¿Se aplica la Ley de IA de la UE a empresas fuera de la UE?

La Ley de IA de la UE se aplica a empresas fuera de la UE si sus sistemas de IA se usan en la Union. Quien debe cumplir, que se exige y como se compara con el RGPD.

Si tu empresa tiene sede en Estados Unidos, Reino Unido, Israel o cualquier otro lugar fuera de la UE, podrias asumir que la Ley de IA de la UE no es tu problema. Estarias equivocado.

La Ley de IA de la UE tiene alcance extraterritorial. Como el RGPD antes que ella, llega mas alla de las fronteras de la UE — y en algunos aspectos, llega aun mas lejos.

A quien cubre exactamente

El Articulo 2 de la Ley de IA define su ambito territorial. Tres categorias capturan a empresas no comunitarias:

Proveedores que comercializan o ponen en servicio sistemas de IA en el mercado de la UE — independientemente de donde este establecido el proveedor. Si vendes, ofreces o pones a disposicion un producto de IA a clientes de la UE, estas cubierto.
Implementadores ubicados en la UE. Si una empresa estadounidense tiene una oficina en Berlin que utiliza un sistema de IA internamente, eso cuenta como "puesta en servicio" en la Union.
Proveedores e implementadores de terceros paises cuya salida del sistema de IA se utiliza en la Union. Este es el desencadenante mas amplio. Incluso si nunca vendes directamente en la UE, si la salida de tu sistema de IA termina siendo utilizada alli, la Ley se aplica.

Esa tercera categoria es notablemente amplia. Una empresa estadounidense que ejecuta una plataforma de analitica con IA podria estar cubierta si un cliente con sede en la UE utiliza los resultados. Una herramienta de seleccion de personal israeli cuyas evaluaciones se aplican a candidatos en la UE esta cubierta. Un sistema de deteccion de fraude britanico cuyos scores son utilizados por un banco de la UE esta cubierto.

Mas amplio que el RGPD

Las empresas familiarizadas con el alcance extraterritorial del RGPD podrian asumir que la Ley de IA funciona de manera similar. Lo hace, pero con un umbral mas bajo.

El RGPD se aplica a empresas fuera de la UE cuando se dirigen activamente a personas en la UE — ofreciendo bienes o servicios, o monitorizando su comportamiento. Hay un requisito de intencion.

El Articulo 2(1)(c) de la Ley de IA se activa cuando la salida del sistema de IA se utiliza en la Union. La palabra "utiliza" establece un umbral mas bajo que "dirigirse a." Una empresa cuya salida de IA llega a la UE a traves de una cadena de intermediarios — sin que la empresa jamas tuviera la intencion de servir al mercado de la UE — podria teoricamente quedar atrapada.

Aspecto	RGPD	Ley de IA de la UE
Desencadenante	Dirigirse activamente o monitorizar a personas de la UE	La salida de IA se "utiliza" en la Union
Intencion requerida	Si — debe ofrecer bienes/servicios o monitorizar residentes de la UE	Debatible — el Considerando 22 sugiere intencion, pero el texto es mas amplio
Multas maximas	4% de facturacion global o 20M€	7% de facturacion global o 35M€
Representante requerido	Si (Articulo 27)	Si (Articulos 22 y 54)

Las multas tambien son mas altas. Mientras que el RGPD limita al 4% de la facturacion anual global, la Ley de IA llega hasta el 7% o 35 millones de euros para las infracciones mas graves (practicas prohibidas). Otras infracciones pueden generar multas de hasta el 3% de la facturacion global o 15 millones de euros.

El requisito del representante autorizado

Los proveedores fuera de la UE no pueden simplemente cumplir desde la distancia. La Ley de IA exige nombrar un representante autorizado establecido en la UE.

Para sistemas de IA de alto riesgo (Articulo 22): Antes de poner un sistema de IA de alto riesgo a disposicion en el mercado de la UE, los proveedores no comunitarios deben nombrar un representante autorizado que pueda verificar la documentacion tecnica, mantener registros durante 10 anos, proporcionar informacion a los reguladores y cooperar con las autoridades de vigilancia del mercado. Las autoridades de la UE pueden contactar al representante en lugar del proveedor.

Para modelos de IA de proposito general (Articulo 54): Los proveedores no comunitarios de modelos GPAI tambien deben nombrar un representante autorizado con sede en la UE. Esta obligacion esta en vigor desde el 2 de agosto de 2025. El representante debe verificar la documentacion tecnica (Anexo XI), mantener registros y cooperar con la Oficina de IA.

El representante no es solo un buzon de correo. Si el proveedor actua en contra del Reglamento, el representante debe rescindir el mandato e informar a la autoridad pertinente. Esto crea responsabilidad real.

Que estan haciendo los grandes actores

Las principales empresas tecnologicas estadounidenses ya estan respondiendo:

Microsoft tiene grupos de trabajo dedicados al cumplimiento que combinan gobernanza de IA, ingenieria, legal y politica publica. Han publicado informacion de cumplimiento de la Ley de IA de la UE en su Trust Center.
OpenAI, Google, Amazon y Anthropic firmaron el Codigo de Practicas de GPAI de la UE en agosto de 2025, con 26 signatarios en total.
Meta notablemente se nego a firmar el Codigo de Practicas de GPAI en julio de 2025, con su Director de Asuntos Globales afirmando que "introduce incertidumbres legales para los desarrolladores de modelos." Meta debe ahora demostrar cumplimiento por medios alternativos, lo que le expone a mayor escrutinio regulatorio.
xAI firmo solo el capitulo de Seguridad y Proteccion, indicando que usara metodos alternativos para las obligaciones de transparencia y derechos de autor.

Estas empresas estan dedicando recursos significativos al cumplimiento. Las empresas mas pequenas fuera de la UE que sirven a clientes europeos tambien necesitan evaluar sus obligaciones — la Ley no solo se aplica a los gigantes tecnologicos.

Exenciones que vale la pena conocer

No todos los sistemas de IA de una empresa no comunitaria activan todo el peso de la Ley:

Los usos militares, de defensa y seguridad nacional estan totalmente exentos
Los modelos de IA de codigo abierto estan exentos de la mayoria de obligaciones a menos que sean sistemas de alto riesgo o presenten riesgo sistemico (aunque deben cumplir con la legislacion de derechos de autor de la UE)
La investigacion y desarrollo cientifico antes de la comercializacion esta exenta (pero las pruebas en el mundo real no)
El uso personal y no profesional por parte de individuos esta exento
Las pymes y startups se benefician de sanciones proporcionales y acceso a sandboxes regulatorios para pruebas

La cuestion del Omnibus Digital

La propuesta de Omnibus Digital de la Comision Europea (noviembre 2025) podria cambiar el calendario. Si se adopta, retrasaria el plazo de cumplimiento para sistemas de IA de alto riesgo del 2 de agosto de 2026 al 2 de diciembre de 2027 para sistemas del Anexo III, y al 2 de agosto de 2028 para sistemas del Anexo I.

Sin embargo, el Omnibus aun esta en tramitacion legislativa. Las empresas que asuman que la extension se aprobara y retrasen el cumplimiento estan asumiendo un riesgo significativo. Si la propuesta se estanca o se modifica, el plazo de agosto de 2026 se mantiene.

El panorama de la aplicacion

A marzo de 2026, no se han anunciado sanciones publicas bajo la Ley de IA. Pero la infraestructura de aplicacion esta en marcha:

La Oficina Europea de IA tiene autoridad exclusiva sobre las obligaciones de modelos GPAI y esta operativa desde agosto de 2025
Esta realizando auditorias informales de cumplimiento de la documentacion tecnica de los principales proveedores
Desde el 2 de agosto de 2026, la Comision tendra plenos poderes para imponer multas
Las autoridades nacionales de vigilancia del mercado se encargan de la aplicacion para otras obligaciones de sistemas de IA

El patron deberia resultar familiar. El RGPD tuvo un periodo tranquilo similar antes de que la aplicacion se intensificara — y luego llegaron las multas de miles de millones de euros.

Que hacer si estas fuera de la UE

Determina si la Ley se aplica a ti. Si tu sistema de IA es utilizado por alguien en la UE, o si sus resultados llegan a la UE, probablemente estes cubierto. El triaje de riesgo gratuito de Annexa puede clasificar tu sistema de IA y clarificar tus obligaciones en minutos.
Identifica tu rol. ¿Eres un proveedor (tu construiste el sistema de IA), un implementador (lo usas), o ambos? Tus obligaciones difieren significativamente segun tu rol.
Nombra un representante autorizado si eres proveedor de sistemas de IA de alto riesgo o modelos GPAI. Esto no es opcional — es un prerrequisito para acceder al mercado.
Clasifica tus sistemas de IA por nivel de riesgo. ¿Es tu sistema de IA de alto riesgo? La respuesta determina si necesitas documentacion tecnica completa del Anexo IV, evaluacion de conformidad y monitorizacion post-comercializacion.
Empieza la documentacion tecnica ahora. Si tu sistema es de alto riesgo, la documentacion del Anexo IV es extensa. Esperar hasta el plazo no es una estrategia viable — son meses de trabajo para sistemas complejos.
Vigila el Omnibus Digital. Puede darte mas tiempo, pero no cuentes con ello. Empieza el trabajo de cumplimiento ahora y ajusta el calendario si la extension se aprueba.

El RGPD se convirtio en un estandar global de facto porque ignorarlo no era una opcion para cualquier empresa que sirviera a clientes de la UE. La Ley de IA de la UE sigue la misma trayectoria — con multas mas altas y un alcance mas amplio. El plazo de agosto de 2026 no importa donde este tu sede central.