El AI Act de la Unión Europea

¿Qué problema busca resolver?

El AI Act nace de una constatación: la inteligencia artificial puede afectar derechos fundamentales — seguridad, empleo, acceso a servicios, libertad de expresión — y los marcos regulatorios existentes no estaban diseñados para gestionar esos riesgos a escala algorítmica.

La respuesta europea no es prohibir la IA. Es clasificarla por nivel de riesgo e imponer obligaciones proporcionales. Una IA que gestiona el tráfico de una ciudad no presenta el mismo riesgo que un sistema que decide sobre créditos bancarios o sobre solicitudes de asilo. El Reglamento reconoce esa diferencia y la convierte en derecho.

La lógica del semáforo: cuatro niveles de riesgo

El AI Act organiza los sistemas de IA en cuatro categorías:

Riesgo inaceptable (prohibido): sistemas que manipulan el comportamiento de personas de manera inconsciente, que explotan vulnerabilidades, que realizan scoring social por parte de autoridades públicas, o que usan reconocimiento biométrico en tiempo real en espacios públicos con fines de vigilancia masiva. Estos sistemas están directamente prohibidos — no regulados, prohibidos.

Alto riesgo (Anexo III): sistemas que inciden sobre infraestructura crítica, educación, empleo, servicios esenciales, aplicación de la ley, migración o administración de justicia. Para estos sistemas, el Reglamento impone un conjunto exhaustivo de requisitos: gestión de riesgos documentada, datos de entrenamiento documentados, trazabilidad de decisiones, supervisión humana obligatoria y registro ante autoridades competentes.

Riesgo limitado: sistemas como chatbots o generadores de contenido sintético. Obligaciones principalmente de transparencia: informar al usuario que está interactuando con IA, etiquetar el contenido generado.

Riesgo mínimo: videojuegos, filtros de spam. Sin obligaciones específicas del AI Act.

¿Cuándo entra en vigor?

El Reglamento 2024/1689 fue publicado en el Diario Oficial de la Unión Europea en agosto de 2024. Su aplicación es progresiva:

Febrero de 2025: prohibiciones de riesgo inaceptable en vigor. Agosto de 2025: obligaciones para modelos de IA de propósito general (GPAI). Agosto de 2026: obligaciones de transparencia y etiquetado. Diciembre de 2027: obligaciones para sistemas de alto riesgo del Anexo III (extendido por el Omnibus Digital de mayo de 2026 desde la fecha original de agosto de 2026).

¿Qué pasa si no cumplís?

Las sanciones están escaladas según la gravedad de la infracción. Uso de sistemas prohibidos: hasta 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor. Incumplimiento de obligaciones para sistemas de alto riesgo: hasta 15 millones de euros o el 3% de la facturación global. Información inexacta suministrada a autoridades: hasta 7,5 millones de euros o el 1,5%.

Para pequeñas y medianas empresas (y ahora también para empresas de hasta 750 empleados o €150M de facturación tras el Omnibus Digital), el límite es la cifra menor. El régimen simplificado reduce la carga operativa pero no elimina las obligaciones sustanciales.

El alcance que nadie esperaba: aplica aunque estés fuera de Europa

El AI Act tiene alcance extraterritorial. Aplica a:

Proveedores de sistemas de IA que los colocan en el mercado europeo, independientemente de dónde estén establecidos. Operadores (deployadores) de IA establecidos en Europa o fuera de Europa cuando el output del sistema afecta a personas en la UE.

Esto significa que una empresa argentina que provee un sistema de IA utilizado por clientes europeos — o que presta servicios con IA a personas o empresas en la UE — puede estar dentro del ámbito de aplicación del Reglamento. El criterio no es la ubicación de la empresa. Es la ubicación del efecto.

¿Qué significa esto para Argentina?

El AI Act tiene tres impactos directos sobre el contexto argentino. Primero: las filiales y subsidiarias de grupos europeos con operaciones en Argentina deben cumplir con el Reglamento cuando sus sistemas de IA afectan a personas en la UE. Segundo: las empresas argentinas que exportan servicios con componentes de IA a Europa pueden estar sujetas a sus obligaciones. Tercero: el AI Act establece el estándar de referencia global — lo que hoy se exige en Europa se convertirá en el piso esperado en todas las jurisdicciones que quieran comerciar con el mercado europeo.

La clave: trazabilidad como requisito de diseño

Lo que el AI Act hace, en el fondo, es convertir la trazabilidad en un requisito legal. Ya no es una buena práctica ni una recomendación de gobernanza. Para los sistemas de alto riesgo, es obligación. El sistema debe poder explicar cómo llegó a su conclusión. Debe haber supervisión humana documentada. Debe existir un registro de las decisiones.

Eso es exactamente lo que la metodología TRIA implementa — no porque el AI Act lo exija en Argentina, sino porque es la condición que hace que la IA sea usable de manera sostenible en entornos donde el proceso importa tanto como el resultado.

La primera ley de IA del mundo dice lo que cualquier auditor debería haber dicho desde el principio: si no podés explicar cómo funcionó el sistema, no podés garantizar que funcionó correctamente.