El horizonte legal de la inteligencia artificial en Europa encara su recta final con incógnitas por resolver: la Comisión ha planteado revisar los tiempos de implementación de las obligaciones relativas a los sistemas de alto riesgo para dar mayor margen a las empresas. Este 2026 era la fecha marcada en rojo en el calendario, en concreto, el mes de agosto, cuando oficialmente habrían de aplicarse las normas referentes a los casos en que esta tecnología puede ocasionar peligros graves para la salud, la seguridad o los derechos fundamentales, como determinados usos biométricos, valoración de solicitudes de préstamos o evaluación de exámenes, entre otros. Sin embargo, como parte del paquete Digital Omnibus, Bruselas propuso en noviembre retrasar las exigencias hasta un máximo de dieciséis meses , hasta diciembre de 2027, un año y medio después de lo previsto, amparándose en la necesidad de garantizar que existen instrumentos de apoyo para las compañías. La modificación, eso sí, se encuentra por ahora en fase de proyecto, puesto que debe ser corroborada por el Parlamento y Consejo para que se haga efectiva. Puede parecer lejano, pero desplegar una gobernanza sólida es un gran desafío, por lo que aquellas organizaciones que opten por una preparación temprana llegarán con los deberes hechos, evitando las urgencias propias de una planificación a última hora. El problema es que un buen número de ellas tienen dudas sobre algunos aspectos del reglamento, lo que dificulta el proceso de adecuación. De hecho, recientemente la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en La Coruña, publicó 16 guías, fruto de la iniciativa de Sandbox de IA, para facilitar la adaptación y fomentar que las compañías desarrollen sistemas innovadores pero también responsables y respetuosos con los derechos, en un intento de que las obligaciones sobre las herramientas de alto riesgo no les pille con el pie cambiado. Guillermo Hidalgo, counsel y responsable de ciberderecho de MAIO Legal, explica que la Comisión trata de introducir un mecanismo de flexibilidad en la aplicación de las obligaciones de alto riesgo, vinculándolas a que estén disponibles estándares armonizados y herramientas de apoyo . En ese esquema, la aplicación no arrancaría automáticamente en la fecha clásica (agosto de 2026), sino tras una decisión de la Comisión confirmando que ya existen esas herramientas, con un límite máximo de aplazamiento de hasta dieciséis meses. «En cualquier caso, no es firme la aplicación del Digital Omnibus», ahonda. A falta de que reciba luz verde, el experto constata cierta confusión en el mercado. «El Reglamento de IA no es solo 'otra norma'. Introduce un marco de cumplimiento por niveles de riesgo, cambia el lenguaje (proveedor, importador, distribuidor, responsable del despliegue) y exige evidencias técnicas (gestión de riesgos, gobernanza de datos, documentación, trazabilidad) que muchas empresas no tenían sistematizadas o interiorizadas», indica el experto. En España, la confusión se alimenta por factores como la clasificación y alcance: «Muchas compañías no saben si su caso de uso cae en alto riesgo ( recursos humanos , 'scoring', acceso a servicios esenciales, biometría, etc.) o si está en un nivel más ligero de obligaciones». Otra cuestión importante es la dependencia de terceros y cadena de suministro. Gran parte del tejido empresarial usa IA embebida en software de proveedores, por lo que surge la típica pregunta de 'si lo compro, ¿yo respondo?'. Por último, Hidalgo expone que otra confusión por parte de las empresas es lo que llama la ' incertidumbre operativa ': «Se trata de estándares y guías aún en maduración (normas armonizadas, guías interpretativas, códigos de buenas prácticas), lo que genera incertidumbre». En ese contexto, cree que es una muy buena noticia que la AESIA haya publicado 16 guías prácticas porque «baja el reglamento a la tierra con enfoque de cumplimiento real, además de estar alineadas con el trabajo del Sandbox». Es frecuente, por ejemplo, que las pymes recurran a IA de terceros y normalmente responden ambos. «El desarrollador/proveedor, quien pone en el mercado el sistema, asume el grueso de obligaciones del producto o servicio, mientras que la empresa que lo usa no queda exenta, sino que tiene obligaciones de uso conforme a instrucciones, supervisión humana, control del contexto, gestión de incidencias y, según el caso, información/transparencia frente a usuarios o afectados en algunos supuestos», detalla. Y hay un punto crítico que muchas empresas desconocen: «Pueden convertirse en proveedor (y asumir responsabilidades reforzadas) si, por ejemplo, re-etiquetan la herramienta bajo su marca, la modifican sustancialmente, o cambian su finalidad de forma relevante, especialmente si la empujan a un escenario de alto riesgo». La recomendación del experto pasa por la gestión de proveedores 'tipo compliance', no solo compra de software, lo que implica pedir evidencias, incorporar cláusulas de garantías de cumplimiento de la normativa aplicable, soporte sobre auditorías y reparto de responsabilidades y mantener un inventario de casos de uso y una evaluación de riesgo interna para no volar a ciegas. César Alonso, director de Consultoría de GlobalSuite Solutions, también considera que este matiz es clave: «Si la pyme modifica sustancialmente esa IA o le cambia su finalidad prevista (por ejemplo, la reentrena o adapta sustancialmente para filtrar currículums , o la integra con un cambio de finalidad que la convierta en alto riesgo), la ley considera que se convierte en nuevo proveedor. Ahí la pyme pasa a asumir responsabilidades propias de un proveedor, incluyendo obligaciones legales, técnicas y potencialmente sancionadoras». A esta circunstancia se suma, en palabras del experto, la fatiga regulatoria. «Las empresas luchan por entender cómo encaja el Reglamento de Inteligencia Artificial (AI Act) con el RGPD, la norma NIS2 o el reglamento DORA . El reto actual no es solo tecnológico, es de gobernanza integrada», subraya. Victor Moran, socio de Letslaw, también percibe bastante confusión porque el reglamento obliga a las empresas a autodiagnosticarse en dos ejes a la vez : «Primero, entender qué papel juegan en la cadena y segundo, encajar cada caso de uso en una lógica de riesgos». En la práctica, señala que lo que más está generando preocupación entre las compañías es, por este orden, la clasificación de si algo es alto riesgo o no (cambia el nivel de exigencia), la carga de gobierno interno y evidencias (gestión de riesgos, documentación, trazabilidad, supervisión humana, robustez/ciberseguridad), y el bloque de IA de propósito general y generativa, porque afecta a herramientas muy extendidas en productividad, atención al cliente o marketing. Cabe preguntarse si el reglamento creará una barrera de entrada a esta tecnología que solo las grandes corporaciones sean capaces de asumir. Victor Moran, de Letslaw, asegura que sí puede suponer una dificultad extra, pero muchas veces por organización: «Cumplir bien exige inventariar usos de IA, clasificar riesgos, documentar, formar a equipos, exigir garantías al proveedor y conservar evidencias. Una gran empresa lo absorbe con departamentos internos, mientras que una pyme suele ir más justa y depende de terceros, y ahí el cumplimiento se percibe como coste adicional». Por ello, piensa que las guías publicadas por AESIA con la idea de hacer el cumplimiento más operativo van en la buena dirección , «porque lo que mata a la pyme no es la obligación en abstracto, sino no tener un camino práctico y proporcional». Aun así, reconoce que existe el riesgo de barrera de entrada, sobre todo si el caso de uso cae en alto riesgo: «La intensidad regulatoria sube y la documentación pesa». Ahora bien, también hay un efecto positivo. «El mercado empieza a premiar la IA conforme como señal de confianza, especialmente en B2B», comenta. Su impresión es que la clave para que no se convierta en un club de grandes es que las pymes se apoyen en tres palancas: elegir proveedores que ya vengan preparados, contratar bien (cláusulas y evidencias), y montar un mínimo de gobernanza realista. Eso, bien hecho, puede ser perfectamente asumible. Guillermo Hidalgo recuerda que la norma está diseñada con un enfoque basado en riesgo, por lo que no es lo mismo usar un chatbot informativo que desplegar IA en la selección de personal o 'scoring' crediticio. «Lo que puede tensionar a una pyme es cuando desarrolla IA (especialmente de alto riesgo), la integra de forma profunda y sin apoyo, o entra en sectores regulados donde la exigencia de evidencia técnica y documental es alta. Ahí sí existe el riesgo de barrera de entrada, porque el cumplimiento exige capacidades que no siempre están disponibles», advierte. Por este motivo, incide en que el coste se gestiona mejor si las pymes adoptan un enfoque incremental , basado en atacar el cumplimiento por etapas, de lo más esencial a lo más crítico. Por su parte, César Alonso reconoce que la ley supone un esfuerzo significativo, sobre todo para organizaciones con menos recursos, porque la documentación técnica, el registro de eventos (logs) y la supervisión humana implican un coste, aunque, como nota positiva, recuerda que el reglamento contempla medidas de apoyo específicas para pymes, como la participación en Sandboxes regulatorios. «No lo vemos como una barrera de entrada, sino como un filtro de calidad . Más allá de la multa, el riesgo real es implementar una IA sesgada que destruya la reputación de la empresa», señala. En esta línea, defiende que quien adopte la IA bajo el paraguas de la ley gozará de una ventaja competitiva de confianza y seguridad frente a quien opere en el 'salvaje oeste'. La mayor inquietud en la actualidad radica en la correcta clasificación de los casos de uso, a lo que se une la complejidad de la gobernanza del dato, la aplicabilidad, la trazabilidad y la transparencia. «Muchas empresas dudan de poder justificar ante el regulador, con la transparencia exigida, por qué un sistema tomó una decisión concreta», dice. Esta preocupación se ve acentuada por un calendario de aplicación que no da tregua. Si bien la norma entró en vigor en 2024 y ya hemos superado hitos clave, «ahora nos acercamos a una fase decisiva», en palabras de Alonso. Y es que, como se mencionó anteriormente, el próximo agosto empiezan a aplicar las obligaciones sobre los sistemas de alto riesgo , incluyendo IA en biometría, infraestructuras críticas, educación, empleo, acceso a servicios públicos esenciales… A los 36 meses ocurrirá lo mismo con las obligaciones para alto riesgo ligado a legislación sectorial de seguridad de producto. «Las compañías ya no tienen margen de espera –destaca–. Estos meses restantes son críticos, pues la adecuación técnica y documental exige un trabajo de fondo que no puede improvisarse en el último momento. Hay que prepararse ahora, no cuando llegue el requerimiento del regulador». La cuenta atrás ha empezado.
