AI Act EU: acuerdo político histórico (8 dic) y qué cambia para empresas mexicanas exportadoras

Después de más de tres años de negociaciones, el viernes 8 de diciembre por la madrugada el trílogo entre Parlamento Europeo, Consejo y Comisión cerró el acuerdo político del AI Act, la primera ley integral del mundo dedicada a regular la inteligencia artificial. El texto técnico final aún se está depurando, pero los pilares ya están definidos y el calendario empieza a contar.

Para una empresa mexicana, la pregunta razonable es: si la ley es europea, ¿por qué tendría que importarme? La respuesta corta es efecto Bruselas: como pasó con el GDPR, los estándares regulatorios europeos terminan aplicando a quien quiera vender o operar en ese mercado, y a quien quiera vender al que vende. Y, en el mediano plazo, suelen inspirar legislación local.

La estructura por niveles de riesgo

El AI Act clasifica sistemas de IA en cuatro categorías, cada una con obligaciones específicas.

Riesgo inaceptable (prohibido). Sistemas que se prohíben directamente en la UE. Incluyen scoring social de carácter general por parte de gobiernos, identificación biométrica remota en tiempo real en espacios públicos (con excepciones acotadas), manipulación cognitiva de grupos vulnerables y reconocimiento de emociones en el trabajo o la escuela. Si su producto cae aquí, no se vende en UE. Punto.

Alto riesgo. El grupo más extenso y más exigente. Cubre sistemas usados en infraestructura crítica, educación, empleo, acceso a servicios esenciales (incluyendo crédito), aplicación de la ley, migración y administración de justicia. Estos sistemas necesitan: gestión de riesgo documentada, datasets de calidad, documentación técnica, registros, transparencia, supervisión humana, robustez técnica, ciberseguridad y, en muchos casos, evaluación de conformidad antes del despliegue.

Riesgo limitado. Sistemas con interacción directa con personas (chatbots, generación de contenido). Obligación principal: transparencia. El usuario debe saber que está interactuando con IA o que el contenido fue generado por ella.

Riesgo mínimo. Resto. Sin obligaciones específicas, aunque se promueve adopción voluntaria de códigos de conducta.

Encima de esa estructura se agregaron, por la presión política reciente, obligaciones específicas para modelos de propósito general (foundation models): documentación técnica, política de copyright, resúmenes detallados de datos de entrenamiento. Para los modelos más grandes ("systemic risk"), evaluaciones, mitigaciones, reportes de incidentes y ciberseguridad.

El calendario que importa

La vigencia es escalonada desde 2025. La línea probable, sujeta a ajustes en el texto final:

• 6 meses tras entrada en vigor. Aplican prohibiciones de riesgo inaceptable.
• 12 meses. Aplican obligaciones de modelos de propósito general.
• 24 meses. Aplican la mayoría de obligaciones de alto riesgo.
• 36 meses. Aplica el régimen completo, incluyendo categorías más complejas.

Asumiendo entrada en vigor en algún momento de 2024, el horizonte realista para empresas exportadoras es: 2026 con obligaciones claras de alto riesgo en pleno.

Sonará lejano. No lo es. Construir el sistema de gestión documental, de evaluación y de gobierno requerido toma 18 meses bien invertidos.

Quién es responsable y por qué importa para México

El AI Act define varios roles, y conviene saber dónde cae uno:

• Provider. Quien desarrolla el sistema de IA o lo manda a desarrollar y lo comercializa bajo su nombre.
• Deployer. Quien usa el sistema en su operación profesional.
• Importer. Quien introduce a la UE un sistema de un proveedor fuera de la UE.
• Distributor. Quien lo pone a disposición sin modificar.

Una empresa mexicana que vende un sistema de IA a una empresa europea (o que opera SaaS desde México sirviendo a clientes en UE) cumple, según el caso, como provider o como provider remoto representado por un autorizado en UE. Las obligaciones aplican, sin ambigüedad.

Qué cambia para tres tipos de empresa mexicana

Empresa de software con clientes europeos. Si el producto incorpora componentes de IA que pueden caer en categorías de alto riesgo (RR.HH., crédito, salud, educación), va a necesitar nombrar representante autorizado en UE, generar documentación técnica, mantener registros, ofrecer transparencia sobre el sistema. No es opcional para vender a sectores regulados.

Empresa con presencia operativa en UE. Aplican las mismas obligaciones, pero además debe coordinar con el regulador del país miembro donde opera. La fragmentación entre estados (cada uno tendrá autoridad de IA propia) va a exigir interlocución activa.

Empresa solo doméstica México. No aplica directamente hoy, pero conviene observar dos cosas: (1) clientes empresariales mexicanos van a empezar a exigir el mismo estándar a proveedores como anticipación; (2) cualquier ley mexicana de IA en los próximos años va a tomar el AI Act como referencia.

Plan de compliance pragmático para empresas medianas

Sin sobreingeniería, una hoja de ruta razonable a 12-18 meses:

1. Inventario de sistemas de IA en operación. Lista exhaustiva: qué hace, qué datos consume, qué decisiones afecta, qué proveedor.
2. Clasificación preliminar de riesgo. Pasar cada sistema por las categorías del AI Act. Documentar el razonamiento.
3. Identificar sistemas de alto riesgo. Para cada uno, abrir un expediente con: descripción técnica, datasets, casos de uso, métricas de desempeño, riesgos identificados, medidas de mitigación.
4. Gobernanza interna. Designar una función responsable de cumplimiento de IA. No tiene que ser un equipo nuevo: puede ser una atribución dentro de Legal, Compliance o CTO Office.
5. Política de uso aceptable. Documento corto que defina qué se puede y qué no se puede hacer con IA en la organización, incluyendo manejo de datos personales.
6. Procesos de evaluación pre-despliegue. Cualquier sistema de IA nuevo pasa por una checklist mínima antes de producción: riesgo, transparencia, supervisión, datos.
7. Trazabilidad operativa. Logs de inputs y outputs en sistemas sensibles. Capacidad de reconstruir decisiones cuando se cuestionen.
8. Contratos con proveedores. Cláusulas que requieran información necesaria para cumplir AI Act: documentación técnica, transparencia, notificación de cambios mayores, soporte para evaluaciones.

Lo que AI Act no resuelve

Conviene también nombrar limitaciones y críticas legítimas.

• Definiciones ambiguas. Qué es exactamente "alto riesgo" en muchos casos sigue siendo materia de interpretación.
• Carga sobre empresas medianas. Cumplir requiere recursos. La asimetría con grandes plataformas es real.
• Riesgo de fragmentación. Cada país miembro tendrá autoridad y enforcement distintos. Operar en varios estados va a exigir capas extra.
• Tensión con innovación. Algunos críticos plantean que el costo de cumplimiento desincentiva startups europeas. La discusión está abierta.

La lectura de fondo

El AI Act es la primera regulación integral de IA en el mundo y, como pasó con GDPR, va a marcar el piso global durante años. Para empresas mexicanas con cualquier exposición a UE, la pregunta no es si cumplir, sino cuándo empezar. Quien arranque en 2024 va a llegar holgado. Quien espere a 2026 va a llegar tarde, caro y, probablemente, sin algunas oportunidades comerciales.

Más allá de UE, el patrón conviene: la disciplina de gobernanza de IA que exige el AI Act es, en buena parte, ingeniería sana: documentar lo que hacen los sistemas, medir su desempeño, supervisar sus efectos, mantener trazabilidad. Eso aporta valor incluso sin obligación legal.

---

En ALCA hacemos assessments de exposición al AI Act y planes de compliance para empresas mexicanas exportadoras. ¿Tu empresa exporta servicios IA a UE? Hagamos un assessment. Agenda una conversación.