16. EU AI Act aplicado a auditoría y contabilidad
Sistemas de alto riesgo del Anexo III. Obligaciones para proveedores y operadores. Multas hasta €35M.
El Reglamento (UE) 2024/1689, conocido como EU AI Act, es la primera regulación horizontal sobre inteligencia artificial del mundo. Fue publicado en el Diario Oficial de la UE el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024.
Si trabajas en una firma contable o auditora LATAM y crees que esto no te aplica porque tu oficina está en Santiago, Ciudad de México o Buenos Aires, esta lección es especialmente importante para ti. El alcance extraterritorial del Reglamento puede alcanzarte sin que lo sepas.
⚖️ Fuente oficial
Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de inteligencia artificial. Texto consolidado disponible en EUR-Lex (32024R1689).
El cronograma de aplicación (lo que debes saber en 2026)
El Reglamento no se aplica de golpe. Tiene una entrada en vigor escalonada que ya está parcialmente activa en mayo de 2026:
| Fecha | Qué entra en vigor | Impacto en contabilidad y auditoría |
|---|---|---|
| 1 ago 2024 | Entrada en vigor general del Reglamento | Inicia plazo de adaptación |
| 2 feb 2025 | Art. 5 (prácticas prohibidas) y obligaciones de alfabetización en IA (art. 4) | Prohibiciones ya aplicables |
| 2 ago 2025 | Obligaciones para modelos de IA de uso general (GPAI), gobernanza, sanciones | OpenAI, Anthropic, Google deben cumplir como proveedores |
| 2 ago 2026 | Obligaciones plenas para sistemas de alto riesgo del Anexo III | Sistemas contables y de evaluación crediticia entran en alcance |
| 2 ago 2027 | Obligaciones para sistemas de alto riesgo integrados en productos regulados (Anexo I) | Sistemas embebidos en productos certificados |
Donde estamos hoy (mayo 2026): las prohibiciones del artículo 5 llevan 15 meses vigentes, las obligaciones para modelos de uso general (GPT-5.5, Claude Opus 4.7, Gemini 3 Pro) 9 meses vigentes, y faltan menos de 3 meses para que entren en vigor las obligaciones plenas para sistemas de alto riesgo del Anexo III.
📅 Referencia normativa
Artículo 113 del Reglamento (UE) 2024/1689 establece la entrada en vigor escalonada. Los plazos están medidos desde la fecha de entrada en vigor (1 ago 2024).
¿Qué cuenta como "alto riesgo" en contabilidad y auditoría?
Esta es la pregunta operativa para una firma contable. El Anexo III del Reglamento define ocho áreas de alto riesgo. Para nuestro ámbito, hay tres relevantes:
1. Anexo III, punto 5(b): Evaluación de solvencia y puntuación crediticia
Cualquier sistema de IA destinado a evaluar la solvencia de personas físicas o establecer su puntuación crediticia es alto riesgo. Esto incluye:
- Sistemas usados por bancos y fintech para credit scoring.
- Herramientas que las firmas contables construyan para evaluar la capacidad crediticia de proveedores o clientes de sus auditados, si esa evaluación es input para decisiones operativas.
- Modelos internos que estiman riesgo de incobrabilidad en cuentas por cobrar cuando se usan para decisiones que afectan a personas físicas concretas.
No entra aquí el análisis financiero general de una empresa (eso es persona jurídica). Pero sí entra cualquier sistema que califique a un autónomo, freelancer o persona natural.
2. Anexo III, punto 4: Empleo, gestión de trabajadores y acceso al autoempleo
Sistemas destinados a la contratación, selección, evaluación de desempeño, decisiones de promoción o terminación son alto riesgo. En el ámbito contable y de auditoría:
- Herramientas de IA que evalúan productividad del staff de auditoría (horas facturables predichas, calidad de papeles de trabajo) si inciden en decisiones laborales.
- Sistemas que asignan automáticamente cargas de trabajo o turnos.
- IA que filtra CVs para reclutamiento en la firma.
3. Anexo III, punto 5(a): Acceso a servicios públicos y prestaciones esenciales
Si tu firma desarrolla o implementa IA para administraciones tributarias o servicios públicos (por ejemplo, ayudando a un fisco europeo a determinar elegibilidad de devoluciones a personas físicas), eso es alto riesgo.
⚠️ Lo que NO es alto riesgo (aclaración importante)
Un LLM que clasifica transacciones contra plan de cuentas, OCR que extrae datos de facturas, asistencia conversacional sobre normativa o detección de anomalías para muestreo de auditoría no son alto riesgo per se según el Anexo III. Son "sistemas de IA de uso general" o herramientas de productividad. Esto no significa que no apliquen otras obligaciones (transparencia GPAI, protección de datos), pero no entran en el régimen estricto del Capítulo III, Sección 2.
Obligaciones para sistemas de alto riesgo (vigentes ago 2026)
Si tu firma usa o despliega un sistema de IA del Anexo III, a partir del 2 de agosto de 2026 deberá cumplir un conjunto de obligaciones del Capítulo III. Las principales:
| Obligación | Artículo | Qué significa en la práctica |
|---|---|---|
| Sistema de gestión de riesgos | Art. 9 | Identificar y mitigar riesgos del sistema a lo largo del ciclo de vida |
| Gobernanza de datos | Art. 10 | Datos de entrenamiento representativos, sin sesgos relevantes |
| Documentación técnica | Art. 11 + Anexo IV | Documento técnico que demuestre cumplimiento |
| Registros (logs) | Art. 12 | Trazabilidad automática de eventos del sistema |
| Transparencia hacia el usuario | Art. 13 | Instrucciones claras sobre capacidades y limitaciones |
| Supervisión humana | Art. 14 | "Human oversight" diseñado en el sistema |
| Precisión, robustez, ciberseguridad | Art. 15 | Niveles apropiados, medibles y declarados |
Adicionalmente, el responsable del despliegue (deployer) — es decir, la firma que usa el sistema — tiene obligaciones del artículo 26: usar el sistema según instrucciones, garantizar supervisión humana, conservar logs y notificar incidentes graves.
Las prácticas prohibidas del artículo 5 (vigentes desde feb 2025)
Estas prohibiciones llevan más de un año vigentes. Las relevantes para nuestro sector:
- Puntuación social (social scoring) de personas físicas por autoridades públicas o entidades privadas que produzca trato desfavorable injustificado en contextos distintos al original.
- Sistemas que exploten vulnerabilidades por edad, discapacidad o situación social y económica.
- Categorización biométrica para inferir raza, opiniones políticas, afiliación sindical, etc.
Si tu firma despliega un sistema que segmenta clientes morosos en función de variables socioeconómicas y aplica condiciones más duras de cobranza sobre esa base, podrías rozar el límite. Conviene revisarlo con asesoría legal.
Multas: el verdadero incentivo
El artículo 99 del Reglamento establece el régimen sancionador. Según la regulación vigente, las multas pueden llegar hasta:
| Infracción | Multa máxima |
|---|---|
| Incumplir prohibiciones del art. 5 | €35.000.000 o 7% de la facturación anual mundial (la cifra mayor) |
| Incumplir obligaciones de alto riesgo (arts. 8-15, 16, 22-29) | €15.000.000 o 3% de la facturación anual mundial |
| Suministrar información incorrecta o engañosa a autoridades | €7.500.000 o 1% de la facturación anual mundial |
Estas son cifras máximas y la autoridad tiene en cuenta proporcionalidad, gravedad y duración. Para pymes y startups, el artículo 99.6 establece que se aplicará la cifra menor entre el porcentaje y el monto fijo.
📌 Fuente verificable
Artículo 99 del Reglamento (UE) 2024/1689. Disponible en EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1689/oj. Las cifras y porcentajes están definidos en los apartados 3, 4 y 5 de dicho artículo.
¿Por qué aplica a una firma LATAM? El alcance extraterritorial
El artículo 2 del Reglamento define el ámbito de aplicación. Tu firma con sede en Chile, México o Argentina puede estar dentro del alcance en al menos tres situaciones:
1. Si vendes servicios de IA en la UE
Si tu firma desarrolla un producto (por ejemplo, una plataforma de clasificación contable con IA) y lo comercializa a clientes establecidos en la UE, eres proveedor según el artículo 3.3 y aplican las obligaciones del proveedor.
2. Si los outputs del sistema se usan en la UE
Si tu firma en Bogotá usa un sistema de IA para clasificar transacciones de una filial mexicana, y los resultados se consolidan en la matriz alemana del grupo y se usan en su contabilidad reportada en la UE, los outputs se utilizan en la UE y aplica el Reglamento (art. 2.1.c).
3. Si procesas datos de residentes UE
Si tu firma audita una empresa con empleados, clientes o proveedores en la UE, y esos datos personales pasan por sistemas de IA de alto riesgo, aplican obligaciones combinadas del EU AI Act y del GDPR (que cubrimos en la Lección 18).
La autoridad de supervisión: AESIA en España y la red europea
Cada Estado miembro debe designar autoridades nacionales competentes. España fue pionera: creó la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) por Real Decreto 729/2023 de 22 de agosto, con sede en A Coruña.
AESIA tiene competencia de supervisión, control e inspección sobre sistemas de IA dentro del ámbito español. En mayo de 2026, ya hay actividad inspectora documentada en sectores financieros y de RRHH.
A nivel UE, la Oficina Europea de IA (AI Office), creada por la Comisión Europea, coordina la aplicación del Reglamento para modelos de uso general y proporciona orientación. La Junta Europea de IA (AI Board) agrupa a las autoridades nacionales.
🇪🇺 Implicación práctica
Si tu firma tiene oficina o cliente en España, AESIA puede inspeccionarte. Si tienes presencia en Francia, te corresponde la CNIL ampliada; en Alemania, la BfDI y autoridades estatales. La fragmentación es real y conviene mapearla antes que llegue una notificación.
Checklist mínimo de cumplimiento para una firma contable (mayo 2026)
Antes de agosto 2026, una firma que use IA en alcance UE debería tener al menos:
- Inventario de sistemas de IA: lista de todas las herramientas de IA usadas (ChatGPT Enterprise, Claude for Work, Copilot, herramientas verticales contables). Categorización por nivel de riesgo.
- Política interna de uso de IA: qué se puede y qué no se puede hacer con datos de clientes en LLMs.
- Acuerdos con proveedores: DPA (Data Processing Agreement) firmado con cada proveedor de LLM. Verificar cláusulas de uso para entrenamiento.
- Alfabetización en IA del personal (art. 4): formación documentada sobre capacidades, limitaciones y riesgos de los sistemas usados. Esta obligación está vigente desde feb 2025.
- Designación de responsable: persona o comité encargado de IA dentro de la firma.
- Logs de uso: trazabilidad de qué sistema procesó qué información y cuándo.
- Supervisión humana documentada: cómo se revisa lo que produce la IA y quién firma.
- Evaluación de impacto para sistemas que toquen Anexo III.
🧭 Mucho cuidado con la obligación de alfabetización (art. 4)
El artículo 4 obliga a proveedores y responsables del despliegue a garantizar un nivel suficiente de alfabetización en IA de su personal. Ya está vigente desde 2 feb 2025. Las autoridades pueden exigir evidencia de formación documentada. No es trivial: significa actas, certificados, registros de horas y contenidos.
Lo que NO te dicen otros cursos
Tres puntos que conviene saber y que no aparecen en la mayoría de materiales:
El EU AI Act no exime del cumplimiento de NIA. Cumplir con el Reglamento no significa que cumples con NIA 240, 315 o 530. Son regímenes paralelos. Veremos esto en la Lección 17.
Tu cliente UE puede exigirte cumplimiento por contrato. Aunque tú no estés directamente bajo el Reglamento, tu cliente sí lo está y puede contractualmente trasladarte obligaciones (cláusulas de cumplimiento, auditorías, indemnidades).
El AI Office publica códigos de buenas prácticas (Code of Practice). El primero, sobre modelos de uso general, se aprobó en 2025. No son obligatorios, pero adherirse facilita demostrar cumplimiento. Conviene seguirlos.
Próximos pasos
En la Lección 17 vamos a ver cómo las NIA (Normas Internacionales de Auditoría) — específicamente NIA 240, 315 y 530 — se aplican en entornos donde se usa IA. Las NIA no mencionan "inteligencia artificial" explícitamente, pero su interpretación en contextos de IA es crítica para que tu papel de trabajo resista una inspección profesional o tributaria.
Después, en la Lección 18, cerraremos el Módulo 6 con privacidad de datos contables: GDPR, LGPD, Ley 21.719 chilena, LFPDPPP mexicana y Ley 25.326 argentina.
💡 Acción concreta antes de la próxima lección
Hacé un inventario rápido de qué herramientas de IA usa tu firma o tu equipo contable (incluyendo ChatGPT Free usado por colegas sin política formal). Categorizalas: ¿alguna podría caer en Anexo III? ¿Tenés DPA firmados? ¿Tu personal ha recibido formación documentada en IA en los últimos 12 meses? Si la respuesta a alguna es "no", ya tenés tu primer plan de acción.
Próxima lección: 17. NIA 240 / 315 / 530 actualizadas con IA
Checkpoint de comprensión
3 preguntas para verificar lo aprendido. No afecta tu nota del examen final.
Completaste esta leccion?
Marca esta leccion como completada. Tu progreso se guardara en tu navegador.