---

AI Act e Inferencia LLM: Guía de Cumplimiento y Despliegue

El Reglamento de IA de la UE (Reglamento (UE) 2024/1689) clasifica la mayoría de los modelos de lenguaje de gran tamaño como IA de Propósito General (GPAI), no como sistemas de alto riesgo por defecto. Una plataforma de inferencia gestionada que aloja modelos de código abierto de terceros actúa normalmente como desplegador o distribuidor, y ese rol determina cada contrato, registro y evaluación de impacto que necesitan sus clientes.

A fecha de 18-05-2026, las obligaciones del proveedor GPAI establecidas en los artículos 53 y 55 están en vigor desde el 02-08-2025. Las normas completas de alto riesgo del Título III entran en vigor el 02-08-2026.

Esta guía mapea esas normas para la inferencia LLM en los tres mercados principales de Tessera: la UE, EE. UU. y América Latina. Está redactada para equipos de ingeniería, legal y seguridad que construyen una postura de cumplimiento sólida antes de ese plazo.

Quién es el Proveedor y Quién es el Desplegador

El Reglamento atiende a lo que realmente se hace, no al nombre de la empresa. El Artículo 3↗ define al proveedor como la entidad que desarrolla el modelo o lo comercializa bajo su propia marca. El desplegador es quien utiliza un sistema de IA en su propio negocio.

En una plataforma de inferencia LLM gestionada que aloja modelos de código abierto como Qwen, Llama o Mistral, suelen solaparse tres roles:

• El publicador original (Alibaba para Qwen, Meta para Llama, Mistral AI para su familia) mantiene la condición de proveedor GPAI conforme al Artículo 53.
• La plataforma de inferencia actúa como distribuidor o proveedor de servicios. Solo se convierte en nuevo proveedor si ajusta, reentrena o rebrandea el modelo de forma que cambie su propósito previsto.
• El cliente es habitualmente el desplegador. Si utiliza el LLM para una tarea de alto riesgo del Anexo III, como la selección de personal o la calificación crediticia, se aplican todas las normas del desplegador.

Si la plataforma distribuye una versión ajustada bajo su propia marca, hereda las obligaciones del proveedor GPAI para ese derivado. Tessera sirve los modelos de código abierto exactamente tal como se publican, sin reentrenamiento ni rebranding, por lo que el cliente sigue siendo el desplegador para cualquier aplicación de alto riesgo construida sobre ellos. Consulte la documentación de modelos disponibles para ver las especificaciones técnicas de cada uno.

Qué Está en Vigor Hoy y Qué Cambia en Agosto de 2026

El Reglamento se despliega en fases a lo largo de tres vías simultáneas.

Ya en vigor a fecha de 18-05-2026:

• El Artículo 4 (alfabetización en IA) está activo desde el 02-02-2025. El personal que utilice sistemas de IA necesita una comprensión básica de su funcionamiento.
• El Artículo 5 (prácticas prohibidas) entró en vigor el 02-02-2025. Prohíbe ocho categorías de uso de la IA, incluidos los patrones oscuros manipuladores y la identificación biométrica en tiempo real sin restricciones en espacios públicos. Consulte el texto del Artículo 5↗.
• Los Artículos 53 a 55 (obligaciones del proveedor GPAI) comenzaron el 02-08-2025. Abarcan documentación, política de derechos de autor, resúmenes de datos de entrenamiento y normas de riesgo sistémico para modelos de primer nivel.

A partir del 02-08-2026:

• Entran en vigor las normas de alto riesgo del Título III, Capítulo 2. Los proveedores deben abordar la gestión de riesgos, la gobernanza de datos, la documentación técnica, el registro, la transparencia, la supervisión humana, la precisión, la ciberseguridad y la robustez, además de la evaluación de conformidad y el registro.
• También entran en vigor las normas del Capítulo 3 para desplegadores de sistemas de alto riesgo.

Travers Smith informó el 07-05-2026 de que los funcionarios de la UE están considerando un retraso al plazo del 02-08-2026. La enmienda no ha sido aprobada. Trate el 02-08-2026 como fecha firme hasta que el Diario Oficial publique cualquier cambio. Consulte el calendario del Reglamento de IA de la UE↗ para el calendario completo.

Obligaciones GPAI y el Umbral de 10^25 FLOPs

El Artículo 53 enumera cuatro obligaciones básicas para cualquier proveedor GPAI. La página de política de IA de la Comisión Europea↗ las resume:

1. Redactar y mantener documentación técnica (Anexo XI).
2. Compartir la documentación con los proveedores de IA que integren el modelo (Anexo XII).
3. Publicar una política de cumplimiento de derechos de autor (Artículo 53(1)(c)).
4. Publicar un resumen detallado de los datos de entrenamiento (Artículo 53(1)(d)).

El Artículo 55 añade cinco obligaciones adicionales cuando un modelo GPAI alcanza la clasificación de riesgo sistémico:

1. Ejecutar evaluaciones con pruebas de referencia estandarizadas.
2. Realizar pruebas adversariales.
3. Evaluar y mitigar los riesgos sistémicos.
4. Rastrear, documentar y notificar incidentes graves.
5. Mantener protecciones de ciberseguridad.

El Reglamento presume riesgo sistémico cuando el cómputo acumulado de entrenamiento supera 10^25 operaciones de punto flotante (Artículo 51). La Oficina de IA también puede señalar un modelo por debajo de ese umbral si sus capacidades o impacto en el mundo real lo justifican.

Qwen3.6-35B-A3B se sitúa muy por debajo de la marca de 10^25 FLOPs según los presupuestos de entrenamiento publicados, por lo que las normas de riesgo sistémico no se aplican a los clientes que usan el Qwen alojado en Tessera. Si ajusta un modelo de código abierto con un cómputo elevado, verifique si su ejecución total de entrenamiento supera esa línea. Consulte el análisis de rendimiento de Qwen3.6-35B-A3B para detalles sobre su arquitectura y costes de inferencia.

Cuándo Alcanza el Reglamento de IA a Entidades Fuera de la UE

El Artículo 2↗ establece el ámbito territorial. El Reglamento se aplica a entidades no pertenecientes a la UE en tres escenarios:

1. El proveedor comercializa un sistema de IA en la UE o lo pone en servicio allí.
2. El desplegador opera dentro de la UE.
3. La salida del sistema de IA se utiliza en la Unión, independientemente de dónde estén el proveedor o el desplegador.

Los equipos de EE. UU. y LATAM subestiman sistemáticamente ese tercer activador. No se necesita una oficina en la UE, servidores en la UE ni personal en la UE. Si la salida de la inferencia llega a un usuario, regulador o sistema posterior de la UE, el Reglamento se aplica.

Si Opera desde los Estados Unidos

No existe una ley federal amplia sobre IA a fecha de 18-05-2026. La supervisión federal se basa en la orientación voluntaria del NIST (el Marco de Gestión de Riesgos de IA y su Perfil de IA Generativa) y en la aplicación de la FTC contra afirmaciones engañosas sobre IA bajo las normas existentes de protección al consumidor.

Las leyes estatales y locales cubren las lagunas:

• La Ley de IA de Colorado (SB 24-205) está programada para entrar en vigor en una fecha posterior. Regula la IA de alto riesgo utilizada para decisiones de consecuencias en empleo, vivienda, educación, préstamos, sanidad, seguros, servicios jurídicos y bienes esenciales. Un LLM alojado solo queda sujeto a esta ley si apoya una de esas decisiones; un asistente de chat general no está cubierto automáticamente.
• La Ley Local 144 de 2021 de Nueva York está en vigor. Exige auditorías de sesgo para las herramientas automatizadas de decisión en el empleo que influyan significativamente en la contratación o promoción de residentes de Nueva York.
• La BIPA de Illinois (740 ILCS 14) genera responsabilidad para cualquier plataforma de inferencia que procese identificadores biométricos como geometría facial, huellas de voz o escaneos de iris. El reconocimiento de voz y el subtitulado de imágenes no activan automáticamente esta ley; la norma apunta al identificador biométrico en sí.
• La SB 1047 de California no está operativa como ley estatal de IA de aplicación general y no debe ser el eje de su estrategia de cumplimiento.

Si su producto en EE. UU. llega a usuarios de la UE, añada el cumplimiento del Reglamento de IA de la UE sobre sus obligaciones estatales. El mayor evento de cumplimiento de 2026 para un SaaS de LLM en EE. UU. será el plazo de alto riesgo de la UE del 02-08-2026, no una medida federal. Holland & Knight y Modulos ofrecen análisis detallados en hklaw.com↗ y modulos.ai↗.

Si Opera desde América Latina

LATAM avanza hacia normas de IA basadas en riesgos. Por ahora, solo Brasil y Chile cuentan con leyes concretas sobre las que planificar, según el mapa regional de Baker McKenzie↗.

El PL 2.338/2023 de Brasil sigue pendiente en el Congreso. Propone un modelo basado en riesgos con sanciones significativas, pero aún no tiene fecha de entrada en vigor. La Lei Geral de Proteção de Dados (LGPD) y la orientación de la ANPD ya se aplican a la inferencia LLM que maneja datos personales, especialmente para transferencias transfronterizas y categorías sensibles.

Chile introdujo un Proyecto de Ley de IA inspirado en marcos internacionales y actualizó su Política Nacional de IA. La nueva Ley de Protección de Datos Personales se aplica cuando la inferencia LLM implica perfilado, biometría o decisiones automatizadas.

México, Colombia y Argentina siguen la misma tendencia regional, pero ninguno cuenta aún con una ley de IA específica y vigente para la inferencia LLM. Las leyes de protección de datos existentes, incluidas la LFPDPPP de México, la Ley 1581/2012 de Colombia y la Ley 25.326 de Argentina, se aplican cuando los prompts o las salidas contienen datos personales.

Para los equipos de LATAM que venden a Europa, el alcance extraterritorial del Reglamento es el verdadero punto de presión. El Artículo 2 se activa en el momento en que la salida se utiliza en la Unión. Los proveedores de alto riesgo sin establecimiento en la UE deben designar un representante autorizado.

Obligaciones del Cliente como Desplegador de un Sistema de Alto Riesgo

Cuando un cliente utiliza un LLM alojado para una tarea de alto riesgo del Anexo III, las obligaciones del desplegador del Capítulo 3 entran en vigor el 02-08-2026. KPMG cubre la lista completa en su guía de introducción al Reglamento de IA↗. Las obligaciones principales son:

• Seguir las instrucciones de uso del proveedor.
• Mantener personal competente en el circuito para la supervisión humana.
• Supervisar el sistema respecto a su propósito previsto y suspender el uso de inmediato si una desviación amenaza la salud, la seguridad o los derechos fundamentales.
• Conservar los registros del sistema durante el período requerido. El Reglamento exige un mínimo de seis meses, salvo que la legislación de la UE o nacional exija un período mayor.
• Realizar una Evaluación de Impacto sobre los Derechos Fundamentales (FRIA) conforme al Artículo 27 si se es un organismo público, un operador privado que presta servicios públicos o se trabaja en categorías específicas del Anexo III.
• Notificar a los trabajadores y sus representantes antes de desplegar sistemas de alto riesgo en el lugar de trabajo.

Los modelos de chat genéricos rara vez encajan en tareas de alto riesgo de forma directa. Un desplegador que integra un LLM general en un proceso de selección de personal, una decisión crediticia o una clasificación de elegibilidad asume las obligaciones del desplegador. Si además etiqueta el sistema resultante bajo su propia marca, puede activar también las obligaciones del proveedor.

Cláusulas DPA que Asignan los Roles del Reglamento de IA

Un contrato de inferencia gestionada que omite la asignación de roles del Reglamento de IA genera exposición legal. Las cláusulas siguientes cubren lo que los clientes solicitan que sus DPA aborden, siguiendo las recomendaciones de la guía de cumplimiento SaaS de Bastion↗:

• Asignación de roles. Indique claramente qué parte es el proveedor, el desplegador u otro rol para cada caso de uso definido. El Reglamento prevalece sobre los contratos, pero una declaración clara mantiene la evidencia ordenada.
• Propósito previsto. Documente el caso de uso aprobado. Exija notificación escrita y reasignación de roles si el cliente planea utilizar el modelo en un contexto de alto riesgo del Anexo III.
• Entrega de documentación. La plataforma se compromete a suministrar documentación técnica, identificadores de versión del modelo, instrucciones de uso, limitaciones conocidas y notas de seguridad. Los clientes necesitan esto para cumplir sus obligaciones como desplegadores o proveedores posteriores.
• Aviso de cambios. Proporcione aviso previo de ajustes, reentrenamientos, actualizaciones de versión, cambios en los filtros de seguridad o traslados de ubicación de alojamiento que puedan afectar al cumplimiento.
• Registro y retención. Defina qué registra la plataforma, durante cuánto tiempo lo conserva y el formato de exportación. Las obligaciones de registro del Reglamento de IA recaen en el desplegador; la plataforma debe habilitar esa capacidad, no bloquearla.
• Notificación de incidentes. Establezca la vía de notificación y el SLA para incidentes graves conforme al Artículo 73 o la notificación de riesgo sistémico conforme al Artículo 55.
• División de transparencia del Artículo 50. Distribuya las divulgaciones de contenido generado por IA entre la plataforma (avisos a nivel de sistema y metadatos legibles por máquina) y el cliente (divulgaciones orientadas al usuario final en sus flujos de trabajo).
• Lista de subencargados. Divulgue los subencargados clave y los licenciantes de modelos originales.

Cómo se Mapea Tessera con las Obligaciones del Reglamento de IA

Tessera ejecuta inferencia gestionada en clústeres de GPU dedicados en la UE y América Latina. Tres decisiones estructurales mantienen reducida la superficie de cumplimiento para los clientes:

1. GPUs dedicadas, no compartidas. El cómputo nunca se mueve entre inquilinos. La residencia de datos se mantiene aplicable por clúster.
2. Modelos de código abierto servidos tal como se publican. El proveedor GPAI original del cliente es el publicador del modelo (Alibaba para Qwen, Meta para Llama, Mistral AI para su familia). Tessera no reentrena ni rebrandea el modelo base.
3. Precio mensual fijo. Los costes predecibles eliminan la volatilidad de auditoría que generan los proveedores con facturación por token. Los equipos de seguridad y legal pueden modelar el coste de una revisión de carga de trabajo orientada al cumplimiento sin estimaciones adicionales (consulte la calculadora de precios). Para integrar estos modelos en su flujo de trabajo, revise la guía de integración API.

Los operadores eligen su región por despliegue. La página de postura RGPD detalla los clústeres de residencia en la UE. La página del Reglamento de IA cubre la asignación de roles. La plantilla DPA incluye las cláusulas anteriores.

Lista de Verificación de Cumplimiento por Zona

Las listas siguientes resumen las acciones a tomar este trimestre en cada jurisdicción, conforme al calendario del servicio de atención del Reglamento de IA de la UE↗.

Operador con sede en la UE que utiliza clústeres EU de Tessera:

• Confirme que el caso de uso no es de alto riesgo según el Anexo III. Si lo es, prepárese para el plazo del 02-08-2026.
• Revise la documentación GPAI suministrada para el modelo desplegado.
• Implante la formación en alfabetización en IA del Artículo 4 para el personal que utilice el sistema.
• Planifique el registro y la retención en torno a las obligaciones del desplegador.

Operador con sede en EE. UU. con usuarios en la UE:

• Trate el activador de salida del Artículo 2 como activo desde el primer día de tráfico de la UE.
• Designe un representante autorizado en la UE si el sistema alcanza la clasificación de alto riesgo.
• Añada la SB 24-205 de Colorado (programada para entrar en vigor en una fecha posterior) cuando la carga de trabajo apoye decisiones de consecuencias.
• Realice un seguimiento separado de la exposición a la LL 144 de Nueva York y la BIPA de Illinois cuando corresponda.

Operador con sede en LATAM:

• Aplique la LGPD (Brasil), la Ley 1581 (Colombia) y la LFPDPPP (México) a todos los prompts y salidas que contengan datos personales.
• Siga el PL 2.338/2023 (Brasil) y el Proyecto de Ley de IA chileno hasta su promulgación.
• Aplique el alcance extraterritorial del Reglamento de IA de la UE cuando atienda a usuarios de la UE.
• Use los clústeres de residencia de datos en LATAM para mantener las cargas de trabajo en el territorio.

Preguntas Frecuentes

¿Se aplica el Reglamento de IA de la UE a la inferencia LLM?

El Artículo 2 aplica el Reglamento a cualquier sistema de IA cuya salida se utilice en la Unión, independientemente de dónde se encuentren el proveedor o el desplegador. Un servicio de inferencia LLM no perteneciente a la UE queda dentro del ámbito de aplicación si usuarios, empleados o sistemas posteriores de la UE consumen la salida. La orientación oficial sobre el ámbito de aplicación↗ confirma la norma del activador de salida.

¿Es un LLM alojado un sistema de IA de alto riesgo según el Reglamento de IA?

No por defecto. La mayoría de los LLM de propósito general se califican como modelos GPAI conforme al Artículo 53. El mismo modelo solo pasa a formar parte de un sistema de alto riesgo cuando un desplegador lo integra en un caso de uso del Anexo III, como empleo, educación, crédito o servicios esenciales. La clasificación depende del caso de uso, no del modelo en sí.

¿Cuál es el umbral de riesgo sistémico para un modelo GPAI?

Un cómputo acumulado de entrenamiento superior a 10^25 operaciones de punto flotante activa una presunción de riesgo sistémico conforme al Artículo 51. La Oficina de IA también puede designar un modelo por debajo de ese umbral en función de su capacidad o impacto en el mundo real.

¿Cuándo se aplica el Reglamento de IA de la UE a una empresa de EE. UU. o LATAM?

Cuando la salida del sistema de IA se utiliza en la Unión (Artículo 2). El proveedor no necesita una oficina, servidor ni empleado en la UE. El consumo de la salida dentro de la UE es suficiente.

¿Qué documentación necesitan los desplegadores posteriores de un proveedor GPAI?

El Anexo XII define el contenido mínimo: capacidades del modelo, limitaciones, uso previsto, resumen de datos de entrenamiento, recursos informáticos utilizados, resultados de evaluaciones e información de seguridad. El proveedor debe mantenerla actualizada cada vez que se produzcan cambios materiales.