Saltar al contenido
AIPIA — Asociación Italiana de Profesionales de Inteligencia Artificial
Regulación europea · LatAm

Ley de IA de la UE: qué cambia para empresas latinoamericanas con clientes europeos

El Reglamento 2024/1689 se aplica también a proveedores establecidos fuera de la UE cuando su producto se comercializa o usa en territorio europeo. Análisis técnico de las implicaciones.

AI AIPIA CTS
  • AI Act
  • LatAm
  • Regulación
  • Cumplimiento

El Reglamento 2024/1689 (AI Act) tiene aplicación extraterritorial. Una empresa de Buenos Aires, Ciudad de México o Bogotá que vende un sistema de IA a un cliente con sede en la UE entra en el ámbito de la norma. Lo mismo si el resultado producido por el sistema se utiliza dentro del territorio europeo, aunque el proveedor opere desde fuera.

Esto cambia el cálculo de riesgo de muchas consultorías y casas de desarrollo en países hispanohablantes. La pregunta operativa ya no es solo “¿cumplimos la ley local?”, sino “¿qué obligaciones europeas asumimos al firmar este contrato?”.

Quién entra en el ámbito

El artículo 2 del Reglamento define tres categorías relevantes para actores fuera de la UE:

  • Proveedores que ponen un sistema de IA en el mercado o lo ponen en servicio en la UE, con independencia de su lugar de establecimiento.
  • Desplegadores establecidos fuera de la UE cuando los resultados producidos por el sistema se utilizan en la Unión.
  • Importadores, distribuidores y fabricantes de productos que incorporan IA.

El test no es geográfico (dónde está la empresa) sino de impacto (dónde se usa el resultado). Un modelo de scoring crediticio entrenado y operado desde Bogotá, pero usado por una entidad financiera con sede en Madrid, está dentro del ámbito.

Las cuatro categorías de riesgo

El Reglamento clasifica los sistemas en cuatro niveles, con implicaciones distintas para empresas no europeas:

  • Riesgo inaceptable (prohibido). Incluye scoring social tipo administración pública, identificación biométrica remota en tiempo real en espacios accesibles al público con excepciones tasadas, manipulación cognitiva, explotación de vulnerabilidades. Una empresa de cualquier país no puede comercializar estos sistemas en la UE.
  • Alto riesgo (Anexo III). Sistemas en infraestructura crítica, educación, empleo, servicios esenciales (crédito, seguros públicos), aplicación de la ley, migración, justicia. Obligaciones extensas: evaluación de conformidad, gestión de riesgos, gobernanza de datos, transparencia, supervisión humana, robustez, marcado CE, registro en base de datos UE.
  • Riesgo limitado. Obligaciones de transparencia: informar a la persona usuaria que interactúa con un sistema de IA (chatbots), marcar contenido sintético generado por IA, deepfakes.
  • Riesgo mínimo. Sin obligaciones específicas más allá de la transparencia básica.

Para empresas hispanohablantes que venden a la UE, el filtro práctico es el Anexo III. Si tu producto cae en una de esas categorías, entras en alto riesgo.

Calendario de aplicación

  • Febrero de 2025: prohibiciones (riesgo inaceptable) ya aplicables y obligaciones generales de alfabetización en IA para personal interno.
  • Agosto de 2025: obligaciones para modelos de IA de propósito general (GPAI).
  • Agosto de 2026: aplicación general del Reglamento, incluidas las obligaciones de alto riesgo del Anexo III.
  • Agosto de 2027: aplicación a sistemas de IA integrados en productos regulados por legislación sectorial (juguetes, dispositivos médicos, automoción, etc.).

Una empresa latinoamericana que firma hoy un contrato a 24 meses con un cliente europeo opera ya bajo el calendario completo.

Obligaciones clave para proveedores no europeos

Un proveedor de alto riesgo establecido fuera de la UE tiene tres requisitos operativos centrales:

  1. Designar un representante autorizado en la Unión por escrito. Esa persona o entidad responde ante la autoridad nacional competente.
  2. Garantizar la evaluación de conformidad y el marcado CE antes de la comercialización.
  3. Mantener la documentación técnica durante diez años después de la comercialización del sistema.

A esto se añaden los requisitos sustantivos: sistema de gestión de riesgos, gobernanza de datos (representatividad, calidad, sesgos), transparencia hacia desplegadores, supervisión humana efectiva, ciberseguridad, registro de eventos, robustez técnica.

Lo que no es opcional

Las sanciones por incumplimiento llegan hasta 35 millones de euros o el 7% de la facturación anual mundial, lo que sea mayor, para infracciones relativas a prácticas prohibidas. Para infracciones del Anexo III: hasta 15 millones de euros o 3% de la facturación. La autoridad sanciona también a proveedores establecidos fuera de la UE: la extraterritorialidad opera en ambos sentidos.

Vía AIPIA para profesionales hispanohablantes

AIPIA mantiene una guía actualizada del Reglamento y formación específica para personas que trabajan en consultoría o desarrollo con clientes europeos. La credencial europea con sello eIDAS funciona como prueba institucional de competencia profesional alineada con los marcos UE.

Para empresas que necesitan interlocución estructurada con un punto institucional europeo, el esquema de membresía empresarial ofrece acceso directo al Comité Técnico-Científico.

Fuentes

Recibe este análisis por correo

Análisis de AIPIA sobre regulación europea de IA, credencial europea y profesión transfronteriza. La membresía da acceso a briefings reservados y a los grupos de trabajo.

Hazte socio Más análisis