La Unión Europea se encuentra en un punto de inflexión crítico para su ambicioso Reglamento de Inteligencia Artificial. El pasado martes, el diálogo tripartito entre Estados miembros y Parlamento Europeo, que buscaba suavizar ciertos aspectos de la normativa y retrasar sus plazos, concluyó sin acuerdo tras doce horas de intensas negociaciones. Según informó Reuters citando a un funcionario chipriota —Chipre ostenta la presidencia rotatoria del Consejo—, la falta de consenso se debió principalmente a la insistencia de algunos Estados y legisladores en excluir de la regulación a las industrias ya sujetas a normas de seguridad sectoriales.

Un calendario legislativo bajo presión

Esta sesión del martes era el último diálogo tripartito político programado antes de la adopción formal del paquete 'Omnibus Digital' sobre IA, según el calendario legislativo del Parlamento Europeo. Las conversaciones se reanudarán en mayo, y si no se alcanza un acuerdo antes del 2 de agosto, las obligaciones para los sistemas de alto riesgo contempladas en la AI Act se aplicarán ese día tal como fueron redactadas originalmente. Esto supone una espada de Damocles para las empresas que desarrollan o utilizan sistemas de IA clasificados como de alto riesgo.

La exención que divide a Europa

El punto de fricción central ha sido la exención que el Parlamento quería para la IA utilizada en productos que ya están sujetos a las normas de seguridad de la UE, como maquinaria, juguetes y dispositivos médicos. El Consejo mostró un "entusiasmo limitado" por esta propuesta, según el Centro para la Democracia y la Tecnología Europa. Grupos de consumidores, médicos y académicos se han opuesto firmemente: cuarenta organizaciones advirtieron en una carta abierta que las propuestas "siguen corriendo el riesgo de reabrir elementos fundamentales de este marco, lo que debilitaría de manera crucial el Reglamento de IA".

Para los sectores afectados, el argumento a favor de la exención es la carga acumulativa del cumplimiento normativo. Neil Shah, vicepresidente de investigación y socio de Counterpoint Research, señala: "En sectores ya muy regulados, como el sanitario, una regulación adicional sobre la IA aumenta aún más el cumplimiento y los quebraderos de cabeza para las empresas. Cumplir con la seguridad tanto física como digital es importante, pero tiene que haber una forma de reducir la carga y rendir cuentas ante una única autoridad reguladora".

¿Por qué se han retrasado los plazos?

El 19 de noviembre de 2024, la Comisión Europea propuso el paquete digital sobre IA, enmarcado en un esfuerzo más amplio por simplificar el marco normativo digital de la UE, en respuesta al informe Draghi sobre competitividad. Tanto el Consejo como el Parlamento acordaron antes del diálogo tripartito que los plazos debían retrasarse. El Consejo propuso nuevas fechas: el 2 de diciembre de 2027 para sistemas de IA autónomos de alto riesgo, y el 2 de agosto de 2028 para sistemas integrados en productos. El Parlamento votó a favor el 26 de marzo con 569 votos a favor, 45 en contra y 23 abstenciones.

La razón principal del retraso es que las normas técnicas que las empresas deben cumplir aún no están listas. Las comunicaciones del Comité Técnico Conjunto 21 de CEN-CENELEC, encargado de redactar las normas, sugieren que el conjunto completo podría no estar disponible antes de diciembre de 2026, según una nota del bufete Morrison Foerster.

El impacto en los CIO: el 2 de agosto como fecha límite inamovible

Para los directores de TI (CIO), la incertidumbre regulatoria no es excusa para la inacción. Neil Shah advierte: "Creo que los CIO se encuentran en una situación difícil. Deberían estar preparados, independientemente del limbo regulatorio, y considerar este verano como una fecha límite inamovible. Si se retrasa, será una ventaja; si no, supondrá un riesgo normativo".

Enza Iannopollo, vicepresidenta y analista principal de Forrester, coincide: "Es obvio que si las autoridades responsables de hacer cumplir las normas no están establecidas, no habrá aplicación. Pero los Estados miembros pueden acelerar ese proceso. Algunos países ya han designado autoridades. El riesgo es que las empresas pierdan la pista de los avances en cada Estado miembro y se vean expuestas a multas y escrutinio regulatorio".

Otras partes de la AI Act siguen su curso: las prohibiciones sobre IA de riesgo inaceptable se aplican desde febrero de 2025, las normas sobre IA de uso general entraron en vigor en agosto de 2025, y las obligaciones de transparencia del artículo 50 (chatbots, deepfakes) entrarán en vigor el 2 de agosto de 2026.

Recomendaciones para los CIO: no esperar, actuar

Iannopollo subraya: "Esperar no es una opción. Los directores de sistemas de información deben empezar a sentar las bases de la gobernanza y el cumplimiento normativo de la IA. Si no están haciendo un inventario de sus casos de uso, evaluando los riesgos a la luz de la categorización de la AI Act y definiendo medidas de gestión de riesgos, se arriesgan no solo a multas, sino a daños reputacionales y a la incapacidad de escalar sus iniciativas de IA".

Para profundizar en cómo preparar tu infraestructura y estrategia de IA, te recomendamos nuestra checklist de 9 puntos para llevar tu IA a producción, así como el análisis sobre IA y ciberseguridad en 2026 y cómo SUSE se posiciona como capa de infraestructura para la era de la IA. Además, la protección de tu infraestructura de desarrollo frente a AI Agents desbocados es crucial, al igual que implementar hacking ético y pruebas de penetración como escudo proactivo.

La presidencia chipriota se prolongará hasta el 30 de junio, tras lo cual tomará el relevo Irlanda. Mayo será un mes decisivo para desbloquear la situación o, de lo contrario, las empresas deberán prepararse para cumplir con la normativa original en agosto.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.