Qué ocurre si ignoras el Reglamento de IA de la UE
# Qué ocurre si ignoras el Reglamento de IA de la UE
La mayoría de los fundadores de SaaS saben que el Reglamento de IA de la UE existe. La mayoría apuesta a que podrán ocuparse de él más adelante. Esto es lo que «más adelante» significa en la práctica.
Las multas
El artículo 99 del Reglamento (UE) 2024/1689 establece tres niveles de sanciones:
Prácticas de IA prohibidas (infracciones del artículo 5): hasta 35 millones de EUR o el 7 % del volumen de negocio anual mundial, la cantidad que sea más elevada.
Obligaciones relativas a sistemas de alto riesgo (anexo III, artículos 6 a 49): hasta 15 millones de EUR o el 3 % del volumen de negocio anual mundial.
Infracciones de transparencia (artículo 50): hasta 7,5 millones de EUR o el 1 % del volumen de negocio anual mundial.
Para un SaaS con 2 millones de EUR de ingresos anuales, ese umbral del 1 % supone 20 000 EUR por una infracción de transparencia. Para una empresa de 10 millones de EUR, 100 000 EUR. No son máximos teóricos escritos para asustar. Las autoridades nacionales de vigilancia del mercado tienen presupuestos de aplicación y mandato para utilizarlos.
El calendario de aplicación
El Reglamento de IA de la UE entró en vigor el 1 de agosto de 2024. La aplicación está escalonada:
- 2 de febrero de 2025: Prácticas de IA prohibidas aplicables
- 2 de agosto de 2025: Obligaciones relativas a los modelos de IA de uso general aplicables
- 2 de agosto de 2026: Obligaciones relativas a sistemas de alto riesgo y obligaciones de transparencia del artículo 50 aplicables
El 2 de agosto de 2026 es la fecha que importa para la mayoría de las empresas SaaS. Si tu producto utiliza IA y tienes clientes en la UE, las obligaciones de transparencia del artículo 50 y, potencialmente, los requisitos de alto riesgo del anexo III se aplican a partir de esa fecha.
Quién lo aplica
Cada Estado miembro de la UE debe designar al menos una autoridad nacional competente y una autoridad de vigilancia del mercado. En la práctica, esto supone 27 reguladores distintos en toda la UE, cada uno con su propia interpretación y prioridades de aplicación.
Francia cuenta con la CNIL (protección de datos) y está desarrollando capacidad de aplicación específica para la IA. Alemania tiene la BNetzA para la IA de uso general y autoridades estatales individuales para la aplicación sectorial. Irlanda, donde muchas empresas SaaS estadounidenses tienen su entidad en la UE, contará con su propia autoridad.
Si tu SaaS presta servicios a clientes en varios Estados miembros de la UE, múltiples reguladores podrían tener jurisdicción.
El riesgo real no es la multa
Para una empresa SaaS, el daño real derivado del incumplimiento no es la sanción. Es lo que le ocurre a tu cartera de ventas.
Los compradores empresariales de la UE están incorporando el cumplimiento del Reglamento de IA a sus listas de verificación de contratación. Si no puedes presentar una declaración de transparencia del artículo 50, una clasificación de riesgo para tus funciones de IA y documentación de tu enfoque de cumplimiento, no entras en la lista de preseleccionados.
Esto ya está ocurriendo. El primer trimestre de 2026 vio la primera oleada de solicitudes de propuestas que incluyen el cumplimiento del Reglamento de IA de la UE como requisito de acceso. Para el tercer trimestre de 2026, tras el paso de la fecha límite de agosto, será estándar.
Cada semana que retrases el cumplimiento es una semana que tus competidores pueden usar en tu contra como ventaja comercial.
En qué consiste realmente el incumplimiento
Un SaaS que ignore el Reglamento de IA de la UE tras el 2 de agosto de 2026 se enfrenta a esta secuencia:
Mes 1 a 6: No ocurre nada visible. Los reguladores están desarrollando capacidad. Los clientes empresariales empiezan a hacer preguntas que no puedes responder. Pierdes dos contratos que habrías ganado.
Mes 6 a 12: Un competidor menciona tu incumplimiento en una conversación de ventas. El equipo jurídico de tu mayor cliente de la UE envía una consulta formal sobre tu situación respecto al Reglamento de IA. Corres a responder.
Mes 12 a 18: Una autoridad de vigilancia del mercado envía una solicitud formal de información. Tienes 30 días para responder con documentación que no tienes. Los honorarios legales para responder correctamente superan lo que habría costado el cumplimiento.
Mes 18 a 24: Acción de ejecución. Registro público. Todos los clientes potenciales que busquen el nombre de tu empresa lo verán.
Esto no es especulación. Así se desarrolló la aplicación del RGPD entre 2018 y 2020 para las empresas que asumieron que los reguladores no actuarían.
Qué requiere realmente el cumplimiento
Para la mayoría de las empresas SaaS, las obligaciones son:
- Clasificar tus funciones de IA conforme al anexo III para determinar si alguna califica como de alto riesgo
- Determinar si eres proveedor o responsable del despliegue según las definiciones del Reglamento
- Añadir declaraciones de transparencia del artículo 50 a tu interfaz de usuario donde los usuarios interactúen con la IA
- Documentar tu enfoque de cumplimiento en un formato que puedas compartir con clientes y reguladores
- Establecer un proceso de notificación de incidentes para incidentes graves relacionados con la IA
Esto no es un programa de gobernanza plurianual. Para un SaaS típico con una o dos funciones de IA, todo el proceso lleva días, no meses.
El coste de esperar
Cada mes que retrases aumenta el coste:
- Hoy: Una auditoría estructurada cuesta menos de 1 000 EUR y se realiza en 5 días hábiles
- Julio de 2026: Todos los proveedores de cumplimiento están reservados. Los precios suben. Los plazos se alargan.
- Septiembre de 2026: Estás en incumplimiento. El trabajo de emergencia cuesta entre 5 y 10 veces más. La exposición legal es real.
La fecha límite del 2 de agosto de 2026 no va a cambiar. El reglamento está publicado. El texto es definitivo. Esperar a tener «claridad» significa esperar a la aplicación.
Qué hacer ahora
Empieza por las obligaciones de transparencia. Se aplican al conjunto más amplio de sistemas de IA y son las más fáciles de implementar. Añade las declaraciones del artículo 50 a la interfaz de usuario de tu producto. Clasifica tus funciones de IA conforme al anexo III. Documenta todo.
Si quieres hacerlo tú mismo, nuestra lista de verificación de código abierto del Reglamento de IA de la UE cubre los 47 elementos distribuidos en 5 fases de cumplimiento: github.com/GatisOzols/eu-ai-act-checklist
Si quieres que lo hagamos por ti, Disclos realiza auditorías del Reglamento de IA de la UE de alcance fijo para SaaS. 997 EUR, 5 días hábiles, garantía de reembolso vinculada a la fecha límite de agosto: disclos.eu/audit
Last updated: 2026-06-04