Saltar al contenido principal
~8 semanas hasta el 2 de agosto de 2026

La EU AI Act entra en vigor el 2 de agosto de 2026. Esto es lo que exige a los workflows que lanzas.

Las multas llegan a €35M o el 7% de los ingresos globales. Esto es lo que aplica — y el test de 5 minutos que te dice tu nivel de riesgo.

Verificar el riesgo de mi workflow →Que OpSprint lo resuelva

Marcos MaceoFundador, OpSprint~12 min de lectura

Probablemente sí — incluso si estás fuera de la UE.

La Ley aplica de forma extraterritorial, igual que el RGPD. Si el resultado de tu sistema de IA se usa en la UE, estás dentro del alcance, sin importar dónde esté registrada tu empresa.

Tres supuestos meten a un negocio fuera de la UE:

  • Colocas un sistema de IA en el mercado de la UE (ventas a clientes en la UE, productos con IA incorporada).
  • El resultado de tu IA se "usa" en la UE — tu software de RR. HH. ranquea candidatos residentes en la UE, o tu modelo de scoring decide qué usuarios en la UE ven una oferta de crédito.
  • Tienes empleados en Estados Miembros de la UE sujetos a decisiones de empleo influenciadas por IA.

Los proveedores fuera de la UE de sistemas de IA de alto riesgo también deben nombrar un Representante Autorizado en la UE bajo el Artículo 22 — una entidad designada que recibe la correspondencia regulatoria en tu nombre. Sin ella, no puedes colocar legalmente un sistema de alto riesgo en el mercado de la UE.

El Marco

Cuatro niveles. Tus obligaciones dependen enteramente de cuál.

Prohibido

Ilegal. Sin atajos.

Bajo el Artículo 5, ciertos usos de IA están prohibidos directamente — no regulados, no permitidos-con-condiciones. Desplegarlos en la UE genera exposición inmediata, sin importar el tamaño de tu empresa ni tu marco de consentimiento.

  • — Reconocimiento de emociones en el trabajo o escuelas
  • — Categorización biométrica para inferir raza, religión, opiniones políticas
  • — Social scoring por actores públicos o privados
  • — IA manipuladora o subliminal que explota vulnerabilidades
Alto riesgo

Permitido — con obligaciones sustanciales.

Listado en el Anexo III. Exige gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, logging, transparencia y una evaluación de conformidad antes del despliegue. Aquí es donde aterrizan la mayoría de los workflows de PyMEs.

  • — IA para contratación, cribado de CVs, ranking de candidatos
  • — Scoring crediticio y evaluación de solvencia
  • — Monitoreo del desempeño de empleados
  • — Decisiones de elegibilidad para servicios esenciales
Riesgo limitadoSolo transparencia (Artículo 50).

Sistemas que interactúan con humanos o generan contenido sintético. Los usuarios deben saber que hablan con IA; los medios generados por IA deben ser etiquetados.

Ej.: Chatbots de cara al cliente · Imágenes, audio o video generados por IA (divulgación de deepfakes)

MínimoSin obligaciones específicas.

La IA más común en negocios. Los códigos de conducta voluntarios se recomiendan, pero no son obligatorios.

Ej.: Filtrado de spam · Inventario / previsión de demanda · Asistentes internos de productividad

Inventario de workflows

Encuentra tu workflow. Lee su nivel. Planifica en consecuencia.

Catorce workflows que la mayoría de PyMEs ejecuta — clasificados contra el Anexo III y el Artículo 5. Ante la duda, usa el nivel más alto y consulta a un abogado.

Prohibido2 workflows

  • Reconocimiento de emociones en contratación

    Prohibido directamente bajo el Artículo 5.

  • Categorización biométrica por raza, religión u otros rasgos protegidos

    Prohibido bajo el Artículo 5.

Alto riesgo6 workflows

  • Cribado de CVs / ranking de candidatos

    Evaluación de riesgos, supervisión humana y logging obligatorios.

    Anexo III §4

  • Análisis de video de entrevistas

    Alto riesgo. El reconocimiento de emociones en contratación, por sí solo, está prohibido.

    Anexo III §4

  • Segmentación de anuncios de empleo con IA

    La colocación dirigida de anuncios de empleo está mencionada específicamente.

    Anexo III §4

  • Scoring de leads / perfilado de clientes

    Alto riesgo si perfila a residentes en la UE para acceso a servicios esenciales o crédito. La pura priorización comercial puede bajar a limitado.

    Anexo III §5

  • Scoring crediticio / solvencia

    Explícitamente alto riesgo. La detección de fraude está exenta.

    Anexo III §5(b)

  • Monitoreo / evaluación del desempeño

    Monitoreo de empleados con decisiones de IA sobre asignación, ascensos o despidos.

    Anexo III §4
Limitado2 workflows

  • Chatbot de soporte al cliente

    Hay que decirle al usuario que interactúa con IA.

    Artículo 50

  • Moderación de contenido (generado por usuarios)

    Obligaciones de transparencia; puede escalar a alto riesgo si controla el acceso a servicios esenciales.

Mínimo4 workflows

  • Detección de fraude

    Exento explícitamente de la categoría de alto riesgo de scoring crediticio.

  • Enrutamiento de tickets de soporte

    Clasificación sin decisiones sobre los derechos de las personas.

  • Filtrado de spam

    Sin obligaciones específicas bajo la EU AI Act.

  • Inventario / previsión de demanda

    Sin obligaciones específicas bajo la EU AI Act.

Obligaciones

Tus obligaciones dependen de tu rol.

La mayoría de fundadores de PyMEs son deployers — usan OpenAI, Anthropic o Gemini en lugar de entrenar sus propios modelos. Si envuelves un modelo GPAI en un sistema downstream y lo lanzas, también puedes ser proveedor de ese sistema y asumir las obligaciones de proveedor sobre tu wrapper.

Artículo 9

Sistema de gestión de riesgos

Proveedor

Establecer, documentar y mantener un proceso continuo de gestión de riesgos.

Deployer

Seguir las instrucciones del proveedor sobre los controles de riesgo.

Artículo 10

Gobernanza de datos

Proveedor

Conjuntos de entrenamiento, validación y test que sean relevantes, representativos y libres de errores.

Deployer

Asegurar que los datos de entrada sean relevantes y de calidad suficiente.

Artículo 11

Documentación técnica

Proveedor

Mantener documentación técnica detallada durante la vida del sistema más 10 años.

Deployer

Solicitar y conservar una copia; entregarla a las autoridades cuando lo pidan.

Artículo 12

Logging automático

Proveedor

Diseñar el sistema para que registre eventos.

Deployer

Conservar los logs durante al menos 6 meses.

Artículo 13

Transparencia hacia los deployers

Proveedor

Entregar instrucciones claras de uso y documentar las limitaciones conocidas.

Deployer

Usar el sistema según las instrucciones; monitorear su comportamiento.

Artículo 14

Supervisión humana

Proveedor

Diseñar el sistema de modo que los humanos puedan monitorear e intervenir.

Deployer

Asignar la supervisión a humanos competentes; actuar sobre sus alertas.

Artículo 15

Precisión, robustez y ciberseguridad

Proveedor

Construir bajo estándares técnicos apropiados.

Deployer

Reportar incidentes graves al proveedor y a las autoridades.

Artículo 50

Transparencia hacia los usuarios

Proveedor

Marcar el contenido sintético generado por IA; permitir el etiquetado downstream.

Deployer

Informar a los usuarios de la UE cuando interactúan con IA; divulgar deepfakes.

Conoce el nivel de tu workflow en cinco minutos.

Doce preguntas. Nivel, obligaciones aplicables y próximos pasos. Sin tarjeta de crédito.

Abrir el Verificador de Riesgo →
Detener de inmediato

Estas prácticas están prohibidas en la UE desde febrero de 2025. No reguladas — prohibidas. La "transparencia" o el "consentimiento" no las vuelven legales. Lanzarlas crea exposición legal inmediata.

Las tres que más impactan a deployers PyMEs

01

Reconocimiento de emociones en el trabajo o escuelas.

Incluye el scoring de video de entrevistas, el tracking de estado de ánimo en productividad y las herramientas de detección de estrés usadas en empleados o estudiantes. No aplica defensa por consentimiento.

Artículo 5(1)(f)

02

Categorización biométrica para inferir rasgos protegidos.

Cualquier sistema que infiera raza, religión, opiniones políticas, orientación sexual o afiliación sindical a partir de rostro, voz u otros datos biométricos — incluidos los modelos de segmentación publicitaria que lo hacen de forma implícita.

Artículo 5(1)(g)

03

Social scoring por actores públicos o privados.

Puntuación de confianza o reputación de personas físicas basada en su comportamiento general o características predichas, que conduce a un trato perjudicial en contextos no relacionados.

Artículo 5(1)(c)

También prohibidos

IA subliminal o manipuladora · Explotación de vulnerabilidades (edad, discapacidad, situación socioeconómica) · Policía predictiva basada únicamente en perfilado · Scraping no dirigido de imágenes faciales desde internet o CCTV · Identificación biométrica remota en tiempo real en espacios públicos.

Sanciones

El tramo más alto es €35M o el 7% de los ingresos globales.

Prácticas prohibidas

35M

o el 7% de la facturación anual global — el que sea mayor.

Reservado para violaciones del Artículo 5. Ninguna defensa de "transparencia" o "consentimiento" vuelve legal a la IA prohibida.

€15M / 3%Violaciones de alto riesgo — falta de documentación, supervisión o logging.
€7.5M / 1%Entregar información falsa a las autoridades.

Ajuste para PyMEs: las multas normalmente son "el que sea mayor" de los dos números. Para PyMEs y startups, los reguladores aplican el que sea menor. El daño reputacional llega primero de todos modos — las acciones regulatorias son públicas.

Para PyMEs

Cinco concesiones que la Ley da a los equipos más chicos.

El Artículo 62 y disposiciones relacionadas no eximen a las PyMEs — bajan la rampa. Vale la pena conocerlas antes de sobreinvertir en compliance teatral.

Tasas reducidas
Los Estados Miembros deben bajar las tasas de evaluación de conformidad para PyMEs.
Sandboxes
Cada Estado Miembro debe operar al menos un sandbox de IA antes del 2 de agosto de 2026 — un entorno supervisado para probar sistemas de alto riesgo con documentación inicial más ligera.
Documentación simplificada
La Comisión se comprometió a publicar plantillas específicas para PyMEs, para que los equipos más chicos no tengan que ingeniería inversa al Anexo IV.
Canales de consulta
Los reguladores deben ofrecer canales de preguntas y respuestas enfocados en PyMEs, no los genéricos de la industria.
Tramos de multas más bajos
Donde la Ley multa "X millones o Y% de la facturación, el que sea mayor", a las PyMEs se les aplica el menor de los dos.
Preparación

Siete pasos. Tres fases. Quince semanas.

01

Fase — Entender

Mapea lo que tienes, clasifícalo y detén lo que es ilegal.

  1. Paso 1

    Inventariar cada workflow de IA

    No solo los que construiste — incluye wrappers de GP-API, herramientas de terceros, automatizaciones de Zapier. Lista cada workflow, qué decide y a quién afecta.

    Tiempo: 2-4 horas.

  2. Paso 2

    Clasificar el nivel de cada workflow

    Usa el Verificador de Riesgo o el inventario de workflows de arriba. Ante la duda, usa el nivel más alto.

    Tiempo: 1 hora por workflow.

  3. Paso 3· Irreversible

    Apagar cualquier workflow prohibido

    Si algún workflow activa el Artículo 5, detenlo ahora. Sin período de transición, sin defensa por consentimiento. Esta es la única acción irreversible de todo el plan.

    Tiempo: horas a días.

02

Fase — Blindar

Agrega los controles que la Ley exige en sistemas de alto riesgo.

  1. Paso 4

    Agregar logging y supervisión humana

    Artículos 12 y 14. Registra cada decisión con inputs y salida del modelo; asigna un humano nominado que pueda intervenir.

    Tiempo: 1-2 semanas por workflow.

  2. Paso 5

    Escribir la documentación técnica

    Artículo 11. Descripción del sistema, fuentes de datos, limitaciones conocidas, registro de riesgos. Se conserva durante la vida del sistema más 10 años.

    Tiempo: 2-3 días por workflow.

  3. Paso 6

    Agregar transparencia para usuarios en la UE

    Artículo 50. Díle a los usuarios que interactúan con IA. Etiqueta el contenido sintético. Divulga los deepfakes.

    Tiempo: una semana de copy + UI.

03

Fase — Lanzar

Demuestra conformidad. Guarda la evidencia.

  1. Paso 7

    Ejecutar una evaluación de conformidad (o verificar la del proveedor)

    Artículo 43. La mayoría de sistemas del Anexo III permiten autoevaluación. La identificación biométrica exige un organismo notificado.

    Tiempo: 1-4 semanas.

Cómo ayuda OpSprint

Ese era el plan DIY. Aquí está el atajo.

Lanzamos workflows de IA para PyMEs que quedan del lado correcto de la Ley por diseño. En tu semana de Blueprint obtienes el inventario, la clasificación por nivel, los controles y la documentación que tu equipo puede operar — sin paja legal, sin compliance teatral.

  • Clasificación por nivel de riesgo para cada workflow que tocamos

    Mapeo al Anexo III, filtro del Artículo 5, test del Artículo 6 — mostramos el trabajo.

  • Controles integrados en el workflow mismo

    Logging, supervisión humana, rutas de escalamiento — no un PDF que vive en SharePoint.

  • Un anexo de preparación por engagement que tu equipo puede mantener

    Documentación técnica (Art. 11), protocolo de supervisión (Art. 14), copy de transparencia (Art. 50). Tuyos para conservar.

  • Un próximo paso nombrado cuando se requiere firma legal

    Somos practicantes pragmáticos. Cuando necesites un abogado en la UE, te lo diremos con precisión.

Mitos

Cinco cosas que los fundadores se están diciendo — y que no son ciertas.

“Solo uso OpenAI, así que estoy cubierto por su compliance.”
El proveedor de GPAI tiene sus propias obligaciones, pero tú eres dueño del sistema de IA downstream. Si construyes un cribador de candidatos sobre GPT-4, eres el proveedor de ese cribador.
“Mi empresa es demasiado chica para que los reguladores se interesen.”
Los reguladores quizá no te auditen de forma proactiva, pero cualquier residente de la UE cuyos derechos se vean afectados puede presentar una queja. El enforcement privado ya está vivo.
“Yo no vendo a la UE.”
Si un solo residente de la UE usa el resultado de tu IA, estás dentro del alcance. Bolsas de empleo, APIs de scoring, SaaS-con-una-función-de-IA — todos lo activan.
“Esto solo afecta a las "empresas de IA".”
Cualquier negocio que despliegue IA para contratar, puntuar, monitorear o moderar contenido es un deployer bajo la Ley. No hace falta que te llames empresa de IA.
“Me basta con agregar un disclaimer.”
La transparencia es una obligación entre muchas. Un disclaimer no satisface gestión de riesgos, logging, supervisión humana ni documentación.

¿Sigues sin saber en qué nivel cae un workflow?

Cinco minutos. Doce preguntas. Nivel exacto y obligaciones.

Ejecutar el Verificador de Riesgo →

Qué pasa después del 2 de agosto de 2026

La Ley entra en enforcement general. Las autoridades nacionales de vigilancia del mercado se vuelven operativas; la AI Office de la Comisión Europea coordina entre Estados Miembros. Se activa el reporte de incidentes graves. Los residentes de la UE ganan el derecho a presentar quejas sobre sistemas de IA que los afecten.

Se espera que el enforcement temprano priorice las prácticas prohibidas — reconocimiento de emociones en RR. HH., social scoring, categorización biométrica — y los sectores de alto riesgo de alto perfil: plataformas de contratación, scoring crediticio, elegibilidad para servicios públicos. Los deployers PyME de workflows estándar de alto riesgo son prioridad menor, pero prioridad menor no es seguridad.

Los proveedores de modelos GPAI operan bajo sus obligaciones desde el 2 de agosto de 2025. Los proveedores de sistemas construidos sobre modelos GPAI — la mayoría de clientes de OpSprint — recibieron el plazo más largo. Termina en 15 semanas.

FAQ

Las preguntas que los fundadores siguen haciendo.

Calendario y alcance

¿Cuándo entra realmente en vigor la EU AI Act?

Las obligaciones principales (sistemas de alto riesgo del Anexo III y transparencia del Artículo 50) aplican el 2 de agosto de 2026. Las reglas sobre prácticas prohibidas están en vigor desde el 2 de febrero de 2025. Las obligaciones de los proveedores de IA de propósito general comenzaron el 2 de agosto de 2025.

¿Aplica a mi empresa en EE. UU.?

Si el resultado de tu IA se usa en la UE — puntuando candidatos en la UE o atendiendo clientes en la UE — sí. La Ley tiene alcance extraterritorial similar al RGPD. Los proveedores fuera de la UE de sistemas de alto riesgo también deben nombrar un Representante Autorizado en la UE bajo el Artículo 22.

¿En qué se diferencia del RGPD?

El RGPD regula el tratamiento de datos personales. La AI Act regula los sistemas de IA (traten o no datos personales). Se superponen pero son distintos — puedes deber obligaciones bajo ambos por el mismo workflow.

Clasificación

Solo uso la API de OpenAI. ¿Soy proveedor o deployer?

Eres deployer del modelo GPAI. Pero si lanzas un sistema de IA downstream construido sobre esa API a usuarios de la UE, puedes ser proveedor de ese sistema y deber obligaciones de proveedor sobre tu wrapper.

¿Qué tan "alto riesgo" es el scoring de leads?

Si perfila a residentes de la UE para acceder a servicios esenciales o crédito, es alto riesgo. La pura priorización comercial sobre leads B2B tibios suele ser limitado o mínimo. Ante la duda, trátalo como alto riesgo.

¿Y la detección de fraude — es alto riesgo?

No. La detección de fraude está exenta explícitamente de la categoría de alto riesgo de scoring crediticio bajo el Anexo III §5(b).

Consecuencias

¿Qué pasa si mi IA se clasifica como "prohibida"?

Deja de desplegarla en la UE. Las prácticas prohibidas cargan el tramo más alto de multa: €35M o el 7% de la facturación global. Ningún atajo de "transparencia" o "consentimiento" vuelve legal a la IA prohibida.

Mi empresa tiene 8 empleados. ¿Estoy exento?

No. El Artículo 62 da a las PyMEs tasas reducidas, sandboxes y tramos de multa más bajos — pero cero exenciones por tamaño. La carga de compliance escala con el nivel de riesgo del workflow, no con tu headcount.

Práctica

¿Necesito un abogado en la UE para cumplir?

No siempre, pero deberías tener acceso a uno. Para casos claros del Anexo III con obligaciones estándar, la preparación pragmática (registro de riesgos, protocolo de supervisión, documentación, logging) te lleva el 80% del camino. Para casos límite o decisiones de diseño cercanas a lo prohibido — llama al abogado.

¿Qué es un sandbox regulatorio?

Cada Estado Miembro de la UE debe operar un sandbox de IA antes del 2 de agosto de 2026. Permite a startups probar sistemas de IA de alto riesgo en un entorno supervisado con documentación más ligera y feedback directo del regulador. Artículo 57.

Última actualización: 22 de abril de 2026

Guía pragmática de preparación — no es asesoría legal. Para casos específicos, consulta a un abogado en la UE.