La inteligencia artificial ya no entra en la empresa con un gran anuncio, sino con una suscripción, un piloto de productividad o una cuenta abierta por un equipo con prisa.
ChatGPT, Copilot, Gemini o Claude ya forman parte de procesos de recursos humanos, atención al cliente, finanzas, marketing, análisis y productividad. El problema aparece cuando esa adopción corre más que las reglas internas y convierte una ayuda cotidiana en un asunto de gobernanza.
La norma llegó antes de que muchas empresas ordenaran su casa
El Reglamento Europeo de Inteligencia Artificial entró en vigor el 1 de agosto de 2024.
Desde el 2 de febrero de 2025 ya se aplican sus primeras obligaciones, centradas en prácticas prohibidas y alfabetización en IA. Después, el 2 de agosto de 2025 empezaron a desplegarse exigencias ligadas a gobernanza y a los modelos de propósito general.
Mientras tanto, muchas organizaciones habían incorporado estas herramientas antes de definir una política interna, formar a sus equipos o incluso identificar qué sistemas usaban de verdad. Ahí está la contradicción de fondo, porque la IA se presenta como una capa de eficiencia y termina exigiendo inventario, responsables y control.
"La IA ha entrado en muchas empresas por la puerta de atrás: primero como herramienta de productividad, después como hábito diario y ahora como riesgo de gobernanza." - Juan Luis Pascual, CEO de CenteIA Consulting
Esa entrada silenciosa no afecta solo a tareas secundarias. También alcanza usos que tocan decisiones empresariales o situaciones personales, como la selección automatizada de personal, el análisis financiero o las herramientas de evaluación y scoring, un terreno que ya ha obligado a reforzar la supervisión de algoritmos laborales.
Bruselas movió el calendario cuando la presión ya era visible
El 7 de mayo de 2026 se cerró en Bruselas el Acuerdo Omnibus Digital, que reajusta el calendario de aplicación del reglamento.
Ese cambio desplaza una parte clave del tablero. Las obligaciones para los sistemas de alto riesgo del Anexo III, previstas para el 2 de agosto de 2026, se aplazan al 2 de diciembre de 2027, y las del Anexo I pasan al 2 de agosto de 2028.
No es un detalle menor.
Buena parte del reglamento empezará a aplicarse el 2 de agosto de 2026, pero las cargas más exigentes para ciertos sistemas de alto riesgo tardarán más en llegar. Dicho de otro modo, Europa no pisa el freno en todo, aunque sí retrasa la parte que más inquieta a empresas y sectores sometidos a controles estrictos, como ya se vio en el aplazamiento de las reglas europeas.
El acuerdo añade además una prohibición específica para los sistemas de generación de imágenes íntimas no consentidas. Es una señal clara de hacia dónde apunta la regulación cuando la automatización deja de ser una cuestión de oficina y entra de lleno en derechos, daño personal y exposición pública.
Las multas convierten el desorden interno en un problema muy caro
Las infracciones por prácticas prohibidas pueden acarrear sanciones de hasta 35 millones de euros o el 7 % de la facturación anual mundial de la empresa. Otros incumplimientos relevantes pueden suponer hasta 15 millones de euros o el 3 % de la facturación.
Facilitar información incorrecta o engañosa a las autoridades también tiene castigo. En ese caso, las sanciones pueden llegar a 7,5 millones de euros o el 1 % del volumen de negocio.
El 26 de mayo de 2026, además, el Consejo de Ministros aprobó el Proyecto de Ley español de gobernanza de la IA. España empieza así a preparar su encaje interno de un marco europeo que ya no trata la inteligencia artificial como una novedad de laboratorio, sino como una tecnología que interviene en contratación, evaluación, finanzas y reputación.
"Estamos viendo compañías que han incorporado seis o siete herramientas de IA en menos de un año y cuando preguntamos quién es el responsable interno, nadie levanta la mano. La velocidad de adopción ha superado claramente la capacidad de gestión interna." - Juan Luis Pascual, CEO de CenteIA Consulting
CenteIA Consulting identifica cuatro riesgos que aparecen una y otra vez en ese escenario.
- Fugas de información
- Automatización sin supervisión humana
- Incumplimientos regulatorios
- Exposición reputacional
La imagen final resulta menos futurista y bastante más terrenal. Una empresa puede tener seis o siete herramientas de IA operando en menos de un año y, al mismo tiempo, no saber quién responde por ellas cuando una decisión automatizada afecta a una persona o cuando una autoridad pregunta.