El marco legal de la inteligencia artificial en Europa se encuentra en una fase crucial, con importantes interrogantes aún por resolver. La Comisión Europea ha propuesto extender los plazos para que las empresas se adapten a las obligaciones relativas a los sistemas de alto riesgo, otorgando así un mayor margen de maniobra. Inicialmente, agosto de 2026 era la fecha señalada para la entrada en vigor de las normas que regulan los usos de IA con potencial de causar daños graves a la salud, la seguridad o los derechos fundamentales, como la biometría, la evaluación de créditos o la corrección de exámenes. Sin embargo, dentro del paquete Digital Omnibus, Bruselas planteó en noviembre retrasar la aplicación hasta diciembre de 2027, permitiendo un aplazamiento máximo de dieciséis meses, siempre que se garantice la existencia de herramientas de apoyo para las empresas. Esta propuesta aún debe ser aprobada por el Parlamento y el Consejo Europeo. Aunque la fecha pueda parecer lejana, la implantación de una gobernanza robusta supone un reto considerable. Las organizaciones que se preparen con antelación evitarán prisas y posibles incumplimientos, pero muchas aún tienen dudas sobre aspectos clave del reglamento, lo que complica su adaptación. Para facilitar este proceso, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) ha publicado 16 guías prácticas, fruto del Sandbox de IA, con el objetivo de ayudar a las empresas a desarrollar sistemas innovadores y responsables, y a cumplir con las exigencias para herramientas de alto riesgo. Guillermo Hidalgo, counsel y responsable de ciberderecho en MAIO Legal, destaca que la Comisión busca introducir flexibilidad en la aplicación de las obligaciones, vinculando su entrada en vigor a la disponibilidad de estándares armonizados y herramientas de apoyo. Así, la aplicación no sería automática en agosto de 2026, sino tras una decisión de la Comisión, con un límite de dieciséis meses de prórroga. No obstante, esta medida aún no es definitiva. El mercado muestra cierta confusión ante el nuevo reglamento, que introduce un marco de cumplimiento basado en niveles de riesgo, nuevos roles (proveedor, importador, distribuidor, responsable del despliegue) y exige evidencias técnicas como gestión de riesgos, gobernanza de datos y trazabilidad, aspectos que muchas empresas no tienen interiorizados. En España, la incertidumbre se agrava por la dificultad de clasificar los casos de uso y determinar si se consideran de alto riesgo, así como por la dependencia de proveedores externos. Muchas compañías utilizan IA integrada en software de terceros y se preguntan si, al adquirirla, asumen responsabilidades legales. Además, la falta de estándares y guías definitivas genera lo que Hidalgo denomina “incertidumbre operativa”. En este contexto, las guías de AESIA resultan especialmente valiosas al ofrecer un enfoque práctico y alineado con el Sandbox. En el caso de las pymes, es habitual que utilicen IA de terceros, lo que implica que tanto el proveedor como el usuario asumen responsabilidades. El desarrollador asume la mayor parte de las obligaciones, pero la empresa usuaria también debe cumplir con requisitos de uso, supervisión, gestión de incidencias y transparencia. Un aspecto crítico es que una empresa puede convertirse en proveedor si modifica sustancialmente la herramienta, la reetiqueta o cambia su finalidad, especialmente si la sitúa en un contexto de alto riesgo. Por ello, se recomienda una gestión de proveedores basada en compliance, exigiendo garantías, auditorías y manteniendo un inventario de casos de uso y evaluaciones de riesgo. César Alonso, director de Consultoría en GlobalSuite Solutions, subraya que si una pyme modifica la IA o cambia su finalidad, asume las responsabilidades de un proveedor, incluidas las legales y técnicas. Además, señala la fatiga regulatoria que sufren las empresas al intentar encajar el Reglamento de IA con otras normativas como el RGPD, NIS2 o DORA, lo que convierte el reto en uno de gobernanza integrada. Víctor Morán, socio de Letslaw, observa que el reglamento obliga a las empresas a autodiagnosticarse en dos dimensiones: su papel en la cadena de valor y la clasificación de cada caso de uso según el riesgo. Las principales preocupaciones son la clasificación de alto riesgo, la carga de gobernanza y documentación, y el impacto en herramientas de IA generativa y de propósito general. Morán advierte que el reglamento puede suponer una barrera de entrada, especialmente para pymes, ya que el cumplimiento requiere inventariar usos, clasificar riesgos, documentar procesos y exigir garantías a los proveedores, tareas que las grandes empresas pueden asumir con mayor facilidad. Sin embargo, considera que las guías de AESIA ayudan a hacer el cumplimiento más accesible y práctico. Hidalgo recuerda que el reglamento está basado en el riesgo, por lo que no es lo mismo utilizar un chatbot informativo que aplicar IA en procesos críticos como selección de personal o scoring crediticio. El mayor desafío para las pymes surge cuando desarrollan o integran IA de alto riesgo sin apoyo suficiente, ya que el cumplimiento exige capacidades técnicas y documentales avanzadas. Por ello, recomienda un enfoque incremental, abordando primero los aspectos esenciales y avanzando hacia los más complejos. Alonso reconoce que la ley implica un esfuerzo considerable, especialmente para las organizaciones con menos recursos, debido a la necesidad de documentación técnica, registro de eventos y supervisión humana. No obstante, destaca que el reglamento prevé medidas de apoyo para pymes, como la participación en Sandboxes regulatorios, y considera que más que una barrera, es un filtro de calidad que puede aportar ventajas competitivas en términos de confianza y seguridad. La principal preocupación actual es la correcta clasificación de los casos de uso, junto con la complejidad de la gobernanza de datos, la trazabilidad y la transparencia. Muchas empresas temen no poder justificar ante el regulador las decisiones tomadas por sus sistemas de IA, especialmente ante un calendario de aplicación que avanza sin pausa. Aunque la norma entró en vigor en 2024, el próximo agosto comenzarán a aplicarse las obligaciones para sistemas de alto riesgo, incluyendo IA en biometría, infraestructuras críticas, educación, empleo y servicios públicos esenciales. A los 36 meses, se sumarán las obligaciones sectoriales de seguridad de producto. Las empresas deben prepararse ya, pues la adaptación técnica y documental requiere tiempo y no puede dejarse para el último momento. La cuenta atrás ha comenzado. (Fuente: abc.es)