La Ley de IA de la UE para startups SaaS: la guía de cumplimiento del fundador

Si su producto SaaS tiene una función de IA y tiene algún cliente en la UE, el Reglamento (UE) 2024/1689 se le aplica. La cuestión no es si — es qué obligaciones y cuándo. Esta guía le da el mapa.

Usted es probablemente a la vez proveedor y responsable del despliegue

Lo primero que hay que dilucidar es su función, porque determina todo su conjunto de obligaciones.

Proveedor (Artículo 16): usted desarrolló un sistema de IA y lo ofrece a terceros bajo su propio nombre o marca. Si tiene una función de IA en su producto — un chatbot, un motor de clasificación, un modelo de recomendación, una herramienta de redacción de documentos — y los clientes la utilizan como parte de su SaaS, usted es proveedor de ese sistema de IA. El hecho de que esté llamando a una API de OpenAI, Mistral o Google no le convierte en no proveedor. Usted construyó la capa de aplicación: decidió qué entradas acepta, qué hace el sistema con ellas, cómo se presentan los resultados y dentro de qué flujo de trabajo se sitúa. Esa aplicación es su sistema de IA.

Responsable del despliegue (Artículo 26): usted utiliza un sistema de IA de terceros en un contexto profesional — sus operaciones internas. Si su equipo utiliza una herramienta de IA para redactar tickets de soporte, procesar facturas o generar informes internos, usted es responsable del despliegue de ese sistema. Las obligaciones del responsable del despliegue son más ligeras que las del proveedor, pero no son nulas.

La mayoría de las empresas SaaS son ambas cosas al mismo tiempo: proveedoras de las funciones de IA de su producto y responsables del despliegue de las herramientas de IA que utilizan internamente para gestionar el negocio.

La trampa del Artículo 25

Un escenario que los fundadores pasan por alto: si toma un sistema de IA de terceros — por ejemplo, un modelo de uso general — y lo integra tan profundamente, lo redenomina con su marca de forma tan completa o lo modifica sustancialmente hasta el punto de que los clientes lo perciben como su producto, el Artículo 25 puede reclasificarle como su proveedor aun cuando no lo entrenara originalmente. Poner su marca en un sistema de alto riesgo, modificarlo sustancialmente o reorientarlo fuera de su finalidad prevista activa todas las obligaciones del proveedor. La prueba práctica: si el contrato de un cliente es con usted, si el resultado de la IA lleva su nombre y si usted controla lo que hace el sistema, la Ley le trata como proveedor con independencia de quién haya construido el modelo subyacente.

Modelos de IA de uso general (GPAI): usted casi siempre está aguas abajo

La mayoría de los fundadores de SaaS preguntan: «¿Se nos aplican las reglas de los modelos de IA de uso general (GPAI)?». Casi con seguridad no como proveedor. El capítulo de la IA de uso general (Artículos 51 a 55) cubre a las organizaciones que desarrollan y publican los modelos fundacionales subyacentes — OpenAI, Mistral, Google DeepMind y sus homólogos. Esa capa se aplica desde el 2 de agosto de 2025.

Si llama a la API de un modelo de IA de uso general, usted es un usuario aguas abajo — no un proveedor de IA de uso general. Lo que le beneficia es que el Artículo 53 exige a los proveedores de modelos de IA de uso general facilitar a los responsables del despliegue aguas abajo y a los desarrolladores de aplicaciones documentación técnica, información sobre los datos de entrenamiento y políticas de cumplimiento en materia de derechos de autor. Puede apoyarse en esas divulgaciones para fundamentar su propia documentación técnica.

La única excepción: si afinó un modelo fundacional de forma lo bastante extensa como para que constituya un nuevo modelo de IA de uso general que usted introduce en el mercado bajo su propio nombre, el Capítulo V se le aplica. El umbral es alto. Un afinado estándar para una tarea vertical específica no suele cruzarlo. En caso de duda, la clasificación de riesgo sistémico del Art. 51 (la presunción de 10²⁵ FLOP) está muy por encima de cualquier ejecución de entrenamiento a escala de startup.

Haga el triaje de su producto: cuatro niveles de riesgo

La Ley divide los sistemas de IA en cuatro niveles. Las obligaciones se desprenden del nivel, no de si utilizó un modelo de lenguaje.

Nivel 1 — Prohibido (Artículo 5, en vigor desde el 2 de febrero de 2025). Son sistemas que no puede desplegar en absoluto: manipulación subliminal que sortea la libre voluntad de una persona, explotación de las vulnerabilidades de grupos específicos, puntuación social por parte de autoridades públicas, identificación biométrica remota en tiempo real en espacios públicos (con estrechas excepciones para la garantía del cumplimiento del Derecho) y varios otros. Techo sancionador por infracción: 35.000.000 € o el 7 % del volumen de negocios mundial, si esta última cifra es mayor. No hay un plazo que cumplir — son ilegales desde febrero de 2025.

Nivel 2 — Alto riesgo (Artículo 6 + Anexo III). Ocho categorías de casos de uso. Si su sistema cae aquí, hereda toda la pila del proveedor: sistema de gestión de riesgos (Art. 9), gobernanza de datos (Art. 10), documentación técnica (Art. 11), conservación de registros (Art. 12), transparencia hacia los responsables del despliegue (Art. 13), mecanismos de supervisión humana (Art. 14), requisitos de exactitud y ciberseguridad (Art. 15), sistema de gestión de la calidad (Art. 17), evaluación de la conformidad antes de la introducción en el mercado (Art. 43), declaración UE de conformidad (Art. 47), marcado CE (Art. 48) y registro en la base de datos de IA de la UE (Art. 49). El plazo de cumplimiento para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, aplazado respecto de la fecha original de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026.

Nivel 3 — Riesgo limitado / transparencia (Artículo 50, aplicable a partir del 2 de agosto de 2026). Los chatbots, las funciones generativas, las herramientas de reconocimiento de emociones y los generadores de contenido sintético deben informar a los usuarios de que están interactuando con IA. El deber específico: divulgar cuándo un sistema está diseñado para interactuar con personas físicas, cuándo se genera contenido sintético y cuándo se está utilizando reconocimiento de emociones o categorización biométrica. Son obligaciones de mera divulgación, pero se aplican a casi todo SaaS con una función de chat o salida generativa.

Nivel 4 — Riesgo mínimo. Todo lo demás. Sin obligaciones obligatorias en virtud de la Ley, aunque se fomentan los códigos de conducta voluntarios.

Triaje de alto riesgo: la lista de comprobación del Anexo III

El Anexo III enumera ocho ámbitos. Pase cada función de IA de su producto por esta lista:

1. Biometría — identificación biométrica remota, categorización biométrica, reconocimiento de emociones en contextos de relevancia.
2. Infraestructuras críticas — componentes de seguridad en redes digitales, tráfico rodado, servicios públicos.
3. Educación y formación profesional — decisiones de admisión, evaluación del progreso, supervisión de exámenes.
4. Empleo, gestión de los trabajadores y acceso al autoempleo — cribado de currículos, clasificación de candidatos, supervisión del rendimiento, asignación de tareas, decisiones de promoción y despido, planificación del trabajo con efectos de relevancia.
5. Acceso a servicios esenciales — solvencia y calificación crediticia (excluida la detección de fraude), fijación de precios de riesgo en seguros de salud y de vida, envío de servicios de emergencia, admisibilidad a prestaciones públicas.
6. Garantía del cumplimiento del Derecho — evaluaciones del riesgo de delinquir, polígrafos, fiabilidad de las pruebas, elaboración de perfiles.
7. Migración, asilo y control fronterizo — evaluación de riesgos, verificación de documentos, examen de solicitudes.
8. Administración de justicia y procesos democráticos — asistencia a los tribunales; influencia en elecciones o referendos.

Un SaaS B2B con un asistente de redacción de uso general, un chatbot de atención al cliente, una función de búsqueda o un panel que resume datos para que actúen los humanos — ninguno de esos aterriza en el Anexo III. Un SaaS B2B que clasifica a los candidatos a un empleo, puntúa solicitudes de préstamo o asigna tareas de trabajo a los empleados sí lo hace.

El filtro del Artículo 6, apartado 3

Aterrizar en un ámbito del Anexo III no es automáticamente descalificador. El Artículo 6, apartado 3, exceptúa los sistemas que no plantean un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, sistemas que desempeñan una tarea procedimental limitada, mejoran una actividad humana previamente realizada, detectan patrones de toma de decisiones sin sustituir ni influir en la evaluación humana, o realizan un trabajo puramente preparatorio. La salvedad importante: todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia del argumento del apartado 3. Si cree que el filtro se aplica a su sistema, documente el análisis y registre el resultado de todos modos — el Artículo 49 lo exige.

La pila realista de obligaciones para una startup SaaS típica

Dejemos de lado la complejidad por un momento. Esto es lo que la mayoría de los fundadores de SaaS afrontan realmente:

Ya en vigor — Artículo 4, alfabetización en materia de IA. Desde el 2 de febrero de 2025, está obligado a garantizar que su personal tenga un nivel adecuado de alfabetización en materia de IA — apropiado a su función, los sistemas que utiliza y los riesgos implicados. Esto no es un mandato de programa de certificación. Es un compromiso documentado de desarrollo de competencias. Para la mayoría de las startups, una sesión interna de 90 minutos con un registro escrito satisface el espíritu. La obligación recae sobre usted como empleador y proveedor.

Desde el 2 de agosto de 2026 — Artículo 50, transparencia. Si su producto incluye un chatbot, una función de texto generativo, un generador de imágenes o cualquier sistema que interactúe conversacionalmente con los usuarios, debe divulgar la naturaleza de IA de la interacción en el punto de primer contacto. Si genera imágenes, audio o vídeo sintéticos, debe marcarlos. El incumplimiento entra dentro del techo sancionador de 15.000.000 € o el 3 % — y el 2 de agosto de 2026 está a unos dos meses vista. Esta es la obligación a corto plazo que más subestiman los fundadores de SaaS.

Desde el 2 de diciembre de 2027 — la pila completa de alto riesgo. Solo si su sistema aterriza en el Anexo III. Si no lo hace, los Artículos 9 a 15, 17, 43, 47, 48 y 49 no se le aplican. El plazo de diciembre de 2027 suena generoso. No lo es — reunir la documentación técnica del Anexo IV, realizar una evaluación de la conformidad y establecer un sistema de gestión de la calidad por primera vez lleva meses, no semanas. Iniciar la construcción de la documentación en paralelo con el desarrollo del producto es el enfoque correcto.

El ángulo de las ventas a empresas: el cumplimiento como activo comercial

Los compradores empresariales de sectores regulados — servicios financieros, sanidad, tecnología de RR. HH., legal — han cambiado su proceso de evaluación de proveedores. Los equipos de compras y los departamentos jurídicos ejecutan ahora cuestionarios estructurados de proveedores de IA como parte de las revisiones de seguridad y cumplimiento. Las preguntas son específicas: ¿cuál es su clasificación con arreglo a la Ley de IA? ¿Tiene documentación técnica con arreglo al Artículo 11? ¿Qué mecanismos de supervisión humana ofrece su sistema? ¿Puede producir una declaración UE de conformidad?

Una startup que puede responder a estas preguntas con la documentación en la mano cierra acuerdos empresariales más rápido que una que dice «tenemos previsto cumplir antes del plazo». La postura de cumplimiento se ha convertido en un diferenciador comercial, en particular en el mercado de la UE y para las empresas SaaS con sede en EE. UU. que se expanden hacia Europa.

Estar preparado para una auditoría en la serie A o B — antes de un piloto empresarial importante — es cada vez más el umbral que fijan los compradores. Construir los cimientos del cumplimiento ahora le posiciona para esas conversaciones.

Multas y el tope para las pymes

El marco sancionador de la Ley (Artículo 99) tiene tres niveles:

• 35.000.000 € o el 7 % del volumen de negocios anual mundial total — por infracciones de las prohibiciones del Artículo 5.
• 15.000.000 € o el 3 % — para la mayoría de las demás obligaciones: requisitos de alto riesgo, deberes del proveedor y del responsable del despliegue, incumplimientos de transparencia del Artículo 50.
• 7.500.000 € o el 1 % — por facilitar información incorrecta o engañosa a las autoridades o a los organismos notificados.

Cada nivel aplica la cifra que sea mayor — la suma fija o el porcentaje del volumen de negocios. Para una gran empresa, rige el porcentaje. Para una startup con ingresos modestos, rige la suma fija y esos techos son severos.

El Artículo 99, apartado 6, ofrece una protección significativa para las startups y las pymes: la multa se limita al menor de los dos importes, el porcentaje o la cantidad fija. Una startup con 500.000 € de ingresos anuales se enfrentaría a un techo del 3 % (15.000 €) en lugar de 15.000.000 € por una primera infracción del Artículo 50 — suponiendo que no haya factores agravantes. Esto es una disposición de proporcionalidad, no un escudo frente a la ejecución.

Sus primeros 30 días: una lista de comprobación inicial pragmática

Esto no es un programa de cumplimiento — es el trabajo estructurado mínimo que le da una imagen clara de dónde se encuentra y qué necesita construir.

Semana 1 — Inventario y triaje. Enumere cada función de IA de su producto (no sus herramientas internas — su producto de cara al cliente). Para cada una, escriba una frase que describa qué toma el sistema como entrada, qué hace y qué decisión o resultado produce. Pase cada una por la lista del Anexo III anterior. Marque las que tocan empleo, crédito, biometría, educación o infraestructuras críticas.

Semana 1 — Comprobación del Artículo 5. Para cada función, confirme que no realiza manipulación subliminal, no explota vulnerabilidades individuales ni incurre en prácticas biométricas prohibidas. Esta es una conversación del equipo jurídico, no técnica. Si utiliza entradas biométricas en tiempo real para decisiones de relevancia, márquelo ya.

Semana 2 — Inventario del Artículo 50. Enumere cada punto de su producto en el que un usuario interactúa con una respuesta generada por IA o con contenido generado. Cartografíe qué divulgación existe actualmente en ese punto. Si entra en producción con funciones generativas después del 2 de agosto de 2026 sin una divulgación, está incumpliendo desde el primer día de aplicación general.

Semana 2 — Inventario de herramientas de IA internas (obligaciones del responsable del despliegue). Enumere las herramientas de IA que su equipo utiliza internamente. Identifique cuáles son sistemas de IA de alto riesgo (casi con seguridad ninguno en el caso de las herramientas SaaS estándar). Anote qué modelos de IA de uso general llama vía API — estas son sus dependencias de documentación de IA de uso general.

Semana 3 — Cierre de brechas del Artículo 4. Realice una sesión de alfabetización en materia de IA de 60 a 90 minutos para sus equipos de ingeniería, producto y atención al cliente. Documente quién asistió, qué se trató y la fecha. Archívelo.

Semana 4 — Priorización de alto riesgo (si procede). Si alguna de las funciones marcadas en la semana 1 entra genuinamente en el ámbito del Anexo III, cartografíe la lista completa de obligaciones del Artículo 16 y estime qué documentación ya tiene frente a la que hay que construir. Este es su análisis de brechas de cumplimiento — el punto de partida para la construcción de cara a diciembre de 2027.

Cómo ayuda Confir

Confir se construyó exactamente para este perfil: un equipo SaaS que necesita comprender y documentar su postura ante la Ley de IA sin contratar consultores externos ni construir una función de cumplimiento interna desde cero.

El flujo de trabajo de admisión le guía a través de la determinación de la función (proveedor o responsable del despliegue, o ambos) y la clasificación del Anexo III en lenguaje sencillo. El motor es determinista y basado en reglas — las mismas respuestas producen la misma clasificación, y cada hallazgo cita el Artículo que lo motivó. Sin alucinaciones, sin ambigüedad sobre de dónde procede una obligación.

Para los proveedores de alto riesgo, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración UE de conformidad del Artículo 47 / Anexo V. El flujo de trabajo de la EIDF del Artículo 27 gestiona la evaluación de impacto relativa a los derechos fundamentales para los escenarios de responsable del despliegue aplicables. La Puntuación de Salud del Cumplimiento le ofrece una métrica que puede compartir en las conversaciones de ventas a empresas.

De autoservicio. Pago con tarjeta de crédito. Sin consultores, sin una implementación de seis meses.

Guías relacionadas

• determine si la Ley de IA de la UE le es aplicable
• requisitos de cumplimiento específicos para SaaS
• marco de cumplimiento para pequeñas empresas
• obligaciones del proveedor en virtud del Artículo 16
• lista de comprobación de cumplimiento para proveedores
• hoja de ruta de cumplimiento centrada en startups

Preguntas frecuentes

¿Soy proveedor o responsable del despliegue si llamo a la API de un modelo de terceros? Llamar a una API no le convierte en no proveedor. Si construyó la capa de aplicación — usted controla qué entra, qué hace el sistema y qué sale, y sus clientes la utilizan bajo su marca — usted es el proveedor de ese sistema de IA en virtud del Artículo 3, apartado 3. El proveedor de la API es una parte independiente con sus propias obligaciones de IA de uso general (Artículos 51 a 55). Sus obligaciones como proveedor son independientes de las suyas.

Mi producto tiene un chatbot. ¿Cuándo se aplica el Artículo 50? A partir del 2 de agosto de 2026, cuando surte efecto la aplicación general de la Ley. El Artículo 50 le exige informar a los usuarios, en el punto de primer contacto, de que están interactuando con un sistema de IA — salvo que resulte obvio por el contexto. Si su chatbot genera contenido sintético, ese contenido también debe marcarse. El techo sancionador por incumplimiento es de 15.000.000 € o el 3 % del volumen de negocios mundial, si esta última cifra es mayor (Artículo 99, apartado 4), con el tope para pymes (Artículo 99, apartado 6) limitándolo al menor de los dos.

Ninguna de mis funciones parece aterrizar en el Anexo III. ¿Qué necesito hacer realmente? Para un proveedor SaaS de riesgo mínimo sin exposición al Anexo III y sin interacción de IA de cara al usuario, sus obligaciones obligatorias son: la alfabetización en materia de IA del Artículo 4 (en vigor desde el 2 de febrero de 2025) y el cumplimiento del Artículo 5 (prácticas prohibidas — también en vigor). Si tiene cualquier interacción de IA de cara al usuario o salida generativa, añada la transparencia del Artículo 50 a partir del 2 de agosto de 2026. Sin evaluación de la conformidad, sin documentación técnica, sin registro.

¿Qué es la trampa del Artículo 25 y cómo la evito? El Artículo 25 establece que un responsable del despliegue o distribuidor que pone su nombre o marca en un sistema de IA de alto riesgo, lo modifica sustancialmente o cambia su finalidad prevista se convierte en su proveedor — heredando toda la pila de obligaciones del Artículo 16. La implicación práctica para el SaaS: si revende o comercializa con marca blanca un sistema de IA de terceros y los clientes contratan con usted en lugar de con el desarrollador original, revise si el Artículo 25 le reclasifica como el proveedor. La respuesta depende del grado de modificación y redenominación de marca, no solo de la estructura contractual.

El plazo de diciembre de 2027 parece lejano. ¿Es seguro esperar? El plazo para los sistemas autónomos de alto riesgo del Anexo III es el 2 de diciembre de 2027, aplazado en virtud del Ómnibus Digital acordado en mayo de 2026. Pero reunir la documentación técnica completa del Anexo IV, establecer un sistema de gestión de la calidad (Artículo 17), realizar una evaluación de la conformidad (Artículo 43) y registrar el sistema en la base de datos de IA de la UE (Artículo 49) no es un proyecto que se inicia en octubre de 2027. Para una primera construcción de cumplimiento, de seis a doce meses es una estimación realista. Empezar en 2025-2026 también significa que su documentación refleja decisiones de desarrollo reales en lugar de una historia reconstruida.

¿Se aplica la Ley de IA de la UE si no tenemos sede en la UE? Sí, si el resultado de su sistema de IA afecta a personas situadas en la UE — por ejemplo, clientes o usuarios con base en la UE. La Ley tiene aplicación extraterritorial para los proveedores cuyos sistemas se introducen en el mercado de la UE o se ponen en servicio en la UE. Los proveedores no establecidos en la UE deben designar a un representante autorizado en la UE en virtud del Artículo 22 antes de que su sistema se introduzca en el mercado.

¿Qué protección frente a multas obtienen las startups en virtud del Artículo 99, apartado 6? El Artículo 99, apartado 6, limita las multas para las pymes y las startups al menor del porcentaje del volumen de negocios o del techo de la suma fija para cada nivel. Así, una startup con 1.000.000 € de ingresos anuales que se enfrente a una infracción de nivel 2 (15 millones € o el 3 %) sería evaluada frente al 3 % = 30.000 €, no 15.000.000 €. Esta es una protección de proporcionalidad genuina. No exime a las startups de la ejecución — escala la sanción a un nivel que la Ley considera proporcionado al tamaño de la empresa.