La Unión Europea se encuentra en un punto muerto en la negociación de la Ley de Inteligencia Artificial (IA Act), tras el fracaso del último diálogo tripartito celebrado el pasado martes. Después de aproximadamente 12 horas de intensas discusiones, los representantes del Consejo de la UE y del Parlamento Europeo no lograron alcanzar un acuerdo sobre las modificaciones propuestas para suavizar la normativa y retrasar los plazos de aplicación más estrictos. Según informó Reuters citando a un funcionario chipriota —Chipre ostenta actualmente la presidencia rotatoria del Consejo—, no fue posible llegar a un consenso con el Parlamento. El principal punto de fricción ha sido la insistencia de algunos Estados miembros y legisladores en excluir de la legislación sobre IA a aquellas industrias que ya están reguladas por normas de seguridad sectoriales, como la maquinaria, los juguetes y los dispositivos médicos.

Esta sesión era la última oportunidad programada dentro del calendario legislativo del Parlamento Europeo para alcanzar un acuerdo político sobre el paquete 'Omnibus Digital' relativo a la IA, antes de su adopción formal. Las conversaciones se reanudarán en mayo, pero si no se logra un pacto antes del 2 de agosto, las obligaciones para los sistemas de alto riesgo contempladas en la IA Act se aplicarán ese mismo día tal y como fueron redactadas originalmente, sin las supuestas flexibilizaciones. Este escenario genera una gran incertidumbre para las empresas, que deben prepararse para el peor de los casos.

La rueda de prensa prevista para el miércoles en Estrasburgo, donde los eurodiputados Arba Kokalari y Michael McNamara iban a informar sobre el estado de las negociaciones, fue cancelada en el último momento. Ninguno de los portavoces ni el servicio de prensa de la presidencia chipriota han respondido a las solicitudes de declaraciones, lo que refleja la tensión y el bloqueo actual.

¿Por qué se han retrasado los plazos y qué se discute?

El paquete digital sobre IA fue propuesto por la Comisión Europea el 19 de noviembre del año pasado, enmarcado dentro de un esfuerzo más amplio por simplificar el marco normativo digital de la UE para las empresas, en respuesta al informe Draghi sobre la competitividad de la UE. Tanto el Consejo como el Parlamento coincidían en la necesidad de retrasar los plazos, debido a que las normas técnicas que las empresas deben cumplir aún no están listas. De hecho, el Comité Técnico Conjunto 21 de CEN-CENELEC, encargado de redactar dichas normas, ha indicado que el conjunto completo podría no estar disponible antes de diciembre de 2026, según una nota del bufete de abogados Morrison Foerster.

El Consejo, en su mandato de negociación del 13 de marzo, propuso nuevas fechas: el 2 de diciembre de 2027 para los sistemas de IA autónomos de alto riesgo, y el 2 de agosto de 2028 para los sistemas de IA de alto riesgo integrados en productos. El Parlamento votó a favor de estas mismas fechas el 26 de marzo, con 569 votos a favor, 45 en contra y 23 abstenciones. Sin embargo, el punto de desacuerdo ha sido la exención que el Parlamento quería para la IA utilizada en productos que ya están sujetos a las normas de seguridad de la UE. Esta exención ha generado una fuerte oposición por parte de grupos de consumidores, médicos y académicos, que en una carta abierta advirtieron que las propuestas “siguen corriendo el riesgo de reabrir elementos fundamentales de este marco, lo que debilitaría de manera crucial el Reglamento de IA”.

Para los sectores afectados, como el sanitario, el argumento a favor de la exención es la carga acumulativa que supone el cumplimiento normativo. Neil Shah, vicepresidente de investigación y socio de Counterpoint Research, señala: “En sectores ya muy regulados, como el sanitario, una regulación adicional sobre la IA aumenta aún más el cumplimiento y los quebraderos de cabeza para las empresas. Cumplir con la seguridad tanto física como digital es importante, pero tiene que haber una forma de reducir la carga que supone el cumplimiento y rendir cuentas ante una única autoridad reguladora”. Esta visión contrasta con la de los defensores de una regulación estricta, que temen que las exenciones puedan crear lagunas legales y debilitar la protección de los derechos fundamentales.

¿Qué deben hacer los CIO ante este escenario?

Para los directores de TI (CIO), la recomendación de los expertos es clara: considerar el 2 de agosto como una fecha límite inamovible, independientemente de lo que ocurra en las negociaciones de mayo. Neil Shah advierte: “Creo que los CIO se encuentran en una situación difícil en este momento. Deberían estar preparados, independientemente del limbo regulatorio, y considerar este verano como una fecha límite inamovible. Si se retrasa, será una ventaja; si no, supondrá un riesgo normativo”.

Enza Iannopollo, vicepresidenta y analista principal de Forrester, coincide en que la preparación desigual entre los Estados miembros no reduce el riesgo para las empresas. “Es obvio que si las autoridades responsables de hacer cumplir las normas no están establecidas, no habrá aplicación, a pesar de los plazos. Pero los Estados miembros pueden acelerar ese proceso y poner en marcha esas autoridades con bastante rapidez. Algunos países ya las han designado. El riesgo es que las empresas pierdan la pista de los avances en cada Estado miembro y se vean expuestas al escrutinio regulatorio y a multas”.

Además, otras partes de la IA Act siguen avanzando según su calendario original. Las prohibiciones sobre la IA de riesgo inaceptable se aplican desde febrero de 2025, las normas sobre IA de uso general entraron en vigor en agosto de 2025, y las obligaciones de transparencia del artículo 50 (divulgación de interacciones con chatbots y etiquetado de deepfakes) entrarán en vigor a partir del 2 de agosto. Por lo tanto, el trabajo de cumplimiento subyacente continúa independientemente de la política del diálogo tripartito. Iannopollo subraya: “Esperar no es una opción. Los directores de sistemas de información deben empezar a sentar las bases de la gobernanza y el cumplimiento normativo de la IA. Si no están haciendo un inventario de sus casos de uso de la IA, evaluando los riesgos a la luz (también) de la categorización de riesgos de la Ley de IA de la UE y definiendo medidas de gestión de riesgos, se arriesgan no solo a multas. Se arriesgan a sufrir daños a su reputación y a la incapacidad de ampliar eficazmente sus iniciativas de IA”.

En este contexto, la gobernanza de IA se convierte en un pilar estratégico para las organizaciones. Soluciones como las que ofrece SAS, con su ecosistema de agentes con control humano, pueden ayudar a las empresas a alinearse con los requisitos regulatorios mientras mantienen la innovación. Asimismo, la adopción de plataformas robustas como SUSE como capa de infraestructura para la IA permite construir bases sólidas para el cumplimiento y la escalabilidad.

La presidencia chipriota se prolongará hasta el 30 de junio, tras lo cual tomará el relevo Irlanda. Esto añade una capa adicional de incertidumbre, ya que el cambio de liderazgo podría influir en la dinámica de las negociaciones. Mientras tanto, las empresas deben actuar con prudencia y anticipación, sin esperar a que los legisladores se pongan de acuerdo. Como bien dice Iannopollo, “esperar no es una opción”.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.