EU AI Act entra en vigor: timeline y qué pasa con empresas mexicanas que exportan a UE
  • ALCA
  • 7 de agosto, 2024
  • Regulación y Compliance

EU AI Act entra en vigor: timeline y qué pasa con empresas mexicanas que exportan a UE

El 1 de agosto de 2024 entró formalmente en vigor el Reglamento de Inteligencia Artificial de la Unión Europea (EU AI Act), la primera ley horizontal de IA en una jurisdicción mayor. La aplicación es escalonada y se extiende hasta 2027, pero los plazos relevantes ya están en el calendario y empiezan a importar para cualquier empresa que ofrezca servicios con componente de IA al mercado europeo, incluyendo proveedores mexicanos de software, servicios profesionales y outsourcing.

En ALCA estamos viendo dos extremos igualmente problemáticos: empresas que asumen que "no aplica porque estoy en México" (sí aplica si tu producto se usa en UE) y empresas que entran en pánico y arrancan proyectos masivos sin necesidad. Este es el aterrizaje, sin drama.

Timeline de aplicación

El reglamento se publicó en el Diario Oficial de la UE el 12 de julio y entró en vigor 20 días después. Los plazos clave son:

  • 2 de febrero de 2025 (6 meses después de vigor): empiezan las prohibiciones absolutas. Sistemas de scoring social al estilo gubernamental, manipulación subliminal, recolección masiva de imágenes faciales para construir bases de datos, reconocimiento de emociones en lugares de trabajo o educación.
  • 2 de agosto de 2025 (12 meses): obligaciones para modelos de propósito general (GPAI). Aplica a quien provee modelos como GPT-4, Claude, Llama, Gemini, Mistral. Incluye documentación técnica, política de derechos de autor, cumplimiento de requerimientos de transparencia.
  • 2 de agosto de 2026 (24 meses): obligaciones para sistemas de alto riesgo y para reglas generales del reglamento.
  • 2 de agosto de 2027 (36 meses): plenitud de obligaciones para sistemas de alto riesgo embebidos en productos regulados (dispositivos médicos, juguetes, ascensores, etc.).

Las multas son altas: hasta 35 millones de euros o 7% de la facturación global por violaciones a las prohibiciones; hasta 15 millones o 3% por incumplimientos de obligaciones de alto riesgo.

Las cuatro categorías de riesgo

El reglamento clasifica sistemas de IA en cuatro niveles:

Riesgo inaceptable (prohibido). Categorías arriba mencionadas. La mayoría de empresas mexicanas no entran aquí, pero conviene revisar usos de reconocimiento facial y analytics emocional.

Alto riesgo. Sistemas usados en infraestructuras críticas, educación, empleo y RH (incluyendo selección de personal automatizada), servicios esenciales (incluyendo crédito), aplicación de la ley, migración, justicia, procesos democráticos, dispositivos médicos. Si tu empresa vende SaaS de selección de personal, scoring crediticio o triage médico al mercado europeo, probablemente cae aquí.

Riesgo limitado. Chatbots, sistemas de generación de contenido, deepfakes. Obligaciones principalmente de transparencia: el usuario tiene que saber que está interactuando con IA o que el contenido fue generado.

Riesgo mínimo. El resto. Filtros de spam, recomendadores de contenido, IA en videojuegos. Sin obligaciones específicas, solo buenas prácticas.

A quién aplica si estoy en México

La regla clave del reglamento es que aplica al uso del sistema en la UE, no a dónde está la empresa. Una empresa mexicana cae en el ámbito si:

  • Pone en el mercado de la UE un sistema de IA (lo vende, lo licencia, lo ofrece como servicio a clientes europeos).
  • El output del sistema se usa en la UE, aunque el procesamiento ocurra en México (típico en servicios SaaS y APIs).
  • Hace deployment de un sistema dentro de la UE (oficina, sucursal, joint venture).

Tres ejemplos concretos:

  1. Una empresa yucateca que vende un SaaS de RH con scoring automático de candidatos, y tiene clientes en España y Alemania. Aplica como proveedor de sistema de alto riesgo.
  2. Una consultora que ofrece chatbots de atención al cliente vía API a marcas con presencia en Francia. Aplica con obligaciones de transparencia (los usuarios europeos deben saber que están hablando con IA).
  3. Una agencia que usa Llama 3.1 para generar contenido de marketing en español, sin clientes europeos. No aplica directamente, pero conviene seguir buenas prácticas.

Obligaciones por categoría (resumen operativo)

Para sistemas de alto riesgo, las obligaciones principales son:

  • Sistema de gestión de riesgos documentado.
  • Calidad y gobierno de datos de entrenamiento, validación y prueba.
  • Documentación técnica detallada (cómo se entrenó, qué hace, qué no hace).
  • Logs automáticos de operación (audit trail).
  • Transparencia hacia el usuario.
  • Supervisión humana durante operación.
  • Precisión, robustez y ciberseguridad demostrables.
  • Marcado CE y declaración de conformidad antes de comercializar.
  • Registro del sistema en la base de datos europea.

Para modelos de propósito general (que probablemente no construyes pero sí consumes), las obligaciones recaen en el proveedor del modelo. Lo que importa para una empresa que usa estos modelos: pedir y archivar la documentación técnica del proveedor, tener claro qué versión usas y mantener trazabilidad.

Plan de cumplimiento práctico para empresa mexicana

Si tu empresa tiene exposición a UE, recomendamos un proyecto en tres fases:

Fase 1: Diagnóstico (4-6 semanas)

  • Inventario de sistemas de IA que tu empresa pone en mercado o usa internamente con efectos en UE.
  • Clasificación por categoría de riesgo de cada uno.
  • Inventario de proveedores GPAI (OpenAI, Anthropic, Meta, etc.) y qué documentación tienen disponible.
  • Mapa de exposición: cuáles aplican obligaciones a qué fechas.

Fase 2: Plan de remediación (8-12 semanas)

  • Priorización por fechas y por riesgo.
  • Diseño de gobernanza interna: quién es responsable, comité de IA, política, plantillas.
  • Selección de herramientas para logging y audit trail (varias opciones desde Datadog hasta plataformas especializadas como Holistic AI o Credo AI).
  • Documentación técnica por sistema.

Fase 3: Implementación y monitoreo (continuo)

  • Ejecución del plan en sprints trimestrales.
  • Monitoreo de actualizaciones del reglamento (van a salir códigos de práctica y guidance de la Comisión Europea durante 2024-2025).
  • Revisión anual de inventario y clasificación.

Lo que NO conviene hacer

Dos errores típicos que vimos en empresas que reaccionaron primero:

Comprar una "plataforma de AI compliance" antes de tener inventario. No vas a saber qué necesitas hasta entender qué tienes. Las herramientas son útiles, pero llegan en fase 2, no en fase 1.

Tratar el AI Act como copia de GDPR. Hay solapes (datos personales, derechos del usuario), pero el AI Act tiene su propia lógica (categorías de riesgo, obligaciones por rol). El equipo de privacidad ayuda, pero no basta.

Una nota sobre México

México todavía no tiene una ley horizontal de IA. Hay iniciativas en el Congreso, pero la prioridad legislativa de los próximos meses está en otros temas (reforma judicial, órganos autónomos). Aun así, conviene asumir que en 2025-2026 va a haber al menos lineamientos sectoriales (banca, salud, telecom) que se inspirarán en gran medida en el modelo europeo. Trabajar para AI Act hoy te deja muy bien parado para lo que venga aquí.

¿Tu empresa exporta servicios IA a UE? Hagamos un assessment de AI Act. En ALCA acompañamos diagnóstico, clasificación de riesgo y plan de cumplimiento para empresas mexicanas con exposición europea. Agenda una sesión de 45 minutos.

Artículos relacionados

La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

4 de marzo, 2026 La nueva LFPDPPP en práctica: cómo opera la Secretaría Anticorrupción y qué cambió ya en 2026

CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

28 de enero, 2026 CFDI 4.0 en 2026: nuevas penas (2-9 años de cárcel) y catálogos actualizados que cambian tu facturación

Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.

21 de enero, 2026 Trump firma EO sobre IA: qué significa para empresas mexicanas que exportan a EE.UU.