Todas las contribuciones
Análisis de Industriaai-actcomplianceregulation

AI Act: guía de cumplimiento para exportadores LATAM→UE antes del 2 de agosto 2026

Deadline regulatorio fijo: 2 de agosto 2026. Multas hasta €35M o 7% del ingreso global. Checklist de 20 puntos, stack self-hosted para data residency y calendario de remediación para SaaS y fintech latinoamericanas que procesan datos europeos.

Numoru StrategyPublicado el 19 de abril de 202614 min de lectura
Compartir

TL;DR

El EU AI Act se vuelve plenamente exigible el 2 de agosto de 2026. Multas hasta 35 millones de euros o 7% del ingreso global. Aplica a cualquier empresa — incluidas mexicanas, colombianas, argentinas, brasileñas — que ofrezca sistemas de IA usados por personas en territorio europeo. Si tu SaaS tiene clientes UE, si tu fintech scorea usuarios que viven allá, si tu app de salud procesa pacientes europeos, te aplica. Este artículo cubre 20 preguntas para saber si estás expuesto, las 6 obligaciones técnicas clave, el stack self-hosted que facilita el cumplimiento (Langfuse, Qdrant on-prem, NeMo Guardrails) y el calendario de remediación para llegar a tiempo.

2-ago-2026
Exigibilidad plena
Deadline fijo. Sin periodo de gracia.
€35M / 7%
Multa máxima
Del ingreso global, el mayor de los dos
3-6 mo
Ventana típica de remediación
Contratar el 15 de julio es imprudente
€600M+
Multas GDPR 2023
Referencia de intensidad de enforcement

Quién está en riesgo y no lo sabe

El primer malentendido es creer que el AI Act solo aplica a empresas europeas. No. La regulación es extraterritorial en tres escenarios concretos:

  1. El proveedor pone un sistema de IA en el mercado de la UE (aunque esté establecido en LATAM).
  2. El output del sistema se usa dentro de la UE.
  3. Los sujetos afectados por el sistema están en la UE.

En la práctica, eso abarca:

  • Fintechs que dan scoring crediticio a usuarios europeos.
  • Healthtechs que procesan datos de pacientes en la UE.
  • SaaS B2B con clientes corporativos en la UE que usan la funcionalidad IA.
  • Plataformas de RR.HH. con candidatos europeos.
  • E-commerce con recomendaciones personalizadas que se consumen desde la UE.

El segundo malentendido es creer que "los modelos son de OpenAI/Anthropic, no míos". El AI Act define al deployer (quien opera el sistema en producción) como sujeto regulado independientemente del provider del modelo. Eres responsable por cómo integras, qué datos pasas y cómo usas la respuesta.

Las 20 preguntas: ¿te aplica?

Responde sí/no. Tres o más "sí" en la sección de riesgo y necesitas iniciar proceso de compliance ya.

A. Alcance territorial

  1. ¿Tu producto tiene usuarios finales en cualquier país de la UE, EEA o Reino Unido acogido?
  2. ¿Facturas o emites contratos con empresas ubicadas en la UE?
  3. ¿Tu sitio web/app está disponible en idiomas UE y acepta pagos en euros?
  4. ¿Procesas datos de personas que residen en la UE (aunque no hayan firmado contrato)?

B. Naturaleza del sistema

  1. ¿Tu producto usa modelos de IA (LLMs, ML clásico, visión, voz, etc.) en decisiones que afectan a usuarios finales?
  2. ¿Esas decisiones influyen en acceso a crédito, empleo, educación, salud, vivienda, justicia, migración o cumplimiento de contratos?
  3. ¿Usas biometría (reconocimiento facial, voz, huella) para identificar o autenticar?
  4. ¿Generas contenido sintético (texto, imagen, voz) que podría confundirse con humano?
  5. ¿Tu sistema hace scoring, clasificación o recomendación personalizada de usuarios?

C. Gobernanza actual

  1. ¿Tienes documentado qué modelos de IA usa cada feature?
  2. ¿Guardas trazas con inputs, outputs y decisiones para cada inferencia (con retención auditable)?
  3. ¿Tienes un proceso humano para revisar/apelar decisiones automatizadas?
  4. ¿Tu equipo sabe qué es un "sistema de alto riesgo" según el anexo III del AI Act?
  5. ¿Tienes un encargado o responsable formal de gobernanza IA?

D. Datos y entrenamiento

  1. ¿Entrenaste o fine-tunaste modelos con datos de usuarios?
  2. ¿Documentaste la procedencia y licencia de esos datos?
  3. ¿Verificaste sesgos (género, edad, origen étnico) en el comportamiento del modelo?
  4. ¿Tienes procedimiento para que un usuario solicite acceso/borrado de datos usados en inferencia?

E. Transparencia

  1. ¿Notificas al usuario cuando interactúa con IA (no solo en el T&C, sino en la interfaz)?
  2. ¿Informas claramente cuando un contenido fue generado sintéticamente?

Clasificación de riesgo: las 4 categorías

El AI Act organiza los sistemas en una pirámide:

NivelEjemplosObligaciones
Riesgo inaceptable (prohibido)Social scoring estilo gobierno, manipulación subliminal, reconocimiento emocional en trabajo/educaciónNo puedes operarlo en la UE, punto
Alto riesgoScoring crediticio, filtrado de CVs, dispositivos médicos, biometríaTodo el paquete: DPIA, registro, supervisión humana, trazas
Riesgo limitadoChatbots, deepfakes, contenido sintéticoTransparencia (informar al usuario)
Riesgo mínimoFiltros de spam, IA en videojuegosVoluntario

La mayoría de PyMEs exportadoras LATAM caen en alto riesgo o riesgo limitado. Las cargas son muy distintas.

Las 6 obligaciones técnicas que importan

Para sistemas de alto riesgo (art. 8-15 del AI Act):

1. Sistema de gestión de calidad (QMS)

Documentación viva que cubra: arquitectura, modelos usados, datasets de entrenamiento, métricas de desempeño, pruebas de sesgo, procedimientos de actualización. No es un PDF — es un conjunto de artefactos versionados en Git.

2. Datos y gobernanza de datos

Los datasets deben ser "relevantes, representativos, libres de errores y completos". Requiere procedencia documentada, análisis estadístico y mitigación de sesgos. Para fine-tuning: licencia clara de cada fuente.

3. Documentación técnica

Ficha técnica del sistema que una autoridad pueda auditar: arquitectura, decisiones de diseño, limitaciones conocidas, métricas. Plantilla oficial disponible en la Implementation Guideline europea.

4. Registro automático de eventos (logs)

Cada inferencia debe dejar traza auditable por mínimo 6 meses. Input, output, versión del modelo, usuario, timestamp. Este es el punto donde Langfuse self-hosted se vuelve obligatorio — no puedes depender de LangSmith en US si el dato debe quedarse en la UE.

5. Transparencia hacia el usuario

El usuario final debe saber que interactúa con un sistema de IA, qué decisiones se toman automáticamente y cómo puede apelar. En interfaces: un componente visible ("Este asistente es IA") y una ruta clara de escalación humana.

6. Supervisión humana

Diseño que permita intervención humana en decisiones materiales. No es "un humano mira el log después"; es "un humano puede cambiar la decisión antes de que tenga efecto".

Stack self-hosted para compliance

Las firmas europeas venden "AI Act as a Service" a 300-500 EUR/hora. Una PyME LATAM puede construir 80% de lo que necesita con software libre y un servidor propio.

RequerimientoStack OSS recomendadoPor qué
Registro de inferenciasLangfuse self-hostedApache 2.0; 6+ meses retención; export completo para auditoría
Data residency UEDroplet/VPS en Frankfurt, París o AmsterdamTodos los grandes cloud tienen región UE; deploy igual que en LATAM
Vector DB on-premQdrant en la misma región UEDatos sensibles no salen de UE
Guardrails (contenido, PII, topic)NeMo Guardrails + Guardrails AIBloqueo automático de respuestas que violan política
Detección de sesgoFairlearn + AequitasBaterías de métricas pre-deploy
Documentación vivaMkDocs + repo GitVersionado auditable
Consentimiento/accesoEndpoints /user/{id}/ai-data GET y DELETECumple art. 15 GDPR + AI Act combinado
Observabilidad infraGrafana + PrometheusEvidencia de uptime y performance

El costo de un stack completo UE-residente ronda 120-180 EUR/mes por ambiente. Comparado con 30,000-80,000 EUR de una auditoría + remediación hecha en el último momento, es orden de magnitud mejor.

Calendario de remediación

Si hoy es abril 2026 y tienes exposición alto riesgo:

Semanas 1-4 (abril-mayo)

  • Inventario de sistemas IA: qué modelos, qué datos, qué features dependen.
  • Clasificación formal por riesgo.
  • Gap analysis contra las 6 obligaciones.
  • Nombrar un responsable (interno o fraccional).

Semanas 5-8 (mayo-junio)

  • Desplegar stack de logging en región UE.
  • Migrar datos sensibles a proveedores con data residency UE.
  • Implementar transparencia en UI (banners, avisos, rutas de apelación).
  • Escribir primera versión de documentación técnica.

Semanas 9-12 (junio-julio)

  • Evaluaciones de sesgo y robustez.
  • Ejercicio interno de auditoría (simulacro).
  • Cerrar brechas identificadas.
  • Capacitación de equipo (legal + producto + ingeniería).

Semanas 13-14 (última semana de julio)

  • Freeze de cambios.
  • Confirmación con asesor legal.
  • Preparar paquete de respuesta ante solicitud de autoridad.

Fecha límite: 2 de agosto 2026. A partir de ese día, cualquier inspección o queja puede activar procedimiento sancionatorio.

Errores comunes que vemos

  1. "Pero yo no vendo a Europa directamente." El cliente enterprise que te revende sí. Y ese cliente exigirá cumplimiento contractual, igual que exige GDPR.
  2. "Mi modelo es de OpenAI, ellos son los responsables." No. OpenAI cumple como provider de modelo fundacional; tú cumples como deployer del sistema.
  3. "Esperemos a ver qué pasa después de agosto." Las multas aplican desde el día 1. No hay periodo de gracia para sistemas ya en producción.
  4. "Contrataremos a un abogado europeo cuando llegue el momento." Los tiempos de auditoría y remediación son 3-6 meses. Contratar el 15 de julio es arriesgado.
  5. "Tenemos ISO 27001, eso basta." ISO 27001 cubre seguridad de información. AI Act exige ISO 42001 (AI Management System) o equivalente más documentación específica.

Costos: lo que vemos en clientes reales

Tamaño empresaAlcanceCosto remediación
Startup (<20 personas), un producto, riesgo limitadoTransparencia + logging básico5,000-15,000 USD
PyME (20-200), varios productos, al menos uno alto riesgoQMS, docs, guardrails, supervisión15,000-60,000 USD
Scale-up (>200), múltiples sistemas alto riesgoPrograma completo + ISO 4200160,000-250,000 USD

Multa esperada por no cumplir y ser inspeccionado: mínimo 2 millones EUR + cese de operación en UE.

Costo de remediación vs exposición a multa post-inspección (USD)

Rangos de remediación medidos en engagements AI Act Diagnosis de Numoru. Exposición post-inspección calibrada a ratios públicos de GDPR + enforcement esperado del AI Act.

$0$3000k$6000k$9000k$12000kStartup (limitedrisk)SMB (un high-risk)Scale-up (multihigh-risk)
  • Costo de remediación (USD)
  • Exposición realista a multa (USD)

Datos de consultoría Numoru + registro público de multas GDPR (CMS DLA Piper GDPR Enforcement Tracker, 2025).

Impacto de negocio y casos

Business & commercial impact

Por qué la ventana de compra es ahora, no después de agosto

A diferencia de regulaciones blandas que se corren, el AI Act tiene fecha dura en el texto de la ley. Las únicas variables que un exportador LATAM controla son alcance, calidad de remediación y tiempos. Cada semana después de abril 2026 comprime el delivery y sube el costo. Empresas que arrancan en junio reciben típicamente cotizaciones 2-3× del precio de abril porque los consultores, DPOs y auditores se retaineran con clientes más grandes primero.

Curva de precio para 'Diagnóstico AI Act + Plan de Remediación' (USD, engagement de 14 días)

Cotizaciones públicas de Numoru y 4 consultoras boutique partners a un SaaS B2B LATAM con un caso high-risk. El precio sube conforme se acaba la capacidad.

Ene 26Feb 26Mar 26Abr 26May 26Jun 26Jul 26Ago 26$0k$15k$30k$45k$60k

Datos de ventas Numoru + cotizaciones públicas de 4 firmas partner (muestra 2025-2026 Q1).

Industrias y rangos de ticket

Pricing de servicios AI Act por perfil (Numoru, 2026)

Fintech (credit scoring)
Caso high-risk Annex III. Requiere QMS + bias testing + supervisión humana.
$45,000 – 120,000
Remediación one-time + $3-5k / mes
HealthTech (dispositivo médico IA)
Docs técnicas completas, DPIA, oversight, logging. Ruta notified-body.
$80,000 – 250,000
One-time + 18 mo certificación
HR-tech (screening CVs)
Clasificador usado en reclutamiento — categoría high-risk explícita.
$35,000 – 90,000
One-time + revisión trimestral
B2B SaaS con features IA
Usualmente limited-risk. UI de transparencia + logging + DPAs actualizados.
$12,000 – 35,000
One-time + retainer $1k / mes
E-commerce de personalización
Sistemas recomendadores — mayormente limited risk. Transparencia + ruta de apelación.
$8,000 – 22,000
One-time
Reseller enterprise de LLMs
Obligaciones de deployer para Claude / GPT / Gemini en flujos de cliente.
$20,000 – 60,000
One-time + templates

Benchmarks públicos y referencias de enforcement

Public case studyRegulación UE · UE-27 · 2024

Comisión Europea — arquitectura de enforcement AI Act

Challenge
Definir cómo las autoridades nacionales y la AI Office repartirán enforcement del AI Act.
Solution
El Reglamento (UE) 2024/1689 y la AI Office establecen la estructura de notified-body y de market-surveillance nacional. El enforcement va por fases: prohibiciones feb 2025, reglas de general-purpose ago 2025, enforcement pleno ago 2026.
Results
Multa máx (prohibido)
€35M / 7%
Del ingreso anual global
Multa máx (high-risk)
€15M / 3%
Art. 99(4)
Multa máx (transparencia)
€7.5M / 1.5%
Art. 99(5)
Source: Reglamento (UE) 2024/1689 — Artículo 99, Diario Oficial
Public case studyDespacho global · UE · 2024

CMS DLA Piper — GDPR Enforcement Tracker

Challenge
Benchmark de cómo las DPAs europeas aplican legislación digital comparable (GDPR).
Solution
Tracker público de toda multa GDPR desde 2018. Indicador adelantado de intensidad de enforcement del AI Act.
Results
Multas GDPR acumuladas
€5.65B
Desde 2018
Multa individual más grande
€1.2B
Meta (Ireland DPA, 2023)
Multas >€10M
100+
En todos los sectores
Source: CMS DLA Piper GDPR Enforcement Tracker, 2025
Public case studyRegulador UK · UK / UE recíproco · 2024

ICO — casos de acción regulatoria sobre IA

Challenge
Probar cómo los reguladores procesan sistemas IA incluso antes del AI Act — y qué evidencia exigen.
Solution
Investigaciones públicas (Clearview AI, Snap MyAI, varias herramientas HR-tech) presagian cómo se comportará market-surveillance UE.
Results
Multa Clearview AI
£7.5M
UK ICO, 2022
Acciones de enforcement IA
25+
ICO + DPAs UE, 2020-2024
Evidencia exigida
Docs, logs, DPIA
Consistente entre casos
Source: Registro de acciones ICO, 2024

Caso ilustrativo — SaaS B2B LATAM con clientes UE

Illustrative caseHR-tech · 85 empleados · $12M ARR · Colombia → UE

SaaS colombiano (scheduling + HR features) sirviendo a 14 clientes enterprise UE

Baseline
Dos features IA: scheduling inteligente (limited risk) y ranking de CVs (high risk, Annex III). Sin inventario, sin logging fuera de SaaS vendors. Legal no está enterado. Tres clientes UE ya pidieron "declaración de cumplimiento AI Act" en RFPs de renovación.
Intervention
Diagnóstico Numoru de 14 días → plan de remediación. Sprint de 4 meses: deploy de Langfuse + Qdrant en región UE, QMS en Git, suite de bias con Fairlearn, banners UI de transparencia, workflow de oversight. Documentación alineada a ISO 42001.
Projected outcome (12 mo)
ARR UE en riesgo
$3.1M
Antes de compliance
ARR UE asegurado
$3.1M + $780k
Renovaciones + 2 nuevos enterprise
Costo de remediación
$58,000
One-time + $2.1k / mes steady
Multa evitada
~€1.5M
Esperada realista, por historia de enforcement
Tiempo de cierre nuevos RFPs UE
-42%
Declaración de compliance desbloquea procurement
ROI
13×
Contribución año 1 vs costo
Costo anclado a engagements Numoru; cifras de ARR UE y velocity de RFP calibradas con encuestas a Chief Legal Officer (Gartner 2024, IAPP 2024). Caso sintético — no representa a un cliente específico de Numoru.

Calculadora ROI — remediación AI Act (SMB high-risk)

Exportador LATAM mid-market: remediación vs status quo (18 meses)

Payback: < 2
Assumptions
ARR UE hoy$2,800,000
ARR UE en riesgo sin compliance$1,900,000
Margen bruto blended UE68%
Probabilidad de inspección (24 mo)25%
Multa esperada ponderada$680,000
Impacto de velocity de deals+28%
Alcance de remediaciónQMS + logging + bias + UI
Retainer post-remediación$2,400 / mes
Diagnóstico + remediación (one-time)−$58,000
Retainer en curso (18 mo × $2,400)−$43,200
Tiempo interno ingeniería (~320 h × $95)−$30,400
Infra (droplet UE + Langfuse + Qdrant, 18 mo)−$3,240
ARR UE retenido+$1,900,000
Margen bruto sobre ARR retenido+$1,292,000
Multa esperada evitada+$680,000
Deals UE incrementales (velocity)+$420,000
Contribución neta 18 mo+$2,257,160

Tiers de pricing Numoru

Diagnóstico
$6,500one-time
14 días. Alcance + riesgo + plan.
  • Checklist de 20 preguntas de exposición
  • Clasificación de riesgo por sistema IA
  • Gap analysis vs 6 obligaciones
  • Roadmap de remediación priorizado
  • Workshop ejecutivo de 2 h
  • Entregable: PDF 30 páginas + board Miro
Sprint de remediación
$35,000 – 120,000one-time
8-16 semanas. Llega al deadline.
  • Deploy del stack OSS en región UE
  • QMS + docs técnicas en Git
  • Testing de bias y robustness
  • UI de transparencia + workflow de apelación
  • Training al equipo (legal + product + eng)
  • Mock de auditoría interna
  • Packet de respuesta a autoridad
Retainer de compliance
$1,800 – 4,500/ mes
Post-remediación. Mantener vigente.
  • Revisión trimestral de documentación
  • Evaluación de impacto IA en nuevas features
  • Retención Langfuse & audit-ready
  • Monitoreo de cambio regulatorio
  • Mock-audit anual
  • Respuesta a DPIAs de clientes UE

Scale-ups con múltiples sistemas high-risk o alcance ISO 42001: contrato maestro desde $180,000. El ticket crece con el número de sistemas IA y la exposición de ingresos UE.

Qué pasa con otras regulaciones

  • ISO 42001 (AI Management System) — certificación voluntaria pero útil; muchas licitaciones europeas ya la piden como prueba de cumplimiento AI Act.
  • GDPR — sigue aplicando y se cruza: datos personales usados en training requieren base legal GDPR Y evidencia AI Act.
  • NIS2 — si operas infraestructura crítica, ciberseguridad obligatoria suma a lo anterior.
  • México / Brasil / Colombia — marcos locales se están alineando; implementar AI Act te deja adelantado para cuando tu país regule.

FAQ

¿Si soy un consultor independiente y uso IA para hacer reportes a clientes UE, me aplica?Como herramienta personal, no. Si entregas outputs automatizados que afectan decisiones del cliente final europeo, sí.

¿El modelo local (Ollama, Llama) reduce mi exposición?En datos sí — no sales de tu infraestructura. En compliance no — seguís siendo deployer y debes documentar igual.

¿Puedo seguir usando Anthropic/OpenAI si tengo clientes UE?Sí, siempre que firmes los DPAs correspondientes y documentes que el provider cumple obligaciones de model provider. Verifica que ofrezcan región UE para el endpoint.

¿El AI Act afecta solo a IA generativa?No. ML clásico (scoring, clasificación) también está cubierto si cae en categorías de alto riesgo.

¿Qué documentación debería tener lista el 2 de agosto?

  1. Inventario de sistemas, 2) clasificación de riesgo, 3) DPIA y AI Impact Assessment, 4) documentación técnica por sistema, 5) logs activos, 6) UI con transparencia, 7) procedimientos de supervisión y apelación, 8) plan de respuesta ante incidentes.

¿Cómo empiezo si tengo cero gobernanza hoy?Con el checklist de 20 preguntas + gap analysis. En una semana tienes claridad de alcance y costo.

Próximos pasos

Si tu empresa responde sí a más de 3 preguntas de la sección B y tiene exposición UE, el costo de esperar crece cada semana. El servicio "Diagnóstico AI Act en 10 días" de Numoru incluye el gap analysis completo y un plan de remediación priorizado con stack OSS concreto. El siguiente artículo de esta serie detalla la implementación técnica de logging auditable con Langfuse en región UE.

¿Quieres resultados así para tu empresa?

Iniciar conversación
Compartir