El Supervisor Europeo de Protección de Datos marca el rumbo de la supervisión de la Inteligencia Artificial en Europa bajo el AI Act

Por Iván Martínez, CEO de Intedya

La entrada en vigor del Reglamento (UE) 2024/1689, conocido como AI Act, ha supuesto un cambio estructural en la forma en que Europa regula la inteligencia artificial. Sin embargo, más allá del texto legal, el verdadero punto de inflexión comienza ahora: la definición de cómo se aplicará en la práctica. En este contexto, el Supervisor Europeo de Protección de Datos (EDPS) ha publicado su hoja de ruta estratégica para el periodo 2026–2027, un documento que anticipa con bastante precisión el modelo real de supervisión que se desplegará en los próximos años.

Un regulador con doble rol: certifica y sanciona

Uno de los aspectos más relevantes del nuevo escenario es el papel dual que asumirá el EDPS dentro del ecosistema del AI Act. Por un lado, actuará como autoridad de vigilancia de mercado, con capacidad para inspeccionar, requerir información, restringir sistemas o imponer sanciones. Por otro, desempeñará funciones propias de un organismo notificado, evaluando la conformidad de determinados sistemas de inteligencia artificial de alto riesgo antes de su puesta en servicio. Este diseño introduce una complejidad significativa, ya que concentra en una misma entidad funciones que tradicionalmente se han mantenido separadas. El propio EDPS reconoce esta tensión y plantea la necesidad de establecer mecanismos internos de independencia y separación funcional para garantizar la imparcialidad y evitar conflictos de interés.

La inteligencia artificial se regula como un producto

El documento confirma de forma clara que la inteligencia artificial pasa a integrarse en el modelo clásico europeo de regulación de productos. Esto implica que los sistemas de IA se someten a un ciclo completo que incluye evaluación previa, control de conformidad, supervisión continua y posibles medidas correctivas o sancionadoras. Este enfoque supone un cambio de paradigma. La IA deja de ser tratada exclusivamente como una cuestión ética o tecnológica para convertirse en un objeto regulado con requisitos técnicos, procedimientos de evaluación y responsabilidades claramente definidas. En la práctica, esto aproxima la IA a sectores como la seguridad industrial o los dispositivos médicos, donde el cumplimiento normativo es continuo y altamente estructurado.

Un sistema de control en dos fases: antes y después

La arquitectura de supervisión que se consolida con el AI Act y que el EDPS desarrolla operativamente se basa en un modelo dual. Por un lado, se establece una supervisión ex ante, centrada en la evaluación de conformidad de los sistemas de alto riesgo antes de su despliegue. Esta fase incluye ensayos técnicos, inspecciones y certificación. Por otro, se configura una supervisión ex post, que permite a la autoridad actuar una vez que el sistema está en funcionamiento. En esta fase, el EDPS podrá realizar inspecciones —incluidas no anunciadas—, solicitar documentación, restringir el uso de sistemas o incluso ordenar su retirada del mercado, además de imponer sanciones cuando proceda. Este modelo refuerza la idea de que el cumplimiento no es un momento puntual, sino un proceso continuo.

Del compliance documental a la supervisión técnica

Aunque el AI Act se basa en un enfoque de clasificación por niveles de riesgo, el EDPS introduce un elemento clave: la supervisión será contextual y adaptativa. No se limitará a verificar el cumplimiento formal de requisitos, sino que tendrá en cuenta el uso real del sistema, su arquitectura técnica y su impacto sobre los derechos fundamentales. Esto implica un cambio profundo en la forma de auditar. Se pasa de modelos basados en documentación y evidencias formales a evaluaciones que requieren un entendimiento técnico real de los sistemas de inteligencia artificial. La auditoría deja de ser un ejercicio administrativo para convertirse en una actividad multidisciplinar.

Nace una nueva generación de auditorías de IA

El EDPS anticipa claramente cómo evolucionará la auditoría en este ámbito. La evaluación de sistemas de inteligencia artificial exigirá conocimientos en inteligencia artificial, protección de datos, ciberseguridad, derechos fundamentales y seguridad. Además, se desarrollarán procedimientos específicos de auditoría, criterios de inspección y mecanismos de reporte de incidentes. Este enfoque configura una nueva disciplina profesional, donde la auditoría de IA no puede abordarse desde un único ángulo. La convergencia entre lo técnico, lo jurídico y lo organizativo será la base de los futuros esquemas de certificación y control.

Un ecosistema de IA en rápida expansión en Europa

El análisis del EDPS revela que las instituciones europeas ya están utilizando de forma intensiva sistemas de inteligencia artificial. Se han identificado más de un centenar de soluciones, con especial presencia en ámbitos como la justicia, la seguridad y la gestión de recursos humanos. Además, se observa una clara tendencia hacia el uso de tecnologías avanzadas como la inteligencia artificial generativa y el procesamiento del lenguaje natural, junto con la aparición de nuevos modelos como la IA agentica. Este crecimiento acelerado incrementa la necesidad de una supervisión capaz de adaptarse a un entorno tecnológico en constante evolución.

Cuatro pilares para un modelo de supervisión completo

La estrategia del EDPS se articula en torno a cuatro grandes ejes: la supervisión de sistemas de IA, la coordinación regulatoria, el desarrollo de capacidades institucionales y la cooperación internacional. Este enfoque refleja una visión amplia de la regulación, en la que el control se combina con el acompañamiento y la generación de conocimiento. No se trata únicamente de detectar incumplimientos, sino de construir un ecosistema en el que las organizaciones sean capaces de desarrollar y utilizar inteligencia artificial de forma responsable y alineada con los valores europeos.

Sandbox y centros de excelencia: regulación e innovación convergen

Entre las iniciativas más destacadas se encuentra la creación de entornos sandbox, que permitirán experimentar con sistemas de inteligencia artificial bajo la supervisión del regulador. Estos espacios facilitan la innovación al tiempo que integran los requisitos normativos desde las primeras fases de desarrollo. A ello se suma la puesta en marcha de un Centro de Excelencia en IA dentro del EDPS, orientado a generar conocimiento técnico, desarrollar metodologías de auditoría y difundir buenas prácticas. Este tipo de estructuras suele tener un impacto significativo en la consolidación de estándares operativos en el mercado.

Impacto en empresas, certificación y compliance

Aunque el documento se centra en las instituciones europeas, sus implicaciones son mucho más amplias. Todo apunta a que este modelo marcará la pauta para el sector privado, especialmente en ámbitos como la certificación, la auditoría y la gestión del compliance. La regulación de la inteligencia artificial abre un nuevo espacio para el desarrollo de esquemas de certificación, la creación de nuevos perfiles profesionales y la implementación de herramientas específicas de gestión del riesgo. En este contexto, las organizaciones que se anticipen y adapten sus modelos de gobernanza estarán mejor posicionadas para competir en un entorno donde la confianza será un factor clave. La estrategia del EDPS representa el paso definitivo de la regulación teórica a la aplicación práctica del AI Act. Europa avanza hacia un modelo en el que la inteligencia artificial se somete a un control estructurado, continuo y basado en riesgos reales. En este nuevo escenario, la clave no será únicamente cumplir con la normativa, sino integrar la gobernanza de la inteligencia artificial en el núcleo de las organizaciones.