Doce horas de reunión. Un pasillo tras otro en las instituciones europeas. Negociadores agotados, café recalentado, documentos subrayados. Y al final, nada **no hubo acuerdo**. Las conversaciones tripartitas sobre el paquete digital que incluye el tan esperado Reglamento de Inteligencia Artificial el llamado Omnibus Digital terminaron el martes sin consenso entre el Consejo de la UE, el Parlamento Europeo y la presidencia chipriota. El reloj, sin embargo, no se detiene. Y si antes del 2 de agosto no se alcanza una solución, el marco para los sistemas de IA de alto riesgo entrará en vigor tal y como está redactado, con todos los retos que eso implica.
Un calendario que aprieta
El tiempo corre en varios sentidos. Por un lado, el calendario político Chipre preside el Consejo hasta el 30 de junio, y tras su relevo llegará Irlanda. El margen para cerrar acuerdos es estrecho, y el próximo intento de negociación está programado para mayo. Demasiado tarde, quizás, para evitar que el 2 de agosto se active un escenario de incertidumbre. Porque ese día, sin necesidad de más trámites, deberían empezar a aplicarse las obligaciones para los sistemas de alto riesgo. Pero hay un problema las normas técnicas aún no están listas. De hecho, fuentes del Comité Técnico Conjunto CEN-CENELEC sugieren que no será hasta diciembre de 2026, como mínimo, cuando se disponga del conjunto completo de especificaciones armonizadas. ¿Cómo cumplir con una ley si no existen las herramientas para hacerlo?
El Parlamento Europeo ya dio un paso claro el 26 de marzo votó a favor de retrasar la aplicación de esas obligaciones. Proponía el 2 de diciembre de 2027 para los sistemas autónomos de alto riesgo y el 2 de agosto de 2028 para aquellos integrados en productos. El Consejo respaldó esas fechas. Pero el acuerdo final sigue sin sellarse. Y mientras tanto, empresas, desarrolladores y responsables de cumplimiento navegan en aguas turbias.
¿Doble regulación o agujero negro?
Uno de los puntos más espinosos fue la propuesta de exención para sistemas de IA ya sujetos a normas europeas de seguridad, como los dispositivos médicos, maquinaria o juguetes. Parecía una medida de sentido común evitar que una misma tecnología tenga que pasar por dos procesos regulatorios paralelos. Pero generó fuertes resistencias. Cuarenta organizaciones de consumidores, médicos y académicos firmaron una carta abierta advirtiendo que esa exención podría "reabrir elementos fundamentales del marco" y terminar por debilitar el propio Reglamento de IA.
El debate no era solo técnico, sino ético. ¿Qué sucede si una IA integrada en un marcapasos falla? ¿Quién responde la autoridad sanitaria, la agencia de IA, ambas? El Centro para la Democracia y la Tecnología Europa señaló que el asunto generó intenso debate, con argumentos válidos en ambos lados. Por un lado, la necesidad de agilizar el cumplimiento; por otro, el riesgo de crear lagunas de supervisión.
"En sectores ya muy regulados, como el sanitario, una regulación adicional sobre la IA aumenta aún más el cumplimiento y los quebraderos de cabeza para las empresas. Cumplir con la seguridad tanto física como digital es importante, pero tiene que haber una forma de reducir la carga que supone el cumplimiento y rendir cuentas ante una única autoridad reguladora." - Neil Shah, vicepresidente de investigación y socio de Counterpoint Research
Los CIO, entre la espera y la acción
Mientras los políticos negocian, los directores de tecnología y cumplimiento no pueden permitirse el lujo de quedarse quietos. Neil Shah lo tiene claro "Creo que los CIO se encuentran en una situación difícil en este momento. Deberían estar preparados, independientemente del limbo regulatorio, y considerar este verano como una fecha límite inamovible. Si se retrasa, será una ventaja; si no, supondrá un riesgo normativo".
Y no es solo cuestión de cumplir. Es de anticiparse. Las empresas deben ya estar haciendo inventarios de sus casos de uso de IA, evaluando riesgos y diseñando medidas de gobernanza. Porque aunque las normas técnicas no estén listas, y aunque las autoridades nacionales de ejecución aún no estén operativas, el Reglamento sigue teniendo fuerza de ley. Enza Iannopollo, analista principal de Forrester, lo resume con claridad "Es obvio que si las autoridades responsables de hacer cumplir las normas no están establecidas, no habrá aplicación, a pesar de los plazos. Pero los Estados miembros pueden acelerar ese proceso y poner en marcha esas autoridades con bastante rapidez".
Más allá del alto riesgo
No todo gira en torno a los sistemas de alto riesgo. Otras partes del Reglamento avanzan según lo previsto. Las prohibiciones sobre aplicaciones de IA de riesgo inaceptable como la vigilancia masiva o la manipulación subliminal entrarán en vigor en febrero de 2025. Las normas para los modelos de IA de uso general se aplicarán desde agosto de 2025. Y el 2 de agosto de este año, sin margen para aplazamientos, entrará en vigor el artículo 50 se exigirá transparencia en las interacciones con chatbots y el etiquetado claro de contenidos generados por IA, como los deepfakes. Será ilegal ocultar que estás hablando con una máquina o que una imagen ha sido generada por inteligencia artificial.
La sesión de prensa en Estrasburgo, donde se esperaba informar sobre el estado de las negociaciones, fue cancelada en el último momento. Tampoco hubo declaraciones oficiales antes del cierre de esta nota. Tal vez sea un detalle simbólico en medio del silencio, el reloj sigue marcando los segundos. Y mientras Europa discute, el mundo sigue avanzando. La regulación no es solo un trámite legislativo es una decisión sobre qué tipo de tecnología queremos, quién la controla y cómo protegemos a las personas. El 2 de agosto no es solo una fecha en el calendario. Es un umbral. Y aunque los políticos no lleguen a un acuerdo, **la ley no espera**.