Reglamento de IA de la UE para startups: lo que los fundadores necesitan saber

El Reglamento europeo de IA es el primer marco juridico integral del mundo sobre inteligencia artificial. Crea obligaciones basadas en el nivel de riesgo de un sistema de IA, no en el tamano de la empresa que lo construye. Una startup de cinco personas que distribuye una herramienta de IA para la seleccion de personal tiene la misma clasificacion que una gran empresa que distribuye el mismo tipo de sistema. La escala de las cargas administrativas difiere, pero los requisitos sustantivos no.

Vale la pena decirlo claramente porque una idea erronea comun entre los fundadores en etapa temprana es que la regulacion es un problema de las grandes empresas. No es asi. Lo que si es cierto es que el Reglamento incluye disposiciones especificas para reducir la carga administrativa sobre las pymes, incluyendo acceso a zonas de prueba regulatorias (sandboxes) y tarifas reducidas. Pero esas disposiciones existen dentro del mismo marco que se aplica a todos.

La buena noticia es que el marco es basado en riesgo y proporcional. La mayoria de los productos de IA construidos por startups hoy no entran en las categorias que activan las obligaciones mas pesadas. Entender la estructura es la mayor parte del trabajo.

Los cuatro niveles de riesgo

El Reglamento organiza los sistemas de IA en cuatro categorias. Donde encaje tu producto determina todo lo demas.

La pregunta que determina tus obligaciones: proveedor u operador?

Antes de la clasificacion, hay una pregunta preliminar. Eres un proveedor o un operador?

Un proveedor es una organizacion que desarrolla un sistema de IA y lo pone en el mercado o lo pone en servicio, ya sea en venta o de forma gratuita. Eres un proveedor si construyes y distribuyes un sistema de IA que otras empresas o consumidores usan directamente.

Un operador es una organizacion que usa un sistema de IA desarrollado por terceros dentro de sus propios productos u operaciones. Si construyes un producto sobre las APIs de OpenAI, Claude de Anthropic, Gemini de Google o cualquier otro modelo fundacional sin modificar sustancialmente el modelo subyacente, eres un operador para ese modelo y un proveedor para tu capa de aplicacion.

Esta distincion importa enormemente. Los proveedores cargan con las obligaciones mas pesadas para los sistemas de alto riesgo: evaluaciones de conformidad antes del despliegue, registro en la base de datos de la UE de sistemas de IA de alto riesgo, documentacion tecnica, notificacion de incidentes y seguimiento post-mercado continuo. Los operadores tienen un conjunto mas ligero de obligaciones, centradas en el uso apropiado y en garantizar la supervision humana.

El alto riesgo en la practica: la lista que los fundadores deben verificar

El Anexo III del Reglamento lista los casos de uso de alto riesgo. El patron a reconocer para los fundadores es este: si tu producto de IA toma decisiones o influye significativamente en decisiones sobre personas individuales en alguno de los siguientes ambitos, asume alto riesgo hasta que tengas una razon legal especifica en contrario.

• Contratacion y trabajo: filtrado de CVs, ranking de candidatos, analisis de entrevistas, evaluacion del rendimiento, decisiones de ascenso, asignacion de tareas, supervision de trabajadores. Esta es el area donde la mayoria de las startups de HR-tech con IA necesitan un analisis cuidadoso.
• Educacion: evaluacion automatizada de estudiantes, calificacion de examenes, sistemas de supervision que toman o influyen en decisiones de admision.
• Credito y servicios financieros: evaluacion de solvencia crediticia, calificacion de credito, clasificacion de riesgo de seguros.
• Acceso a servicios esenciales: IA usada por autoridades publicas o entidades privadas que proporcionan servicios esenciales para determinar la elegibilidad o la prioridad.
• Salud: IA usada como dispositivo medico o en apoyo a la toma de decisiones clinicas que influyen en diagnosticos o elecciones de tratamiento.
• Identificacion biometrica: sistemas que categorizan personas en base a datos biometricos, sistemas de identificacion biometrica remota.

Nota que esta lista esta definida por caso de uso, no por tecnologia. Un LLM usado para resumir documentos internos no es de alto riesgo. El mismo LLM usado como herramienta de seleccion que clasifica candidatos y alimenta decisiones de contratacion es de alto riesgo. La tecnologia es identica. El contexto de aplicacion es lo que importa.

El calendario: que se aplica ahora

El Reglamento tiene un calendario de implementacion gradual.

La fecha limite de agosto de 2027 para los sistemas del Anexo III es la mas relevante para la mayoria de las startups de software. Esto no significa esperar hasta 2027. Los productos actualmente en desarrollo que estaran en el mercado antes de 2027 deben ser disenados para el cumplimiento desde la fase de arquitectura. Integrar los requisitos de cumplimiento despues de que el producto esta construido es significativamente mas costoso que disenarlo desde el principio.

Que revisan ya los evaluadores de convocatorias europeas

Esta es la seccion que mas importa si estas preparando una propuesta para el EIC Accelerator o Horizon Europe relacionada con la IA.

Desde 2025, los evaluadores de ambos programas han sido formados para verificar si las propuestas relacionadas con IA demuestran que el equipo ha entendido el entorno regulatorio en el que operaria su producto. Una propuesta que presenta una herramienta de IA para contratacion o un producto de apoyo a decisiones clinicas sin ninguna referencia a la conformidad con el Reglamento de IA es vista cada vez mas como una senal de analisis incompleto de la preparacion para el mercado, independientemente de la calidad tecnica de la tecnologia subyacente.

Lo que los evaluadores quieren ver no es un documento de conformidad legal. Quieren ver que el equipo fundador ha hecho el trabajo basico de clasificacion, sabe en que nivel encaja su producto, entiende que obligaciones se aplican en la fecha prevista de lanzamiento al mercado, y tiene un plan creible para abordarlas. Dos parrafos que demuestren esto claramente valen mas que un extenso anexo.

Que hacer en los proximos 90 dias

El punto de partida practico es un ejercicio de clasificacion, no una consultoria legal. Antes de involucrar a un asesor externo, el equipo fundador deberia ser capaz de responder claramente a tres preguntas: en que nivel encaja nuestro producto, somos proveedores u operadores para cada componente de nuestro sistema, y cual es la base factual para nuestra clasificacion de nivel.

Para la mayoria de las startups, este trabajo requiere uno o dos dias y produce un documento de una o dos paginas que se convierte en la base de todo lo demas. Si la clasificacion es riesgo limitado o riesgo minimo, las acciones siguientes son sencillas: implementar las divulgaciones de transparencia, documentar la justificacion de la clasificacion, y revisar el documento anualmente a medida que el producto evoluciona.

Si la clasificacion es de alto riesgo, las acciones siguientes son mas sustanciales pero completamente manejables si se inician durante el desarrollo en lugar de despues del lanzamiento. Las decisiones arquitectonicas clave a tomar temprano son: como funciona el sistema de registro, donde esta la supervision humana en el flujo del producto, que cubre la documentacion tecnica, y como se gestionara la evaluacion de conformidad. Ninguna de estas requiere que el producto este construido antes de decidirse. Son decisiones de diseno que deben ocurrir en paralelo a las decisiones de producto.