Mundo, 5 de feb 2026 (ATB Digital).- La EU AI Act marca un antes y un después en cómo se diseña, compra y usa la inteligencia artificial en Europa. La Comisión Europea fija el 2 de agosto de 2026 como la fecha de aplicación general del reglamento, aunque con excepciones y periodos transitorios para algunos casos, como ciertos sistemas de IA de alto riesgo integrados en productos regulados que se estiran hasta 2027. Esa convivencia de fechas no debería tranquilizar a nadie: el trabajo de inventario, gobierno y evidencias no se improvisa en el último trimestre.
El espíritu del texto es claro: competir desde la confianza, con un enfoque de “seguridad de producto” aplicado al software y a los modelos, clasificando la IA según el riesgo que puede causar a la salud, la seguridad o los derechos fundamentales. El Parlamento Europeo lo resume como un marco escalonado que necesita guías, estándares y códigos para aterrizarse del todo; por eso habla de eficacia plena hacia 2027, aunque el grueso de obligaciones ya empuja fuerte en 2026.
Auditoría e inventario: saber qué IA tienes y qué papel juega
El primer reto es casi doméstico: si no sabes qué hay en tu “despensa” tecnológica, no puedes cocinar un plan de cumplimiento. Una auditoría de IA no es solo una revisión técnica; es identificar qué sistemas existen, quién los usa, para qué decisiones, con qué datos, qué proveedores intervienen y si entran en categorías de alto riesgo. Ese mapa es el que luego permite construir documentación, controles y responsabilidades de forma coherente.
Aquí aparece un concepto muy europeo: el marcado CE. Para determinados sistemas de alto riesgo, el reglamento exige pasar por procesos de evaluación de conformidad y, tras ello, incorporar el CE (incluso en formato digital cuando el sistema se distribuye como software). En la práctica, significa que la IA se trata como un producto que debe demostrar “cómo funciona”, “por qué es seguro en su uso previsto” y “qué pasa si se usa mal”, no como una caja negra que se despliega y se olvida.
Poner precio al riesgo: del lenguaje jurídico al presupuesto
Hablar de riesgo en términos abstractos suele acabar en debates interminables. Por eso cobra valor traducirlo a dinero. Cuando una organización asigna un impacto económico a fallos previsibles —discriminación en selección de personal, errores en scoring crediticio, incidencias de seguridad, sanciones o litigios—, el cumplimiento deja de ser un “proyecto de compliance” y pasa a competir con otras inversiones con el mismo lenguaje: retorno, coste evitado, prioridad.
Este enfoque no elimina la ética, la hace operativa. Es como poner etiquetas de precio en una reforma de casa: no arreglas todo a la vez, pero sí decides qué goteras son urgentes porque el agua ya está bajando por la pared. En paralelo, conviene recordar que el régimen sancionador puede ser muy serio: la prohibición de ciertas prácticas puede acarrear multas de hasta 35 millones de euros o el 7% de la facturación mundial anual; otras infracciones relevantes se mueven en el entorno de 15 millones o el 3%, según el caso.
Supervisión humana: un copiloto con botones de emergencia
La regulación insiste en una idea sencilla: la IA es una herramienta, no un sustituto automático de criterio. Para sistemas de alto riesgo, los deberes de supervisión no se resuelven con una frase en una política interna; se pide que existan personas con competencia, autoridad y apoyo para vigilar el sistema durante su uso, intervenir cuando sea necesario y entender qué señales deben disparar una revisión.
La metáfora útil aquí es la del copiloto. Un copiloto no mira por la ventanilla “por si acaso”; tiene instrumentos, procedimientos, entrenamiento y capacidad real de tomar el mando. Si en tu organización la supervisión está repartida entre Tecnología, Riesgos, Legal y Negocio sin un punto de coordinación, el peligro no es solo incumplir: es que nadie se sienta responsable cuando algo sale mal. La supervisión humana que pide la EU AI Act se parece más a un sistema de freno de mano y mantenimiento periódico que a un “ojo atento” genérico.
Alcance extraterritorial y cadena de proveedores: la ley viaja con el producto
Otro reto que muchas empresas subestiman es el alcance geográfico. La EU AI Act se aplica también a proveedores y usuarios situados fuera de la Unión cuando el resultado del sistema se utiliza en la UE. Esto coloca a multinacionales y a startups de cualquier región ante una realidad familiar para quien vivió la expansión del GDPR: aunque tu sede esté lejos, si tu IA toca el mercado europeo, las obligaciones te alcanzan.
En el día a día, esto se traduce en revisar contratos, pedir evidencias a proveedores, exigir documentación y acordar responsabilidades cuando se usan componentes de terceros, modelos fundacionales, APIs o herramientas que se encadenan como piezas de Lego. El riesgo no vive solo en el modelo “final”, también en la dependencia del dato, del proveedor y de quién mantiene el sistema. Si la cadena de suministro está opaca, el cumplimiento se convierte en una carrera de obstáculos.
Datos de entrada apropiados: si el ingrediente es malo, el plato también
La ley pone mucho foco en la calidad de datos porque es donde nacen muchos problemas: sesgos, errores sistemáticos, resultados inestables o decisiones injustas. Para alto riesgo, el reglamento exige que los conjuntos de entrenamiento, validación y prueba cumplan criterios de calidad y se gestionen con medidas de gobernanza adecuadas.
En términos cotidianos: puedes tener una cafetera excelente, pero si el café está rancio, el resultado será malo. Asegurar datos apropiados implica comprobar si representan el contexto real donde operará el sistema, si están actualizados, si arrastran desigualdades históricas, si hay huecos relevantes y si existen controles para detectar desviaciones cuando cambian las condiciones. Esto obliga a documentar fuentes, transformaciones y criterios, con la misma disciplina con la que se controlan ingredientes en una cocina profesional.
Formación y cultura de IA responsable: alfabetización para todo el equipo
La alfabetización en IA no es un lujo. De hecho, las obligaciones de AI literacy ya forman parte del calendario de aplicación y empujan a que las organizaciones formen a sus equipos. Aquí el reto es evitar el enfoque de “curso único para todos”. Un perfil técnico necesita dominar trazabilidad, validación, robustez y documentación; un perfil de negocio debe entender límites, riesgos y cuándo no usar IA; Cumplimiento y Riesgos necesitan convertir requisitos en controles auditables; Recursos Humanos debe identificar impactos en personas.
Cuando la formación está bien diseñada, reduce errores por desconocimiento y acelera decisiones sensatas: se entiende mejor qué significa un sesgo, por qué la supervisión humana no es burocracia y cómo la calidad del dato condiciona todo. Esa cultura es la que evita que el cumplimiento se convierta en un check-list vacío.
Herramientas y estándares: el cumplimiento como rutina, no como sprint
Con la fecha de 2026 en el calendario, muchas compañías están buscando formas de industrializar el proceso. Aquí entran los estándares y las plataformas. La norma ISO/IEC 42001 se ha convertido en una referencia para implantar sistemas de gestión de IA, y empresas como Modulos se posicionan como soluciones para coordinar gobernanza, evidencias, evaluación y trabajo entre áreas, con foco en cuantificación del riesgo. Según su propia comunicación corporativa, su plataforma se orienta a recopilar evidencias y preparar auditorías, alineando marcos como la EU AI Act y estándares como ISO 42001.
La lectura práctica es sencilla: si tu organización gestiona múltiples sistemas, proveedores y equipos, una herramienta común puede evitar que cada área lleve su “Excel de cumplimiento” y que, cuando llegue una auditoría o una petición de la autoridad, la respuesta sea un rompecabezas.
Fuente: Whatsnew.com