EU AI Act 2026: qué cambia para empresas LATAM

Por qué tú (empresa LATAM) deberías importarte

EU AI Act es regulación europea. Pero el Article 2 (Territorial Scope) deja claro: aplica a cualquier empresa que coloque sistema de IA en el mercado europeo O cuyo output del sistema sea usado dentro de la UE.

En palabras: si sos SaaS argentino, mexicano, brasileño, chileno, colombiano vendiendo a empresa europea, estás dentro. Si tenés usuarios europeos en tu producto (incluso gratuitos), estás dentro. Si tu empresa sirve a España, Portugal o Alemania de alguna forma, AI Act aplica.

Multa máxima: hasta EUR 35 millones o 7% del facturamiento global, lo que sea mayor.

Este post es el overview que aplicamos en consultoría a empresas LATAM que descubren que están expuestas al AI Act.

Timeline 2026 — dónde estamos

El AI Act entró en vigor formal el 2 de agosto de 2024. Pero las obligaciones fueron entrando en fases:

• 2 feb 2025: prácticas prohibidas + obligación de AI literacy (en vigor).
• 2 ago 2025: reglas de governance + obligaciones para GPAI (Claude, GPT, Gemini, etc.) — en vigor.
• 2 ago 2026 (original): aplicación plena, incluyendo Anexo III (sistemas high-risk).
• AI Act Omnibus deal — 7 may 2026: aplazamiento de Anexo III para 2 dic 2027 (+16 meses). Article 50 transparency adelantado para 2 dic 2026.

Status hoy (may 2026):

• En vigor ahora: AI literacy + GPAI rules + prácticas prohibidas.
• En vigor dic 2026 (corto plazo): Article 50 — transparency en contenido sintético + ban a nudifiers.
• En vigor dic 2027 (mediano plazo): Anexo III — sistemas high-risk (RR.HH., scoring, biometría, etc.).

Las 4 categorías de riesgo

Categoría 1: prohibido

Ya en vigor desde feb 2025. Prácticas categóricamente prohibidas:

• Social scoring estatal (estilo China).
• Manipulación subliminal.
• Explotación de vulnerabilidad (edad, condición mental).
• Categorización biométrica por atributos sensibles (raza, religión, orientación sexual).
• Identificación biométrica remota en tiempo real en espacios públicos (con excepciones estrictas para law enforcement).

Para empresa LATAM: en la práctica, ninguna SMB cae en esos casos. Big tech puede caer.

Categoría 2: high-risk (Anexo III) — aplazado para dic 2027

Sistemas donde una falla tiene impacto significativo en derechos fundamentales. Lista (Anexo III):

1. Componentes de seguridad en productos regulados (juguetes, máquinas, dispositivos médicos).
2. Biometría para identificación o categorización.
3. Gestión de infraestructura crítica (agua, electricidad, transporte).
4. Educación y formación profesional — sistema decidiendo admisión, evaluación o allocation.
5. Recursos humanos — reclutamiento, screening de currículum, evaluación de performance, scoring para decisión de promoción/despido.
6. Acceso a servicios esenciales (welfare, financiamiento, scoring de crédito).
7. Law enforcement.
8. Migración / asilo / control de fronteras.
9. Administración de justicia y procesos democráticos.

Para empresa LATAM, los casos más comunes que tocan Anexo III:

• HR-tech vendiendo screening a empresa EU.
• Fintech con scoring de crédito atendiendo cliente EU.
• Edtech con sistema de evaluación automatizada usado por escuela EU.

Obligaciones (cuando entrar en vigor):

• Sistema de gestión de riesgo documentado.
• Dataset de training y test auditable.
• Documentación técnica detallada.
• Audit trail de outputs.
• Supervisión humana obligatoria.
• Robustez + cybersecurity demostrable.
• Registro en base europea (EU database para sistemas high-risk).
• Conformity assessment antes de colocar en el mercado.

Categoría 3: limited risk (Article 50) — en vigor dic 2026

Transparency obligations:

1. Sistemas que interactúan con humanos (chatbots) — el usuario necesita saber que está conversando con IA.
2. Sistemas que generan synthetic content (imagen, video, audio, texto) — el output necesita marcarse como AI-generated, machine-readable.
3. Deepfake explícito — prohibición de nudifiers + obligación de marcar deepfakes.
4. Emotional recognition + biometric categorization — divulgación al usuario.

Para SMB LATAM, esto es lo que va a pegar más temprano. Si:

• Corrés chatbot WhatsApp/web atendiendo cliente EU → necesitás disclaimer.
• Generás imagen o video vía IA para campaña que correrá en EU → necesitás watermark machine-readable (C2PA es el estándar emergente).
• Usás voice cloning o avatar AI → mismo.

Categoría 4: minimal risk — sin obligaciones específicas

Todo lo demás. Pero incluso acá, AI literacy obligation (Article 4) ya en vigor exige que tu equipo operando IA tenga training mínimo.

Roadmap práctico para empresa LATAM

Fase 1 — Mapping (mes 1)

Listá todos los sistemas de IA que usás O ofrecés. Para cada uno:

• ¿Cuál es la categoría de riesgo?
• ¿En qué países UE estás (incluyendo cookies + leads + transacciones)?
• ¿Hay datos personales de europeo siendo procesados?

Output: matriz simple sistema × categoría × exposición EU.

Fase 2 — Quick wins Article 50 (meses 2-6, antes de dic 2026)

Action items para chatbot + content generator:

1. Chatbot: agregá disclaimer claro en el primer mensaje (“Esta es una atención automatizada”).
2. Contenido sintético: implementá C2PA o metadatos equivalentes en todo output AI generation que sale para audiencia EU.
3. Documentación de uso: registrá internamente todos los casos donde tu IA genera contenido sintético. Reservar audit trail.

Costo típico: 40-80 horas de eng + design. Hacelo ahora, no después.

Fase 3 — Anexo III preparation (meses 6-18, antes de dic 2027)

Si estás en Anexo III categoría:

1. Governance: nombrá DPO (Data Protection Officer) o equivalente. Creá política de riesgo de IA documentada.
2. Dataset hygiene: documentá origen, contenido, sesgo conocido de cada dataset de training. Para vendor de modelo (Claude/GPT/Gemini), pedí AI Act compliance statement.
3. Audit trail: implementá logging completo de inputs + outputs + decisiones automatizadas. Retain por al menos 6 meses.
4. Human oversight: garantizá que toda decisión high-stakes pueda ser revisada por humano. No puede ser fully autonomous.
5. Robustez: tests adversariales, security review, plan de incidente.
6. Conformity assessment: contratar entidad europea certificada OR hacer self-assessment siguiendo standard CE.

Costo típico para SMB con 1-2 sistemas high-risk: USD 60-200k a lo largo de 18 meses. No es trivial.

Decisión estratégica

Si estás en Anexo III y no ves retorno claro del mercado EU:

• Opción A: invertí en compliance, mantené el mercado. Tiene sentido si EU es > 20% del revenue o estratégico para próximos 3 años.
• Opción B: geo-fence el producto. Pará de servir EU. Tiene sentido si EU es < 10% del revenue y compliance costaría más que ese revenue.

No tiene opción C: “ignorar y esperar no caer”. Multa de 7% del facturamiento global derrumba empresa.

Lo que vendor americano de IA está haciendo

Anthropic, OpenAI, Google publicaron declaraciones de AI Act compliance para uso de sus modelos. Cuando usás Claude/GPT/Gemini en sistema tuyo, parte de la carga es de ellos (son “provider” del GPAI). Vos sos “deployer” en el lenguaje del AI Act.

Eso significa: no necesitás documentar el training del Claude (Anthropic hace). Pero necesitás documentar cómo USÁS Claude en tu sistema, especialmente si es high-risk.

Pedile a los vendors:

• AI Act compliance statement.
• DPA (Data Processing Agreement).
• Documento técnico sobre robustez + sesgo conocido.

Anthropic y Google tienen esto listo en 2026. OpenAI también. Si vendor no tiene, considerá migrar.

Comparativo con LATAM

Aspecto	EU AI Act	Brasil PL 2338/2023	LFPDPPP México	Argentina Ley 25.326
Status	En vigor	Tramitando, posiblemente 2027	LFPDPPP en vigor; AI Act MX en discusión	Ley general; sin AI Act específico
Estructura	4 categorías de riesgo	Similar, basada en EU AI Act	Foco en datos personales	Foco en datos personales
Multa	7% facturamiento o €35M	TBD, probable similar	Variable	Variable
Overlap	GDPR	LGPD	LFPDPPP	Habeas Data

Estrategia: empresa LATAM que se prepare para EU AI Act va a estar 80% lista para AI Act local cuando llegue.

FAQ

Soy freelancer LATAM vendiendo servicio de prompt engineering a cliente EU. ¿Estoy afectado? Si solo vendés servicio (no deployás sistema de IA), no sos “provider” ni “deployer” en el sentido AI Act. Tu cliente sí, y puede pedirte documentación sobre el trabajo.

Tengo SaaS B2B LATAM con 5% de clientes EU. ¿Vale el compliance? Depende. Si caés en categoría limited risk (chatbot + content), sí — esfuerzo es pequeño. Si Anexo III high-risk, considerá geo-fence o hacé compliance solo si estratégico.

¿Anthropic Claude está en compliance? Sí. Anthropic publicó Mythos System Card cubriendo AI Act requirements para GPAI. Verificá versión actual.

¿Puedo ser penalizado por usuario europeo accediendo a mi sitio LATAM sin querer? Técnicamente sí si ofreciste servicio de IA disponible. Geo-fence proactivo (IP-based) es defensa razonable.

Próximos pasos

• Aplicá la Fase 1 (mapping) a tu stack este mes. Es self-assessment de 2-4 horas.
• Workshop SkilLab — Consultoría & Training. Implementación de compliance AI Act + LGPD/LFPDPPP para empresa LATAM. Detalles.
• Newsletter SkilLab AI. Inscribite abajo.

Lee también

• Política interna de uso de IA — template — template editable.
• IA en RR.HH. — límites legales — caso particular Anexo III.

---

Por Ivan Prado · SkilLab AI · Mayo de 2026. Traducido y adaptado del original PT-BR.