La Unión Europea flexibiliza la aplicación de la AI Act: menos incertidumbre regulatoria, simplificación técnica y veto explícito a las aplicaciones “nudifier”

Por Iván Martínez, CEO de Intedya

La Unión Europea acaba de aprobar provisionalmente uno de los ajustes regulatorios más relevantes desde la aprobación de la AI Act. Parlamento y Consejo han alcanzado un acuerdo político dentro del denominado “Digital Omnibus Package” que modifica aspectos clave de la aplicación práctica del Reglamento de Inteligencia Artificial, especialmente en relación con los plazos, la coordinación normativa y determinadas prohibiciones específicas. El movimiento no supone una desnaturalización de la AI Act ni un abandono de su enfoque basado en riesgos. Muy al contrario: Bruselas intenta responder a una preocupación creciente del ecosistema empresarial europeo, especialmente startups, scaleups, fabricantes industriales y proveedores tecnológicos, que advertían sobre el riesgo de una implementación precipitada, fragmentada y jurídicamente incierta.

El mensaje político es claro: Europa quiere mantener el liderazgo regulatorio global en inteligencia artificial, pero empieza a asumir que un exceso de complejidad normativa puede convertirse en un freno operativo para la innovación, la inversión y el despliegue tecnológico.

El gran cambio: se retrasan obligaciones clave para sistemas de alto riesgo

Uno de los elementos más relevantes del acuerdo es el aplazamiento de determinadas obligaciones aplicables a sistemas de IA considerados de “alto riesgo”.

Según el nuevo calendario acordado:

• Las obligaciones para sistemas de IA de alto riesgo utilizados en biometría, infraestructuras críticas, educación, empleo, aplicación de la ley o gestión fronteriza comenzarán a aplicarse desde el 2 de diciembre de 2027.
• Los sistemas de IA incorporados como componentes de seguridad cubiertos por legislación sectorial europea de seguridad y vigilancia de mercado pasarán a estar sujetos a estas obligaciones desde el 2 de agosto de 2028.

Este aplazamiento no es menor. En la práctica, supone reconocer que todavía no existen suficientes estándares armonizados, guías técnicas, criterios interpretativos y mecanismos de soporte que permitan una implementación homogénea y jurídicamente segura. Para miles de organizaciones europeas, especialmente fabricantes, integradores tecnológicos, desarrolladores de software industrial y operadores críticos, el problema ya no era únicamente “cumplir”, sino entender exactamente cómo demostrar cumplimiento de manera defendible frente a autoridades supervisoras.

Europa empieza a asumir un problema real: la inseguridad jurídica de la IA

Uno de los grandes desafíos de la AI Act siempre ha sido la enorme complejidad técnica de algunos conceptos regulatorios.

• ¿Qué constituye exactamente un “componente de seguridad”?
• ¿Cuándo una funcionalidad basada en IA pasa de ser “asistencial” a convertirse en “alto riesgo”?
• ¿Qué nivel de trazabilidad será suficiente?
• ¿Cómo se integran los requisitos de la AI Act con legislación sectorial ya existente?

El nuevo acuerdo intenta precisamente reducir esas zonas grises. Uno de los cambios más importantes establece que determinados productos regulados bajo normativa sectorial de seguridad, como maquinaria o ciertos productos industriales, no tendrán que cumplir simultáneamente requisitos duplicados de distintas normativas cuando ya exista cobertura equivalente en legislación específica. Desde una perspectiva empresarial y de compliance, esta modificación es enormemente relevante. Hasta ahora, muchas organizaciones temían escenarios de “doble cumplimiento”:

• AI Act
• Reglamento de máquinas
• legislación de seguridad industrial
• requisitos de marcado CE
• obligaciones de vigilancia de mercado
• requisitos de ciberseguridad
• documentación técnica redundante

La simplificación acordada intenta precisamente evitar ese efecto de sobrecarga regulatoria acumulativa.

Redefiniendo el concepto de “componente de seguridad”

Otro punto especialmente importante es la redefinición parcial del concepto de “safety component”. El acuerdo aclara que no toda funcionalidad basada en IA integrada en un producto implicará automáticamente clasificación de alto riesgo.

Si la IA únicamente:

• asiste al usuario,
• optimiza rendimiento,
• mejora eficiencia,
• automatiza tareas auxiliares,

y un eventual fallo no genera riesgos para salud o seguridad, el sistema podría quedar fuera de determinadas obligaciones de alto riesgo.

Esto es especialmente relevante para:

• software industrial,
• sistemas ERP inteligentes,
• herramientas de mantenimiento predictivo,
• IA en logística,
• plataformas de optimización operativa,
• sistemas de soporte a decisiones no críticas.

En otras palabras: Europa empieza a diferenciar con más precisión entre IA “crítica” e IA “instrumental”.

Prohibición expresa de las aplicaciones “nudifier”

Probablemente el punto mediáticamente más visible del acuerdo sea la prohibición explícita de determinadas aplicaciones de IA generativa sexualizada conocidas popularmente como “nudifiers”. La UE prohibirá:

• comercializar sistemas destinados a generar este tipo de contenido;
• comercializar sistemas sin medidas razonables de prevención;
• utilizar estas herramientas para generar contenido sexual explícito sin consentimiento;
• crear material de abuso sexual infantil mediante IA.

La prohibición abarca imágenes, vídeo y audio. Desde una perspectiva jurídica y ética, este movimiento es significativo porque refleja cómo la regulación europea empieza a desplazarse desde una visión puramente tecnológica hacia una lógica más vinculada con la dignidad humana, los derechos fundamentales, el consentimiento, la protección de menores, la violencia digital y el abuso de identidad. El debate aquí ya no es únicamente tecnológico, también es profundamente social y reputacional.

El watermarking también se retrasa

Otro cambio importante afecta a las obligaciones de watermarking o marcaje de contenido generado por IA. La obligación se retrasa hasta el 2 de diciembre de 2026. El objetivo de estas técnicas es permitir detectar y rastrear contenido generado artificialmente. Pero la realidad técnica es que todavía existen importantes limitaciones:

• falta de estándares comunes,
• fragilidad de algunos sistemas de marcado,
• facilidad de eliminación,
• problemas de interoperabilidad,
• impacto sobre calidad de contenidos,
• dificultades para contenido multimodal.

Europa parece asumir que imponer obligaciones antes de que exista suficiente madurez tecnológica podría generar más problemas que soluciones.

Más facilidades para pymes y pequeñas mid-cap

El acuerdo también amplía determinadas exenciones regulatorias a pequeñas empresas de mediana capitalización (“small mid-caps”). Esto es relevante porque uno de los grandes riesgos identificados por el ecosistema tecnológico europeo era la posible consolidación de un mercado dominado únicamente por grandes corporaciones capaces de absorber costes regulatorios complejos. La AI Act, paradójicamente, podía terminar favoreciendo a los gigantes tecnológicos frente a startups europeas, la flexibilización busca evitar precisamente ese efecto.

La AI Office gana protagonismo

Otro elemento importante es la centralización parcial del enforcement en torno a la AI Office europea.

Esto apunta a un intento de reducir:

• fragmentación interpretativa,
• divergencias nacionales,
• duplicidades supervisoras,
• criterios inconsistentes entre autoridades.

Para las organizaciones multinacionales esto puede ser especialmente positivo, ya que uno de los mayores temores era enfrentarse a interpretaciones distintas en cada Estado miembro.

Lo que realmente está ocurriendo: Europa está corrigiendo su primera gran regulación de IA en tiempo real

Más allá de los detalles técnicos, este acuerdo refleja algo mucho más profundo. La AI Act fue concebida en un contexto tecnológico completamente distinto al actual:

• antes del boom masivo de IA generativa,
• antes de la expansión empresarial de LLMs,
• antes de la democratización extrema de modelos fundacionales,
• antes de la aceleración competitiva global liderada por EE. UU. y China.

En la práctica, Europa está aprendiendo mientras regula. La AI Act sigue siendo el marco regulatorio de IA más ambicioso del mundo, pero este “Omnibus” demuestra que incluso Bruselas empieza a aceptar que la sostenibilidad regulatoria requiere pragmatismo operativo.

Impacto para organizaciones y profesionales de compliance

Para departamentos jurídicos, compliance officers, responsables de IA, CISOs y equipos de governance, este acuerdo cambia parcialmente las prioridades inmediatas.

El retraso de obligaciones no debe interpretarse como una “pausa” estratégica para no actuar, de hecho, ocurre lo contrario. Las organizaciones que utilicen este tiempo para:

• inventariar sistemas de IA,
• clasificar riesgos,
• desarrollar estructuras de gobernanza,
• implantar controles,
• preparar trazabilidad,
• entrenar personal,
• definir roles de supervisión,
• integrar IA en ERM y compliance,

llegarán enormemente mejor posicionadas cuando los requisitos entren plenamente en vigor. Porque, aunque cambien los plazos, la dirección estratégica de Europa no cambia, la inteligencia artificial seguirá siendo uno de los entornos regulatorios más supervisados, documentados y exigentes de la próxima década.