Skip to content
Confir.
Prueba gratuita
Blog

Alcance extraterritorial de la Ley de IA de la UE: qué deben hacer las empresas no comunitarias

Guide3 March 2026· 16 min de lectura

Cómo la Ley de IA de la UE alcanza a las empresas no comunitarias en virtud del artículo 2, apartado 1, letra c), el requisito de representante autorizado del artículo 22 y qué hacer primero.

Si tu empresa está constituida en Nueva York, Bangalore o Toronto y no tiene oficina en ningún lugar de la UE, la Ley de IA de la UE te sigue siendo aplicable. Esa es la versión breve. La versión larga —la que determina lo que realmente tienes que hacer— depende de cómo se conecte tu sistema de IA con el mercado de la UE.

El Reglamento (UE) 2024/1689 expone su ámbito territorial en el artículo 2, apartado 1. Tres letras alcanzan a las empresas no comunitarias:

  • Artículo 2, apartado 1, letra a): los proveedores que introducen sistemas de IA en el mercado de la UE o los ponen en servicio en la UE, con independencia de dónde estén establecidos dichos proveedores.
  • Artículo 2, apartado 1, letra b): los responsables del despliegue de sistemas de IA situados en la UE —es decir, una empresa no comunitaria que dirige operaciones radicadas en la UE que utilizan IA también entra en el ámbito.
  • Artículo 2, apartado 1, letra c): los proveedores y responsables del despliegue establecidos en un tercer país cuando los resultados de salida de un sistema de IA se utilizan en la UE.

Esa tercera letra es la más amplia. Alcanza a una empresa no comunitaria cuyo modelo nunca trata datos en suelo de la UE y nunca contrata directamente con una entidad de la UE, siempre que los resultados de salida del sistema —una decisión, una recomendación, una puntuación, un texto generado— lleguen a una persona de la UE. Un proveedor estadounidense de tecnología de RR. HH. cuya IA puntúa los currículos de los candidatos a un empleador alemán entra en el ámbito del artículo 2, apartado 1, letra c), aunque el empleador alemán lo trate todo localmente. Una empresa de externalización de procesos (BPO) india que utiliza una herramienta de IA para encaminar las llamadas de clientes tiene los resultados de salida —la decisión de encaminamiento— utilizados por clientes de la UE en el otro extremo. Ambas entran en el ámbito.

Esto es estructuralmente idéntico a cómo el RGPD se extiende a los encargados del tratamiento no comunitarios: si el interesado está en la UE, el Reglamento lo sigue. Las empresas que pasaron por el cumplimiento extraterritorial del RGPD en 2018 encontrarán familiar la lógica, aunque las obligaciones son distintas. Con arreglo al RGPD, el gancho era el tratamiento de datos personales de residentes en la UE; con arreglo a la Ley de IA, el gancho es el uso de los resultados de salida de la IA en la UE. No tienes que ser quien los utiliza: tienes que ser aquel cuyo sistema los produce.

Los dos roles que más importan: proveedor y responsable del despliegue

El artículo 3, apartado 3, define al proveedor como toda entidad que desarrolla un sistema de IA y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca. El artículo 3, apartado 4, define al responsable del despliegue como toda entidad que utiliza un sistema de IA bajo su autoridad en un contexto profesional.

La mayoría de las empresas no comunitarias alcanzadas por la Ley son proveedores: construyen productos o API de IA y venden el acceso a clientes de la UE. Pero una empresa no comunitaria que adquiere una herramienta de IA de terceros y la utiliza para producir resultados de salida que llegan a usuarios de la UE es un responsable del despliegue, con su propio conjunto de obligaciones —más ligero pero real— con arreglo al artículo 26.

La distinción importa porque el proveedor soporta la carga técnica pesada: sistema de gestión de riesgos (artículo 9), gobernanza de datos (artículo 10), documentación técnica (artículo 11), conservación de registros (artículo 12), transparencia hacia los responsables del despliegue (artículo 13), diseño de la supervisión humana (artículo 14), exactitud y robustez (artículo 15), evaluación de la conformidad (artículo 43) y registro (artículo 49). Los responsables del despliegue deben vigilar el sistema, garantizar la supervisión humana, conservar los registros durante al menos seis meses y —para determinados usos de alto riesgo— realizar una Evaluación de Impacto en los Derechos Fundamentales con arreglo al artículo 27.

El artículo 25 añade un matiz más: un responsable del despliegue que ponga su propio nombre en un sistema de alto riesgo, lo modifique sustancialmente o cambie su finalidad prevista se convierte en el proveedor. Esa conversión importa para las empresas no comunitarias que comercializan con marca blanca una IA de terceros bajo su propia marca y la venden a clientes de la UE.

El requisito de representante autorizado

Los proveedores no comunitarios de sistemas de IA de alto riesgo no pueden limitarse a vender en la UE y confiar en que sus clientes de la UE gestionen el cumplimiento. El artículo 22 exige que todo proveedor no comunitario de un sistema de IA de alto riesgo designe a un representante autorizado establecido en la UE antes de introducir el sistema en el mercado.

El representante debe:

  • disponer de un mandato por escrito del proveedor;
  • estar registrado en la base de datos de IA de la UE con arreglo al artículo 49;
  • verificar que la documentación técnica y la evaluación de la conformidad estén completas;
  • conservar copias de la declaración UE de conformidad y de la documentación técnica durante diez años;
  • cooperar con las autoridades de vigilancia del mercado, incluida la entrega de la documentación y la aceptación de inspecciones; y
  • actuar como punto de contacto único para las autoridades de la UE si no se puede contactar directamente con el proveedor.

No es una formalidad de papel. Si una autoridad de vigilancia del mercado de Francia o Alemania abre una investigación sobre un sistema de IA estadounidense desplegado por empleadores franceses, se pondrá en contacto primero con el representante autorizado. El representante necesita autoridad real y acceso real a la documentación.

Para los proveedores de modelos de IA de uso general (GPAI) —empresas que desarrollan modelos de IA de uso general ofrecidos a desarrolladores intermedios— el requisito equivalente reside en el artículo 54. Un proveedor de IA de uso general (GPAI) no comunitario también debe designar a un representante autorizado en la UE antes de comercializar el modelo en el mercado de la Unión.

Ejemplo práctico 1: proveedor estadounidense de tecnología de RR. HH.

Una empresa estadounidense, llamémosla TalentScore Inc., desarrolla un sistema de IA que clasifica a los candidatos a un empleo utilizando datos del currículo, resultados de pruebas estructuradas y puntuaciones de personalidad inferidas. TalentScore vende acceso a su API a empleadores de la UE: proveedores del sector del automóvil alemanes, empresas de logística neerlandesas, minoristas españoles.

Con arreglo al artículo 2, apartado 1, letra a), TalentScore es un proveedor que introduce un sistema en el mercado de la UE. Con arreglo al Anexo III, punto 4, letra a), los sistemas de IA utilizados para la contratación y selección de personas físicas son de alto riesgo. Esa clasificación activa el conjunto completo del proveedor.

Antes de que cualquier empleador de la UE ponga en marcha la API de TalentScore, TalentScore debe:

  1. Completar un sistema de gestión de riesgos con arreglo al artículo 9 —un documento vivo, no una auditoría puntual.
  2. Elaborar la documentación técnica con arreglo al artículo 11 y al Anexo IV que cubra la arquitectura del sistema, las características de los datos de entrenamiento, las métricas de rendimiento y la mala utilización previsible.
  3. Realizar una evaluación de la conformidad con arreglo al artículo 43 (autoevaluación interna para esta categoría del Anexo III, ya que el punto 4 no requiere un organismo notificado).
  4. Emitir una declaración UE de conformidad con arreglo al artículo 47.
  5. Colocar el marcado CE con arreglo al artículo 48.
  6. Registrar el sistema en la base de datos de la UE con arreglo al artículo 49.
  7. Designar a un representante autorizado en la UE con arreglo al artículo 22.

TalentScore también debe comprobar el artículo 5, apartado 1, letra f): el reconocimiento de emociones utilizado en el lugar de trabajo o en entornos educativos está prohibido de plano. Si la puntuación de personalidad de TalentScore infiere emociones a partir de entrevistas en vídeo, ese elemento debe eliminarse antes del acceso al mercado de la UE, con independencia de la clasificación de alto riesgo.

El plazo para los sistemas autónomos de alto riesgo del Anexo III es el 2 de diciembre de 2027, en virtud del Ómnibus Digital acordado en mayo de 2026, que aplazó la fecha original de agosto de 2026. Eso da tiempo a TalentScore, pero solo la documentación tarda meses en reunirse, y el representante autorizado debe estar en su sitio antes de que el sistema salga al mercado.

El incumplimiento expone a TalentScore a multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial con arreglo al artículo 99, apartado 4, si esta última cifra es mayor. Son cifras de ingresos globales, no de ingresos en la UE.

Ejemplo práctico 2: BPO india con contactos de clientes de la UE encaminados por IA

Una empresa india de externalización de procesos de negocio opera un centro de contacto que gestiona la atención al cliente de la UE para varias entidades financieras europeas. Despliega una herramienta de IA de terceros que encamina las llamadas y los chats entrantes, prioriza los casos y marca a los clientes cuyos mensajes contienen señales de angustia.

La BPO es un responsable del despliegue. Los resultados de salida —decisiones de encaminamiento, marcas de prioridad— se utilizan en la UE por clientes de la UE. El artículo 2, apartado 1, letra c), la alcanza.

Que la herramienta de IA sea o no de alto riesgo depende de para qué la utilicen las entidades financieras. Si la herramienta influye en las decisiones sobre qué clientes reciben aplazamientos de pago de emergencia o conversaciones de reestructuración de deuda, puede afectar al Anexo III, punto 5 (acceso a servicios privados esenciales). Si se trata de una herramienta general de encaminamiento de llamadas sin influencia en las decisiones crediticias, probablemente sea de riesgo mínimo.

Como responsable del despliegue de un sistema de alto riesgo, las obligaciones de la BPO con arreglo al artículo 26 incluyen: utilizar el sistema únicamente conforme a las instrucciones del proveedor; garantizar la supervisión humana de las decisiones trascendentes; vigilar la deriva, el sesgo o las anomalías; conservar los registros durante al menos seis meses; e informar al proveedor y a las autoridades de cualquier incidente grave. Si la BPO presta servicio a entidades financieras del sector público, el artículo 27 también puede exigir una Evaluación de Impacto en los Derechos Fundamentales antes del despliegue.

Lo que la BPO no puede hacer es argumentar que, por situarse fuera de la UE, las normas de la UE no la alcanzan. Sí lo hacen.

Cómo se compara la extraterritorialidad con el RGPD

El artículo 3, apartado 2, del RGPD se aplica a todo responsable o encargado del tratamiento situado fuera de la UE que trate datos personales de personas en la UE en relación con la oferta de bienes o servicios, o con el seguimiento de su comportamiento. El artículo 2, apartado 1, letra c), de la Ley de IA sigue la misma lógica: el gancho es si las personas de la UE están en el extremo receptor de los resultados de salida de tu sistema.

Merece la pena destacar dos diferencias. Primera, el gancho del RGPD exige el tratamiento de datos personales; el gancho de la Ley de IA es el uso de los resultados de salida, que pueden o no implicar datos personales. Una empresa no comunitaria que ejecuta un modelo puramente estadístico de previsión de mercado cuyos resultados utilizan operadores de la UE entra, podría argumentarse, en el ámbito del artículo 2, apartado 1, letra c), aunque por el sistema no fluya ningún dato personal. Segunda, las obligaciones del RGPD se aplican a casi todos los encargados del tratamiento con independencia del nivel de riesgo; la Ley de IA concentra sus obligaciones más pesadas en los sistemas de alto riesgo y de uso prohibido, dejando el uso de riesgo mínimo en gran medida libre de obligaciones.

La implicación práctica: si tu empresa ya pasó por el cumplimiento del RGPD, la infraestructura de gobernanza —prácticas de documentación, mecanismos de rendición de cuentas transfronterizos, representantes designados en la UE— te da una ventaja de partida. El representante autorizado de la Ley de IA con arreglo al artículo 22 es conceptualmente similar al representante en la UE del artículo 27 del RGPD. Son roles jurídicos distintos y no pueden fusionarse en una sola designación, pero el mismo bufete de la UE o socio de cumplimiento puede ostentar ambos mandatos.

Qué debe hacer una empresa no comunitaria

Primero, traza tus sistemas de IA frente al artículo 2, apartado 1, para confirmar si alguno alcanza la UE a través de cualquiera de las tres letras: introducción directa en el mercado, operaciones radicadas en la UE o resultados de salida utilizados en la UE.

Segundo, clasifica cada sistema incluido en el ámbito. Utiliza el artículo 5 como puerta infranqueable: toda práctica prohibida debe cesar antes de cualquier otro análisis. Después, aplica el artículo 6 y el Anexo III para identificar los sistemas de alto riesgo. Si el uso queda por completo fuera del Anexo III, comprueba el artículo 50 en busca de deberes de transparencia de riesgo limitado (relevantes si operas chatbots de cara al cliente o generas contenido sintético visto por usuarios de la UE).

Tercero, determina tu rol —proveedor, responsable del despliegue o (tras el análisis del artículo 25) un responsable del despliegue que se ha convertido en proveedor por renombrado o modificación.

Cuarto, si eres un proveedor de alto riesgo, designa a tu representante autorizado con arreglo al artículo 22 antes de salir al mercado. Para los proveedores de IA de uso general (GPAI), haz lo mismo con arreglo al artículo 54. Esto es un requisito previo de carácter jurídico, no un detalle posterior al lanzamiento.

Quinto, construye el expediente de cumplimiento: sistema de gestión de riesgos, documentación técnica, evaluación de la conformidad, declaración de conformidad. El representante autorizado necesita acceso a todo ello.

El plazo de los sistemas autónomos de alto riesgo es el 2 de diciembre de 2027. La IA que es componente de seguridad de productos del Anexo I le sigue el 2 de agosto de 2028. Para las prácticas prohibidas, el plazo ya ha pasado: el artículo 5 se aplica desde el 2 de febrero de 2025.

Cómo ayuda Confir

El proceso de admisión de Confir deriva tu rol (proveedor, responsable del despliegue o ambos) a partir de preguntas de escenario en lenguaje sencillo y clasifica tus sistemas de IA con arreglo a los artículos 5 y 6 utilizando la lógica del Anexo III —determinista y basada en reglas, no generada por IA. El resultado de la clasificación identifica si una obligación de representante autorizado con arreglo al artículo 22 o al artículo 54 se aplica a tu sistema.

Para los sistemas de alto riesgo, Confir genera el paquete de documentación técnica del artículo 11 / Anexo IV y la declaración UE de conformidad del artículo 47 / Anexo V —los dos documentos que tu representante autorizado debe ostentar y presentar a las autoridades cuando se le solicite.

Preguntas frecuentes

¿Se aplica la Ley de IA de la UE si no tengo clientes en la UE, pero los resultados de salida de mi sistema los utilizan las propias operaciones de una empresa de la UE?

Sí. El artículo 2, apartado 1, letra c), se aplica siempre que los resultados de salida se utilicen en la Unión, con independencia de que la relación contractual directa sea con una entidad de la UE. Si una empresa no comunitaria proporciona una herramienta de IA a una multinacional y esa herramienta produce resultados de salida utilizados por las filiales de la UE o los empleados de la UE de la multinacional, la empresa no comunitaria entra en el ámbito.

¿Cuál es la diferencia entre un representante autorizado del artículo 22 y uno del artículo 54?

El artículo 22 se aplica a los proveedores de sistemas de IA de alto riesgo que no están establecidos en la UE. El artículo 54 se aplica a los proveedores de modelos de IA de uso general (GPAI) que no están establecidos en la UE. Son obligaciones separadas. Una empresa que desarrolla un modelo de IA de uso general (GPAI) y construye una aplicación de alto riesgo sobre él puede necesitar cumplir ambas, aunque en la práctica una entidad de la UE puede ostentar ambos mandatos simultáneamente en virtud de acuerdos escritos separados.

¿Necesito designar a un representante autorizado si solo ofrezco una herramienta de IA de riesgo mínimo?

No. El requisito del artículo 22 se aplica específicamente a los proveedores de sistemas de IA de alto riesgo con arreglo al Anexo III. Si tu sistema es de riesgo mínimo (no se aplica el Anexo III, no hay prohibición del artículo 5, no hay deberes de transparencia de riesgo limitado del artículo 50), la Ley de IA no obliga a designar a ningún representante, aunque contar con asesoría jurídica de la UE familiarizada con la Ley sigue siendo prudente.

¿Cuáles son las sanciones para una empresa no comunitaria que ignore la Ley?

Con arreglo al artículo 99, apartado 4, el incumplimiento de las obligaciones del proveedor de alto riesgo conlleva multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Las infracciones de las prácticas prohibidas del artículo 5 alcanzan los 35 000 000 EUR o el 7 % con arreglo al artículo 99, apartado 3. Las multas se calculan sobre los ingresos globales, no sobre los ingresos en la UE. Las autoridades de vigilancia del mercado de la UE también pueden restringir o prohibir el acceso al mercado.

¿Es el representante en la UE del RGPD el mismo que el representante autorizado de la Ley de IA?

No. Un representante del artículo 27 del RGPD gestiona las obligaciones de protección de datos. Un representante del artículo 22 de la Ley de IA gestiona las obligaciones de cumplimiento del sistema de IA. Son roles jurídicos distintos con arreglo a reglamentos distintos. La misma entidad radicada en la UE puede ostentar ambos mandatos, pero debe hacerlo en virtud de designaciones escritas separadas y con competencia en ambos marcos.

¿Cuándo debe estar en su sitio el representante autorizado?

Antes de que el sistema de IA se introduzca en el mercado de la Unión. Para los sistemas autónomos de alto riesgo del Anexo III, el plazo de cumplimiento es el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026. El representante y la documentación de cumplimiento deben estar listos para esa fecha, no después.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

La IA agéntica y la Ley de IA de la UE: clasificación, supervisión y cumplimiento

La IA agéntica no es una categoría de riesgo en la Ley de la UE. La clasificación sigue el caso de uso y el Anexo III. Cubre la supervisión del art. 14, los papeles de GPAI y los plazos de 2027.

Guide

¿Qué ocurre si ignora la Ley de IA de la UE?

Las multas son el último paso, no el primero. Los riesgos reales: la retirada del mercado, los acuerdos perdidos y un esprint de documentación apresurado en 2027. Aquí está el panorama completo.

Guide

Un cliente ha preguntado por la Ley de IA de la UE: cómo responder

Un cliente potencial B2B ha preguntado si cumples la Ley de IA de la UE. Aprende a descifrar qué te están preguntando, a determinar tu rol y a responder con honestidad por nivel de riesgo.