Europe Alternatives

2026-04-01

EU AI Act: Qué significa para los compradores de SaaS

El 2 de agosto de 2026 entran en vigor las normas del EU AI Act para sistemas de IA de alto riesgo. Si compra SaaS con funciones de IA, ya tiene obligaciones.

El EU AI Act está en vigor desde agosto de 2024. La mayor parte ha transcurrido sin grandes novedades. Eso cambia el 2 de agosto de 2026, cuando las normas para sistemas de IA de alto riesgo del Anexo III pasan a ser ejecutables. Si su empresa compra SaaS, esto le afecta, aunque nunca haya escrito una línea de código de IA.

El calendario en resumen

La ley se implementó por fases:

  • 2 de febrero de 2025 -- Prácticas de IA prohibidas (p. ej., puntuación social, manipulación subliminal). También entraron en vigor las obligaciones de alfabetización en IA.
  • 2 de agosto de 2025 -- Las normas para modelos de IA de propósito general (GPAI) pasaron a ser aplicables.
  • 2 de agosto de 2026 -- Los sistemas de IA de alto riesgo del Anexo III deben cumplir la normativa. Este es el plazo que la mayoría de los compradores de software B2B necesitan tener en cuenta.
  • 2 de agosto de 2027 -- Plazo ampliado para IA de alto riesgo integrada en productos regulados (dispositivos médicos, maquinaria, vehículos).

Proveedor vs. implementador: ¿cuál es usted?

La ley asigna obligaciones según su rol.

Un proveedor es una entidad que coloca un sistema de IA en el mercado bajo su propio nombre: su proveedor de CRM con un modelo de puntuación de leads integrado, su plataforma de reclutamiento con selección automatizada de CV, su herramienta de crédito. Ellos lo construyeron. Son responsables de las evaluaciones de conformidad, el marcado CE, el registro en la base de datos de la UE y la provisión de documentación técnica.

Un implementador es una entidad que utiliza un sistema de IA en un contexto profesional. Eso son la mayoría de los compradores de SaaS. Usted no construyó el modelo, pero lo está usando en sus operaciones comerciales.

Ser implementador no significa que no tenga obligaciones. Significa que sus obligaciones son más ligeras, pero no inexistentes.

Qué deben hacer los implementadores para sistemas de alto riesgo

Si una herramienta SaaS que utiliza está clasificada como de alto riesgo según el Anexo III, tiene obligaciones bajo el Artículo 26:

  • Seguir las instrucciones de uso del proveedor
  • Mantener registros de la operación del sistema de IA durante al menos 6 meses
  • Informar y capacitar a los empleados que interactúan con el sistema
  • Mantener una supervisión humana significativa: una persona debe poder revisar, anular o detener decisiones
  • No usar el sistema para fines más allá de lo previsto por el proveedor

Los organismos públicos y las entidades privadas que operan infraestructura crítica o servicios esenciales también deben completar una evaluación de impacto en derechos fundamentales antes de implementar un sistema de alto riesgo (Artículo 27). Esta cubre cómo el sistema podría afectar los derechos de las personas, a quiénes afecta y cómo funcionará la supervisión.

Qué categorías del Anexo III afectan a los compradores de SaaS

El Anexo III enumera ocho dominios donde la IA se clasifica como de alto riesgo. Varios de ellos se corresponden directamente con herramientas SaaS comunes:

Empleo y recursos humanos -- IA para seleccionar solicitudes de empleo, evaluar candidatos en entrevistas o pruebas, tomar decisiones sobre promociones o despidos. Si su plataforma de RRHH utiliza puntuación automatizada, es de alto riesgo.

Servicios privados esenciales -- IA que evalúa la solvencia crediticia o calcula puntuaciones de crédito. Si su software fintech o de préstamos usa IA para la evaluación de riesgos, está dentro del alcance.

Educación y formación profesional -- IA que determina el acceso a la educación, evalúa el rendimiento de los estudiantes o supervisa el comportamiento durante exámenes.

Biometría -- Sistemas de identificación biométrica remota e IA que categoriza a las personas por atributos sensibles. Existen excepciones para la verificación de identidad pura.

Si no está seguro de si una herramienta se clasifica como de alto riesgo, el AI Act Service Desk de la Comisión Europea es el punto de partida adecuado.

Artículo 50: transparencia para todas las herramientas de IA

Incluso si ninguna de sus herramientas es de alto riesgo, el Artículo 50 se aplica desde el 2 de agosto de 2026 a cualquier IA que interactúe con usuarios o genere contenido:

  • Los chatbots desplegados en su sitio deben informar a los usuarios de que están hablando con una IA
  • El texto, las imágenes o los vídeos generados por IA deben etiquetarse como generados por IA
  • La síntesis de voz que imita una voz humana real debe identificarse como sintética

Si está integrando chatbots de terceros o usando herramientas de contenido con IA, verifique qué controles de divulgación proporciona el proveedor.

Qué preguntar a sus proveedores de SaaS ahora

Antes de agosto de 2026, revise sus herramientas habilitadas con IA y pregunte a cada proveedor:

  1. ¿Está este sistema clasificado como de alto riesgo según el Anexo III? Deberían saberlo.
  2. ¿Han completado una evaluación de conformidad? Es obligatorio para proveedores de alto riesgo.
  3. ¿Tiene el sistema marcado CE y está registrado en la base de datos de IA de la UE? Requerido para sistemas de alto riesgo.
  4. ¿Pueden proporcionar documentación técnica según el Anexo IV? Tiene derecho a documentación que respalde su propio cumplimiento.
  5. ¿Qué instrucciones de uso han publicado? El Artículo 13 exige a los proveedores documentar el uso previsto y las limitaciones.
  6. ¿Cumplen con las obligaciones de GPAI? Si el proveedor usa un modelo subyacente (GPT-4, Claude, Mistral, etc.) y lo ha personalizado sustancialmente, puede haber asumido obligaciones de proveedor GPAI.

Si un proveedor no puede responder a estas preguntas, esa es información útil.

La estructura de sanciones

Las multas por incumplimiento superan los niveles del RGPD:

  • Hasta 35 millones de euros o el 7% de la facturación anual global por violaciones de prácticas de IA prohibidas
  • Hasta 15 millones de euros o el 3% de la facturación anual global por incumplimiento de las obligaciones de alto riesgo
  • Hasta 7,5 millones de euros o el 1,5% de la facturación anual global por proporcionar información incorrecta a las autoridades

La aplicación la realizan las autoridades nacionales de vigilancia del mercado en cada Estado miembro de la UE, con la Oficina de IA de la Comisión Europea supervisando los modelos GPAI directamente.

Proveedores europeos de IA y la ley

Las empresas europeas de IA -- Mistral (Francia), Aleph Alpha (Alemania), las operaciones europeas de SambaNova -- están construyendo sus productos teniendo en cuenta la ley desde el principio. Eso no es una garantía automática de cumplimiento, pero sí significa que las decisiones de producto en torno a documentación, supervisión y transparencia están moldeadas por el contexto regulatorio desde el inicio, en lugar de adaptarse posteriormente.

Para los compradores que evalúan SaaS con IA, hacer estas preguntas de cumplimiento a proveedores europeos suele producir respuestas más claras que hacerlas a proveedores con sede en EE. UU. que se adaptan a la legislación de la UE como requisito secundario.

El texto completo de la ley está en artificialintelligenceact.eu, la versión más legible de la legislación oficial.