Europa avanza hacia la aplicación efectiva del AI Act,

Europa avanza hacia la aplicación efectiva del AI Act, Magnific.

Europa LEY EUROPEA DE IA

La ley de inteligencia artificial se somete a su enésimo examen: qué ha cambiado desde su aprobación y qué viene ahora

Patronales, tecnológicas y juristas analizan para DISRUPTORES el estado de una norma llamada a definir el futuro de la IA en Europa

Publicada
Actualizada
Las claves

Las claves

El Reglamento Europeo de IA (AI Act) ha pospuesto obligaciones clave para sistemas de alto riesgo hasta 2027 y 2028 debido a la falta de criterios y estándares claros.

Empresas y administraciones muestran interés en adaptarse a la normativa, pero demandan mayor certidumbre y guías prácticas para cumplir con los nuevos requisitos.

El principal reto no es tecnológico, sino organizativo: la correcta aplicación del AI Act exige procedimientos claros y coordinación con otras normativas como el RGPD.

La regulación se percibe como una primera capa de gobernanza que debe evolucionar al ritmo de la inteligencia artificial para no frenar la innovación ni la competitividad.

Cuando la Comisión Europea presentó el AI Act, ChatGPT todavía no existía. Europa quería adelantarse a una tecnología que aún no formaba parte del debate público y convertirse en la primera región en regular la inteligencia artificial. Y lo consiguió tras su aprobación por el Parlamento Europeo con 523 votos a favor, 46 en contra y 49 abstenciones.

El AI Act no sólo ha convertido a la Unión Europea en pionera, también la ha vuelto a situar como referente en legislación digital. Un camino ya recorrido antes con el Reglamento General de Protección de Datos (RGPD), al que le bastaron dos años para aplicarse tras su aprobación.

Sin embargo, el despliegue del Reglamento de la IA está siendo más complejo de lo previsto. Desde que la Comisión presentó la propuesta en 2021 hasta hoy han pasado cinco años. En ese tiempo, la irrupción de la inteligencia artificial generativa ha obligado a incorporar nuevos requisitos para los modelos de uso o propósito general, publicar guías para su aplicación y un Código de Buenas Prácticas dirigido a los grandes desarrolladores.

Más recientemente, ha impulsado el llamado Ómnibus Digital, que retrasa la entrada en vigor de las obligaciones para los sistemas de IA de alto riesgo.

Si finalmente se aprueba la tramitación de este último documento -que debería ocurrir de forma inminente-, parte de los requisitos previstos para agosto de 2026 se pospondrán hasta diciembre de 2027 (evaluación crediticia, selección de personal, recursos humanos y triaje sanitario) y, en algunos casos, hasta agosto de 2028 (dispositivos médicos, maquinaria o juguetes).

La razón es que buena parte de los criterios para su cumplimiento todavía no están listos. Sin ellos, ni empresas ni supervisores podrán aplicar esas nuevas obligaciones de forma homogénea.

Una situación que resulta paradójica para una norma que nació para aportar certidumbre y seguridad jurídica. Y un nuevo aplazamiento que refleja la dificultad de regular una tecnología que evoluciona mucho más rápido que cualquier proceso legislativo.

Del reglamento al cumplimiento

Las negociaciones políticas acabaron hace meses, pero ahora empieza el examen de verdad, el momento de demostrar que este reglamento se puede aplicar con independencia de la heterogeneidad de las empresas europeas.

Si en los inicios el interés de las organizaciones era conocer el contenido de la norma, ahora las dudas son mucho más concretas.

ㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤ

ㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤ ㅤㅤㅤㅤㅤㅤㅤㅤㅤㅤ

Necesitan saber cómo documentar sus sistemas, cómo evaluar los riesgos, qué controles deberán implantar o qué obligaciones serán exigibles en cada fase del nuevo calendario.

Esa evolución también la perciben los juristas. Alfredo Sánchez-Rubio, miembro del Consejo de Administración de IT Abogacía Española y decano del Colegio de Abogados de Zaragoza, confirma a DISRUPTORES - EL ESPAÑOL que "las mayores dudas no están en el texto, sino en la aplicación práctica".

"El gran desafío ya no es el texto de la norma, sino su aplicación práctica"

Justo Hidalgo, director de Inteligencia Artificial de Adigital.

Un diagnóstico que comparte, palabra por palabra, Justo Hidalgo, director de Inteligencia Artificial de Adigital, quien añade otra variable más para la ejecución de la ley: "La coordinación entre marcos regulatorios, entidades de supervisión sectoriales y autoridades centrales que, en algunos sectores, pueden solaparse".

"No se trata sólo de entender las obligaciones del Reglamento Europeo de IA, sino de traducirlas en procesos concretos", explica a este medio Gabriel López Serrano, director de Regulación y Relaciones Institucionales de Microsoft en España.

La industria pide certidumbre

Hace apenas dos años preocupaba el posible impacto del AI Act sobre la innovación, hoy la mayoría de las empresas da por hecho que la regulación ha llegado para quedarse.

Desde Adigital valoran positivamente que Bruselas haya optado por un despliegue que facilitará que empresas y administraciones adapten sus procesos de forma gradual. Lo que reclaman ahora no es menor regulación, sino disponer de un marco estable que les permita planificar inversiones y adaptarse con suficiente antelación.

¿Qué son los modelos de uso general?

Aquellos capaces de realizar múltiples tareas y servir de base para aplicaciones como asistentes conversacionales, generación de texto o creación de imágenes. El AI Act les impone obligaciones de transparencia, documentación y, en aquellos con riesgo sistémico, evaluación y mitigación de riesgos.

"La principal preocupación de nuestros asociados no es tanto el objetivo de la regulación, que se comparte en términos de avanzar hacia una IA fiable y responsable, sino la forma, el calendario de su implementación y la disponibilidad de estándares", concreta Hidalgo.

Una percepción que no es sólo suya. López Serrano considera, por la relación que mantiene esta tecnológica con sus clientes, que “estamos viendo una aceleración clara en la adopción de la IA, aunque con niveles de madurez todavía desiguales".

En su opinión, no se trata únicamente de incorporar inteligencia artificial a los procesos de negocio, sino de hacerlo con modelos sólidos de gobernanza, supervisión y gestión de riesgos.

Según el informe Digital Decade 2025 de la Comisión Europea, España presenta un nivel de adopción de inteligencia artificial superior al 44%, aunque Bruselas sigue señalando la digitalización de las pymes como uno de los retos pendientes.

Un proceso de adaptación que también está detectando la Agencia Española de Supervisión de la Inteligencia Artificial (Aesia).

Según explican fuentes de este organismo a DISRUPTORES, tanto empresas como administraciones "están preparadas para la entrada escalonada del Reglamento Europeo de IA, pero además están demostrando un gran interés en anticiparse a las nuevas obligaciones".

"El AI Act debe verse como una primera capa de gobernanza, no como un marco cerrado"

Francisco Hortigüela, presidente de Ametic.

Ese esfuerzo por anticiparse no significa que la regulación no siga evolucionando. Para Francisco Hortigüela, presidente de Ametic, el desafío ya no está en el objetivo de la regulación, sino en cómo llevarla a la práctica sin perjudicar la competitividad.

El AI Act "debe verse como una primera capa de gobernanza, no como un marco cerrado, sino como una regulación que deberá evolucionar al mismo ritmo que la propia inteligencia artificial".

El reto no es tecnológico

La atención, por tanto, se desplaza a otro terreno. Ya no se trata de redactar nuevas normas, sino de conseguir que puedan aplicarse por igual en todos los Estados miembros.

La industria tecnológica añade otro elemento de preocupación: el desfase entre la entrada en vigor de las obligaciones legales y la disponibilidad de estándares técnicos y guías que permitan aplicarlas con seguridad. Ametic define esta situación como un "precipicio de cumplimiento", un escenario que genera incertidumbre, especialmente entre las empresas que desarrollan sistemas de alto riesgo.

Para las grandes compañías, la regulación puede convertirse en un elemento de confianza siempre que exista seguridad jurídica y las obligaciones sean “proporcionadas”.

"No hay que elegir entre innovación y cumplimiento. A medio y largo plazo, un marco basado en el riesgo puede convertirse en un impulsor de una adopción más sólida, competitiva y basada en la confianza”, sostiene el directivo de Microsoft.

¿Qué son los sistemas de alto riesgo?

El reglamento considera de alto riesgo aquellos sistemas de IA utilizados en ámbitos especialmente sensibles. En la normativa se considera como tales empleo, educación, infraestructuras críticas, sanidad, administración de justicia o servicios esenciales.

En este sentido, el jurista Sánchez-Rubio enumera tres cuestiones especialmente relevantes: determinar cuándo una organización actúa como proveedora, desplegadora o simple usuaria de un sistema de IA; identificar correctamente qué sistemas son de alto riesgo; y coordinar el AI Act con otras normas como el RGPD, la legislación de ciberseguridad o la normativa sectorial aplicable a ámbitos como la salud, el empleo o los servicios financieros.

Una idea que refuerza el experto en IA de Abogacía Española: “La regulación no debería verse como un freno a la inteligencia artificial. Si está bien aplicada, puede convertirse, precisamente, en el elemento que dé confianza para que las empresas la utilicen con mayor tranquilidad”.

Quién vigila la ley

La esperada aplicación integral del AI Act abre una nueva etapa para juristas y organismos de supervisión.

Esa labor de acompañamiento ya está permitiendo identificar algunas de las dudas más habituales. Según la Aesia, una de las consultas más frecuentes es determinar si una organización utiliza sistemas de IA de alto riesgo. En muchos casos, apuntan desde la agencia, las empresas creen que sí, cuando en realidad sus aplicaciones no entran dentro de esa categoría.

Para responder a esas consultas, la Aesia ya ha publicado 16 guías prácticas sobre la aplicación del AI Act dirigidas a empresas y administraciones.

"El verdadero desafío es organizativo, no tecnológico"

Alfredo Sánchez-Rubio, miembro del Consejo de Administración de IT Abogacía Española.

Sánchez-Rubio, por su parte, insiste en una idea que puede ayudar a disipar parte de la confusión generada tras el anuncio del ómnibus: "No es correcto decir que se ha aplazado el AI Act; lo que se reescalona es una parte concreta: las obligaciones de alto riesgo, que pasarían de agosto de 2026 a diciembre de 2027. Pero el resto del calendario (transparencia, prohibiciones, alfabetización) no se altera”, aclara.

Y añade un matiz: el verdadero desafío es organizativo y profesional, no tecnológico. De ahí que "muchos problemas no vendrán de que el sistema falle, sino de que la organización no tenga procedimientos claros para usarlo".

La prueba definitiva

Los próximos dos años serán decisivos. Si el nuevo calendario termina confirmándose, será entre 2027 y 2028 cuando entren en vigor las obligaciones para los sistemas de alto riesgo y el AI Act afronte, ahora sí, su prueba definitiva.

Desde el inicio del proceso en 2021 hasta su completa entrada en vigor habrán pasado siete años, y se desplegará en un momento tecnológico muy diferente al que existía cuando se inició.

Al margen de este dato, Sánchez-Rubio cree que el Reglamento de la IA puede seguir una trayectoria parecida a la del RGPD y convertirse en un estándar internacional, aunque con una diferencia fundamental: "La IA evoluciona mucho más rápido que el tratamiento de datos, así que la regulación necesitará ser más dinámica”.

Será entonces cuando Europa comprobará si es capaz de adaptarse a una tecnología que no ha dejado de cambiar desde que Bruselas empezó a legislarla.