La Unión Europea vuelve a tropezar con la misma piedra. El pasado martes, el diálogo tripartito entre Estados miembros y Parlamento Europeo para suavizar la Ley de IA y retrasar sus plazos más duros terminó sin acuerdo tras doce horas de negociaciones. Según Reuters, citando a un funcionario chipriota, la falta de consenso se debió a la insistencia de algunos países y eurodiputados en excluir de la legislación a las industrias ya reguladas por normas de seguridad sectoriales. Chipre, que ostenta la presidencia rotatoria del Consejo, confirmó el estancamiento.

Este fracaso no es un simple contratiempo técnico. La sesión del martes era la última oportunidad política programada antes de la adopción formal del paquete 'Omnibus Digital' sobre IA, según el calendario del Parlamento Europeo. Ahora, las conversaciones se reanudarán en mayo. Si no hay acuerdo antes del 2 de agosto, las obligaciones para sistemas de alto riesgo se aplicarán tal como se redactaron originalmente, sin importar si las normas técnicas o las autoridades nacionales están listas. Un escenario que, para los CIO, supone un riesgo regulatorio con fecha de caducidad.

¿Por qué se han retrasado los plazos?

Fue en noviembre de 2024 cuando la Comisión Europea propuso el paquete digital sobre IA, enmarcado en el esfuerzo por simplificar el marco normativo digital de la UE, en respuesta al informe Draghi sobre competitividad. Tanto el Consejo como el Parlamento acordaron antes del diálogo tripartito que los plazos debían retrasarse. El Consejo, en su mandato del 13 de marzo, propuso nuevas fechas: el 2 de diciembre de 2027 para sistemas de IA autónomos de alto riesgo, y el 2 de agosto de 2028 para sistemas integrados en productos. El Parlamento votó a favor el 26 de marzo con 569 votos a favor.

La razón del retraso es práctica: las normas técnicas que las empresas deben cumplir aún no están listas. El Comité Técnico Conjunto 21 de CEN-CENELEC, encargado de redactarlas, sugiere que el conjunto completo no estará disponible antes de diciembre de 2026, según una nota del bufete Morrison Foerster. Mientras tanto, el punto de fricción real fue la exención que el Parlamento quería para la IA utilizada en productos ya sujetos a normas de seguridad de la UE, como maquinaria, juguetes y dispositivos médicos.

La exención “suscitó un entusiasmo limitado en el Consejo”, señaló el Centro para la Democracia y la Tecnología Europa. Grupos de consumidores, médicos y académicos se opusieron firmemente. Cuarenta organizaciones advirtieron en una carta abierta que las propuestas “debilitarían de manera crucial el Reglamento de IA”. Para los sectores afectados, el argumento a favor es la carga acumulativa del cumplimiento. Neil Shah, vicepresidente de Counterpoint Research, lo explica: “En sectores ya muy regulados, como el sanitario, una regulación adicional sobre la IA aumenta los quebraderos de cabeza. Cumplir con la seguridad física y digital es importante, pero debe haber una forma de reducir la carga y rendir cuentas ante una única autoridad”.

¿Qué pasará ahora?

Para los directores de TI, el 2 de agosto debe considerarse una fecha límite inamovible, independientemente de lo que ocurra en mayo. Shah recomienda: “Los CIO deberían estar preparados y considerar este verano como una fecha límite inamovible. Si se retrasa, será una ventaja; si no, supondrá un riesgo normativo”. Si los legisladores no alcanzan un acuerdo antes del 2 de agosto, las obligaciones de alto riesgo se aplicarán tal cual, sin importar si las normas armonizadas o las autoridades nacionales están listas.

Enza Iannopollo, vicepresidenta de Forrester, advierte que la preparación desigual entre Estados miembros no reduce el riesgo. “Es obvio que si las autoridades no están establecidas, no habrá aplicación. Pero los Estados miembros pueden acelerar ese proceso. Algunos países ya las han designado. El riesgo es que las empresas pierdan la pista y se vean expuestas a multas”. Otras partes de la Ley de IA siguen su curso: las prohibiciones de riesgo inaceptable se aplican desde febrero de 2025, las normas de IA de uso general desde agosto de 2025, y las obligaciones de transparencia del artículo 50 (chatbots, deepfakes) entrarán en vigor el 2 de agosto.

Para los CIO, el trabajo de cumplimiento subyacente continúa. “Esperar no es una opción”, afirma Iannopollo. “Deben empezar a sentar las bases de la gobernanza y el cumplimiento normativo de la IA. Si no están haciendo un inventario de sus casos de uso, evaluando riesgos según la categorización de la Ley de IA y definiendo medidas de gestión, se arriesgan no solo a multas, sino a daños reputacionales y a la incapacidad de escalar sus iniciativas de IA”. La presidencia chipriota se prolonga hasta el 30 de junio, cuando Irlanda tomará el relevo. Mientras tanto, el reloj sigue corriendo.

Para profundizar en cómo las empresas pueden prepararse para este entorno regulatorio, recomendamos leer nuestro análisis sobre soluciones en la nube que integran seguridad y cumplimiento, así como el caso práctico de configuración de VPNs y firewalls en entornos multinacionales. Además, la modernización tecnológica impulsada por IA es un tema clave en este contexto.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.