(+351) 21 24 10006  ·  info@bconcepts.pt
Carnaxide, Lisboa
El AI Act se aplaza a 2027: qué hacer con los 17 meses que acabas de ganar
Inteligência Artificial

El AI Act se aplaza a 2027: qué hacer con los 17 meses que acabas de ganar

Equipa bConcepts 14/07/2026 10 min

Durante meses, el 2 de agosto de 2026 estuvo marcado en rojo en la agenda de cualquier empresa europea que use inteligencia artificial para tomar decisiones que afectan a personas. Era la fecha en la que las obligaciones para los sistemas de IA de alto riesgo pasaban a ser exigibles. En junio, Bruselas movió la fecha, y mucha gente respiró hondo por las razones equivocadas.

El 16 de junio, el Parlamento Europeo aprobó el paquete de simplificación del AI Act; el 29 de junio, el Consejo le dio luz verde definitiva. Los sistemas autónomos de alto riesgo —los del Anexo III, donde entran selección de personal, crédito, seguros, educación y acceso a servicios esenciales— solo tendrán que cumplir las reglas a partir del 2 de diciembre de 2027. Los sistemas integrados como componentes de seguridad en productos ya regulados por legislación sectorial (Anexo I) disponen hasta el 2 de agosto de 2028. Diecisiete meses de margen en el primer caso. Casi dos años en el segundo.

La lectura fácil es que el problema se ha empujado al próximo presupuesto, al próximo comité, al próximo alguien. La lectura útil es otra: Europa acaba de regalar a las empresas lo más escaso en cualquier programa de datos, que es tiempo. Y la pregunta que queda sobre la mesa es banal y decisiva: ¿qué se va a hacer con él?

Un aplazamiento no es una amnistía

Conviene separar lo que ha cambiado de lo que no. Han cambiado, sobre todo, los plazos de los sistemas de alto riesgo y algunas simplificaciones administrativas: menos solapamiento con normas sectoriales, alivio para empresas de mediana capitalización y una aclaración relevante: ahora es posible tratar los datos personales estrictamente necesarios para detectar y corregir sesgos, con salvaguardas. Quien haya intentado auditar un modelo de scoring sin poder mirar las variables sensibles que precisamente quería proteger sabe exactamente cómo de apretado estaba ese nudo.

El AI Act se aplaza a 2027: qué hacer con los 17 meses que acabas de ganar

Todo lo demás sigue igual. Las prohibiciones de prácticas inaceptables y el deber de alfabetización en IA están en vigor desde febrero de 2025. Las reglas para modelos de uso general se aplican desde agosto de 2025. Y hay obligaciones que llegan de inmediato: el plazo para etiquetar contenidos generados artificialmente se ha acortado —el periodo de gracia pasó de seis a tres meses, con fecha en el 2 de diciembre de 2026— y en ese mismo momento entran en vigor nuevas prohibiciones, incluida la generación de contenido íntimo no consentido.

Dicho de otro modo: el paquete de simplificación no es una retirada general. Es una redistribución de plazos. Algunas cosas se han ido a 2027 y 2028; otras llegan este mismo año.

El plazo que importa no es el de Bruselas

Aquí está el punto que rara vez aparece en un memorándum jurídico. Miremos lo que el responsable de un sistema de alto riesgo tendrá que ser capaz de demostrar: un sistema de gestión de riesgos documentado, gobernanza de datos robusta, documentación técnica detallada, registro automático de eventos, supervisión humana efectiva y garantías de exactitud, robustez y ciberseguridad. Después, evaluación de conformidad, declaración UE, marcado CE y registro en la base de datos europea.

Quítese el vocabulario regulatorio y lo que queda es una lista de buenas prácticas de ingeniería de datos. Gobernanza de datos es saber qué datos alimentan el modelo, de dónde vienen, quién los toca y en qué estado llegan. Registro automático es observabilidad. Exactitud y robustez a lo largo del tiempo es monitorización de deriva. Documentación técnica es el linaje que nadie escribió porque vivía en la cabeza de dos personas.

Ninguno de estos elementos se compra en noviembre de 2027. Todos se construyen: despacio, con disciplina y sobre sistemas que muchas empresas todavía no tienen.

El regulador ha dado más tiempo. No ha dado mejores datos. Esa parte sigue siendo trabajo nuestro.

La pregunta que casi nadie sabe responder

Antes de cualquier plan de cumplimiento hay una pregunta desarmante: ¿cuántos sistemas de IA está usando tu empresa en este momento?

En la mayoría de las organizaciones, la primera respuesta es un número. La segunda, tras mirar con atención, es otro, normalmente entre tres y cinco veces mayor. No porque alguien haya ocultado nada, sino porque la IA dejó de ser un proyecto y pasó a ser una funcionalidad. Viene integrada en el software de selección, en la herramienta de atención al cliente, en el motor de recomendación del e-commerce, en el módulo de detección de anomalías del ERP, en el asistente que el equipo de marketing contrató con la tarjeta del departamento. Nada de eso pasó por el comité de arquitectura. Y buena parte de ello toma decisiones sobre personas.

El reglamento no distingue entre el modelo que entrenaste y el modelo que venía dentro del SaaS que compraste. Si el sistema se usa para cribar candidaturas, es de alto riesgo: lo haya construido tu equipo, un proveedor o un becario entusiasmado con una API.

Un inventario vale más que un comité

El primer entregable de un programa serio no es una política de IA de doce páginas y tres firmas. Es un inventario: una lista viva de todos los sistemas de IA en uso o en desarrollo y, para cada uno, cuatro columnas que casi nadie logra rellenar a la primera.

  • Finalidad y decisión afectada: ¿qué decide, sugiere o clasifica este sistema, y sobre quién?
  • Datos de entrada: ¿qué fuentes lo alimentan, con qué frecuencia y quién responde por la calidad de esas fuentes?
  • Responsable de negocio: no el científico de datos, sino la persona que firma la decisión cuando el modelo se equivoca.
  • Clasificación de riesgo: según el uso real, no según el folleto del proveedor.

Es un ejercicio aburrido de hacer y transformador de tener. Es el que revela dónde está la exposición real, dónde vale la pena invertir y, casi siempre, dónde hay tres herramientas haciendo mal lo mismo.

Un minicaso: 31 modelos y una hoja de cálculo

Imaginemos una aseguradora mediana, con 900 empleados. Cuando la dirección pidió al equipo de datos la lista de sistemas de IA en producción, la respuesta inicial fueron cuatro: precio, fraude, churn y un chatbot.

Seis semanas de trabajo de campo después —entrevistas por departamento, revisión de los contratos de software, análisis de las conexiones a las API—, la lista cerró en 31. Diecinueve estaban integrados en herramientas de proveedores. Siete habían nacido como pruebas de concepto y nunca se habían promovido formalmente a producción, pese a ejecutarse todos los días. Tres alimentaban decisiones de suscripción: alto riesgo, sin discusión posible. Y dos, los más incómodos, cribaban candidaturas de empleo con un modelo que nadie en la casa sabía explicar.

El ejercicio costó unos 25 días-persona. Lo que evitó es más difícil de cuantificar y fácil de imaginar: el día en que un candidato rechazado pide una explicación y nadie es capaz de darla. La empresa no logró el cumplimiento esa semana: consiguió un mapa, que es otra cosa y era justamente lo que faltaba. Con el mapa en la mano, apagó 6 sistemas y consolidó 4. El ahorro en licencias pagó el ejercicio antes incluso de que el cumplimiento entrara en la cuenta.

Los próximos doce meses, por orden

Si diciembre de 2027 es el horizonte, entonces 2026 es el año de construir cimientos, no de escribir políticas. Una secuencia que funciona:

  1. Inventariar (1 o 2 meses). Todos los sistemas, incluidos los del proveedor. Sin juicios: a quien admita lo que contrató no se le puede penalizar por ello, o el inventario muere al nacer.
  2. Clasificar (1 mes). Riesgo según el uso real. La mayoría caerá en riesgo mínimo, y eso es buena noticia, porque concentra el esfuerzo en los pocos que de verdad importan.
  3. Instrumentar (3 o 4 meses). Linaje, catálogo de datos y registro de eventos para los sistemas de alto riesgo. Aquí vive el trabajo pesado y aquí descarrilan casi todos los programas de cumplimiento, al descubrir que el linaje sencillamente no existe.
  4. Monitorizar (continuo). Exactitud, deriva y sesgo, con umbrales y alertas. Un modelo sin monitorización no es un activo: es un pasivo con buena reputación.
  5. Documentar (continuo). Si la documentación técnica es un proyecto al final, será ficción. Si es un subproducto del pipeline, será verdad.
  6. Ensayar la supervisión humana (2 meses). No basta con escribir que hay un humano en el circuito. Hay que probar si ese humano tiene información, tiempo y autoridad para contradecir al modelo, y qué ocurre cuando lo hace.

Por qué compensa incluso sin un regulador en la puerta

Merece la pena decir lo que rara vez se oye en un congreso de cumplimiento: casi nada de esta lista es trabajo desperdiciado si el regulador nunca llama a la puerta.

Un inventario de sistemas de IA es también un inventario de costes y de redundancias. El linaje y el catálogo son lo que permite responder a una pregunta de negocio en dos horas en vez de en dos semanas. La monitorización de deriva es lo que evita que un modelo de precios se pase seis meses equivocándose en silencio. La documentación técnica es lo que convierte la salida de un ingeniero en un martes normal y no en un evento de riesgo. Y la gobernanza de datos es, en el fondo, lo que ya se le pide a una capa semántica: una definición, una fuente, una respuesta.

El cumplimiento, bien hecho, es un subproducto de hacer ingeniería de datos en serio. Mal hecho, es una carpeta de PDF que nadie lee y un coste que nadie recupera.

En resumen

  • El AI Act no se ha derogado: los plazos de los sistemas de alto riesgo se han movido al 2 de diciembre de 2027 (autónomos) y al 2 de agosto de 2028 (integrados en productos).
  • Hay obligaciones que llegan este mismo año, en particular el etiquetado de contenidos generados por IA, con fecha en diciembre de 2026.
  • Los requisitos técnicos del reglamento —gobernanza de datos, registro, monitorización, documentación— son, en la práctica, ingeniería de datos. No se compran con prisas.
  • El primer paso no es una política: es un inventario de los sistemas de IA realmente en uso, incluidos los que vinieron integrados en software de terceros.
  • Bien hecho, este trabajo se paga solo en costes, velocidad de respuesta y fiabilidad, aunque el regulador no aparezca nunca.

El margen es una ventaja, para quien lo use

Hay dos empresas viviendo exactamente el mismo aplazamiento. Una reabrirá el expediente a mediados de 2027, descubrirá que no tiene linaje, ni registro de eventos, ni un recuento fiable de los modelos que ejecuta, y comprará cumplimiento al peso: deprisa, mal y caro. La otra pasará 2026 construyendo los cimientos que ya debería tener, y llegará a diciembre de 2027 haciendo lo que hace todos los días.

La diferencia entre ambas no es el presupuesto. Es haber entendido, a tiempo, que el plazo que cambió no era el plazo que importaba.

Si hoy te pidieran la lista completa de los sistemas de IA que usa tu empresa, y el nombre de quien responde por cada uno de ellos, ¿cuánto tardarías en entregarla?

← Volver a Insights
¿Hablamos?

¿Listo para transformar sus datos?

Reserve una reunión gratuita de 30 minutos y descubra cómo podemos ayudar a su equipo a tomar mejores decisiones.

Agendar Reunión Gratuita
bConcepts