En el mundo de la inteligencia artificial, las reglas están cambiando y lo hacen a una velocidad que muchos aún no han asimilado. Lo que antes parecía lejano, un marco regulatorio europeo que marcara el rumbo ético y técnico del uso de la IA, ahora está a la vuelta de la esquina. Y aunque Bruselas ha propuesto dar un poco más de margen a las empresas, la sensación entre los expertos es clara: el tiempo de mirar hacia otro lado ya pasó.
Un retraso que no es un respiro
Agosto de 2026 ya no es la fecha clave. La Comisión Europea ha sugerido posponer la entrada en vigor de las obligaciones para los sistemas de alto riesgo en inteligencia artificial hasta diciembre de 2027, una prórroga de hasta dieciséis meses. Suena como un alivio, pero no lo es del todo. Este retraso forma parte de un paquete más amplio, el Digital Omnibus, que aún debe ser aprobado por el Parlamento y el Consejo. Hasta entonces, la incertidumbre sigue siendo la norma.
El gesto de Bruselas parece compasivo, pero en realidad responde a una realidad compleja: muchas empresas, especialmente pymes, no están preparadas. No por falta de interés, sino porque el Reglamento de Inteligencia Artificial no es solo otro texto legal más. Es un cambio de paradigma.
El Reglamento de IA no es solo 'otra norma'. Introduce un marco de cumplimiento por niveles de riesgo, cambia el lenguaje (proveedor, importador, distribuidor, responsable del despliegue) y exige evidencias técnicas (gestión de riesgos, gobernanza de datos, documentación, trazabilidad) que muchas empresas no tenían sistematizadas o interiorizadas
¿Quién es quién en el juego de la IA?
Uno de los mayores desafíos para las empresas es entender qué papel desempeñan en esta nueva cadena de responsabilidad. No es lo mismo usar una herramienta de IA que desarrollarla, pero la línea entre ambas cosas no siempre es nítida.
Por ejemplo, si una pequeña empresa adquiere un sistema de selección de personal basado en IA y lo reentrena para filtrar currículums según sus propios criterios, puede estar cruzando una frontera invisible. Al modificar sustancialmente el sistema o cambiar su finalidad, se convierte en proveedor y, con ello, asume obligaciones técnicas, legales y potenciales sanciones.
Pueden convertirse en proveedor (y asumir responsabilidades reforzadas) si, por ejemplo, re-etiquetan la herramienta bajo su marca, la modifican sustancialmente, o cambian su finalidad de forma relevante, especialmente si la empujan a un escenario de alto riesgo
La incertidumbre como compañero de viaje
Las normas armonizadas, las guías interpretativas y los códigos de buenas prácticas aún están en desarrollo. Eso genera una sensación de inestabilidad. ¿Cómo cumplir con algo que aún no está del todo definido? Esta pregunta resuena en despachos de todo el continente.
En España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) ha publicado 16 guías con el objetivo de facilitar la adaptación de las empresas. La intención es clara: hacer el cumplimiento más operativo, especialmente para quienes no tienen equipos legales ni técnicos de gran tamaño.
Lo que mata a la pyme no es la obligación en abstracto, sino no tener un camino práctico y proporcional
El reto no es solo técnico, es cultural
Las empresas no solo luchan con plazos y normas. También deben enfrentarse a un problema de integración. ¿Cómo encaja el Reglamento de IA con el RGPD, con NIS2 o con DORA? La gobernanza ya no se puede tratar por compartimentos. El reto actual no es solo tecnológico, es de gobernanza integrada.
Y mientras las grandes corporaciones pueden absorber estos cambios con equipos internos, las pymes suelen depender de terceros, lo que hace que el cumplimiento se perciba como un coste adicional, no como una inversión en confianza.
Cumplir bien exige inventariar usos de IA, clasificar riesgos, documentar, formar a equipos, exigir garantías al proveedor y conservar evidencias. Una gran empresa lo absorbe con departamentos internos, mientras que una pyme suele ir más justa y depende de terceros
IA de propósito general: la bomba de relojería
Uno de los aspectos que más inquieta a las empresas no son los sistemas especializados, sino los modelos de IA de propósito general y generativa. Esos que ya están presentes en herramientas de productividad, atención al cliente o marketing. Son útiles, omnipresentes, pero difíciles de encajar en una lógica de riesgos.
Clasificar si algo es alto riesgo o no no es solo un ejercicio burocrático. Define el nivel de exigencia, la documentación necesaria, la supervisión humana, la trazabilidad. Y todo ello conlleva tiempo, recursos y una transformación interna que muchas organizaciones aún no han iniciado.
Lo que más está generando preocupación entre las compañías es, por este orden, la clasificación de si algo es alto riesgo o no, la carga de gobierno interno y evidencias, y el bloque de IA de propósito general y generativa
El reloj no se detiene
El próximo agosto, si el calendario se mantiene, entrarán en vigor las obligaciones para sistemas de alto riesgo. Biometría, educación, empleo, acceso a servicios esenciales. A los 36 meses, se añadirán nuevas exigencias vinculadas a legislaciones sectoriales. La cuenta atrás ha empezado.
Las empresas ya no pueden permitirse esperar. Prepararse no es una tarea que se improvisa en los últimos meses. Requiere un trabajo de fondo: inventariar usos, formar equipos, exigir garantías a proveedores, documentar procesos. Es un proceso, no un trámite.
Las compañías ya no tienen margen de espera. Estos meses restantes son críticos, pues la adecuación técnica y documental exige un trabajo de fondo que no puede improvisarse en el último momento. Hay que prepararse ahora, no cuando llegue el requerimiento del regulador. La cuenta atrás ha empezado
El Reglamento de IA no es una barrera de entrada, como algunos temen. Es un filtro de calidad. Y el verdadero riesgo no es la multa, sino la pérdida de confianza. Una IA sesgada, mal gestionada, mal supervisada, puede dañar la reputación de una empresa mucho más que cualquier sanción económica.
El mercado, poco a poco, empieza a premiar la IA conforme. No como un cumplimiento, sino como una señal de madurez, de responsabilidad. En un mundo donde la tecnología avanza a ritmo exponencial, la confianza se está convirtiendo en el nuevo activo digital.