Tras varios meses de retrasos, la Comisión Europea publicó esta semana el borrador de guías para clasificar sistemas de IA de alto riesgo bajo el AI Act, según recoge IAPP. La consulta pública está abierta hasta el 23 de junio de 2026, y el plazo de cumplimiento se aplazó a 2 de diciembre de 2027 para sistemas standalone y a 2 de agosto de 2028 para embebidos. Más de 110 empresas europeas habían solicitado una pausa de dos años; el aplazamiento del Digital Omnibus es parcial. Si tu SaaS toca cualquier feature que la UE considere "alto riesgo", este es el momento de leer el borrador y ajustar tus políticas antes de que sea obligatorio.
Las dos categorías de alto riesgo (y por qué importa la diferencia)
El AI Act distingue dos formas de calificar un sistema como alto riesgo:
Article 6(1): seguridad de producto
Sistemas IA integrados en productos que ya están sujetos a evaluación de conformidad (juguetes, dispositivos médicos, ascensores, vehículos). Si tu SaaS no toca productos físicos regulados, esta categoría probablemente no te afecta directamente.
Article 6(2): ocho áreas específicas
Sistemas IA usados en ocho ámbitos definidos, entre otros: biometría, seguridad de infraestructuras críticas, educación, empleo y gestión de RRHH, acceso a servicios esenciales privados y públicos, aplicación de la ley, migración, y administración de justicia. Aquí entran muchos SaaS B2B que no se ven a sí mismos como "alto riesgo" pero técnicamente lo son.
Casos típicos donde un SaaS B2B puede caer en alto riesgo (y no lo sabe)
| Tipo de feature | Área Article 6(2) | Por qué califica |
|---|---|---|
| Filtros de CV automatizados | Empleo y RRHH | Decisión que afecta acceso a empleo |
| Scoring crediticio o de morosidad | Acceso a servicios esenciales | Determina acceso a productos financieros |
| Reconocimiento facial en SaaS de seguridad | Biometría | Identificación biométrica remota |
| Sistemas de evaluación académica con IA | Educación | Impacta admisiones o evaluación |
| Análisis de comportamiento de empleados | Empleo y RRHH | Monitoreo que afecta condiciones laborales |
Si tu SaaS encaja en alguno, el cumplimiento requiere documentación específica, evaluación de impacto fundamental (FRIA), registro UE, y obligaciones de transparencia que deben reflejarse en tu Privacy Policy y tus Terms of Service.
Qué debe incluir tu política legal si caes en alto riesgo
En la Privacy Policy
- Sección dedicada a procesamiento automatizado y derecho a explicación bajo Artículo 22 RGPD
- Descripción específica del sistema IA: qué datos consume, qué outputs produce, cómo se entrenó
- Información sobre evaluación de riesgos realizada (FRIA), incluso aunque sea resumen público
- Procedimiento para que el usuario solicite revisión humana de cualquier decisión
En los Terms of Service
- Cláusula de limitación de uso (el usuario no debe usar el SaaS para fines no contemplados en la evaluación)
- Responsabilidad sobre datos de entrenamiento si el cliente aporta datasets
- Protocolo de notificación de incidentes técnicos relacionados con el modelo
En documentación operativa
- Registro técnico del sistema según especificaciones del AI Act
- Log de evaluaciones periódicas y resultados
- Plan de mitigación de sesgos documentado
El AI Act se cruza con el RGPD pero no lo sustituye. Si tu sistema procesa datos personales y es alto riesgo, debes cumplir AMBOS marcos. Las nuevas obligaciones se añaden, no reemplazan.
El cronograma realista
- Junio 2026: cierra la consulta pública del borrador. Si tienes feedback técnico, este es el momento de enviarlo formalmente.
- Q4 2026: guías finalizadas (estimación; la Comisión no comprometió fecha).
- Diciembre 2027: entra en vigor la obligación para sistemas standalone alto riesgo.
- Agosto 2028: entra en vigor para sistemas IA embebidos en productos regulados.
Aunque parece lejano, la documentación FRIA y los ajustes a políticas legales tardan meses en hacerse bien. Empezar ahora con un draft revisable es mucho más barato que correr en 2027.
Qué hacer en tu SaaS los próximos 60 días
- Audita features con IA contra las 8 áreas del Article 6(2). Documenta cuáles son y cuáles no.
- Para las que caigan: abre un draft de FRIA, aunque sea incompleto. La estructura ya importa.
- Actualiza tu Privacy Policy con la sección de procesamiento automatizado si aún no la tienes.
- Revisa tus Terms of Service para incluir cláusulas de uso aceptable de features IA.
- Si publicas updates, registra versión: en 2027-2028 cualquier auditoría preguntará por el histórico.
El borrador de guías es "esperado desde hace meses" pero llega con timeline aplazado y posibilidad real de cambios tras la consulta pública. La interpretación útil: planifica como si fuera obligatorio en diciembre de 2027, pero mantén flexibilidad en el detalle hasta Q4 2026 (síntesis del análisis de IAPP).
Conclusión
El borrador de guías de alto riesgo cierra un vacío que llevaba meses incomodando a los SaaS B2B con features IA. Las fechas se aplazaron pero las obligaciones no desaparecieron. La diferencia entre llegar a 2027 con políticas listas y llegar improvisando son varios meses de trabajo técnico-legal que conviene empezar este trimestre.
Si quieres centralizar la generación de Privacy Policy, Terms of Service y AUP con secciones IA por jurisdicción (GDPR, CCPA, LGPD, PIPL) y version history para auditorías futuras, Termerly es gratis y cubre la base operativa desde el primer día.
