La Ley de IA de la UE y las Empresas Latinoamericanas: Lo que Necesitan Saber

Puntos clave

• La Ley de IA de la UE aplica a cualquier organización cuya IA afecte a ciudadanos europeos, independientemente de dónde esté ubicada la organización.
• El pleno cumplimiento para la IA de alto riesgo entra en vigor en agosto de 2026. Las organizaciones que aún no han comenzado la evaluación están atrasadas.
• Las categorías de IA de alto riesgo incluyen: puntuación crediticia, IA de contratación, soporte a la toma de decisiones clínicas, reconocimiento biométrico, y más.
• Las obligaciones del operador no desaparecen al comprar IA de un proveedor: las organizaciones que usan IA de terceros siguen siendo responsables del cumplimiento.
• Las multas por incumplimiento pueden alcanzar los 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor.

Por qué la Ley de IA de la UE afecta a las empresas latinoamericanas

El error más común sobre la Ley de IA de la UE es creer que solo aplica a empresas europeas. No es así. La ley aplica a cualquier organización que coloque sistemas de IA en el mercado europeo o los opere en la UE, o cualquier organización fuera de la UE donde el resultado de sus sistemas de IA sea utilizado en la UE.

Una empresa mexicana que procesa solicitudes de crédito de clientes españoles o alemanes está dentro del alcance. Una empresa colombiana de software cuya IA es utilizada por empresas europeas está dentro del alcance. Una empresa argentina que ofrece servicios de análisis de IA a organizaciones con sede en la UE está dentro del alcance. La ubicación de la organización no proporciona protección — lo que importa es dónde tienen efecto los resultados de la IA.

Los plazos clave

Las prácticas de IA prohibidas son ilegales desde febrero de 2025. Las obligaciones para los modelos de IA de propósito general aplican desde agosto de 2025. Los principales requisitos para la IA de alto riesgo — evaluaciones de conformidad, documentación técnica, supervisión humana, registro en la UE — entran en vigor completamente en agosto de 2026. Las organizaciones que aún no han iniciado la evaluación de requisitos están atrasadas.

Categorías de IA de alto riesgo relevantes para América Latina

El Anexo III de la Ley de IA de la UE enumera las categorías de IA de alto riesgo. Las más relevantes para las empresas latinoamericanas con clientes europeos incluyen: sistemas de puntuación crediticia e instituciones financieras que sirven a clientes europeos; IA de contratación y selección de personal que afecta a candidatos europeos; IA de soporte a la toma de decisiones clínicas utilizada en entornos médicos europeos; sistemas de reconocimiento biométrico; y IA en educación que afecta a estudiantes europeos.

Obligaciones del operador: la distinción que muchas empresas pasan por alto

La ley distingue entre proveedores (organizaciones que desarrollan IA) y operadores (organizaciones que despliegan IA en sus operaciones). Las obligaciones son acumulativas: comprar IA de un proveedor no transfiere la responsabilidad regulatoria al proveedor. Las organizaciones que usan IA de terceros en contextos de alto riesgo tienen obligaciones directas como operadores, incluyendo: implementar mecanismos de supervisión humana, monitorear el rendimiento del sistema de IA, realizar evaluaciones de impacto sobre los derechos fundamentales, y notificar a las personas afectadas sobre el uso de IA en decisiones sobre ellas.

Por dónde empezar

Para empresas latinoamericanas que comienzan su evaluación de la Ley de IA de la UE: primero, identifique qué sistemas de IA afectan a clientes o usuarios europeos; segundo, clasifíquelos según las categorías de riesgo del Anexo III; tercero, realice un análisis de brechas contra los requisitos para IA de alto riesgo; cuarto, priorice el cierre de brechas basándose en la mayor exposición regulatoria. Esta secuencia es la misma independientemente de dónde esté ubicada la organización.