La cuenta atrás del Reglamento Europeo de IA entra en fase crítica: agosto marcará un nuevo nivel de exigencia para empresas y supervisores

El Reglamento Europeo de Inteligencia Artificial entra en una etapa decisiva. La aproximación del 2 de agosto de 2026 está intensificando la actividad regulatoria de la Comisión Europea, la Oficina de IA y los Estados miembros, que ultiman criterios, guías y estructuras de supervisión para hacer operativo uno de los marcos normativos más ambiciosos del mundo en materia de inteligencia artificial.

Durante las últimas semanas se han acumulado señales claras de que el AI Act deja atrás su fase más conceptual y comienza a desplegar sus efectos prácticos. Entre las novedades más relevantes se encuentra la consulta abierta por la Comisión Europea sobre el borrador de directrices para la clasificación de sistemas de IA de alto riesgo. Esta consulta, abierta hasta el 23 de junio de 2026, busca recoger comentarios de proveedores, desarrolladores, entidades usuarias, autoridades, organismos supervisores, investigadores y sociedad civil sobre la claridad de los criterios propuestos y la utilidad de los ejemplos incluidos.

La cuestión no es menor. Determinar si un sistema de IA es o no de alto riesgo será una de las decisiones más relevantes para cualquier organización que desarrolle, adquiera, integre o utilice soluciones basadas en inteligencia artificial. La clasificación condicionará obligaciones en materia de gestión de riesgos, gobernanza de datos, documentación técnica, trazabilidad, supervisión humana, ciberseguridad, precisión, robustez y evaluación de conformidad.

El reto será especialmente importante en ámbitos como empleo, educación, infraestructuras críticas, servicios esenciales, migración, acceso a prestaciones públicas, justicia, seguridad o gestión de personas. En estos sectores, el uso de IA ya no podrá analizarse únicamente desde una perspectiva tecnológica o de eficiencia operativa. Deberá integrarse en los sistemas de compliance, control interno, gestión de riesgos y gobierno corporativo.

La Oficina de IA gana peso como autoridad de supervisión

Otra de las claves del nuevo escenario es el fortalecimiento de la Oficina Europea de IA. A partir del 2 de agosto, esta Oficina dispondrá de poderes significativos frente a los proveedores de modelos de IA de propósito general. Entre ellos se incluyen la posibilidad de requerir documentación técnica, solicitar información sobre los datos utilizados para el entrenamiento, encargar evaluaciones independientes y exigir medidas correctivas cuando se detecten incumplimientos.

Este punto marca un cambio relevante en la arquitectura de supervisión. La Oficina de IA no será únicamente un órgano de coordinación o interpretación, sino que contará con herramientas efectivas para intervenir en el mercado, especialmente en relación con los grandes modelos de propósito general y aquellos que puedan presentar riesgo sistémico.

El régimen sancionador refuerza esta capacidad. El incumplimiento de determinados requerimientos de información o evaluación puede derivar en multas de hasta el 3 % del volumen de negocios anual mundial. Aunque el enfoque inicial parece orientado al diálogo técnico y la cooperación con los operadores, el mensaje regulatorio es claro: la falta de colaboración, documentación o capacidad de demostrar cumplimiento podrá tener consecuencias relevantes.

Más claridad sobre los modelos de propósito general

La publicación de nuevas aclaraciones sobre los modelos de IA de propósito general también aporta elementos importantes para el mercado. Estas orientaciones abordan cuestiones como la definición de modelo GPAI, la diferencia entre modelo y sistema de IA, la identificación del proveedor, el tratamiento de modelos modificados por terceros, las obligaciones aplicables a modelos de código abierto, el umbral de cómputo vinculado al riesgo sistémico, la documentación sobre consumo energético, la notificación de incidentes graves y la relación con el Código de Buenas Prácticas de GPAI.

Para muchas organizaciones, este aspecto será especialmente sensible. La cadena de valor de la IA es compleja: una empresa puede utilizar un modelo desarrollado por un tercero, integrarlo en una solución propia, adaptarlo a un caso de uso concreto o desplegarlo dentro de un proceso interno. En cada uno de estos supuestos puede variar su posición jurídica y, con ella, sus obligaciones.

Por ello, uno de los primeros ejercicios que deberían realizar las organizaciones no es solo identificar qué herramientas de IA utilizan, sino determinar qué rol desempeñan respecto de cada una de ellas: proveedor, deployer, importador, distribuidor, representante autorizado o usuario profesional dentro de un entorno corporativo.

Transparencia: una obligación que va más allá de los sistemas de alto riesgo

El artículo 50 del AI Act será otro de los grandes focos de atención. Sus obligaciones de transparencia no se limitan a los sistemas clasificados como de alto riesgo. Afectan también a sistemas que interactúan directamente con personas, generan contenido sintético, realizan reconocimiento emocional o categorización biométrica, o producen deepfakes y textos sobre asuntos de interés público. Esto amplía notablemente el perímetro de cumplimiento, chatbots, asistentes virtuales, herramientas generativas, sistemas de creación de imágenes, audio o vídeo, soluciones de atención al cliente, mecanismos de etiquetado de contenido sintético o aplicaciones de análisis biométrico pueden quedar sujetos a obligaciones específicas de información, advertencia, marcado o divulgación.

La consecuencia práctica es que muchas entidades que no se consideran empresas tecnológicas estarán igualmente afectadas. Un departamento de marketing que utilice IA generativa, una organización que despliegue un asistente virtual, una compañía que automatice interacciones con clientes o una entidad que publique contenidos generados mediante IA deberán revisar si sus procesos cumplen las exigencias de transparencia del Reglamento.

Los Estados miembros empiezan a preparar su propia arquitectura nacional

El desarrollo europeo también está impulsando movimientos nacionales. Algunos Estados miembros están avanzando en proyectos normativos para adaptar sus marcos internos al AI Act mediante la creación o designación de autoridades nacionales de supervisión de la IA. Estas autoridades podrán asumir funciones de inspección, verificación del cumplimiento, imposición de sanciones, retirada de sistemas no conformes y promoción de espacios controlados de prueba o sandboxes regulatorios. Este tipo de iniciativas anticipa una fase de implementación más descentralizada, en la que el cumplimiento del AI Act dependerá no solo de las guías europeas, sino también de la capacidad de cada Estado miembro para establecer autoridades competentes, mecanismos de inspección, procedimientos sancionadores y canales de cooperación con la Oficina Europea de IA.

Para las empresas que operan en varios países de la Unión Europea, esto añade una capa adicional de complejidad. La armonización normativa no eliminará completamente las diferencias prácticas de supervisión, prioridades nacionales o criterios operativos de las autoridades competentes.

Una agenda urgente para las organizaciones

La lectura empresarial de esta evolución es evidente: el AI Act exige pasar de la sensibilización general a la preparación documentada. Ya no basta con afirmar que una organización “usa IA de forma responsable”. Será necesario demostrarlo mediante inventarios, análisis de clasificación, matrices de riesgo, evaluaciones de impacto, controles internos, responsabilidades asignadas, políticas de uso, registros de decisiones, cláusulas contractuales y evidencias técnicas. Las organizaciones deberían comenzar por elaborar un inventario completo de sistemas de IA, incluyendo herramientas contratadas a terceros, desarrollos internos, soluciones integradas en software corporativo y usos departamentales no siempre visibles para la dirección. A partir de ahí, será necesario clasificar los sistemas, identificar los roles jurídicos de la organización, evaluar posibles usos de alto riesgo, revisar obligaciones de transparencia y preparar un plan de adecuación progresivo.

El cumplimiento también exigirá una mayor coordinación entre áreas. Legal, compliance, tecnología, seguridad de la información, compras, recursos humanos, marketing, operaciones y alta dirección deberán trabajar con criterios comunes. La IA no puede quedar confinada en el departamento técnico, porque sus riesgos alcanzan derechos fundamentales, consumidores, trabajadores, clientes, proveedores, reputación corporativa y responsabilidad administrativa.

De la innovación rápida a la gobernanza verificable

La gran transformación que introduce el Reglamento Europeo de IA no consiste en prohibir la innovación, sino en exigir que esta se someta a reglas de gobernanza verificables. La velocidad de adopción tecnológica deberá equilibrarse con controles proporcionados, trazabilidad documental, supervisión humana efectiva y transparencia frente a las personas afectadas. La fecha del 2 de agosto de 2026 es un punto de inflexión, a partir de ese momento, la supervisión europea sobre determinados modelos y obligaciones será más concreta, y las organizaciones deberán estar en condiciones de explicar qué sistemas utilizan, para qué los utilizan, con qué riesgos, bajo qué controles y con qué evidencias de cumplimiento. El mensaje para empresas, administraciones y proveedores es claro: la inteligencia artificial deja de ser únicamente una cuestión de oportunidad tecnológica. Se convierte en una materia regulada, auditable y sometida a exigencias crecientes de responsabilidad. Quienes anticipen esta transición podrán integrar la IA con mayor seguridad jurídica y reputacional. Quienes la posterguen se enfrentarán a un escenario de mayor exposición, menor capacidad de reacción y posibles incumplimientos difíciles de corregir a última hora.