Compliance · 18 min
EU AI Act 2026: qué significa para empresas en LATAM y ES
El Reglamento (UE) 2024/1689 ya tiene fuerza de ley. Si vendés a la UE o procesás datos de europeos, te toca. Acá el resumen accionable.
Carlos Copisrad · 10 febrero 2026 · revisado abril 2026
Este artículo es una guía operativa, no asesoramiento legal. Si tu sistema cae en categoría de alto riesgo, consultá con abogado especializado en derecho regulatorio europeo.
Por qué te toca aunque estés en LATAM
El AI Act tiene alcance extraterritorial. Aplica si:
- Tu sistema de IA se comercializa o usa en la UE, sin importar dónde esté tu empresa.
- El output del sistema se usa en la UE (aunque vos no operes ahí).
- Procesás datos de personas en la UE con un sistema IA.
Conclusión: si tenés clientes europeos o usuarios europeos, leé el resto.
Las cuatro categorías de riesgo
| Categoría | Ejemplos | Estado |
|---|---|---|
| Riesgo inaceptable (prohibido) | Social scoring por gobiernos, manipulación subliminal, reconocimiento facial en tiempo real en espacios públicos (con excepciones). | Prohibido desde feb 2025. |
| Alto riesgo | Selección de personal, scoring crediticio, sistemas educativos, gestión de infraestructura crítica, dispositivos médicos. | Aplicable desde agosto 2026. |
| Riesgo limitado | Chatbots, sistemas que generan contenido (deepfakes, texto, imagen). | Obligación de transparencia desde agosto 2026. |
| Riesgo mínimo | Filtros de spam, IA en videojuegos, recomendadores de productos. | Sin obligaciones específicas. |
Si tu sistema es de alto riesgo, esto te toca
- Sistema de gestión de calidad. Política, roles, procesos. Equivalente a ISO 9001 pero específico de IA.
- Documentación técnica. Anexo IV del Reglamento. Datasets, métodos, métricas, supervisión humana.
- Trazabilidad. Logs de funcionamiento durante todo el ciclo de vida.
- Información a usuarios. Capacidades, limitaciones, supervisión necesaria.
- Supervisión humana. Diseño que permita intervención efectiva.
- Robustez y precisión. Tests demostrables, ciberseguridad acorde al riesgo.
- Evaluación de conformidad. Marcado CE antes de comercializar.
Las multas
Hasta EUR 35M o 7% de la facturación global anual (el mayor) para infracciones graves. Para alto riesgo, hasta EUR 15M o 3%.
Para PYMEs y startups hay rangos reducidos pero seguen siendo materiales.
Calendario que importa
| Fecha | Qué pasa |
|---|---|
| Feb 2025 | Prohibiciones de riesgo inaceptable activas. |
| Ago 2025 | Obligaciones para modelos de propósito general (GPAI) activas. |
| Ago 2026 | Obligaciones para sistemas de alto riesgo activas. |
| Ago 2027 | Cierre de período de gracia para sistemas ya en mercado. |
Qué hacer ahora (para empresas mid/small)
- Inventario de sistemas IA. Listá todo: modelos propios, APIs comerciales (OpenAI, Anthropic, etc.), workflows con LLMs.
- Clasificación preliminar. Para cada sistema, ¿en qué categoría cae? Para mid-market no es obvio sin asesoría.
- Identificá tu rol. Sos "proveedor" (creás el sistema), "usuario" (lo aplicás), "importador" o "distribuidor". Las obligaciones difieren.
- Plan de remediación. Para cada sistema de alto riesgo, qué falta y en qué orden.
- Si vendés a UE: marcado CE. Esto requiere proceso formal. Empezá ya si llegás justo a agosto 2026.
Recursos
- Texto oficial del Reglamento (UE) 2024/1689
- Sitio oficial de la Comisión sobre AI Act
- ISO/IEC 42001:2023 — AI Management System (norma compatible).
Si necesitás un sparring
Hacemos auditorías técnicas pre-revisión legal. Resultado: matriz de findings priorizada que tu abogado luego usa para definir estrategia. Ver Auditoría 360.