PL 2338 y EU AI Act: qué cambia en la operación de su empresa en 2026
Dos pesadas regulaciones llegan en 2026: PL 2338 (Marco Legal de IA en Brasil) en el Congreso y la EU AI Act en vigor a partir de agosto. Multas de hasta €35M o 7% de la facturación global.
Resumen en 60 segundos
Dos leyes llegan pesadas en 2026. La Ley de IA de la UE entra en vigor de forma escalonada a partir de agosto, y su alcance es extraterritorial: atrapa a cualquier empresa que exporte a la UE o que toque datos europeos, sin importar dónde esté la sede. La multa máxima llega a €35 millones o el 7% de la facturación global anual. El Proyecto de Ley 2338 (Marco Legal de la IA de Brasil), ya aprobado por el Senado, avanza en la Cámara de Diputados. Y solo el 22% de las empresas brasileñas se dice preparada, según un estudio de MIT Technology Review con Peers Consulting + Technology. Aquí viene la parte que nadie dice en voz alta: el camino hacia el cumplimiento no pasa por comprar una suite. Pasa por listar lo que ya está en producción y ponerle nombre a cada responsable. Ese es el trabajo fácil. El difícil es la cuenta que la ley ni pide, cuánto de tu nómina sénior drena la coordinación entre humano y máquina, cada semana, sin hacer ruido.
Tu empresa puso IA generativa a funcionar en los últimos dieciocho meses y no revisó la política de gobernanza desde entonces. No estás solo en eso, y estás a punto de chocar con un escenario regulatorio que no existía cuando se firmó la primera licencia de copiloto. El Proyecto de Ley 2338, el Marco Legal de la Inteligencia Artificial, avanza en la Cámara de Diputados de Brasil desde marzo de 2025, tras la aprobación del Senado en diciembre de 2024. La Ley de IA de la UE entra en vigor de forma escalonada a partir de agosto de 2026 y alcanza a cualquier empresa con un solo pie en Europa.
Las dos leyes parten del mismo lugar: clasificar cada sistema de IA por nivel de riesgo y exigir obligaciones en proporción. Y la sanción no es decorativa. La Ley de IA de la UE prevé multas de hasta €35 millones o el 7% de la facturación global anual para incumplimientos graves, un número lo bastante grande para sacar el tema del pie de página y ponerlo en la primera página de la agenda del directorio. El PL 2338 le entrega a la ANPD el poder de sancionar, con un aparato en el espíritu de la LGPD, la ley brasileña de protección de datos.
Según un estudio de MIT Technology Review con Peers Consulting + Technology, solo el 22% de las empresas brasileñas se dice preparada para integrar IA en sistemas críticos. El otro 78% tiene poco tiempo y mucho camino por recorrer. La buena noticia es que la primera mitad del trabajo es barata. La mala es que la mitad cara nunca aparece en el texto de la ley. Vamos por las dos.
La Ley de IA de la UE en 60 segundos: cuatro niveles de riesgo
La Ley de IA de la UE clasifica por riesgo, y cada nivel carga un peso distinto de obligación. El esfuerzo real de adecuación se concentra en los dos pisos de arriba; el resto exige poco o nada. Vale leer la tabla sabiendo dónde cae tu operación antes de asustarte con el conjunto.
| Nivel | Ejemplos | Principales obligaciones | Sanción en caso de falla |
|---|---|---|---|
| Riesgo inaceptable | Puntuación social estatal, manipulación subliminal, biometría en tiempo real en espacios públicos (con excepciones) | Prohibido | Hasta €35M o el 7% de la facturación global |
| Alto riesgo | IA en reclutamiento, scoring de crédito, educación, infraestructura crítica, justicia | Sistema de gestión de riesgo, gobernanza de datos, documentación técnica, supervisión humana, transparencia, registro en la base de datos europea, evaluación de conformidad | Hasta €15M o el 3% de la facturación global |
| Riesgo limitado | Chatbots, sistemas que generan contenido sintético, deepfakes | Transparencia obligatoria: el usuario debe saber que interactúa con IA | Sanciones administrativas escalonadas |
| Riesgo mínimo | Filtros de spam, recomendaciones genéricas, IA en videojuegos | Códigos de conducta voluntarios | Sin sanción específica |
El alcance extraterritorial es lo que agarra a la empresa extranjera con la guardia baja. No hace falta tener sede en la UE. Basta con que el resultado del sistema se use dentro de la Unión Europea, o con que un ciudadano europeo se vea afectado por una decisión automatizada. SaaS B2B que exporta, fintech con operación en Europa, plataforma con usuario europeo: todas caen bajo la regla, y en general solo lo notan cuando el área legal del cliente de afuera pide el documento.
PL 2338 en Brasil: alineado a Europa, con matices locales
El Marco Legal brasileño refleja la arquitectura europea: misma clasificación por riesgo, misma obligación proporcional. Quien está implementando no puede tratar a las dos como una copia, eso sí. Algunas diferencias prácticas cambian lo que tenés que registrar y ante quién respondés, y la tabla de abajo las pone lado a lado.
| Dimensión | Ley de IA de la UE | PL 2338 (Brasil) |
|---|---|---|
| Estado | En vigor de forma escalonada desde el 1 de agosto de 2024; obligaciones principales en agosto de 2026 | Aprobado por el Senado en diciembre de 2024; en la Cámara desde marzo de 2025 |
| Clasificación | Cuatro niveles: inaceptable, alto, limitado, mínimo | Clasificación por riesgo con una lista de sistemas excesivos (vedados) más alto riesgo regulado |
| Transparencia | Sobre cómo funciona el sistema en abstracto | Va más allá: transparencia sobre la decisión concreta tomada acerca de un individuo |
| Regulador | Oficina de IA (UE) más autoridades nacionales designadas | ANPD más reguladores sectoriales (Banco Central, ANATEL, ANEEL, según el uso) |
| Sanción | Hasta €35M o el 7% de la facturación global (inaceptable); hasta €15M o el 3% (alto riesgo) | La ANPD aplica los parámetros de la LGPD; las sanciones específicas quedan para regulación posterior |
La diferencia brasileña que más duele en lo operativo es la transparencia sobre la decisión concreta. El PL 2338 no se conforma con que expliques cómo funciona el sistema en teoría. Exige el porqué de una decisión concreta tomada acerca de una persona concreta. Quien ya vivió una auditoría sabe el tamaño de eso: mueve el requisito de registro y de rastro de auditoría de adorno a obligación, porque ahora cada decisión de alto riesgo tiene que ser reconstruible después, una por una.
Dónde cae tu operación hoy
Preguntale a un director cuántos sistemas de IA tiene la empresa funcionando, y el número que tira suele ser la mitad del real. La IA entró por el borde, área por área, sin pasar por la mesa central. Cinco frentes concentran el uso y, con él, la exposición a la ley.
| Área | Uso común de IA | Clasificación típica |
|---|---|---|
| Recursos Humanos | Filtrado de currículums, scoring de candidatos, análisis de entrevista | Alto riesgo |
| Crédito y Finanzas | Scoring de crédito, detección de fraude, análisis de riesgo | Alto riesgo |
| Atención al Cliente | Chatbot, clasificación de tickets, automatización de respuesta | Riesgo limitado |
| Marketing y Ventas | Segmentación, lead scoring, personalización de oferta | Riesgo limitado a mínimo |
| Ingeniería y Producto | Copiloto de código, generación de pruebas, análisis de errores | Riesgo mínimo |
Si tu operación usa IA para filtrar currículums o para dar scoring de crédito, ya estás en la franja de alto riesgo, te guste o no. Eso salió del escritorio de quien habla de innovación y cayó en el de quien responde por el plazo. Es una obligación, y las obligaciones tienen fecha.
Cinco tareas prácticas para empezar ahora
La primera ola de adecuación no pide herramienta nueva ni cheque firmado. Pide inventario, clasificación y documentación de lo que ya corre. Cinco movimientos cubren lo esencial, y ninguno depende de un proveedor.
- Inventario de sistemas de IA en producción. Listá cada sistema, modelo y pipeline en uso o en piloto. Copilot, ChatGPT Enterprise, Claude, modelo propio, todo. Es tedioso y lento, y es lo que dibuja el universo regulado. Sin esa lista, los otros cuatro pasos flotan en el aire.
- Clasificación por riesgo. Ubicá cada sistema en la escala de cuatro niveles de la Ley de IA de la UE. Reclutamiento y crédito casi siempre caen en alto riesgo; un chatbot externo cae en riesgo limitado. Anotá el criterio, porque en la auditoría te van a preguntar no solo dónde clasificaste, sino por qué.
- Evaluación de impacto algorítmico (AIA). Un sistema de alto riesgo necesita una evaluación de impacto antes de entrar en operación. Es primo de la evaluación de impacto de protección de datos que tu empresa ya hace para la LGPD, con el alcance recortado a la IA. Quien ya tiene la práctica de LGPD parte con medio camino andado.
- Rastro de auditoría por decisión. El PL 2338 exige explicar la decisión automatizada tomada acerca de una persona. En la práctica, eso quiere decir un registro estructurado que te deje reconstruir la base de cada decisión de alto riesgo meses después, sin escarbar en la memoria de quien estaba en la sala.
- Un responsable nominal por cada sistema de alto riesgo. Apuntar al equipo de IA en general no vale. Es un cargo con nombre, credencial y poder de pausar el sistema, revisar la salida y mirar al regulador a los ojos. Un sistema de alto riesgo sin dueño nombrado ya es, por sí solo, una falla documentada.
Cinco movimientos, ninguno costando una licencia, todos costando decisión ejecutiva y horas de tus equipos de Legal, Compliance, Ingeniería y Producto. Es exactamente el tipo de costo que la próxima sección te va a cobrar de nuevo, por otro motivo.
El punto ciego que la regulación no cubre
El cumplimiento regulatorio cierra el flanco regulatorio. Garantiza el derecho del usuario, garantiza la transparencia algorítmica, garantiza que no te llevás una multa por operar fuera de la ley. Y ahí se detiene. No dice nada sobre lo que tu empresa paga, en nómina sénior, para coordinar humanos y agentes alrededor de cada decisión híbrida. Ese gasto corre por fuera: no aparece en el rastro de auditoría del modelo, no consta en el registro europeo, no cabe en el informe de impacto. La ley apunta al comportamiento de cada sistema aislado. El dinero se fuga en el conjunto, en la fricción entre las piezas, justo donde ninguna vara legal mira.
Podés estar al cien por ciento al día con el PL 2338, la Ley de IA de la UE y la LGPD, y aun así quemar millones por año coordinando humano y máquina a ciegas. Las dos cuentas corren en paralelo, y una nunca viene incluida en la otra. Quien trata solo la primera queda blindado de un lado y desnudo del otro, y el lado desnudo no da titular ni multa, solo corroe el margen en silencio. El costo de coordinación humano-agente es el vector invisible de la gobernanza de IA, descompuesto en cuatro interfaces, humano con humano, máquina con máquina, humano con máquina y máquina con humano, cada una en moneda.
Preguntas frecuentes
¿Qué es el PL 2338 y cuándo entra en vigor en Brasil?
El PL 2338/2023, el Marco Legal de la Inteligencia Artificial, pasó por el Senado en diciembre de 2024 y está en la Cámara de Diputados desde marzo de 2025. Sigue la misma lógica europea, clasificar el sistema por nivel de riesgo, pero con sabor local: lista de derechos del usuario, gobernanza en proporción al riesgo y la ANPD como reguladora en paralelo con órganos sectoriales. La entrada en vigor depende de la aprobación en la Cámara y la sanción presidencial, con vigencia esperada en el horizonte de 2026. Traducido a la agenda: el reloj ya corre, aunque el texto final todavía no esté cerrado.
¿La Ley de IA de la UE se aplica a mi empresa fuera de Europa?
Si tu operación toca Europa, sí, y no importa dónde está la sede. La Ley de IA de la UE agarra a cualquier empresa que (a) coloque un sistema de IA en el mercado de la Unión Europea, (b) tenga el resultado de ese sistema usado dentro de la UE, o (c) trate datos de un ciudadano europeo por medio de IA. SaaS B2B que exporta, fintech con operación en Europa, plataforma con usuario europeo: todas caen bajo la regla. La norma rige de forma escalonada a partir de agosto de 2026. Muchas empresas descubren que estaban dentro del alcance solo cuando el cliente europeo pide el informe.
¿Cuál es la diferencia entre la Ley de IA de la UE y el PL 2338?
Las dos parten del riesgo, pero divergen en dos puntos que afectan la operación. El PL 2338 aprieta en la transparencia: no basta con explicar cómo funciona el sistema en abstracto, exige justificar la decisión concreta tomada acerca de una persona específica. La Ley de IA de la UE aprieta en el castigo y en el plazo: un aparato sancionatorio más duro, hasta €35M o el 7% de la facturación global, con un cronograma más definido. Y el diseño institucional difiere: el PL 2338 reparte la regulación entre la ANPD y los órganos sectoriales; la Ley de IA de la UE la concentra en la Oficina de IA europea más las autoridades nacionales designadas.
¿Cuál es la multa máxima por incumplimiento?
En la Ley de IA de la UE, hasta €35 millones o el 7% de la facturación global anual, lo que sea mayor, para una violación ligada a un sistema prohibido. Las demás sanciones escalan por gravedad. El PL 2338 todavía está en trámite en la Cámara; el texto vigente le da a la ANPD el poder de sancionar con base en los parámetros de la LGPD, dentro de un arreglo con órganos sectoriales, y las penalidades específicas quedan para regulación posterior. El número europeo ya es lo bastante grande para entrar en la agenda del directorio sin necesidad de retórica.
¿Por dónde empieza mi empresa?
Tres pasos, en este orden. Primero, inventariar cada sistema de IA en producción o piloto, porque nadie gobierna lo que no listó. Segundo, clasificar cada uno por nivel de riesgo (alto, limitado, mínimo). Tercero, ponerle nombre al responsable de cada sistema de alto riesgo. En paralelo, documentar el criterio de decisión automatizada y armar el rastro de auditoría. El marco de gobernanza operativa viene después; el inventario viene antes de todo, y cuesta tiempo, no dinero.
El cierre
2026 no es el año de discutir gobernanza de IA con calma y café. Es el año en que dos leyes empiezan a cobrar. Ley de IA de la UE en vigor de forma escalonada, PL 2338 avanzando en la Cámara, ANPD con competencia creciente. El inventario tiene que estar listo antes de que la fiscalización toque la puerta. Y el inventario, lo repito, no es el trabajo difícil. Es tedioso, es lento, pero cualquier empresa organizada lo cierra en pocas semanas.
El trabajo difícil viene después, y ninguna ley te obliga a él: gobernar el costo invisible de la coordinación que esta nueva capa de IA metió en tu operación. El cumplimiento te protege de la multa. La gobernanza económica te protege del margen que se escurre sin que nadie lo note. Son defensas para flancos distintos, y necesitás las dos, porque el regulador cobra una y el directorio cobra la otra. La referencia sectorial mejor probada para la capa operativa es el Marco de Gobernanza de IA de Singapur, soft law que toca el frente que la hard law brasileña deja abierto.