Artículo

EU AI Act explicado para empresas argentinas en 2026

El Reglamento UE 2024/1689 entra en su segunda fase en agosto de 2026. Una guía para saber si tu empresa argentina queda alcanzada, cinco preguntas para decidirlo, y qué hacer si la respuesta es sí.

El Reglamento Europeo de Inteligencia Artificial, conocido por todos como EU AI Act (Reglamento UE 2024/1689), entró en vigor en agosto de 2024 y desde entonces avanza por fases. Para empresas argentinas, agosto de 2026 es la fecha que importa: empiezan las obligaciones plenas para los modelos de propósito general, y la maquinaria regulatoria europea se vuelve operativa. Esta nota es una guía para entender si tu empresa queda alcanzada, qué cambia concretamente, y qué hacer si la respuesta es que sí.

Por qué te debe importar desde Argentina

La primera reacción de una empresa argentina al escuchar “regulación europea” suele ser asumir que no le aplica. Es un error. El EU AI Act tiene alcance extraterritorial deliberado, igual que el Reglamento General de Protección de Datos (RGPD) lo tiene para protección de datos. El criterio no es dónde está tu empresa, sino dónde se producen los efectos del sistema de IA.

Hay un segundo motivo más concreto. Los proyectos de ley argentinos sobre IA en discusión (Sapag S-0071/2025, Gollán, Yeza) toman al EU AI Act como referencia explícita en su estructura de riesgo y obligaciones. Argentina va camino a tener una regulación inspirada en la europea con dos o tres años de retraso. Las empresas que se preparan ahora bajo el marco europeo van a estar listas cuando llegue el marco argentino. Las que esperan a la ley local van a improvisar.

Las cuatro categorías de riesgo del Reglamento

El EU AI Act clasifica los sistemas de IA en cuatro niveles de riesgo, y la obligación regulatoria escala con el nivel. Entender esa pirámide es entender el sentido del Reglamento.

Riesgo inaceptable, en la cumbre. Sistemas directamente prohibidos. Manipulación subliminal, explotación de vulnerabilidades, sistemas de puntaje social al estilo del modelo chino, reconocimiento biométrico masivo en espacios públicos salvo excepciones acotadas. Si tu sistema cae acá, no es una cuestión de cumplir: es ilegal en la Unión Europea.

Alto riesgo. La categoría que más empresas alcanza. Sistemas de IA en infraestructuras críticas, educación, empleo, acceso a servicios esenciales (incluyendo crédito), aplicación de la ley, gestión migratoria, administración de justicia. El Anexo III del Reglamento lista los casos concretos. Acá entran obligaciones pesadas: ficha técnica, evaluación de conformidad, sistema de gestión de riesgos, registro en base de datos europea, supervisión humana significativa, robustez técnica documentada.

Riesgo limitado. Sistemas de IA que interactúan con personas físicas, generan o manipulan contenido. Obligaciones de transparencia: que el usuario sepa que está hablando con una máquina, que el contenido sintético esté etiquetado. Mucho menos pesado que alto riesgo, pero ya no es opcional.

Riesgo mínimo o nulo. La mayoría de los usos: filtros antispam, recomendadores de productos genéricos, asistentes de productividad sin impacto regulatorio. No hay obligaciones específicas más allá de buenas prácticas voluntarias.

Cinco preguntas para saber si te aplica

En vez de leer cuatrocientos artículos del Reglamento, contestá estas cinco preguntas. Si dos o más son afirmativas, casi con seguridad te aplica.

Uno: ¿tu producto o servicio se comercializa en algún Estado miembro de la Unión Europea? Si vendés directo a clientes europeos, sí.

Dos: ¿los outputs de tu sistema de IA son usados, consumidos o tienen efecto sobre personas físicas en la Unión Europea? Si tu modelo analiza CV de candidatos europeos para una empresa argentina con operación en Europa, sí. Si tu chatbot atiende usuarios europeos, sí. Si tu modelo de scoring evalúa crédito de personas que viven en la Unión, sí.

Tres: ¿sos proveedor (incluso indirecto) de un sistema de IA que un cliente europeo después incorpora en su producto? La cadena de proveedores está regulada. Si vendés un componente de IA a una empresa española que lo embebe en su producto y lo distribuye en Europa, vos sos parte de la cadena de cumplimiento.

Cuatro: ¿usás modelos de propósito general (GPT, Claude, Gemini, Mistral) como base de tu producto? Acá la respuesta es indirecta. La obligación primaria recae en el proveedor del modelo, pero ese proveedor te va a transferir parte de las exigencias vía términos contractuales y de uso. Lo que el reglamento exige al proveedor, el proveedor te lo exige a vos.

Cinco: ¿tu sistema cae en alguno de los dominios del Anexo III? Educación, empleo, crédito, salud, justicia, infraestructura crítica, migración, aplicación de la ley. Si la respuesta es sí, automáticamente sos sistema de alto riesgo aunque no vendas a Europa, porque los proyectos argentinos en discusión adoptan la misma lista.

Qué cambia exactamente en agosto 2026

Hasta julio de 2026 estamos en la fase de prohibiciones (efectivas desde febrero de 2025) y de preparación general. Agosto de 2026 trae el cambio operativo concreto.

Entran en vigor las obligaciones para los modelos de propósito general (GPAI). Eso incluye: documentación técnica detallada, transparencia sobre datos de entrenamiento (al menos un resumen), política de cumplimiento de derechos de autor, evaluación de riesgo sistémico para modelos clasificados como tales (criterio: capacidad computacional usada en entrenamiento por encima de cierto umbral). Si construís sobre la API de OpenAI, Anthropic, Google o Mistral, vas a recibir términos actualizados, ficha de modelo, y posiblemente nuevas cláusulas sobre tus obligaciones como integrador.

Empieza a operar plenamente la AI Office europea, la autoridad de coordinación, y las autoridades nacionales designadas. Empiezan inspecciones reales, no de papel. Las sanciones máximas (hasta el 7% del volumen de negocios global o 35 millones de euros para prohibiciones, hasta el 3% para incumplimientos de alto riesgo) son operativas.

Empieza también el régimen sancionatorio para modelos de propósito general: hasta el 3% del volumen de negocios global o 15 millones de euros.

Sistemas de alto riesgo: el Anexo III en concreto

El Anexo III del Reglamento lista los sistemas considerados de alto riesgo por dominio. Vale la pena leerlo entero. Para empresas argentinas, las áreas más comunes son tres.

Acceso a servicios y prestaciones esenciales. Acá entra todo lo que tiene que ver con scoring crediticio, evaluación de elegibilidad a seguros, priorización en servicios de emergencia. Si tenés una fintech argentina con clientes europeos, este es tu territorio. Para fintech con operación local, además, la BCRA Comunicación “A” 7724 ya exige documentación parecida.

Empleo, gestión de trabajadores y acceso al autoempleo. Sistemas que clasifican candidatos, monitorean desempeño, asignan tareas. Las herramientas de selección de personal con IA caen acá. Las herramientas de análisis de productividad también.

Educación y formación profesional. Sistemas que determinan acceso, evalúan resultados de aprendizaje, monitorean conducta. Una herramienta de IA que ayuda a corregir exámenes en una universidad europea, por ejemplo.

Para todos estos casos, las obligaciones plenas operan desde agosto de 2027. Pero quien arme el sistema hoy ya tiene que considerar la arquitectura regulatoria, porque adaptarla después es más caro que hacerla bien desde el principio.

Obligaciones para modelos de propósito general (GPAI)

Los modelos de propósito general tienen un régimen propio. La obligación primaria es del proveedor del modelo (OpenAI, Anthropic, Google, Mistral, Meta y similares), pero el régimen impacta a todo el ecosistema que se construye encima.

Para todos los modelos GPAI: documentación técnica completa disponible para la AI Office y para integradores, información detallada para los desarrolladores que construyen encima, política de cumplimiento de derechos de autor de la Unión Europea, resumen suficientemente detallado de los datos de entrenamiento.

Para modelos GPAI clasificados como “de riesgo sistémico” (criterio actual: 10^25 FLOPs en entrenamiento, lo que abarca a los modelos más potentes): evaluación de modelo según protocolos estandarizados, evaluación de riesgo sistémico, reporte de incidentes graves, garantías de ciberseguridad.

Para vos, integrador argentino, esto se traduce en: contratos más detallados con tu proveedor, posiblemente costos más altos en API, y la obligación de comunicar a tus clientes finales que usás un modelo de propósito general específico cuando sea relevante.

Cómo prepararse desde Argentina sin sede europea

No necesitás abrir una sociedad europea para cumplir. Lo que necesitás es secuencia. Cinco pasos en este orden.

Primero, inventariá tus sistemas de IA. Cada modelo, cada uso, cada integración. Tener el inventario completo es la base de todo lo demás. Sin inventario no podés clasificar riesgo, no podés documentar nada.

Segundo, clasificá cada sistema según las categorías del Reglamento. La mayoría va a caer en riesgo mínimo o limitado. Lo importante es identificar correctamente los pocos que caen en alto riesgo.

Tercero, para los sistemas de alto riesgo, armá un sistema de gestión de riesgos. No es un documento: es un proceso vivo. Incluye identificación de riesgos, medidas de mitigación, monitoreo continuo, revisión periódica.

Cuarto, designá un representante autorizado en la Unión Europea si vas a comercializar sistemas de alto riesgo. Puede ser una empresa especializada en representación regulatoria, no necesariamente una filial.

Quinto, documentá supervisión humana significativa. Para todo sistema de alto riesgo, tiene que haber humanos en el loop con capacidad real de intervenir, no solo presencia formal. Esa supervisión tiene que estar documentada, no asumida.

Para profundizar en cualquiera de estos pasos, la implementación de cumplimiento traduce esto en entregables concretos por sector. Si querés mapear las obligaciones europeas contra los proyectos argentinos en discusión (Sapag, Gollán, Yeza), la timeline de recursos regulatorios tiene el cuadro comparativo.

Lo que viene después

Agosto de 2027 trae las obligaciones plenas para sistemas de alto riesgo. Agosto de 2030 trae las obligaciones para sistemas de IA usados por administraciones públicas que ya estaban en producción antes del Reglamento. En el medio, hay actos delegados y normas técnicas armonizadas que van ajustando criterios concretos. La Comisión Europea publica regularmente actualizaciones a través de la AI Office.

Para una empresa argentina, la decisión estratégica importante es esta: si querés operar en Europa o vender a Europa en los próximos cinco años, hacer el trabajo regulatorio ahora es más barato que hacerlo bajo presión en 2027. Y si te quedás solo en Argentina, igual te conviene, porque la regulación argentina va por el mismo camino. Para ese mapa argentino específico, la guía sobre proyectos de ley IA en Argentina detalla cuál proyecto adopta qué del modelo europeo.

Si estás evaluando dónde estás parado, escribime a r@patron.ar con el contexto de tu sistema o producto. Una conversación de treinta minutos suele alcanzar para clasificar riesgo y definir prioridades. Y si tu caso requiere una credencial europea aplicable en Argentina, AIPIA emite credenciales digitales europeas verificables con sello eIDAS desde la Asociación Italiana Profesionales IA, la asociación europea de profesionales IA donde presido el Comité Técnico-Científico. La guía comparada EU AI Act en aipia.it/es está disponible en español. Para detalles oficiales, el texto completo del Reglamento en EUR-Lex y el AI Act Explorer de artificialintelligenceact.eu son las dos referencias canónicas. La norma ISO/IEC 42001 es la pieza complementaria de gestión.

Preguntas frecuentes

Si mi empresa argentina no vende a Europa, ¿igual me alcanza el EU AI Act?

Sí, en dos casos. Si el output de tu sistema de IA es usado en la Unión Europea, aunque vos no tengas sede ahí. Y si sos proveedor de un cliente europeo que después incorpora tu sistema. El criterio no es la nacionalidad de tu empresa: es dónde se produce el efecto del sistema.

¿Qué diferencia hay entre las obligaciones de agosto 2026 y las de 2027?

Agosto 2026 trae las obligaciones para modelos de propósito general (GPAI), que son los modelos de base como GPT, Claude, Gemini. Agosto 2027 trae las obligaciones plenas para sistemas de alto riesgo. Si construís sobre un modelo de propósito general, la obligación de tu proveedor te impacta indirectamente desde ya.

¿Cómo demuestro cumplimiento ante una auditoría europea desde Argentina?

Con documentación técnica auditable: ficha de modelo, registro de datasets, evaluación de riesgos, supervisión humana documentada, plan de incidentes. No hace falta una sede europea, pero sí un representante autorizado en la Unión si comercializás sistemas de alto riesgo. La documentación se entrega en formato y idioma exigidos por la autoridad nacional competente.

¿El EU AI Act se aplica retroactivamente a sistemas ya en producción?

Hay un régimen transitorio. Los modelos de propósito general puestos en el mercado antes de agosto de 2025 tienen plazo hasta agosto de 2027 para adecuarse. Sistemas de alto riesgo ya operativos tienen ventanas más largas. Pero no es eterno, y los reguladores empiezan a inspeccionar antes de que las ventanas cierren.