Beancount.io LogoBeancount.io

La Ley de IA de la UE llega a las empresas SaaS de EE. UU. este agosto: Una guía práctica de cumplimiento

18 min de lecturaMike ThriftMike Thrift
La Ley de IA de la UE llega a las empresas SaaS de EE. UU. este agosto: Una guía práctica de cumplimiento

Si envía software a un cliente en Berlín, París o Ámsterdam —y su producto toca la IA de casi cualquier forma— el 2 de agosto de 2026 es la fecha que debe marcar en su calendario de cumplimiento. Ese es el día en que el Reglamento (UE) 2024/1689, mejor conocido como la Ley de IA de la UE, entrará plenamente en vigor para las obligaciones de transparencia y se activarán los poderes de ejecución de la Comisión sobre los modelos de IA de propósito general. Las multas pueden alcanzar el 7 % del volumen de negocios anual global. Y no, no importa que su sede central esté en San Francisco, sus servidores en Virginia y su equipo nunca haya pisado Bruselas.

La mayoría de los fundadores estadounidenses con los que hablamos tienen un modelo mental de la Ley de IA de la UE tomado del RGPD: unos cuantos banners de cookies, una actualización de la política de privacidad, tal vez un Anexo de Procesamiento de Datos. La Ley de IA es diferente. Regula el producto, no solo los datos. Asigna obligaciones por rol —proveedor, responsable del despliegue, distribuidor, importador, representante autorizado— e impone evaluaciones de conformidad previas a la comercialización, documentación técnica, vigilancia poscomercialización y registro en una base de datos de toda la UE antes de que un sistema de alto riesgo pueda llegar legalmente a un usuario europeo. Las sanciones son mayores que las del RGPD. El radio de impacto de los cuestionarios de adquisición es más amplio. Y la ley tiene un alcance extraterritorial incorporado en el Artículo 2.

Esta guía recorre lo que las empresas SaaS de EE. UU., los proveedores de modelos fundacionales y los desarrolladores de agentes de IA realmente necesitan hacer entre ahora y la próxima serie de plazos, en el orden aproximado en que deberían hacerlo.

Paso uno: Determine si la ley se aplica a usted

El alcance de la Ley es más amplio de lo que la mayoría de los fundadores estadounidenses esperan. El Artículo 2 alcanza a:

  • Proveedores que introduzcan sistemas de IA en el mercado de la UE o los pongan en servicio en la UE, independientemente de dónde esté establecido el proveedor
  • Responsables del despliegue (sus clientes) situados en la UE
  • Proveedores y responsables del despliegue situados fuera de la UE cuando el resultado del sistema de IA se utilice en la UE

Ese último punto es la trampa. Si su sistema de IA basado en EE. UU. procesa una transcripción, genera un correo electrónico de marketing, califica un currículum o resume un contrato, y el resultado resultante es utilizado por un destinatario con sede en la UE, usted está dentro del alcance, incluso si ningún europeo toca nunca su API directamente. Un proveedor de tecnología legal de EE. UU. cuyos resúmenes terminan en el expediente de un bufete de abogados holandés está dentro del alcance. Una herramienta de reclutamiento de EE. UU. cuyas clasificaciones de candidatos son revisadas por un gerente de contratación en Múnich está dentro del alcance. Un chatbot de EE. UU. integrado en una aplicación SaaS vendida a un cliente francés está dentro del alcance.

El filtro práctico para la mayoría de las empresas SaaS B2B es más sencillo: si alguno de sus clientes de pago, o los usuarios finales de sus clientes, están en la UE, asuma que la Ley se aplica y trabaje hacia atrás desde ahí.

Paso dos: Clasifique su rol y el nivel de riesgo de su sistema

La Ley asigna obligaciones basadas en lo que usted hace, no en cómo se llame a sí mismo. La mayoría de las empresas SaaS caen en uno o más de estos cubos simultáneamente:

  • Proveedor: introduce un sistema de IA en el mercado bajo su propio nombre o marca comercial. Este es casi cualquier proveedor de SaaS que incluya funciones de IA.
  • Responsable del despliegue: utiliza un sistema de IA bajo su autoridad (por ejemplo, utiliza un modelo de terceros dentro de su producto). Los responsables del despliegue tienen obligaciones más ligeras que los proveedores, pero existen.
  • Proveedor de modelos de IA de propósito general: desarrolla o ajusta un modelo fundacional que es capaz de ser utilizado en muchas tareas. La mayoría de las empresas SaaS de EE. UU. no son proveedores de GPAI; usted consume modelos GPAI de otra persona. Pero si ajusta Llama o construye su propio modelo fundacional, es posible que haya cruzado la línea.
  • Representante autorizado: requerido para proveedores de fuera de la UE de sistemas de alto riesgo y modelos GPAI (más sobre esto a continuación).

La clasificación de riesgo es el segundo eje. La Ley crea cuatro niveles:

NivelEjemplosQué significa
Inaceptable (Artículo 5)Puntuación social, reconocimiento de emociones en el lugar de trabajo, extracción indiscriminada de imágenes facialesProhibido por completo a partir del 2 de febrero de 2025
Alto riesgo (Anexo III)IA utilizada en contratación, calificación crediticia, admisiones educativas, identificación biométrica, infraestructura crítica, aplicación de la leyEvaluación de conformidad completa, marcado CE, registro en la base de datos de la UE
Riesgo limitado (Artículo 50)Chatbots, generadores de deepfakes, reconocimiento de emociones (fuera del lugar de trabajo)Solo divulgaciones de transparencia
Riesgo mínimoFiltros de spam, IA en videojuegos, clasificación de búsqueda mejorada por IASin obligaciones específicas

La mayoría de los productos SaaS B2B de EE. UU. que han añadido una función de IA a los flujos de trabajo existentes caen en la categoría de riesgo limitado y tienen deberes de transparencia según el Artículo 50. Las excepciones importan: cualquier cosa que toque decisiones de empleo, admisiones educativas, solvencia crediticia, biometría o servicios públicos esenciales salta a alto riesgo y representa un esfuerzo significativamente mayor.

Paso tres: Programe los plazos que le correspondan

Las obligaciones de la Ley se están implementando gradualmente a lo largo de tres años. Este es el cronograma depurado tal como se encuentra actualmente:

  • 2 de febrero de 2025 — Entraron en vigor las prohibiciones de prácticas de IA (Artículo 5) y las obligaciones de alfabetización en IA (Artículo 4). Si su producto implementa alguna de las prácticas prohibidas del Artículo 5, deténgase. Hoy mismo.
  • 2 de agosto de 2025 — Entraron en vigor las disposiciones de gobernanza y las obligaciones de los modelos de IA de uso general (IAUG). Los nuevos modelos de IAUG lanzados después de esta fecha deben cumplir de inmediato. Los modelos existentes antes de esta fecha tienen hasta el 2 de agosto de 2027.
  • 2 de agosto de 2026 — La fecha clave. Las obligaciones de transparencia del Artículo 50 pasan a ser exigibles. Las obligaciones de alto riesgo bajo el Anexo III entran en vigor. Se activan los poderes de ejecución de la Comisión sobre los modelos de IAUG, incluida la capacidad de imponer multas. El requisito del Artículo 22 sobre el representante autorizado para proveedores de alto riesgo de fuera de la UE entra en funcionamiento.
  • 2 de agosto de 2027 — Los modelos de IAUG preexistentes deben alcanzar el cumplimiento total. Los sistemas de alto riesgo integrados en productos ya regulados (juguetes, dispositivos médicos, maquinaria) pasan a formar parte del marco de la Ley.
  • 2 de diciembre de 2027 — Los sistemas de alto riesgo ya en servicio en categorías específicas del Anexo III (biometría, infraestructura crítica, educación, empleo, migración, asilo, control de fronteras) deben alcanzar el cumplimiento.
  • 2 de agosto de 2028 — Los sistemas de alto riesgo integrados en productos regulados (ascensores, juguetes, etc.) alcanzan su plena aplicación.

Para una empresa típica de SaaS de EE. UU. que ofrece un chatbot o asistente de IA a clientes de la UE, el plazo práctico a corto plazo es el 2 de agosto de 2026 para la transparencia del Artículo 50. Para los proveedores de modelos fundacionales y plataformas de agentes de IA, la ventana de cumplimiento de IAUG se abre ese mismo día.

Paso cuatro: Realice el trabajo de transparencia del Artículo 50

Si su producto se encuentra en el nivel de riesgo limitado, esta es la sección más importante. El Artículo 50 requiere cuatro divulgaciones específicas:

  1. Divulgación de chatbot: Si una persona interactúa con un sistema de IA, se le debe informar de que está interactuando con una IA, a menos que sea obvio por el contexto. El término "obvio" tiene mucho peso en esa frase. La lectura conservadora es añadir una divulgación explícita en la primera interacción.
  2. Marcado de contenido sintético: El contenido de imagen, audio, vídeo o texto generado o manipulado por IA debe marcarse en un formato legible por máquina que sea detectable como artificial. Esto significa, en la práctica, marcas de agua o metadatos de procedencia (como C2PA).
  3. Etiquetado de deepfakes: El contenido que constituya un deepfake debe etiquetarse como generado o manipulado artificialmente.
  4. Etiquetado de textos de interés público: El texto generado por IA publicado para informar al público sobre asuntos de interés público debe divulgarse como generado por IA, a menos que haya pasado por una revisión humana con responsabilidad editorial.

Construir esta capa de divulgación no es técnicamente difícil, pero requiere coordinación entre producto, diseño y legal. Algunos patrones que hemos visto funcionar son:

  • Una pequeña insignia de "asistido por IA" en las interfaces de chat, con una descripción emergente (tooltip) que enlace a una página de divulgación más extensa.
  • Metadatos de procedencia integrados en el momento de la generación, a través del estándar C2PA, para cualquier salida multimedia.
  • Una biblioteca de cadenas de texto de divulgación aprobadas, localizadas en todos los idiomas de la UE en los que se ofrece su producto.
  • Una política interna de que cualquier contenido de "interés público" (resúmenes de noticias, temas políticos, información de salud) pase por una revisión editorial humana y sea registrado.

Paso cinco: Nombre a un representante autorizado en la UE (si lo necesita)

El Artículo 22 exige que los proveedores establecidos en terceros países —esto incluye a EE. UU.— nombren mediante mandato por escrito a un representante autorizado en la UE antes de comercializar un sistema de IA de alto riesgo en el mercado de la Unión. El Artículo 54 impone una obligación similar a los proveedores de modelos de IAUG.

Si solo ofrece sistemas de riesgo limitado con obligaciones de transparencia del Artículo 50, no necesita un representante del Artículo 22. Si ofrece sistemas de alto riesgo o modelos de IAUG, sí lo necesita, y buscar uno lleva tiempo. Los deberes del representante incluyen:

  • Verificar que la Declaración UE de Conformidad y la documentación técnica estén disponibles.
  • Mantener la documentación a disposición de las autoridades nacionales competentes durante diez años.
  • Cooperar con las autoridades en acciones correctivas, retiradas o recuperaciones.
  • Reenviarle quejas, informes de incidentes y notificaciones de incidentes graves.
  • Dar por terminado el mandato (y notificar a las autoridades) si usted no cumple con sus obligaciones.

El representante no puede asumir sus obligaciones principales como proveedor según los Artículos 9 al 17; esa responsabilidad sigue siendo suya. Son, esencialmente, su presencia responsable en la UE y su punto de contacto para la Oficina de IA y las autoridades nacionales de vigilancia del mercado.

Los precios de los servicios de representantes autorizados se han estabilizado en un rango de entre 5.000 y 25.000 euros al año para proveedores pequeños, dependiendo de la complejidad del sistema, el número de Estados miembros de la UE atendidos y el alcance de la revisión de la documentación. Presupueste este gasto de la misma manera que presupuestaría un agente registrado en Delaware.

Paso seis: Construya el conjunto de documentación

Ya sea que comercialice un sistema de alto riesgo o un modelo de IAUG, debe presentar un rastro documental. La Ley enumera varios documentos que deben existir y mantenerse actualizados:

  • Documentación técnica (Anexo IV para sistemas de alto riesgo, Anexo XI para modelos de IAUG): arquitectura del sistema, prácticas de gobernanza de datos, metodología de entrenamiento, resultados de evaluación, limitaciones conocidas.
  • Documentación del sistema de gestión de riesgos (Artículo 9): identificación de riesgos previsibles, medidas de mitigación, criterios de aceptación de riesgos residuales.
  • Documentación de gobernanza de datos (Artículo 10): fuentes de datos de entrenamiento, validación y prueba, criterios de calidad de datos, examen de sesgos.
  • Registros de logs (Artículo 12): registros automáticos de eventos con detalle suficiente para permitir el seguimiento post-comercialización.
  • Diseño de supervisión humana (Artículo 14): cómo los operadores humanos pueden interpretar los resultados, intervenir, anular o apagar el sistema.
  • Plan de seguimiento post-comercialización (Artículo 72): cómo recopilará, analizará y responderá a los datos de rendimiento e incidentes del mundo real.
  • Declaración UE de Conformidad (Artículo 47): la atestación legal de que su sistema cumple con los requisitos de la Ley.
  • Marcado CE: fijado al producto, indicando la conformidad.

Para los proveedores de IAUG, el Código de Buenas Prácticas publicado por la Oficina de IA en julio de 2025 se ha convertido en la base de cumplimiento de facto. Es voluntario, pero adherirse demuestra una observancia de buena fe y le otorga un trato favorable en cualquier evaluación posterior de cumplimiento. Los tres capítulos del Código (Transparencia, Derechos de Autor y Seguridad y Protección) siguen de cerca lo que la Oficina de IA buscará cuando comience a ejercer sus poderes de ejecución en agosto de 2026.

Paso siete: Planifique para la ola de cuestionarios de adquisiciones

Para la mayoría de las empresas SaaS de EE. UU., la primera manifestación práctica de la Ley de IA de la UE no será una llamada a la puerta por parte de la Oficina de IA. Será un cuestionario de adquisiciones del equipo legal de un cliente de la UE preguntando qué modelos utiliza, con qué datos de entrenamiento se construyeron, qué controles tiene para evitar usos prohibidos, cómo son sus acuerdos de residencia de datos y si tiene un representante bajo el Artículo 22.

Estos cuestionarios están llegando ahora —mucho antes de la fecha de aplicación de agosto de 2026— porque los compradores de la UE quieren asegurar proveedores que cumplan con la normativa antes del colapso de la fecha límite. Los ciclos de venta se están alargando en las industrias reguladas (finanzas, salud, gobierno, educación) a medida que los compradores añaden una diligencia debida específica para la Ley de IA. Los fundadores que puedan responder al cuestionario con confianza en la primera semana de un ciclo de ventas cerrarán acuerdos que sus competidores menos preparados perderán.

Cree un dossier informativo permanente sobre la Ley de IA ahora. Debería incluir:

  • Un resumen de una página de su función (proveedor/responsable del despliegue/ambos), nivel de riesgo y obligaciones aplicables
  • Una lista de los modelos subyacentes que utiliza, con información sobre subencargados del tratamiento y al estilo de un DPA
  • Sus declaraciones de transparencia (Artículo 50)
  • Su documentación de gobernanza de datos y datos de entrenamiento, redactada según sea necesario
  • Su procedimiento de respuesta ante incidentes y de notificación de incidentes graves
  • Una copia de su mandato de representante autorizado, si corresponde

Cómo encajan el RGPD, la Ley de Datos y la DSA

La Ley de IA no desplaza la legislación vigente de la UE; la complementa. Un sistema de alto riesgo que procesa datos personales está regulado tanto por la Ley de IA como por el RGPD, y las obligaciones se acumulan. El Artículo 26(8) de la Ley de IA preserva explícitamente el requisito de evaluación de impacto relativa a la protección de datos del RGPD para los responsables del despliegue de alto riesgo. Las obligaciones de intercambio de datos y de cambio de la Ley de Datos se aplican junto con la conformidad de la Ley de IA. Las normas de transparencia de los sistemas de recomendación de la Ley de Servicios Digitales (DSA) se aplican además del Artículo 50.

En la práctica, esto significa que su programa de cumplimiento necesita un registro integrado. Una sola función de IA podría activar una EIPD del RGPD, una evaluación de riesgos de la Ley de IA, una declaración del Artículo 50, un informe de transparencia del sistema de recomendación de la DSA y un compromiso de portabilidad de la Ley de Datos. Tratar estos temas como flujos de trabajo separados es como ocurren los errores. Tratarlos como un solo programa con documentación compartida es cómo se mantiene la cordura.

Cómo son las multas en realidad

La estructura de sanciones de la Ley bajo el Artículo 99 tiene tres niveles:

  • Prácticas prohibidas (violaciones del Artículo 5): Hasta 35 millones de euros o el 7% del volumen de negocios anual mundial, lo que sea mayor
  • La mayoría de las demás obligaciones (Artículos 8-15, Artículo 50, obligaciones de GPAI bajo el Artículo 101): Hasta 15 millones de euros o el 3% del volumen de negocios anual mundial, lo que sea mayor
  • Información engañosa a las autoridades: Hasta 7,5 millones de euros o el 1% del volumen de negocios anual mundial, lo que sea mayor

Para las PYMES, incluidas las startups, las multas están limitadas a la menor de las dos cifras en lugar de la mayor. Esa es una concesión real, pero el 1% de los ingresos sigue siendo una cifra significativa para una empresa SaaS de Serie B, y el concepto de "PYME" según las definiciones de la UE llega hasta los 50 millones de euros de volumen de negocios; la mayoría de las empresas SaaS estadounidenses en fase de crecimiento están por encima de esa línea.

La primera ola de acciones de cumplimiento a finales de 2026 y 2027 probablemente se dirigirá a los proveedores más grandes y visibles: laboratorios de modelos fundacionales y grandes productos de IA para el consumo. Pero las autoridades nacionales de vigilancia del mercado tienen una amplia discreción, y las investigaciones impulsadas por denuncias pueden dirigirse a cualquier proveedor. Planifique para el caso medio, no para el peor de los casos: probablemente no será el primero en ser multado, pero no querrá ser el fundador que explique a una junta directiva por qué los ingresos de la empresa en la UE están ahora bloqueados a la espera de un plan de acción correctivo.

Integre el cumplimiento en la ingeniería, no a su alrededor

Los equipos de cumplimiento que más luchan con la Ley de IA son los que la tratan como un ejercicio legal añadido a un producto terminado. Los equipos que lo manejan limpiamente lo tratan como una restricción de diseño del sistema: gobernanza de datos integrada en la capa de datos, registro integrado en la capa de inferencia, supervisión humana integrada en la UX, declaraciones de transparencia integradas en la biblioteca de componentes. Los requisitos de la Ley son, en su mayoría, cosas que un producto de IA bien diseñado debería estar haciendo de todos modos: evaluación robusta, documentación clara, respuesta a incidentes estructurada, UX transparente. La Ley simplemente los hace legalmente obligatorios.

Para los fundadores de EE. UU. específicamente, el cambio de mentalidad consiste en reconocer que la UE no es un mercado opcional que pueda posponerse para "más tarde". El alcance extraterritorial de la Ley a través de los resultados generados en la UE significa que incluso los pequeños contratos B2B pueden incluirlo en el ámbito de aplicación. Y la dinámica de los cuestionarios de adquisiciones significa que la preparación es una ventaja competitiva en este momento, no solo un elemento de cumplimiento.

Mantenga también sus registros financieros listos para auditorías

Si está escalando una empresa SaaS en la UE, el cumplimiento de la Ley de IA es una pieza de un desafío de documentación más amplio. También necesitará registros financieros limpios, un reconocimiento de ingresos defendible para suscripciones multijurisdiccionales, documentación de precios de transferencia y declaraciones de IVA MOSS. El mismo instinto de ingeniería que impulsa una documentación de cumplimiento limpia y con control de versiones debería impulsar su contabilidad financiera: en texto plano, auditable y revisable por un humano o un auditor de IA.

Mantenga sus finanzas tan transparentes como su IA

La lección más profunda de la Ley de IA —que la documentación, la auditabilidad y la transparencia son ahora fosos competitivos— se aplica igual de bien a su contabilidad. Beancount.io ofrece contabilidad en texto plano que le brinda total transparencia y control de versiones sobre sus registros financieros, con la misma estructura legible por humanos y procesable por máquinas que exige el cumplimiento normativo moderno. Sin cajas negras, sin dependencia de proveedores y con un libro diario que un auditor (o su propio agente de IA) puede leer directamente. Comience gratis y vea por qué los desarrolladores y profesionales de las finanzas que crean empresas centradas en la IA se están pasando a la contabilidad en texto plano.