Consultoría AI

La Ley AI de la UE en Chipre: lo que las empresas deben hacer realmente antes de agosto de 2026

Vincent Wahidi
Vincent Wahidi · 8 min de lectura
La Ley AI de la UE en Chipre: lo que las empresas deben hacer realmente antes de agosto de 2026

La Ley AI de la UE no es un problema abstracto de Bruselas para las empresas chipriotas. El país cuenta con un coordinador nacional designado, un grupo de trabajo que se reúne desde 2025 y un compromiso público de poner en marcha un sandbox regulatorio nacional de AI antes de agosto de 2026, el mismo mes en que entran en vigor las obligaciones de alto riesgo y sus sanciones. Si construye, compra o implementa AI que afecta a personas, esa fecha está lo bastante cerca como para planificar en torno a ella ahora, no más tarde.

Quién está realmente dentro del alcance, en términos sencillos

La Ley clasifica cada sistema AI en cuatro niveles de riesgo, y solo dos de ellos exigen trabajo real. Las prácticas de riesgo inaceptable, como la puntuación social gubernamental y los sistemas manipuladores que causan daño, están prohibidas por completo desde el 2 de febrero de 2025. El software de riesgo mínimo, que cubre la mayoría de las herramientas empresariales ordinarias, no conlleva ninguna obligación nueva.

Los niveles que importan están en medio. Los sistemas de riesgo limitado, la mayoría de los chatbots y herramientas de recomendación entre ellos, conllevan un deber de transparencia: informar a las personas cuando están hablando con un robot. Los sistemas de alto riesgo conllevan las obligaciones pesadas, documentación, registro, supervisión humana y una evaluación de conformidad antes de entrar en funcionamiento, y ahí es donde va el presupuesto de cumplimiento. Un sistema es de alto riesgo si es un componente de seguridad de un producto ya regulado, o si opera en un área que enumera el Anexo III: contratación, acceso a la educación, calificación crediticia y servicios financieros esenciales, servicios públicos esenciales, aplicación de la ley, migración o administración de justicia. Cubrimos los niveles y la estructura de multas con más detalle en la Ley AI de la UE: lo que realmente significa para las empresas que envían AI; este artículo se centra en lo que debe hacer específicamente una empresa chipriota al respecto.

Las instituciones chipriotas que gestionan esto ahora

Chipre ha designado un coordinador nacional para la Ley AI: el Viceministerio de Investigación, Innovación y Política Digital. Ese es el organismo ante el que una empresa chipriota responderá en última instancia sobre cuestiones de aplicación nacional, y el que hay que vigilar en busca de orientación local a medida que se acerca el plazo de agosto de 2026 (Mondaq).

En 2025 se creó un Grupo de Trabajo Nacional de AI, presidido por el Científico Jefe Demetris Skourides, para coordinar el enfoque del país entre ministerios. Chipre también se ha comprometido a poner en marcha un sandbox regulatorio nacional de AI antes de agosto de 2026, un entorno supervisado donde las empresas, en particular las más pequeñas sin equipos legales propios, pueden probar un sistema AI frente a los requisitos de la Ley antes de comprometerse con una construcción completa (Chambers and Co; Global Legal Insights, capítulo de AI de Chipre). Nada de esto cambia la ley subyacente de la UE, pero significa que una empresa chipriota cuenta con un coordinador local específico y, con el tiempo, una vía de sandbox para probar el cumplimiento en lugar de adivinar en solitario.

Una secuencia práctica de cumplimiento

Olvídese del enfoque de la carpeta de cumplimiento. Siga esta secuencia en orden, porque cada paso depende del anterior.

  1. Inventaríe todos los sistemas AI que construya o compre. Incluya los obvios (un chatbot, una herramienta de puntuación) y los silenciosos, funciones que un proveedor añadió a su CRM, su plataforma contable o su software de recursos humanos que ahora hacen una recomendación automatizada. No puede clasificar lo que no ha listado. Recorra el inventario departamento por departamento en lugar de confiar en la lista propia de TI, porque la nueva herramienta de personalización del equipo de marketing o la nueva función de conciliación de facturas del equipo financiero rara vez se marca internamente como "AI", aunque a la Ley no le importe cómo lo llame su equipo.
  2. Clasifique cada sistema por nivel de riesgo. Sea estricto con el Anexo III. Si un sistema ayuda a decidir quién es contratado, quién obtiene crédito o quién recibe una prestación, trátelo como de alto riesgo hasta que pueda demostrar lo contrario. Cuando el propósito de un sistema sea genuinamente ambiguo, obtenga una opinión por escrito en lugar de adivinar; el coste de una revisión legal breve es pequeño frente al coste de equivocarse.
  3. Documente lo que encuentre. Para todo lo que sea de alto riesgo, esto significa documentación técnica, registros de gobernanza de datos que muestren cuáles son los datos de entrenamiento y de entrada y de dónde proceden, y un registro que permita reconstruir cómo se llegó a una decisión. Escriba esto a medida que construye, no después de que un regulador lo pida. Reconstruir la documentación de un sistema que lleva un año en producción es más lento y menos preciso que la memoria de un colega sobre cómo se construyó.
  4. Incorpore supervisión humana. Una persona designada debe poder comprender, anular y detener el sistema. Esto tiene que ser una capacidad real integrada en el producto, no una casilla añadida al final. Si su equipo no puede describir, en términos sencillos, cómo intervendría realmente alguien cuando el sistema se equivoca, la supervisión todavía no es real.
  5. Asigne un propietario. Todo sistema de alto riesgo necesita una persona responsable. El cumplimiento sin propietario no ocurre; se va difuminando hasta que una auditoría o un incidente fuerza la cuestión. El propietario no necesita ser abogado; necesita ser la persona que realmente notaría si el sistema empezara a comportarse mal.
  6. Prepárese para la evaluación de conformidad y el registro. Un sistema de alto riesgo necesita una evaluación de conformidad y una entrada en la base de datos de la UE antes de entrar en funcionamiento. Incorpore ese calendario a su plan de proyecto ahora, en lugar de tratarlo como un formalismo de última semana; para un sistema ya en producción, planifique la evaluación como una pieza de trabajo propia, no como algo añadido a la siguiente entrega de funciones.

Qué deberían hacer este trimestre las pymes chipriotas

La mayoría de las empresas chipriotas no operan AI de alto riesgo, y el primer paso honesto es confirmarlo, no darlo por supuesto. Este trimestre, una pyme chipriota debería:

  • Ejecutar correctamente el paso de inventario anterior, incluidas las funciones AI integradas en software de terceros que ya paga.
  • Leer los términos de cualquier proveedor de AI del que dependa. Sus obligaciones bajo la Ley no eliminan las suyas como implementador.
  • Vigilar la orientación del Viceministerio de Investigación, Innovación y Política Digital como coordinador nacional, y la apertura del sandbox, ya que está dirigido en parte a empresas de su tamaño.
  • Tratar el 2 de agosto de 2026 como un plazo de trabajo para cualquier cosa que caiga en el nivel de alto riesgo, y empezar la documentación ahora mientras el sistema todavía es pequeño y la adaptación posterior es barata.

Para las empresas sin exposición a alto riesgo, es un trimestre de trabajo ligero. Para las que tienen un sistema que toca contratación, crédito o un sector regulado, es real, y empezar pronto marca la diferencia entre un ejercicio de documentación y una carrera contrarreloj.

Dónde ayudan la ingeniería y la consultoría

Mapear sus sistemas frente a los niveles de riesgo de la Ley, construir la documentación que necesita un sistema de alto riesgo, e incorporar una vía de supervisión humana funcional al propio producto es exactamente el tipo de trabajo que hace nuestra práctica de consultoría AI en Chipre. Es más fácil incorporar esto desde el principio que añadirlo a un sistema que ya está en producción.

Por qué un mercado local pequeño no significa menos exposición

Resulta tentador asumir que una pequeña empresa chipriota, lejos de Bruselas y sin un nombre conocido, queda fuera de la atención real de la Ley. Eso es una lectura equivocada de cómo se aplican las obligaciones. La Ley se aplica según lo que hace un sistema, no según el tamaño de la empresa que lo opera. Una firma de diez personas en Limassol que usa una herramienta de contratación de terceros que filtra currículums está implementando un sistema de alto riesgo igual que lo haría una multinacional, y carga con las obligaciones de implementador con independencia de su plantilla. El tamaño pequeño de Chipre también juega en sentido contrario: un coordinador nacional, un grupo de trabajo y un sandbox venidero significan que la orientación local es más accesible aquí que en un estado miembro más grande, donde una pequeña empresa tendría dificultades para captar la atención de alguien. Aproveche ese acceso en lugar de asumir que no le aplica.

La conclusión

Chipre no está esperando a que Bruselas dicte instrucciones sin una capa local. Hay un coordinador designado, un grupo de trabajo y un compromiso de sandbox, todos apuntando a la misma fecha de agosto de 2026 que el resto de la UE. Inventaríe lo que opera, clasifíquelo con honestidad frente al Anexo III y documente los sistemas que caen en el nivel de alto riesgo. Para la mayoría de las empresas, eso es un trabajo acotado. Para las que no lo es, cuanto antes empiece, menos cuesta.

Vincent Wahidi

Autor

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

Preguntas frecuentes

¿Mi chatbot es de alto riesgo según la Ley AI?

Normalmente no. Un chatbot que responde preguntas sobre productos o gestiona tickets de soporte se sitúa en el nivel de riesgo limitado, donde la única obligación es informar a las personas de que están hablando con un robot. Ese mismo chatbot pasa a ser de alto riesgo si se reutiliza para seleccionar candidatos de empleo, evaluar solvencia crediticia o tomar una decisión en una de las áreas enumeradas en el Anexo III. Compruebe lo que decide el sistema, no cómo se llama.

¿Cuál es el plazo real de la Ley AI de la UE en Chipre?

Las prácticas prohibidas están vetadas desde el 2 de febrero de 2025, y las obligaciones para los modelos AI de uso general se aplicaron desde el 2 de agosto de 2025. La fecha que importa para la mayoría de las empresas chipriotas es el 2 de agosto de 2026, cuando entran en vigor las obligaciones de alto riesgo y sus sanciones. El AI de alto riesgo integrado en productos ya regulados (dispositivos médicos, maquinaria) tiene de plazo hasta el 2 de agosto de 2027.

¿Cuáles son las sanciones por incumplimiento?

Usar un sistema AI prohibido puede costar hasta 35 millones de euros o el 7 por ciento de la facturación anual mundial, lo que sea mayor. Incumplir las obligaciones de alto riesgo puede alcanzar los 15 millones de euros o el 3 por ciento de la facturación. Proporcionar a los reguladores información incorrecta o engañosa puede alcanzar los 7,5 millones de euros o el 1 por ciento. Son límites máximos, escalados según la infracción, no una tarifa fija.

¿Necesito contratar a un responsable de cumplimiento AI dedicado?

No necesariamente una nueva contratación, pero sí necesita un propietario designado para cada sistema de alto riesgo, alguien responsable de su documentación, supervisión y vía de intervención humana. En una empresa chipriota pequeña o mediana, este suele ser un responsable de operaciones, legal o técnico ya existente que asume el papel, no un nuevo departamento.

Leer a continuación

Subvenciones gubernamentales para digitalización y AI en Chipre: la guía 2026

¿Tienes un problema que valga la pena resolver?

Cuéntanos qué estás construyendo o arreglando. Te responderemos en un día laborable con un siguiente paso claro.