físicamente la empresa.
El EU AI Act sigue la misma lógica. El Artículo 2 de la Ley establece que aplica a proveedores que "introducen en el mercado o ponen en servicio sistemas de IA" en la UE, y a proveedores "establecidos en un tercer país" donde el output del sistema de IA es "usado en la Unión". La frase "usado en la Unión" es el mecanismo. No importa dónde tiene su sede tu empresa, dónde están tus servidores o dónde estás incorporado. Importa dónde aterriza el output de la IA.
La UE diseñó esto intencionalmente. Tanto el GDPR como el AI Act reflejan la posición consistente de la UE: las organizaciones que afectan a residentes europeos deben cumplir con estándares europeos — tengan o no presencia física en Europa. Los fundadores estadounidenses que vivieron la ola de cumplimiento del GDPR ya saben cómo se desarrolla esto. Los que no, están por aprenderlo.
"No vendo a la UE" — la trampa
La defensa de "no vendo a la UE" falla porque el alcance de la Ley no se define por transacciones de venta — se define por dónde el output de la IA se usa o se siente. Aquí hay cinco escenarios en los que una empresa enfocada únicamente en Estados Unidos queda dentro del alcance sin haber hecho marketing jamás a clientes europeos.
Vendes una herramienta SaaS B2B a empresas estadounidenses que tienen oficinas en la UE. Tu cliente estadounidense despliega tu herramienta de filtrado de RRHH con IA en toda su fuerza laboral global. Cuando esa herramienta evalúa postulantes en su oficina de Frankfurt, el output se usa en la UE. Estás dentro del alcance bajo el Artículo 2, aunque tu contrato fuera con una entidad estadounidense.
Construyes una herramienta de reclutamiento usada por una agencia europea. Aunque nunca hayas hablado directamente con un solo cliente europeo, si una empresa de la UE se dio de alta en tu plataforma y la usa para filtrar candidatos, tu sistema se está desplegando en el mercado europeo. Eres un proveedor cuyo sistema está puesto en servicio en la Unión.
Ciudadanos europeos usan tu producto enfocado a Estados Unidos. Construiste una app de consumo para el mercado estadounidense, pero residentes de la UE que viven en Estados Unidos — o residentes de la UE que acceden a tu servicio mientras viajan — la usan. Si tu IA toma o influye sustancialmente en decisiones sobre esos individuos, la Ley puede aplicar a esas interacciones.
Vendes a contratistas del gobierno estadounidense que despliegan globalmente. Los contratistas estadounidenses de defensa e inteligencia a menudo despliegan herramientas a nivel global. Si tu sistema de IA fluye a un entorno donde se ven afectados residentes europeos — aunque sea de forma indirecta — la cadena de responsabilidad vuelve a ti como proveedor.
Tu API es consumida por desarrolladores europeos. Si ofreces una API de IA y desarrolladores con base en la UE construyen aplicaciones sobre ella que se despliegan en la UE, puedes calificar como proveedor de un sistema de IA de alto riesgo cuyo output entra en la Unión. El uso downstream da forma a tu clasificación.
Cuándo el output de tu IA 'entra' a la UE
El concepto operativo del Artículo 2 es que el output del sistema de IA se "usa en la Unión" — no que el sistema se venda, se comercialice o se licencie a entidades europeas. Esta distinción importa porque atrapa casos de uso que no se parecen en nada a una venta.
Considera una empresa estadounidense que construye un sistema de monitoreo de desempeño de empleados con IA. Lo vende solo a empresas de Estados Unidos. Pero uno de sus clientes — una firma estadounidense de mid-market — tiene una filial europea. Las puntuaciones de desempeño generadas por la herramienta estadounidense alimentan decisiones de RRHH para empleados en Ámsterdam y Madrid. El output se usa en la Unión. El proveedor estadounidense está dentro del alcance.
O considera una empresa estadounidense que construye una API de moderación de contenido con IA. Vende solo a plataformas estadounidenses. Pero esas plataformas tienen usuarios europeos, y las decisiones de moderación afectan el acceso de residentes de la UE al servicio. El output de moderación se usa en la Unión. El proveedor de la API puede cargar con obligaciones de cumplimiento bajo la Ley.
Tras revisar las disposiciones de alcance del Artículo 2, la pregunta relevante no es "¿dónde vendemos?" — es "¿a dónde llega el output?". A menudo son respuestas distintas.
El requisito del Representante Autorizado (Artículo 22)
Si eres un proveedor no europeo cuyos sistemas de IA se usan en la UE, el Artículo 22 te exige designar un Representante Autorizado establecido en un estado miembro de la UE antes de introducir un sistema de IA de alto riesgo en el mercado europeo.
El Representante Autorizado es tu punto de contacto legal en la UE. Debe estar nombrado en la documentación técnica que acompaña a tu sistema de IA, registrado ante la autoridad nacional correspondiente, y facultado para cooperar con las autoridades de vigilancia de mercado de la UE en tu nombre. Piénsalo como el equivalente europeo de un agente registrado — carga administrativa, pero un requerimiento legal firme.
No designar un Representante Autorizado cuando se requiere es, en sí mismo, una infracción de la Ley, separada de cualquier falla subyacente de cumplimiento del producto. Le indica a los reguladores que no te estás tomando en serio el cumplimiento europeo, lo que tiende a atraer atención en la aplicación en lugar de desviarla. Para los sistemas de alto riesgo en particular, este no es un paso opcional.
Para proveedores de sistemas de riesgo mínimo o limitado, el requisito del Artículo 22 puede no aplicar del mismo modo — pero vale la pena confirmar tu categoría antes de asumir que estás exento. Usa el Risk Checker para confirmar tu clasificación, y luego evalúa si el Artículo 22 aplica a tu situación específica.
5 afirmaciones de "estoy exento" desmontadas
"Mi empresa estadounidense no tiene entidad en la UE, así que la ley europea no puede alcanzarme." Esto confunde el alcance jurisdiccional con el mecanismo de aplicación. La Ley aplica explícitamente a proveedores de terceros países — "tercer país" es lenguaje regulatorio europeo para "no UE". El Artículo 2(1)(c) cubre a proveedores establecidos fuera de la Unión cuyos sistemas tienen outputs usados en la Unión. No se requiere entidad europea para que la obligación exista. La aplicación es una cuestión separada — pero las autoridades de vigilancia de mercado de la UE pueden restringir o prohibir la importación y uso de sistemas de IA no conformes, bloqueando efectivamente tu acceso a los mercados europeos sin importar dónde estés incorporado.
"Solo atendemos a clientes estadounidenses." Como ilustran los escenarios de arriba, "clientes estadounidenses" no significa "sin impacto en la UE". Tus clientes estadounidenses pueden tener empleados europeos, filiales europeas, usuarios europeos o clientes con base en la UE que se ven afectados por el output de tu sistema de IA. La Ley se enfoca en dónde se usa el output y a quién afecta — no en la nacionalidad o ubicación de tu cliente directo.
"Somos solo un proveedor de SDK o API — no desplegamos sistemas de IA directamente." Las definiciones de "proveedor" y "desplegador" en la Ley están diseñadas para atrapar toda la cadena de suministro. Bajo el Artículo 3(3), proveedor es cualquiera que desarrolle un sistema de IA o haga que se desarrolle, y lo introduzca en el mercado o lo ponga en servicio. Si desarrolladores europeos integran tu SDK o API en sus aplicaciones, y esas aplicaciones constituyen sistemas de IA de alto riesgo bajo el Anexo III, la Ley puede tratarte como proveedor en esa cadena. El hecho de que alguien más haya escrito la aplicación final no te blinda automáticamente de las obligaciones de proveedor.
"Usamos la API de OpenAI — ellos son responsables del cumplimiento de IA." Esta es una verdad parcial que lleva a una conclusión peligrosa. OpenAI está sujeto a obligaciones GPAI (IA de Propósito General) bajo el Capítulo V de la Ley por su modelo. Pero tú — como la entidad que configura el sistema, define el caso de uso, define los prompts y lo despliega a usuarios finales — eres proveedor bajo el Artículo 3. El proveedor GPAI cubre la capa del modelo; tú cubres la capa del sistema. Estas obligaciones no se sustituyen entre sí. "Solo llamamos a una API" no es una defensa de cumplimiento para el sistema downstream que construiste encima.
"La aplicación contra empresas estadounidenses es teórica — la UE en realidad no puede hacer nada." La UE tiene varias palancas prácticas de aplicación que no requieren que un tribunal estadounidense coopere. Primero, la Oficina Europea de IA y las autoridades nacionales de vigilancia de mercado pueden prohibir la importación y uso comercial de sistemas de IA no conformes dentro del territorio europeo — en la práctica, un veto de acceso al mercado. Segundo, socios, revendedores o distribuidores con base en la UE de proveedores no conformes pueden enfrentar responsabilidad directa, creando presión comercial que las empresas estadounidenses sienten de inmediato. Tercero, las denuncias privadas de residentes europeos ante las autoridades nacionales de protección de datos (que comparten competencia de aplicación con las autoridades del AI Act en algunos contextos) pueden disparar investigaciones. El camino de aplicación es más largo que para empresas domésticas — pero no es teórico, y las consecuencias sobre el acceso al mercado pueden ser severas.
Una autoauditoría de 10 minutos
Si eres un fundador con base en Estados Unidos e incierto sobre si el EU AI Act aplica a tus operaciones, trabaja estas preguntas antes de asumir que estás fuera del alcance.
Paso 1: Mapea la huella geográfica de tu base de clientes. ¿Alguno de tus clientes actuales tiene oficinas en la UE, filiales europeas o usuarios finales con base en la UE? Si sí, el output de tu sistema de IA puede estar llegando a territorio europeo aunque tus contratos sean con entidades estadounidenses.
Paso 2: Traza la cadena de output. Para cada flujo de trabajo con IA en tu producto, pregunta: ¿dónde termina usándose este output, y por quién? Si el output influye en una decisión sobre un residente de la UE — en contratación, crédito, acceso a servicios o desempeño — puedes estar dentro del alcance.
Paso 3: Clasifica tus flujos de trabajo. Usa el EU AI Act Risk Checker para determinar si alguno de tus flujos cae en las categorías de alto riesgo del Anexo III o en la lista de prohibiciones del Artículo 5. Empieza por los flujos que afectan a personas directamente — contratación, scoring, monitoreo, decisiones de acceso.
Paso 4: Revisa el disparador del Artículo 22. Si alguno de tus flujos se clasifica como de alto riesgo y tienes motivos para creer que se usa en la UE (directamente o a través de tus clientes), tendrás que evaluar si necesitas un Representante Autorizado. Esto es una determinación legal — pero el primer paso es saber si tus flujos de alto riesgo llegan a territorio europeo.
Paso 5: Documenta lo que encontraste. Sin importar el resultado, documenta tu análisis. Un registro escrito de que investigaste la aplicabilidad de la Ley, evaluaste tus flujos de trabajo y llegaste a una conclusión razonada es contexto relevante si un regulador alguna vez pregunta. "Nunca lo pensamos" es una peor posición que "lo evaluamos y concluimos X por las siguientes razones".
Para el marco completo de categorías y la estructura de sanciones, lee: El EU AI Act en lenguaje claro. Para una guía de clasificación flujo por flujo con referencias al Anexo III, lee: ¿Cuáles de tus flujos de trabajo acaban de volverse 'Alto Riesgo'?
Si quieres un enfoque estructurado para completar esta auditoría y construir una lista de brechas de cumplimiento, el AI Readiness Assessment es una forma rápida de mapear tu stack actual, y un Sprint puede ayudarte a construir la documentación de cumplimiento y las estructuras de supervisión que exige la Ley.
Usa el EU AI Act Risk Checker gratuito → — 10 minutos para saber si estás dentro del alcance y en qué categoría caen tus flujos de trabajo.
Para más información sobre el EU AI Act, visita el Hub de la Ley de IA de la UE de OpSprint.
Guía pragmática de preparación — no constituye asesoramiento legal. Para casos específicos, consulta a un asesor legal en la UE.
¿Necesitas ayuda para aplicar esto en tu operación? Empieza con una llamada y mapeamos los próximos pasos.