Costa Rica
frente al AI Act
Tiene estrategia nacional de IA, norma técnica de gestión adoptada y cuatro proyectos de ley en danza. Lo único que no tiene es una ley vinculante. Y mientras tanto, sus dispositivos médicos, su software y sus centros de servicios ya exportan directo al radar europeo — con papeles, pero sin ley.
en vigor en Costa Rica
Dónde está la ley
Costa Rica es el país centroamericano con más arquitectura institucional sobre IA — y, al mismo tiempo, sin ninguna ley vinculante todavía. Esto es lo que existe hoy, en Bruselas y en San José.
Prohibiciones del AI Act ya operan
Scoring social, manipulación subliminal y reconocimiento facial en tiempo real en espacios públicos están prohibidos en la UE desde febrero de 2025 — y aplican a cualquier proveedor cuyo sistema impacte en ese mercado, sin importar dónde esté radicado.
El «alto riesgo» se corre a 2027-2028
El Digital Omnibus europeo postergó las obligaciones plenas de alto riesgo a diciembre de 2027 y agosto de 2028. Alivio para la industria europea — pero no cambia nada para el dispositivo médico costarricense que ya exporta bajo regulación de producto desde antes.
Estrategia Nacional de IA, primera de Centroamérica
Desarrollada con apoyo de la UE, alineada a los principios de la OCDE y al Proceso de Hiroshima. Cinco pilares: IA ética y responsable, desarrollo de talento, innovación y competitividad, gobernanza y regulación, inclusión y sostenibilidad. Hoja de ruta sólida — sin fuerza de ley.
INTE/ISO/IEC 42001:2026 adoptada oficialmente
El INTECO, con liderazgo técnico de Equifax, oficializó el primer estándar nacional de gestión y gobernanza de sistemas de IA. Es voluntario, no sustituye una ley, y no exime de cumplir el AI Act si la empresa exporta a la UE — pero es la base de gestión más sólida en la región.
23.771, 23.919, 24.484 y 24.875: sin avance claro
Regulación general de IA (equidad, rendición de cuentas, transparencia, protección de datos, seguridad), promoción responsable de la IA, marcos de implementación de sistemas de IA, y uso de IA en procesos electorales. Cuatro frentes distintos, ninguno con fecha de aprobación.
Impacto por industria
La economía costarricense exporta justo lo que el AI Act mira con más atención: dispositivos médicos, software y servicios de alto valor agregado. Así se reparte el riesgo.
Dispositivos Médicos
El producto de exportación insignia del país — 44% de las exportaciones de bienes. El software embebido en dispositivos médicos con IA cae directo en el Anexo I del AI Act, como legislación de seguridad de producto: alto riesgo automático, sin margen de interpretación.
Manufactura en Zona Franca
Zona Franca Coyol sola genera más de USD 4.400 millones al año en exportaciones — 54,9% de las del sector. Multinacionales globales de medtech operan ahí bajo contrato de manufactura (CMO): la pregunta de quién responde por la IA embebida ya no es teórica.
Software, TI & Consultoría
Las exportaciones de servicios de software y consultoría crecen sostenidamente según datos del BID, apalancando la IED de alto valor y optimizando la manufactura de zona franca. Cliente europeo de por medio, AI Act de por medio.
BPO & Centros de Servicios Compartidos
Costa Rica es uno de los hubs de shared services más consolidados de la región. IA generativa atendiendo clientes y operaciones de matrices europeas: rol dual de proveedor o deployer, dos paquetes de obligaciones distintos bajo el AI Act.
Fintech & Banca
Menos volumen de exportación que medtech o software, pero scoring crediticio, onboarding y detección de fraude con IA caen igual en la categoría de alto riesgo si hay un componente o cliente europeo en la cadena.
Tu industria, si vendés a Europa
El criterio del AI Act es el destino del output, no el rubro de origen. Con 11% de crecimiento exportador en 2025 — por encima de Chile, México y Canadá — cada vez más empresas costarricenses entran en este radar sin haberlo buscado.
Impacto por modelo de empresa
En Costa Rica, el modelo de negocio importa tanto como la industria: la forma contractual define quién responde primero frente al AI Act.
Filiales de multinacionales en zona franca
Manufactura de dispositivos médicos o componentes electrónicos por contrato (CMO) para marcas matrices europeas. La política de IA se decide en Europa, pero la planta y la responsabilidad operativa están en Costa Rica.
Centros de servicios compartidos & BPO
Atienden operaciones globales de la casa matriz con IA generativa en chat, voz o back office. El rol cambia según el caso: a veces proveedor del sistema, a veces simple operador de una herramienta que llega ya armada desde afuera.
Exportadoras de software & SaaS B2B
Venden directo a clientes europeos sin intermediarios. La exposición es real desde el primer contrato — y en la mayoría de los casos, todavía sin que legal lo haya revisado una sola vez.
Fabricantes de dispositivos médicos con marca propia
A diferencia de las CMO, responden directamente como fabricantes ante el régimen de dispositivos médicos de la UE — y el AI Act se les suma encima, no en lugar de esa obligación existente.
Consultoras y estudios profesionales
Usan IA generativa para producir entregables para clientes globales. El riesgo no es de producto, es de transparencia: qué parte del entregable es IA, y quién lo documenta.
Empresas 100% domésticas — por ahora
Hoy fuera del alcance directo del AI Act. Pero con cuatro proyectos de ley en trámite y una estrategia nacional ya alineada a estándares OCDE, la ventana para prepararse con calma es ahora, no cuando alguno de los cuatro se convierta en ley.
Los dolores reales
Esto es lo que se repite, conversación tras conversación, en cada empresa costarricense que recién está mirando esto de cerca.
Tenemos estrategia y norma técnica. No tenemos ley.
Costa Rica tiene la Estrategia Nacional de IA 2024-2027 y la norma INTE/ISO/IEC 42001:2026 — gobernanza sólida en el papel. Pero ninguna de las dos es vinculante, y el AI Act europeo no espera a que el marco local se ponga al día.
El dispositivo médico no tiene margen de duda
Si hay software con IA embebido en un dispositivo médico que se vende en la UE, el AI Act lo clasifica como alto riesgo por la sola vía del Anexo I — no hay zona gris ni «depende del caso» como en otras industrias.
23.771, 23.919, 24.484, 24.875 — ¿cuál llega primero?
Regulación general, promoción responsable, marcos de implementación y uso electoral avanzan en paralelo sin coordinación visible. Ninguna empresa puede planificar sobre una ley que todavía no sabe en qué versión va a llegar.
Cumplir el INTE/ISO/IEC 42001 no exime de cumplir el AI Act
Es una excelente base de gestión interna, voluntaria y bien diseñada. Pero si la empresa exporta a la UE, el AI Act se aplica igual — la certificación local ayuda en la implementación, no sustituye la obligación europea.
El CMO produce, pero ¿quién documenta la IA embebida?
Contratos de manufactura por contrato firmados con marcas matrices europeas, en muchos casos sin anexos de cumplimiento de IA, sin documentación técnica y sin claridad sobre quién es «proveedor» y quién es «fabricante» ante el AI Act.
Hay liderazgo de estrategia. No hay ente fiscalizador.
El MICITT lidera la estrategia nacional, pero no existe todavía una autoridad de IA con capacidad sancionadora real. Sin ley, no hay quién audite — y sin auditoría local, la primera auditoría real puede llegar directo desde un cliente o regulador europeo.
Facturación global, no solo lo que facturás a la UE
Hasta 35 millones de euros o el 7% de la facturación mundial. Una multinacional con planta en zona franca o una exportadora de software puede ser sancionada en base a todo lo que factura, no solo lo que vende al cliente europeo que disparó el problema.
Perdés la auditoría de proveedor y no sabés por qué
Marcas europeas de medtech y software ya empiezan a exigir trazabilidad de IA en auditorías de proveedor y renovaciones de contrato. Quien no puede demostrarlo simplemente queda afuera del proceso, sin que nadie le diga el motivo real.
Buena ingeniería, poca experiencia en aterrizar el AI Act
Costa Rica tiene nivel técnico de sobra para construir el producto. Lo que falta es experiencia real, local, en traducir el AI Act a una operación concreta de manufactura médica, software o servicios compartidos.
No hace falta tener todas las respuestas.
Hace falta empezar.
Si algo de esto te resuena — un dispositivo médico con IA embebida sin clasificación de riesgo clara, un contrato de zona franca sin cláusulas de IA, o la sensación de que tenés la estrategia y la norma técnica pero no la certeza de qué hacer primero — hablemos. Te ayudo a mapear dónde está parada tu empresa hoy, qué exposición real tenés frente al AI Act y al marco costarricense en construcción, y qué hacer primero, segundo y tercero.
Escribime y lo conversamos →Serie AI Act LatAm · Capítulo 02 — Costa Rica · 05 restantes
Análisis informativo — no constituye asesoramiento legal definitivo