Coste Real de Compliance del EU AI Act para una Startup de 5 Personas (Desglose de €30 a €80k)
Números concretos para una startup de 5 personas desplegando un sistema de IA en la UE: un chatbot de riesgo limitado o asistente RAG aterriza en torno a €15k a €30k en coste de compliance del primer año. Un sistema de alto riesgo (contratación, credit scoring, scoring educativo, infraestructura crítica) aterriza en €50k a €80k+ con una evaluación de conformidad de tercero. Los sistemas de riesgo mínimo (filtros de spam, recommenders) llevan un coste de compliance directo cercano a cero. Los sistemas prohibidos no deberían existir. Presupuesto detallado abajo.
Escribo esto desde el lado de ingeniería. Hemos hecho los workstreams de documentación técnica y gestión de riesgos para clientes que necesitaban lanzar features de IA en la UE. Los números de abajo son rangos del historial de encargos de Wavect más las tarifas publicadas de auditores. Habla con un abogado para certeza legal. Habla conmigo para la realidad de implementación.
¿Lanzando IA en la UE?
Reserva Consultoría Gratuita¿Cómo clasifica realmente el EU AI Act tu sistema?
Antes de que cualquier número tenga sentido, clasifica tu sistema. El Act define cuatro niveles:
- Prohibido. Social scoring, ID biométrica en tiempo real en público, IA manipulativa con dark patterns, reconocimiento de emociones en el trabajo o la escuela. Coste de compliance: no lo construyas.
- Alto riesgo. Lista del Anexo III: decisiones de contratación, credit scoring, scoring educativo, fuerzas del orden, infraestructura crítica, dispositivos médicos, biometría. Aplica el régimen completo de conformidad.
- Riesgo limitado. Chatbots, contenido generativo, categorización emocional o biométrica donde está permitido. Obligaciones de transparencia, documentación más ligera.
- Riesgo mínimo. Filtros de spam, motores de recomendación para medios, ML básico en juegos. Sin obligaciones específicas más allá del GDPR.
La mayoría de startups SaaS en early-stage aterrizan en riesgo limitado o mínimo. El gran salto de coste ocurre en alto riesgo.
¿Cuánto cuesta el compliance del EU AI Act línea por línea?
Tabla de presupuesto para una startup de 5 personas. La columna de riesgo limitado asume un chatbot de cara al cliente o producto RAG. La columna de alto riesgo asume un sistema de contratación o credit-scoring que requiere evaluación de conformidad de tercero.
| Línea | Riesgo limitado (EUR) | Alto riesgo (EUR) |
|---|---|---|
| Revisión legal inicial y clasificación de riesgo | 3.000 a 6.000 | 6.000 a 12.000 |
| Documentación técnica (Anexo IV) | 4.000 a 8.000 | 10.000 a 18.000 |
| Data governance y documentación de datasets | 2.000 a 5.000 | 8.000 a 15.000 |
| Montaje del risk management system | 1.500 a 3.000 | 5.000 a 10.000 |
| Evaluación de conformidad (tercero donde se requiera) | n/a (auto-declaración) | 8.000 a 20.000 |
| Tooling y proceso de post-market monitoring | 2.000 a 4.000 | 5.000 a 10.000 |
| Formación interna y rollout de SOP | 1.500 a 3.000 | 3.000 a 6.000 |
| Transparencia y etiquetado de cara al usuario | 1.000 a 2.000 | 1.500 a 3.000 |
| Total primer año | 15.000 a 31.000 | 46.500 a 94.000 |
¿Qué entrega realmente la revisión legal?
Un abogado especializado en derecho tech de la UE escribe un memo clasificando tu sistema bajo el Act, mapeando las obligaciones y señalando solapes con GDPR. Espera 8 a 20 horas de tiempo de abogado senior a €300 a €600/hora en DACH. Los abogados baratos cotizarán €1.500 y producirán un documento de plantilla que no sobrevive a una consulta de enforcement. Paga por el senior.
¿Qué entra en la documentación técnica?
El Anexo IV del Act lista 9 categorías de documentación requerida: descripción general, especificaciones de diseño, monitoring y control, validación y testing, plan de post-market monitoring, etc. Normalmente la producimos como un documento versionado en el repo del cliente, mantenido en sincronía con el codebase. La primera versión toma 40 a 80 horas de ingeniería más 10 a 20 horas de revisión senior. El mantenimiento después es aproximadamente 4 a 8 horas por release.
¿Qué requiere realmente data governance?
Para sistemas de alto riesgo el Act exige datasets que sean relevantes, representativos, libres de errores y completos. En la práctica esto significa: fuentes de datos documentadas, preprocesado documentado, checks de calidad documentados, evaluación de sesgo documentada. Integramos esto en el SDLC usando model cards y dataset cards, más una auditoría trimestral de sesgo en datos de producción. El coste de setup está en la tabla; el coste continuo es tiempo de ingeniería que tratamos como parte del presupuesto del feature.
¿Cuándo necesitas una evaluación de conformidad de tercero?
Sistemas de alto riesgo del Anexo III donde el proveedor no puede usar un estándar armonizado en su totalidad, o donde el Act requiere explícitamente un notified body. Las tarifas de evaluación de conformidad de los notified bodies en DACH varían mucho. Hemos visto cotizaciones desde €8.000 para un sistema con scope ajustado hasta €25.000 o más para sistemas complejos. Planifica 8 a 14 semanas de calendario para la evaluación, no 2.
"Compliance es arquitectura, no papeleo. Constrúyelo dentro del SDLC y la auditoría se vuelve un sign-off."
¿Qué pasa con el post-market monitoring?
El Act requiere monitoring continuo del rendimiento del sistema y reporte de incidentes. Para la mayoría de startups esto significa: logueo estructurado de inputs y outputs del modelo con controles de privacidad, un pipeline de alertas para drift y anomalías, un proceso documentado de respuesta a incidentes y una vía de notificación de incidentes serios a la autoridad nacional. Normalmente lo cableamos a través del mismo stack de observabilidad que el equipo ya usa (Sentry, Grafana, Datadog) más una pequeña capa custom. Setup one-time como en la tabla, el coste continuo es operacional.
¿Qué cubre la formación interna?
Todos los que diseñan, construyen u operan el sistema de IA necesitan entender sus obligaciones y límites. Para un equipo de 5 personas normalmente corremos un workshop de medio día más un manual de 10 a 20 páginas adaptado al producto, y luego un refresco anual. Barato, alto apalancamiento. Sáltatelo y la primera consulta del regulador expone el hueco.
¿Cuál es el coste anual continuo después del primer año?
Aproximadamente del 30 al 50 por ciento del coste del primer año como coste recurrente. Así que un sistema de riesgo limitado corre €5k a €15k por año continuo, un sistema de alto riesgo €15k a €35k por año. Más las tarifas de reevaluación si haces cambios sustanciales al sistema, lo cual está definido de forma amplia y tiende a aplicar más a menudo de lo que esperan los founders.
¿Y si construyes con AI agents o RAG?
La clasificación sigue dependiendo del caso de uso, no de la arquitectura. Un asistente RAG para búsqueda de conocimiento interno suele ser de riesgo mínimo o limitado. Un AI agent multi-paso que toma acciones en nombre de los usuarios (reservar, comprar, enviar comunicaciones) necesita clasificarse por lo que esas acciones afectan. Un agente que dispara decisiones de contratación es de alto riesgo independientemente de qué tan inteligentemente esté escrito el prompt. Discutimos esto con cada cliente durante el scoping bajo nuestro servicio de IA.
Reflexiones finales
Si eres de riesgo limitado, el suelo está más cerca de €15k y el techo en torno a €30k. Si eres de alto riesgo, gastarás €50k a €80k en el primer año y deberías presupuestarlo antes de levantar capital. El mayor driver de coste por sí solo es si necesitas una evaluación de conformidad de tercero, que añade €8k a €20k en tarifas más 8 a 14 semanas de calendario.
La trampa en la que caen la mayoría de founders es tratar el compliance como un ejercicio de papeleo de Q4. Para Q4 tus elecciones de arquitectura ya han bloqueado tu coste de compliance. Trátalo como arquitectura desde el día uno y gastas aproximadamente la mitad de lo que cuesta una remediación retroactiva.
¿IA en tu roadmap?
Reserva Consultoría Gratuita