Ley de IA 2026: Tu Checklist de Cumplimiento
La Ley de IA de la Unión Europea entra en plena vigencia el 2 de agosto de 2026, y si tu aplicación procesa datos de usuarios europeos para tomar decisiones sobre contratación, crédito o salud, ya estás dentro de su alcance. El cumplimiento no es opcional: las multas llegan hasta €35 millones o el 7% de la facturación global, lo que sea mayor.
En 30 segundos
- El AI Act de la UE aplica a cualquier app de IA usada por ciudadanos europeos, sin importar desde dónde operés.
- El desplegador (vos, el developer o el SaaS founder) es el responsable legal, no OpenAI ni Anthropic.
- Hay cuatro niveles de riesgo: prohibido, alto riesgo, riesgo limitado y mínimo. La categoría define todo el esquema de cumplimiento.
- Las aplicaciones de alto riesgo (hiring, scoring crediticio, educación, salud) tienen obligaciones de documentación técnica, auditoría y supervisión humana.
- Según Opsintel, el 58% de las empresas ya reporta demoras en su plan de adecuación. Con cuatro meses de plazo, el tiempo escasea.
OpenAI es una empresa de investigación en inteligencia artificial fundada en 2015, desarrolladora de modelos de lenguaje y sistemas de IA como GPT-4 y DALL-E.
¿Qué es la Ley de IA de la UE y por qué te afecta ahora?
La Ley de Inteligencia Artificial de la Unión Europea (EU AI Act) es el primer marco regulatorio integral sobre IA a nivel global, aprobado por el Parlamento Europeo y publicado en el Diario Oficial de la UE en 2024, con implementación escalonada que culmina el 2 de agosto de 2026. Esa fecha no es una sugerencia: es el deadline para que las obligaciones de despliegue de sistemas de alto riesgo estén operativas.
Lo que hace particular a esta norma es su alcance extraterritorial. Si tu SaaS tiene usuarios en Alemania, España o cualquier país de la UE, el AI Act te aplica. No importa que vos estés en Buenos Aires, Bogotá o Ciudad de México. El criterio es el destino del producto, no la sede de la empresa.
Y el panorama es preocupante: según datos de Secure Privacy, menos del 30% de las pymes europeas han comenzado su proceso de cumplimiento con cuatro meses de plazo. Eso sugiere dos cosas: hay mucha gente que va a llegar tarde, y hay mucha oportunidad para los que se adelanten.
El mayor error de developers: “Yo solo uso OpenAI, el cumplimiento es su responsabilidad”
Este error lo comete más gente de la que uno esperaría.
La lógica suena razonable: “Anthropic o OpenAI son los que hacen el modelo, ellos deben responder.” Pero el AI Act distingue entre proveedores (los que crean el modelo de base) y desplegadores (los que construyen una aplicación sobre ese modelo y la ponen frente a usuarios). Vos sos el desplegador. La responsabilidad legal es tuya.
Ponele el caso concreto: tomás la API de OpenAI, construís un sistema de screening de CVs para una empresa de HR, y lo vendés como SaaS. Ese producto es tuyo. Si el sistema discrimina por género o edad al rankear candidatos (y los sistemas de IA tienen ese historial), la investigación llega a tu puerta, no a la de OpenAI.
Las sanciones no son menores. Hasta €35 millones o el 7% de la facturación global anual para violaciones relacionadas con sistemas prohibidos o de alto riesgo. Para prácticas prohibidas específicas, el techo sube. Y para información incorrecta a los supervisores, son €7.5 millones o 1% de la facturación. ¿Alguien verificó si las startups de HR que usan IA para contratar ya tienen esto en cuenta? En la mayoría de los casos, todavía no.
Los 4 niveles de riesgo: cómo clasificar tu aplicación de IA
Todo el esquema de cumplimiento arranca por acá. Antes de hacer cualquier otra cosa, tenés que saber en qué categoría cae tu producto.
| Nivel de riesgo | Ejemplos | Obligaciones principales |
|---|---|---|
| Prohibido (Inaceptable) | Scoring social, vigilancia biométrica masiva en tiempo real, manipulación subliminal | Prohibición total. No hay checklist que valga. |
| Alto riesgo (Anexo III) | Screening de CVs, scoring crediticio, diagnóstico médico, educación, infraestructura crítica | Documentación técnica, auditoría de riesgos, supervisión humana, registro en base de datos EU |
| Riesgo limitado | Chatbots, deepfakes, contenido generado por IA | Transparencia con el usuario, disclosure de uso de IA |
| Riesgo mínimo | Filtros de spam, juegos con IA, herramientas de productividad básicas | Recomendaciones voluntarias, sin obligaciones formales |
El punto clave, que vale la pena remarcar: el nivel de riesgo lo determina la aplicación, no el modelo. Un resumen de texto con GPT-4 es riesgo mínimo. Un ranker de candidatos con el mismo modelo es alto riesgo. El modelo no cambia, el uso sí. Lo explicamos a fondo en cumplimiento normativo en diferentes regiones.
7 pasos para asegurar cumplimiento antes de agosto 2026
Este checklist está basado en la guía para developers publicada en dev.to y adaptado al contexto de equipos que operan desde Latinoamérica con usuarios europeos.
1. Definí exactamente qué hace tu IA
No “asiste en decisiones de contratación.” Exactamente: “recibe un PDF de CV, extrae 14 atributos, los compara contra un perfil ideal y genera un score de 0 a 100 con recomendación de avanzar o descartar.” Esa precisión es la base de todo lo que sigue. Si no podés definirlo así de específico, el producto no está listo para cumplimiento.
2. Clasificá el riesgo
Con la definición anterior, buscá en el Anexo III del AI Act si tu caso de uso aparece listado. Hiring, educación, salud, crédito, infraestructura crítica: todos son alto riesgo por defecto.
3. Transparencia en UI/UX
Si el sistema interactúa con usuarios, estos tienen que saber que hay IA involucrada. Esto significa: disclaimer visible (no enterrado en los términos), labels en el contenido generado, y una actualización de los Términos de Servicio que lo mencione explícitamente. Un chatbot que intenta pasar por humano viola la norma directamente.
4. Human-in-the-loop obligatorio para alto riesgo
Para sistemas de alto riesgo, no alcanza con que la IA dé una recomendación. Tiene que haber una persona que pueda overridear la decisión y que lo haga de forma informada (no como rubber stamp). Esto necesita rediseño de flujos si el sistema actual es fully automated.
5. Documentación técnica Anexo IV
Para sistemas de alto riesgo, hay que armar un expediente técnico formal: descripción funcional, análisis de riesgos, medidas de mitigación, pruebas realizadas, registro de actualizaciones. No es un README. Es documentación auditable que un regulador puede pedir en cualquier momento.
6. Privacidad de datos + cumplimiento con GDPR
El AI Act y el GDPR se solapan en múltiples puntos. Si procesás datos biométricos, de salud o de grupos protegidos para entrenar o correr tu modelo, necesitás base legal explícita bajo GDPR además de los requisitos del AI Act. Los dos marcos se aplican juntos, no en lugar uno del otro.
7. Audit trails y registro de eventos
El sistema tiene que loguear qué decisiones tomó, cuándo, con qué inputs, y qué persona (si había) las revisó. No es opcional para alto riesgo: el Art. 12 del AI Act lo exige explícitamente. Si tu stack actual no tiene esto, es una deuda técnica con fecha de vencimiento.
Aplicaciones de alto riesgo: contratación y decisiones financieras
Estos dos casos merecen atención especial porque son los más comunes en SaaS y los que más developers subestiman. Te puede servir nuestra cobertura de evaluar proveedores de IA responsables.
Un sistema de screening de CVs, interview scoring, o cualquier herramienta que filtre candidatos cae directamente en el Anexo III. Las obligaciones adicionales incluyen: auditoría de riesgos antes del despliegue, verificación de calidad de los datos de entrenamiento (sin sesgos de género, edad, etnia), registro obligatorio en la base de datos de la UE para sistemas de alto riesgo, y supervisión humana real en cada decisión final.
Para scoring crediticio y seguros, aplica lo mismo. Un modelo que decide si aprobás un crédito o a qué tasa, o qué prima pagás, es alto riesgo. El desplegador (la fintech, el banco, el broker de seguros) necesita conformidad antes de poner el sistema en producción, no después.
El costo estimado de cumplimiento para sistemas de alto riesgo ronda entre €94.000 y €322.000 por año, según estimaciones del Software Improvement Group (que incluyen auditorías, documentación técnica y overhead operativo de supervisión humana). No es barato, pero es bastante menos que el 7% de la facturación global en multas.
Documentación técnica Anexo IV: qué documentar y por qué importa
Mucha gente entiende este requisito como “agregar más comentarios al código.” No.
El expediente técnico del Anexo IV tiene que incluir: descripción general del sistema (propósito, uso previsto, usuarios objetivo), descripción de los componentes de hardware y software incluyendo el modelo base, descripción del proceso de entrenamiento si aplicás fine-tuning, análisis de riesgos con las medidas de mitigación para cada uno, resultados de pruebas y validación, declaración de conformidad, y registro de cambios con fecha y responsable.
Este expediente tiene que actualizarse cada vez que el sistema cambia de forma significativa. Y tiene que estar disponible para las autoridades nacionales de supervisión que lo soliciten (cada país de la UE va a tener su propia autoridad competente para el AI Act, similar al esquema de GDPR).
Si tu ciclo de deployment es semanal y no tenés este proceso incorporado al pipeline, es hora de diseñarlo. No como burocracia, como infraestructura de confianza. En sistemas de generación de imágenes profundizamos sobre esto.
Timeline y sanciones: los plazos que no podés ignorar
El 2 de agosto de 2026 es la fecha de plena aplicación para las obligaciones de los desplegadores de sistemas de alto riesgo del Anexo III. Para los sistemas prohibidos, el plazo ya venció: entraron en vigencia en febrero de 2025.
El 58% de las empresas ya reporta demoras en su plan de adecuación (dato de Opsintel, abril 2026). Con cuatro meses de plazo, quien no arrancó en serio tiene un problema concreto.
Las sanciones están escalonadas:
- Hasta €35M o 7% de facturación global: violaciones relacionadas con sistemas prohibidos y obligaciones de alto riesgo.
- Hasta €15M o 3% de facturación global: violaciones de otras obligaciones del AI Act.
- Hasta €7.5M o 1% de facturación global: información falsa o incorrecta a los supervisores.
Para las microempresas y startups, el AI Act tiene disposiciones algo más flexibles en materia de plazos y guías de cumplimiento, pero no en multas. El techo sigue siendo el techo.
Lo que está confirmado y lo que todavía no
| Aspecto | Estado | Detalle |
|---|---|---|
| Fecha de plena vigencia | Confirmado | 2 de agosto de 2026 para obligaciones de alto riesgo (Anexo III) |
| Prohibiciones | En vigor | Desde febrero 2025: scoring social, biometría en tiempo real en espacios públicos, manipulación subliminal |
| Autoridades nacionales de supervisión | En proceso | Cada estado miembro debe designar su autoridad. Algunos aún no lo han hecho formalmente. |
| Base de datos EU de sistemas de alto riesgo | En desarrollo | La plataforma existe pero el registro aún no es obligatorio para todos los casos |
| Guías técnicas para modelos de uso general | Pendiente | La Oficina de IA de la UE está desarrollando códigos de práctica específicos |
| Multas aplicadas | Ninguna aún | El período de gracia no es indefinido; las investigaciones pueden iniciar el 2 de agosto de 2026 |
Qué significa esto para equipos en Latinoamérica
Si tenés usuarios europeos, esta ley te aplica directamente. No existe una exención por operar desde fuera de la UE. El criterio es la ubicación del usuario, no la del proveedor.
La buena noticia: muchas de las exigencias del AI Act se solapan con buenas prácticas de ingeniería que ya deberías tener (logging, testing, documentación de cambios, revisión humana de decisiones críticas). El overhead no es zero, pero tampoco es partir de cero.
Para equipos que manejan infraestructura propia o quieren evaluar opciones de hosting que tengan cumplimiento GDPR y EU incorporado a nivel de políticas, donweb.com tiene opciones de servidores con datacenters que pueden ayudarte a cumplir con los requisitos de residencia de datos que el AI Act complementa con el GDPR.
Errores comunes en el proceso de cumplimiento
Error 1: Creer que el cumplimiento es un evento, no un proceso. Muchos equipos piensan “hacemos el checklist en julio y listo.” El AI Act exige monitoreo continuo, actualizaciones del expediente técnico ante cambios significativos, y revisión de los sistemas de logging. Es infraestructura operativa, no un proyecto con fecha de cierre.
Error 2: Ignorar los datos de entrenamiento. Si usás fine-tuning o entrenás modelos propios, los requisitos de calidad de datos son parte de la documentación obligatoria para sistemas de alto riesgo. Un dataset con sesgos históricos no es solo un problema ético, es un problema de cumplimiento. Relacionado: asegurar tu infraestructura de CI/CD.
Error 3: Delegarle el cumplimiento al equipo legal sin involucrar a ingeniería. El Anexo IV pide descripciones técnicas que ningún abogado puede escribir solo. El logging de audit trails es una decisión de arquitectura. La supervisión humana requiere rediseño de flujos. Sin ingeniería en la mesa desde el principio, el cumplimiento va a quedar a medias.
Error 4: Asumir que el proveedor del modelo te cubre. Ya lo vimos: no te cubre. OpenAI, Google, Anthropic proveen modelos de uso general. La responsabilidad del sistema que vos construís encima es tuya.
Herramientas y recursos para evaluar cumplimiento
La Comisión Europea tiene un portal oficial del AI Act con el texto completo, FAQs, y acceso al servicio de consultas (AI Act Service Desk). Para leer el texto completo en español, el BOE tiene la versión oficial traducida.
Para assessment de riesgo y mapeo de obligaciones, el sitio artificialintelligenceact.eu (mantenido por la Foundation for Responsible Robotics) tiene un risk classifier interactivo bastante útil para una primera clasificación. No reemplaza asesoramiento legal, pero ayuda a entender el scope antes de contratar a alguien.
Para startups que quieran un punto de entrada más práctico, la guía de Opsintel tiene un framework de evaluación que puede servir como punto de partida para el expediente técnico.
Preguntas Frecuentes
¿Qué debo hacer para que mi aplicación de IA cumpla la Ley de IA de la UE?
El primer paso es clasificar tu sistema según los cuatro niveles de riesgo del AI Act. Si caés en alto riesgo (Anexo III), necesitás documentación técnica formal (Anexo IV), mecanismos de supervisión humana, logging de decisiones, y registro en la base de datos EU antes del 2 de agosto de 2026. Si tu sistema es de riesgo limitado, el requisito principal es transparencia con el usuario.
¿Mi app de reclutamiento o scoring crediticio está regulada?
Sí, directamente. Ambos casos están listados en el Anexo III del AI Act como sistemas de alto riesgo. Esto implica obligaciones de documentación técnica, auditoría de riesgos, calidad de datos, supervisión humana en decisiones finales, y registro formal antes de la puesta en producción.
¿Cuáles son las multas por no cumplir la Ley de IA?
Las multas van desde €7.5 millones (información falsa a supervisores) hasta €35 millones o el 7% de la facturación global anual, lo que sea mayor, para violaciones graves. No hay techo específico más bajo para empresas fuera de la UE: si vendés a usuarios europeos, las multas aplican igual.
¿Cuándo entra en vigor la regulación de IA en Europa?
Las prohibiciones sobre prácticas inaceptables están en vigor desde febrero de 2025. Las obligaciones completas para sistemas de alto riesgo del Anexo III entran en vigor el 2 de agosto de 2026. Los modelos de IA de uso general tienen su propio calendario con obligaciones desde agosto de 2025.
¿Qué documentación técnica necesito para sistemas de IA de alto riesgo?
El Anexo IV del AI Act requiere: descripción del sistema y su propósito, descripción de componentes de hardware y software, proceso de entrenamiento (si aplica), análisis de riesgos con medidas de mitigación, resultados de testing y validación, declaración de conformidad, y registro de cambios. Esta documentación debe actualizarse ante cada cambio significativo del sistema y estar disponible para las autoridades reguladoras.
Conclusión
El Ley de IA cumplimiento 2026 es real, con fecha concreta y sanciones que no están sujetas a debate. Lo que cambia con el AI Act no es solo el marco legal, sino quién es responsable: vos, el developer o SaaS founder que pone el producto frente a usuarios, no el proveedor del modelo que usás.
Con cuatro meses de plazo y más del 50% de las empresas que admiten demoras, el diferencial competitivo para los que arrancan ahora es significativo. Si tu producto toca hiring, finanzas, salud o educación para usuarios europeos, el trabajo de cumplimiento no es opcional. Empezá por la clasificación de riesgo, diseñá la documentación técnica como parte del pipeline, y asegurate de que el human-in-the-loop no sea cosmético.
