El AI Act ya no es un problema del futuro. Es un problema de esta semana.

La idea del mes

El AI Act europeo no es una amenaza futura. Es una realidad que ya está generando obligaciones. Las primeras prohibiciones absolutas llevan meses en vigor y, a pesar de que las relativas a sistemas de alto riesgo y a modelos de propósito general se hayan postergado mediante el reciente acuerdo político del paquete normativo de ‘AI Omnibus’ el resto de obligaciones pasan a ser plenamente aplicables de forma general a partir de agosto de 2026. El reloj no espera a que terminen los proyectos en curso.

La primera pregunta que debería hacerse cualquier organización con proyectos de IA en marcha es simple: ¿sabemos qué sistemas de IA tenemos desplegados o en desarrollo ahora mismo?

En la mayoría de los casos, la respuesta honesta es no. No hay inventario. No hay clasificación por nivel de riesgo. No hay nadie que haya analizado si alguno de esos sistemas podría caer en la categoría de alto riesgo según los criterios del reglamento, que son más amplios de lo que la mayoría imagina.

El AI Act clasifica los sistemas según su potencial de afectar derechos fundamentales. Un modelo que decide qué candidatos pasan al siguiente paso de un proceso de selección. Un sistema que prioriza solicitudes de crédito. Una herramienta que analiza el comportamiento de empleados para evaluar su rendimiento. Cualquiera de estos puede ser alto riesgo. Y si lo es, las obligaciones son considerables: documentación técnica, registro de conformidad, supervisión humana, trazabilidad, evaluación de impacto.

Nada de esto se hace en una semana.

La segunda pregunta que nadie está haciendo es igual de incómoda: ¿quién en nuestra organización es responsable de garantizar que cumplimos?

No el responsable legal, que normalmente llega cuando ya hay un problema. No el equipo técnico, que en muchos casos ni sabe que existe un marco regulatorio aplicable a lo que está construyendo. El AI Act requiere gobernanza de IA,  un modelo operativo que cruce lo técnico, lo jurídico y lo estratégico de forma continua, no puntual.

Y aquí está el patrón que más se repite: las organizaciones tratan el AI Act como un proyecto de compliance. Lo encargan al departamento jurídico, esperan un informe, y siguen con sus proyectos de IA como si fueran cosas separadas pero no lo son.

El AI Act no es un requisito externo que se cumple en paralelo a los proyectos. Es una restricción de diseño que debe estar integrada desde el principio, en cómo se recogen los datos, en cómo se entrenan los modelos, en cómo se documentan las decisiones, en cómo se informa a los afectados.

Las organizaciones que lleguen tarde no van a poder culpar al departamento jurídico. Van a haber construido sistemas que tendrán que desmantelar, rediseñar o dejar de usar.

El coste de la improvisación en regulación siempre llega. La única pregunta es cuándo.

◆ ◆ ◆

Lo que está cambiando

Bruselas ajusta el calendario del AI Act

La Unión Europea está afinando el despliegue del AI Act1 con cambios que darían más margen temporal a algunas obligaciones para empresas, mientras endurece la respuesta ante usos especialmente sensibles, como los deepfakes sexuales sin consentimiento. El mensaje de fondo es claro: no se frena la regulación, pero sí se recalibra su aplicación práctica.

La Oficina Europea de IA ya publica guías prácticas

La Oficina Europea de IA2 ha pasado de ser una pieza institucional a una fuente activa de orientación técnica. En sus recursos oficiales3 ya aparecen materiales sobre clasificación de riesgo, documentación técnica4 y aplicación del reglamento, lo que ayuda a traducir el AI Act a requisitos concretos para empresas y administraciones5.

El AI Act entra en su fase más exigente

Distintos análisis coinciden en que 2026 es un año clave para el cumplimiento del AI Act6. El reglamento avanza hacia su tramo más duro, con más obligaciones operativas7, más necesidad de evidencias documentales8 y una probabilidad creciente de supervisión y sanción9.

El mercado de AI Governance gana tracción

Las herramientas de AI Governance10 están dejando de ser una novedad para convertirse en una categoría de software en expansión11. Ya hay soluciones que ayudan a inventariar sistemas de IA12, generar documentación técnica, gestionar riesgos y seguir el ciclo de vida de los modelos, impulsadas por la presión regulatoria del AI Act.

◆ ◆ ◆

Criterio aplicado

La conversación suele tener el mismo patrón independientemente del perfil, Director de Transformación Digital, CDO, responsable de tecnología en una empresa de tamaño medio.

Varios proyectos de IA en distintas fases. Algunos ya en producción, otros en desarrollo. Y cuando alguien pregunta si se ha analizado cuáles podrían estar afectados por el AI Act, las respuestas tienden a ser una de estas tres: "eso lo lleva jurídico", "estamos esperando a que salga la guía definitiva" o "los nuestros son proyectos internos, no creo que aplique".

Las tres son problemáticas.

La primera porque jurídico no tiene el contexto técnico para evaluar el riesgo real de un modelo. La segunda porque las obligaciones no esperan a que haya guías perfectas — aplican desde las fechas establecidas en el reglamento. La tercera porque "uso interno" no exime de las obligaciones cuando el sistema afecta a personas: empleados, clientes, proveedores.

Lo que tiene sentido proponer en esa situación no es un proyecto de compliance. Es una sesión de trabajo de medio día con los equipos técnico, jurídico y de negocio para hacer tres cosas: inventariar los sistemas de IA existentes, aplicar los criterios de clasificación del reglamento a cada uno, e identificar cuáles requieren acción inmediata.

La lección:

El AI Act no es un problema de grandes corporaciones con sistemas de reconocimiento facial. Es un problema de cualquier organización que use modelos de IA para tomar o apoyar decisiones que afecten a personas. Y ese perfil describe a la mayoría de empresas medianas y grandes en España hoy.

◆ ◆ ◆

Una lectura, una pregunta

Lectura del mes:

El texto consolidado del AI Act publicado por el Parlamento Europeo.

No es una lectura fácil, pero el Anexo III, que lista los sistemas de alto riesgo, merece una lectura atenta. Son dos páginas que pueden cambiar la perspectiva sobre proyectos que muchas organizaciones tienen en marcha sin saberlo.

Pregunta del mes:

Si tuvieras que hacer hoy un inventario de todos los sistemas de IA que usa tu organización, desarrollados internamente o contratados a terceros, ¿sabrías por dónde empezar?¿y quién debería ser responsable de mantenerlo actualizado?

Me interesa leer tu respuesta. Contesta directamente a este email o escríbeme en LinkedIn.

Hasta el próximo número.

Guillermo

Fuentes:

Sigue leyendo