Qué dice la ley de Inteligencia Artificial en Europa

Cuando el remedio mata al paciente: ¿qué es el EU AI Act?

Al preguntarnos qué dice la ley de Inteligencia Artificial he acudido a revisar en detalle el informe de la Fundación Bertelsmann, que refleja con precisión cómo la complejidad regulatoria de Bruselas, pese a partir de las mejores intenciones, puede convertirse en un obstáculo para el desarrollo de la Inteligencia Artificial en Europa.

A continuación te voy a compartir una lectura distinta, alejada de los eufemismos y del lenguaje complaciente habitual, para poder reflejar las consecuencias de lo que dice la ley de Inteligencia Artificial. Lo que está en juego no es un simple marco normativo, sino la capacidad real de nuestras empresas para innovar y competir en un entorno global cada vez más exigente.

El diagnóstico: ¿qué está haciendo Europa con la IA?

Empecemos por el principio. Lo que las entrevistas del informe revelan es demoledor. Y lo digo así, con toda la profundidad del término. Las empresas no están protestando porque la regulación sea estricta. Están protestando porque es un laberinto kafkiano donde cada puerta conduce a otra puerta, y ninguna conduce a ninguna parte.

Se lo explicaba hace poco a una CEO de una startup de salud digital: “Necesita contratar al CTO y un DPO el mismo día. Antes incluso de escribir una línea de código”. Que alguien me explique cómo demonios se supone que una startup con financiación de ronda semilla va a permitirse eso. Ah, esperen, que ya lo sé: no puede. Y esa es exactamente la idea. Eliminar la competencia por asfixia burocrática.

Las seis plagas de Bruselas en lo que dice la ley de Inteligencia Artificial

Paso a enumerar los problemas de este engendro legislativo, basándome en lo que sabemos hasta ahora:

Primera plaga: El solapamiento diabólico del EU AI Act

El EU AI Act se encuentra en el Reglamento (EU) 2016/679 – GDPR, donde coexisten la regulación de dispositivos médicos (MDR), la de maquinaria, la de ciberseguridad, la de datos. Y todas ellas quieren un pedazo del mismo pastel. El resultado es que un sistema de IA para diagnóstico médico tiene que cumplir con requisitos que se solapan. ¿Qué significa esto? Que las empreas van a rellenar hasta 3 veces los mismos formularios, repitiendo un 90% de la información.

Por tanto, el marco administrativo que impone el EU AI Act es el siguiente:

• La empresa debe trasladar la misma información, demostrando que se cumplen los mismos requisitos.
• Ante autoridades administrativas distintas, que no comparten información ni se comunican entre ellas.
• Y si se produce alguna una contradicción entre los formularios, las consecuencias son para la empresa.

Un ejemplo especialmente desagradable: la definición de “datos biométricos” es diferente en el EU AI Act y en el GDPR. La misma empresa, el mismo dato, dos clasificaciones diferentes, obligaciones contradictorias. Y usted, pobre mortal, atrapado en medio de la burocracia europea. Me tomaré la licencia para asegurar que esto no es regular, es sadismo administrativo.

Segunda plaga: La paradoja del software libre en el EU AI Act

Aquí viene una de las joyas de la corona regulatoria sobre lo que dice la ley de Inteligencia Artificial. El legislador europeo, en su infinita sabiduría, decidió que debía promover el uso de modelos open-source. En teoría, se trata de un enfoque admirable: innovación abierta, acceso equitativo y democratización de la Inteligencia Artificial.

Sin embargo, el propio marco regulatorio establece que, si un modelo open source se integra en un sistema catalogado como de alto riesgo, el desarrollador debe acreditar su trazabilidad completa, los datos utilizados en su entrenamiento y el proceso de validación correspondiente. En la práctica, esto resulta inviable: los modelos de código abierto carecen, por definición, de esa transparencia estructurada sobre su origen y entrenamiento.

El resultado es paradójico. Las normas que buscaban fomentar la innovación abierta terminan, de facto, excluyendo al software libre de los casos de uso más relevantes. Una incoherencia que ilustra bien la distancia entre la intención política de la EU AI Act y la realidad operativa del sector.

Tercera plaga: El calvario de las PYMEs en lo que está haciendo Europa con la IA

Un desarrollador de una empresa mediana resumía la situación con precisión: las organizaciones que desean cumplir con la normativa parten en clara desventaja. Deben destinar recursos significativos para interpretar y aplicar un marco legislativo complejo, mientras otras optan por ignorarlo ante la ausencia actual de mecanismos efectivos de supervisión.

Su diagnóstico es acertado. En la práctica, el EU AI Act se configura como una barrera de entrada considerable. Las grandes corporaciones pueden absorber el coste de la adaptación regulatoria mediante equipos jurídicos especializados, mientras que las pymes europeas se enfrentan a una disyuntiva real entre destinar sus recursos al cumplimiento o a la propia sostenibilidad del negocio.

El efecto estructural de esta dinámica es preocupante: lejos de equilibrar el ecosistema, el marco normativo podría reforzar la posición dominante de las grandes tecnológicas internacionales, precisamente aquellas cuya influencia se pretendía limitar.

Cuarta plaga: La cadena de la irresponsabilidad

Uno de los puntos más problemáticos del marco regulatorio es la falta de definición clara sobre las responsabilidades a lo largo de la cadena de valor. Si una empresa adapta un modelo fundacional o de propósito general (GPAI) y lo integra en su propio sistema, la cuestión esencial es determinar quién asume la responsabilidad sobre cada componente del resultado final.

La respuesta que ofrece el EU AI Act es ambigua: “depende”. Una falta de concreción que genera una profunda inseguridad jurídica, especialmente para startups y pymes que necesitan saber con precisión a qué obligaciones se enfrentan antes de desplegar sus soluciones en el mercado.

A ello se suma la complejidad derivada del fine-tuning. El reglamento establece umbrales como el uso de más de un tercio de los FLOPs del entrenamiento original que podrían implicar la consideración del modelo ajustado como uno nuevo. Sin embargo, no existe consenso sobre si, en estos casos, el actor que realiza la adaptación debe considerarse proveedor o usuario, ni sobre la aplicación efectiva de los artículos 51 a 56. Las guías interpretativas, además, avanzan con lentitud y escasa claridad, lo que incrementa la incertidumbre y dificulta la planificación técnica y regulatoria de los proyectos.

Quinta plaga: El monstruo documental de lo que está haciendo Europa con la IA

“El almacenamiento de datos crece sin control y aún no sabemos cómo gestionarlo, especialmente cuando se producen cambios”, comentaba recientemente el director de una gran empresa industrial con más de 4.000 aplicaciones activas.

Esa frase resume uno de los principales retos que plantea el EU AI Act. La norma no se limita a requerir documentación; impone la creación y mantenimiento de un sistema de gestión documental de enorme complejidad. Para cada modelo o sistema, las organizaciones deben elaborar entre veinte y cincuenta documentos obligatorios, actualizarlos de forma continua y garantizar su trazabilidad.

El resultado es un volumen de información desproporcionado que, paradójicamente, aporta poco a la transparencia real del ecosistema. La base de datos pública prevista en el Artículo 70 del reglamento, apenas refleja una fracción de los sistemas registrados, lo que convierte buena parte del esfuerzo documental en un ejercicio burocrático con escaso valor operativo o social.

En la práctica, el principal impacto inmediato de lo que está haciendo Europa con la IA es un incremento de costes y una mayor dependencia de asesoramiento jurídico altamente especializado.

Sexta plaga: El calendario del absurdo

Los estándares técnicos es decir, las especificaciones que permitirán a las empresas conocer con precisión cómo cumplir con el EU AI Act se prevé que se publiquen entre el primer y segundo trimestre de 2026. Sin embargo, las obligaciones derivadas del reglamento entrarán en vigor apenas unos meses después, en agosto del mismo año. Esto deja a las organizaciones un margen operativo de seis meses para cumplir.

Según estimaciones del propio sector, la implementación de cada estándar técnico puede requerir al menos doce meses de trabajo, y se calcula que habrá en torno a 35 estándares aplicables. El desajuste temporal es evidente: el calendario normativo impone un ritmo materialmente imposible de cumplir.

Más que un problema de incompetencia, se trata de un caso de planificación institucional desconectada del funcionamiento real de la industria tecnológica.

Mientras otras regiones avanzan con marcos más ágiles y flexibles, Europa corre el riesgo de quedar estructuralmente rezagada, dependiendo de tecnologías y modelos desarrollados fuera de su territorio. A medio plazo, esto no solo comprometería la competitividad empresarial, sino también la capacidad de preservar una identidad cultural y socioeconómica propia frente a los sesgos incorporados en los sistemas de inteligencia artificial globales.

El manual de supervivencia: qué hacer cuando el mundo arde por lo que dice la ley de Intelgencia Artificial

Llegados a este punto, es momento de dejar el diagnóstico y centrarnos en la acción. El marco regulatorio de lo que dice la ley de Inteligencia Artificial es el que es, con sus virtudes y limitaciones, y las organizaciones deben aprender a desenvolverse en él si quieren mantener su capacidad de innovación y competitividad.

A continuación, presento una serie de recomendaciones prácticas, no desde la teoría ni desde la distancia de un informe, sino desde la experiencia directa en proyectos reales. Con el propósito de ayudar a distinguir entre lo urgente y lo verdaderamente importante en el proceso de adaptación a lo que dice la Ley de Inteligencia Artificial.

1. Mantener la calma

El reto es complejo, sin duda. Costoso en tiempo, dinero y esfuerzo. Pero es completamente abordable aunque no existen soluciones simples. Lo que sí existe y funciona es el trabajo bien hecho, el método, la constancia y una dosis de escepticismo saludable para asumir que, aunque la burocracia europea pueda ser lenta y pesada, suele terminar asentando una realidad razonable.

2. Mapear el marco regulatorio de la EU AI Act

Lo primero y más crucial: las empresas necesitan un mapeado regulatorio exhaustivo.

No se trata de contratar a un despacho jurídico que facture cientos de euros por hora solamente para trasladarnos lo que pone en la regulación, sino de trabajar con profesionales que realmente comprendan la intersección entre tecnología, normativa, gestión del riesgo y cumplimiento.

El objetivo es construir una matriz clara que identifique qué regulaciones aplican, dónde se solapan y qué obligaciones concretas derivan del EU AI Act, el GDPR y las normativas sectoriales específicas de su industria.

La herramienta puede ser tan simple como una hoja de cálculo: lo importante es tenerla. Y aquí está el punto clave que muchos pasan por alto: buscar sinergias. Cumplir con un requisito de lo que dice la ley de Inteligencia Artificial puede implicar también el cumplimiento directo o indirecto de otro requisito del Data Governance Act o del Data Act. Lo recomendable es documentar esas correspondencias o «solapamientos» una sola vez, no tres. De ese modo, cuando llegue una auditoría, las empresas podrán presentar una visión integrada y coherente: “Esto es lo que hacemos. Aquí se ve cómo cada medida cubre distintas exigencias normativas.”

¿Perfecto? No. ¿Suficiente? Tampoco. Pero sí infinitamente más eficiente que perderse en una maraña de documentación repleta de duplicidades.

3. Clasificar como pauta obligatoria

En la clasificación las empresas se juegan mucho. La diferencia entre que un sistema sea clasificado como de alto riesgo o no lo sea, es enorme: recursos, tiempo, costes y paz mental.

Por ello, las organizaciones deben dedicar el tiempo necesario (y será considerable) a determinar con rigor si su sistema encaja realmente dentro de la categoría de alto riesgo, que es lo que dice la Ley de Inteligencia Artficial en el Anexo III.

Un principio clave de la clasificación de categorías de alto riesgo: actuar con prudencia, pero también con habilidad. Si el marco interpretativo ofrece margen, hay que aprovecharlo inteligentemente. Por ejemplo, si es posible realizar pequeños ajustes en el diseño del sistema para evitar la clasificación como alto riesgo, sin comprometer funcionalidades esenciales, es recomendable hacerlo. No es elusión de la norma; es estrategia empresarial. Esto es una práctica que las grandes corporaciones ya están haciendo.

El trabajo de clasificación que define la UE AI Act exige documentar cada decisión. Las empresas deben elaborar un informe detallado del proceso de clasificación, sustentado en argumentos técnicos y jurídicos sólidos. Para esto es recomendable buscar apoyo en consultores que entiendan ambas dimensiones, técnica y jurídica, y puedan coordinar una visión holística del cumplimiento. Porque cuando llegue la inspección (y llegará) las compañías deberán demostrar que su clasificación no fue arbitraria, sino el resultado de un análisis razonado, trazable y defendible.

4. Claridad en sectores regulados

Las compañías de sectores regulados como banca, salud o seguros se encuentran en el epicentro del desafío regulatorio. Son precisamente estos sectores donde el solapamiento normativo alcanza niveles casi surrealistas.

Mi recomendación es clara: no esperen cambios desde Bruselas. No llegarán a tiempo. En su lugar, es más recomendable que estas compañías tomen la iniciativa involucrándose activamente con sus asociaciones sectoriales, dialoguen con los organismos notificados y exijan guías específicas que establezcan de forma inequívoca equivalencias entre marcos regulatorios: por ejemplo, que se indique expresamente que “si se cumple con MaRisk, se cumple con los requisitos equivalentes del AI Act”.

Mientras esas guías oficiales no existan, lo mejor es que las empresas de sectores regulados desarrollen su propio marco de equivalencias internas. Un documento que detalle: “Nuestro proceso de gestión de riesgos, conforme a [regulación sectorial aplicable], cubre los siguientes requisitos del AI Act…”. Mapeen, documenten y conserven esa trazabilidad.

No será un documento oficial, ni tendrá carácter vinculante, pero será una herramienta de defensa y claridad frente a la ambigüedad normativa. Una solución infinitamente mejor que permanecer paralizados ante la incertidumbre, y correr el riesgo de enfrentarse a posteriores sanciones por incumplimiento.

5. El open-source es un enemigo para el cumplimiento de lo que dice la ley de Inteligencia Artificial

Lo digo con pesar, especialmente como defensor convencido del software libre. Pero la realidad es inapelable: si están desarrollando sistemas clasificados como de alto riesgo, la compañías deben evitar al menos por ahora el uso de modelos open-source.

La razón es sencilla: no pueden garantizar trazabilidad ni control sobre los datos de entrenamiento o los procesos de validación, elementos que el EU AI Act exige de manera explícita.

Sin acceso a esa información, resulta imposible cumplir con los requisitos de documentación, calidad de datos y transparencia que la normativa impone. Por duro que resulte, la única vía viable hoy para garantizar cumplimiento normativo pasa por emplear modelos comerciales de proveedores que sí puedan acreditar esas garantías. ¿Son más costosos? Sí. ¿Menos flexibles? También. ¿La única forma realista de cumplir con la legislación vigente? Sin duda.

Cuando —y si— el marco regulatorio evolucione para ofrecer un espacio más claro y seguro al software libre, será el momento de reconsiderar esa opción. Pero a día de hoy, en 2025, apostar por modelos open-source en sistemas de alto riesgo es un riesgo que ninguna organización puede permitirse asumir. Mucho menos una startup o una pyme.

6. Documentar de forma inteligente para cumplir lo que dice la Ley de Inteligencia Artificial

Las compañías van a tener que documentar mucho, pero puede hacerse de forma práctica e inteligente.

Como recomendación, es bueno utilizar plantillas, automatizar y reutilizar. Si tienen que generarse 50 documentos, es positivo asegurarse de que 40 sean versiones adaptadas de los mismos 10 templates básicos previamente configurados. Y lo más eficiente es integrar la generación de esta documentación en el propio proceso de desarrollo. No es recomendable dejar la elaboración documental para el final, porque van a tener que rehacerlo todo. También es recomendable ahorrar tiempo mediante el uso de herramientas específicas, como software de gestión de cumplimiento específico para AI Act.

7. Preparse para el fine-tuning jurídico

El fine-tuning se ha convertido en uno de los puntos más delicados —y potencialmente problemáticos— del actual marco regulatorio sobre cómo cumplir la Ley de Inteligencia Artificial. Su definición e implicaciones jurídicas siguen siendo ambiguas, lo que lo convierte en una bomba de relojería regulatoria cuyo impacto aún no se ha materializado, pero que podría tener consecuencias significativas.

Por ello, la recomendación es clara: que las organizaciones documenten exhaustivamente cada modificación que realicen sobre un modelo de propósito general (GPAI).
Las empresas deben registrar de forma sistemática:

• El volumen computacional utilizado (FLOPs).
• Los nuevos conjuntos de datos empleados.
• Las variaciones observadas en el comportamiento o resultados del modelo.

En la práctica, si el proceso de adaptación utiliza menos de un tercio de los FLOPs del entrenamiento original, podría considerarse una modificación menor, y por tanto, quedar fuera de las obligaciones más estrictas del AI Act. No obstante, conviene recordar que las guías interpretativas de la Comisión Europea no son vinculantes y podrían ser objeto de revisión judicial. Hasta que exista jurisprudencia consolidada, constituyen el único marco operativo disponible.

Por último, si se realiza un fine-tuning sustancial, es imprescindible contar con acuerdos contractuales claros con el proveedor del modelo original, que definan responsabilidades y límites de uso. Cuando surja un conflicto y eventualmente ocurrirá, disponer de una trazabilidad contractual y técnica sólida será la diferencia entre poder demostrar cumplimiento o enfrentarse a una sanción.

8. Cómo cumplir lo que dice la Ley de Inteligencia Artificial siendo una PYME

Para las PYMES, este punto es especialmente crítico: afrontar en solitario el cumplimiento del EU AI Act es inviable desde un punto de vista operativo y económico.

La única estrategia sostenible pasa por la colaboración y la creación de consorcios que permitan compartir recursos, conocimientos y costes. Formar alianzas estratégicas con otras empresas de su sector o ecosistema y establecer servicios comunes de apoyo en materia de cumplimiento normativo, auditorías técnicas o formación especializada.

Las pautas más recomendables para cumplir lo que dice la Ley de Inteligencia Artificial siendo una PYME son:

• Coordinación multidisciplinar: será esencial contar con perfiles con una visión transversal, capaces de conectar los ámbitos de compliance, arquitectura tecnológica, regulación y operaciones.
• Auditorías conjuntas: negociar tarifas colectivas para las evaluaciones de conformidad reducirá significativamente los costes.
• Formación rigurosa: seleccionen cuidadosamente los programas de capacitación; proliferan actualmente cursos impartidos por actores con un conocimiento limitado o superficial del AI Act.

Además, las PYMES deben ejercer presión institucional. Involucrarse activamente en sus asociaciones empresariales y reclamar a las autoridades nacionales los mecanismos de apoyo que ya se contemplan en diversos informes europeos: guías sectoriales, asistencia técnica y subvenciones para la adaptación regulatoria. De lo contrario, el riesgo es claro: un entorno de cumplimiento desigual en el que solo las grandes tecnológicas con recursos humanos y financieros muy superiores podrán mantener el ritmo.

Sin una acción coordinada, el desequilibrio competitivo en el ecosistema europeo de IA será cada vez más profundo.

9. Jugar pensando en el largo plazo de lo que es el EU AI Act

El calendario de implementación actual del AI Act es en la práctica irrealizable. Los estándares técnicos llegarán con retraso, las guías interpretativas también, y las autoridades competentes aún están en proceso de constitución. Todo apunta a que los plazos formales y la realidad operativa avanzan a ritmos distintos.

Ante este escenario, la estrategia más sensata es priorizar la razonabilidad y la trazabilidad de las acciones. Las empresas deben concentrarse en demostrar que están avanzando de forma diligente y proporcional, con la información y los recursos actualmente disponibles. Documentar cada paso, cada decisión y cada limitación, de modo que puedan acreditar buena fe regulatoria y compromiso con el cumplimiento.

Intentar anticipar o ejecutar estándares aún no publicados no solo es ineficiente, sino también contraproducente. Invertir grandes recursos en cumplir requisitos inciertos puede comprometer la sostenibilidad operativa de la organización.

Existen indicios sólidos de que la Comisión Europea acabará flexibilizando los plazos, ya sea mediante extensiones, moratorias para pymes o una aplicación progresiva de las obligaciones. Es una cuestión de realismo: imponer los plazos actuales sin ajustes provocaría un colapso regulatorio y económico en buena parte del tejido empresarial europeo. Incluso Bruselas es consciente de que ese escenario resultaría insostenible.

10. Prepárense para la tormenta sobre cómo cumplir con la ley de inteligencia artificial

Hay un aspecto estratégico que rara vez se menciona, pero que será determinante: la gestión de la percepción pública del cumplimiento. Clientes, inversores y socios comerciales comenzarán a exigir respuestas claras ante una pregunta directa: “¿Vuestra compañía cumple con el UE AI Act?”

La realidad, sin embargo, es que en esta etapa transitoria ninguna empresa puede afirmar un cumplimiento absoluto. Las interpretaciones aún son inciertas, los estándares están en desarrollo y las guías regulatorias siguen evolucionando. Por ello, la comunicación debe ser honesta, coherente y estratégicamente formulada.

La narrativa adecuada no consiste en afirmar un cumplimiento total, sino en proyectar compromiso, método y progreso verificable. Un mensaje institucionalmente sólido podría ser: “Nuestra organización está implementando un programa integral de cumplimiento con el AI Act, en colaboración con expertos técnicos y jurídicos, y adaptando nuestros procesos conforme se publican los estándares y guías oficiales.” Este tipo de declaración es deliberadamente general, pero transmite confianza y, sobre todo, es defendible desde el punto de vista jurídico y reputacional.

Además, deben anticipar que el “cómo cumplir la ley de Inteligencia Artificial” se convertirá en un argumento de marketing. Cuando eso ocurra y ocurrirá, será esencial respaldar sus afirmaciones con evidencias concretas: certificaciones, auditorías externas, matrices de cumplimiento o registros de gobernanza algorítmica.

En un entorno regulatorio difuso, la transparencia documentada será la mejor estrategia de comunicación y diferenciación.

El horizonte: ¿qué esperar en los próximos años sobre lo que dice la ley de Inteligencia Artificial?

Permítanme proyectar un escenario razonado no por adivinación, sino por experiencia y observación de ciclos regulatorios previos sobre la probable evolución del UE AI Act en los próximos años:

2026: Fase de desorden inicial. La llegada tardía e incompleta de los estándares técnicos generará incertidumbre y respuestas descoordinadas. Muchas empresas, especialmente pymes, reaccionarán de forma reactiva, ante la falta de guías claras y de capacidad operativa. Los bufetes especializados proliferarán, las autoridades nacionales aún estarán en fase de estructuración y la aplicación práctica será irregular.

2027: Comienza la etapa de ajuste. La Comisión Europea intentará introducir medidas de simplificación y prórrogas parciales de plazos. Las guías interpretativas empezarán a multiplicarse a menudo con solapamientos o contradicciones, mientras las grandes corporaciones consolidan su ventaja competitiva gracias a sus capacidades internas de cumplimiento.

2028: Se inicia una fase de maduración. Surgen los primeros precedentes judiciales que aportan claridad jurídica. Algunos sectores podrían conseguir revisiones de su clasificación en el Anexo III, al reducirse su exposición a riesgo. Los estándares técnicos se publican de forma definitiva, aunque con margen de mejora.

2029-2030: El sistema comienza a estabilizarse. Las empresas integran los procesos de cumplimiento en su gestión operativa y de riesgos. Empieza a hablarse de un posible “AI Act 2.0” orientado a corregir ineficiencias, simplificar procedimientos y alinear mejor los objetivos regulatorios con la realidad del mercado.

¿Es una visión optimista? En parte. Pero también realista. Porque un colapso total del ecosistema europeo de IA sería insostenible incluso para el regulador. El verdadero desafío no será jurídico, sino organizativo y estratégico: resistir los primeros años de incertidumbre, mantener la flexibilidad, destinar recursos de forma inteligente y desconfiar de las soluciones simplistas.

En última instancia, el progreso tecnológico europeo dependerá como siempre de la capacidad de sus profesionales para innovar en contextos adversos, transformar la complejidad en ventaja competitiva y seguir construyendo futuro, incluso cuando las reglas parezcan diseñadas para impedirlo.

Complementos clave de contexto en lo que es el EU AI Act

Para contextualizar adecuadamente el análisis anterior, conviene recordar algunos elementos estructurales de lo que es el EU AI Act, que permiten dimensionar su alcance y complejidad regulatoria:

• Primera regulación integral a nivel global sobre inteligencia artificial. El AI Act constituye el primer marco normativo de gran escala orientado específicamente a la IA, situando a la Unión Europea como pionera en la gobernanza tecnológica global. Consilium+1
• Enfoque basado en el riesgo. Su arquitectura se articula bajo el principio de proporcionalidad regulatoria: cuanto mayor sea el riesgo que un sistema represente para los derechos fundamentales, la seguridad o el orden público, mayor será la carga de cumplimiento aplicable. Estrategia Digital Europea+1
• Cuatro niveles de riesgo definidos. La norma distingue entre sistemas de riesgo mínimo o nulo, riesgo limitado, alto riesgo y riesgo inaceptable, este último directamente prohibido dentro del mercado europeo. Estrategia Digital Europea
• Cobertura de modelos de propósito general (GPAI). El reglamento introduce obligaciones específicas no solo para los sistemas de alto riesgo, sino también para los modelos fundacionales o de propósito general, reflejando el creciente impacto transversal de estas tecnologías. Estrategia Digital Europea+1
• Aplicación escalonada. Aunque el AI Act entró en vigor el 1 de agosto de 2024, sus disposiciones se aplicarán progresivamente. En particular, las obligaciones para sistemas de alto riesgo comenzarán a ser exigibles a partir del 2 de agosto de 2026, lo que implica un periodo de adaptación relativamente corto. Parlamento Europeo+2JRC Publicaciones+2
• Alcance extraterritorial. El marco se aplica a cualquier entidad —europea o no— cuyos sistemas de IA se comercialicen o generen efectos dentro del territorio de la Unión Europea, ampliando significativamente su impacto global. Acta de Inteligencia Artificial+1
• Régimen sancionador severo. Las infracciones pueden acarrear multas de hasta el 7 % del volumen de negocio mundial anual o cuantías fijas elevadas, lo que configura un riesgo financiero y reputacional material para las organizaciones afectadas. AP News+1

En conjunto, estos elementos explican por qué el EU AI Act no solo es un instrumento regulatorio, sino también un punto de inflexión estratégico para cualquier empresa que opere directa o indirectamente en el ecosistema de la inteligencia artificial.

¿Por qué lo que dice la ley de Inteligencia Artificial es un asunto estratégico para empresas de consultoría tecnológica?

Para empresas como OpenSistemas, que desarrolla soluciones de datos e IA para grandes empresas en sectores regulados o con alto perfil de riesgo, como, Telecomunicaciones, Banca, Seguros, Industria, Energía o Salud, lo que dice la ley de Inteligencia Artificial europea es un cambio estructural para el mercado, que exige alinear la estrategia de desarrollo, comercialización y cumplimiento con nuevos estándares.

Para ejemplificar este cambio estructural en el mercado, explicaré cómo afecta lo que dice la ley de Inteligencia Artificial en particular en varios ámbitos, poniendo como caso de ejemplo a OpenSistemas como PYME innovadora española, especializada en consultoría tecnológica con soluciones de inteligencia artificial para grandes compañías:

• Relación con grandes clientes: Al trabajar con corporaciones sujetas a estrictas obligaciones de compliance, resulta esencial posicionarnos como un socio tecnológico de confianza, capaz de comprender, anticipar y demostrar conformidad con el AI Act y con los marcos regulatorios sectoriales concurrentes (salud, banca, datos, infraestructuras críticas).
• Presencia internacional: Dada nuestra actividad en España, Colombia y Chile, debemos monitorizar activamente los procesos de armonización o trasposición de las normativas nacionales latinoamericanas frente al estándar europeo. La comprensión comparada de estos marcos será clave para reforzar nuestra estrategia de expansión internacional y asegurar coherencia operativa.
• Talento y posicionamiento de marca: La complejidad regulatoria puede convertirse en una ventaja competitiva. Comunicar y sobre todo demostrar que entendemos el marco normativo y que ayudamos a nuestros clientes a cumplirlo reforzará nuestra credibilidad técnica y reputacional.
• Compromiso social y sostenibilidad: Integrar la ética, la transparencia y la buena gobernanza en inteligencia artificial dentro de nuestras acciones de RSE (educación STEM, apoyo a ONG, desarrollo del talento) permitiría alinear nuestra actividad con los ODS 4, 5, 8, 10, 13 y 17, y consolidar nuestra imagen como actor responsable y comprometido con el impacto positivo de la IA.
• Roles y obligaciones bajo el AI Act: Como proveedor de soluciones basadas en IA, podemos desempeñar distintos roles dentro de la cadena de valor desarrollador, integrador, proveedor o usuario. Comprender en detalle cada uno de ellos es fundamental para determinar las obligaciones aplicables y estructurar los mecanismos internos de cumplimiento correspondientes.

En un contexto regulatorio tan dinámico como el actual, la comprensión profunda de lo que dice la Ley de Inteligencia Artificial en el EU AI Act, y su impacto operativo, no es solo una cuestión de cumplimiento, sino una oportunidad para fortalecer la confianza, la reputación y la competitividad de las compañías.

Nuestro equipo de consultores especializados en datos e inteligencia artificial, y nuestra amplia experiencia trabajando con clientes de entornos altamente regulados de sectores como Banca, Seguros o Telecomunicaciones, puede ayudaros a evaluar cómo afecta a vuestra compañía el nuevo marco europeo, identificando las obligaciones específicas y definiendo una hoja de ruta de cumplimiento adaptada a vuestra realidad empresarial.

Te invitamos a ponerte en contacto con nosotros para analizar tu caso y diseñar juntos una estrategia que convierta la regulación en una ventaja competitiva.