Insights
7 min de lectura

EU AI Act: lo que un consejo debe haber cerrado antes de agosto de 2026

El Reglamento de Inteligencia Artificial entra en aplicación plena el 2 de agosto de 2026. Estas son las decisiones que el consejo no puede delegar — y los plazos reales para tomarlas.

  • Temas:
  • EU AI Act
  • Gobierno de IA
  • Compliance

El Reglamento (UE) 2024/1689 sobre inteligencia artificial entra en aplicación plena el 2 de agosto de 2026. Para entonces, los sistemas de IA de alto riesgo deben cumplir la totalidad del articulado, los modelos de propósito general llevan ya doce meses bajo supervisión y el régimen sancionador opera a velocidad de crucero — hasta el 7 % del volumen mundial de negocio anual para las infracciones más graves del Artículo 5.

Lo que sigue no es un resumen del texto. Es la agenda mínima de un consejo que quiera llegar al verano de 2026 sin reabrir el debate.

La decisión que solo el consejo puede tomar: dónde está la organización en la pirámide de riesgo

El Reglamento clasifica los sistemas de IA en cuatro niveles. La línea que separa "alto riesgo" del resto no es técnica; es regulatoria, y depende del uso, no del modelo.

| Nivel | Tratamiento normativo | Ejemplos típicos | Obligación clave para el consejo | |---|---|---|---| | Inaceptable (Art. 5) | Prohibidos | Manipulación cognitiva subliminal; social scoring generalizado; categorización biométrica por etnia o religión | Confirmar que la organización no opera ningún sistema de este nivel | | Alto riesgo (Anexo III) | Regulación intensa, marcado CE | Scoring crediticio; sistemas de RR. HH. de selección; biometría de identificación; sistemas de gestión de infraestructuras críticas | Inventario, evaluación de conformidad, supervisión humana documentada | | Riesgo limitado (Art. 50) | Obligaciones de transparencia | Chatbots, deepfakes, sistemas de reconocimiento de emociones | Etiquetado y aviso al usuario final | | Riesgo mínimo | Régimen libre | Filtros de spam, IA en videojuegos, recomendaciones simples | Buenas prácticas voluntarias |

Un sistema de scoring crediticio entrenado con un modelo trivial es alto riesgo. Un asistente de redacción interno entrenado con GPT-5 puede ser riesgo mínimo. La consecuencia operativa es que el inventario de sistemas no lo puede mantener IT en solitario: requiere casar uso de negocio con clasificación regulatoria, y eso es un ejercicio de cumplimiento, no de arquitectura.

La pregunta que el consejo debe poder responder en cualquier reunión a partir de septiembre de 2025:

¿Cuántos sistemas de alto riesgo opera la organización, quién los aprueba para puesta en servicio y dónde están documentados los análisis de conformidad?

Si la respuesta es "lo está mirando IT" o "no estamos seguros", la organización va tarde.

Lo que el Reglamento exige formalmente al consejo (sin nombrarlo)

El AI Act no incluye un capítulo de "gobierno corporativo de la IA" como sí hace DORA. Pero al cruzar tres artículos emerge un mandato implícito al órgano de administración:

  1. Artículo 9 — Sistema de gestión de riesgos a lo largo del ciclo de vida del sistema. Esto solo es defendible si está integrado en el marco general de riesgos de la entidad, que aprueba el consejo.
  2. Artículo 17 — Sistema de gestión de la calidad documentado, comparable al de ISO 9001 pero específico para IA. Requiere asignación de responsabilidades en la cadena de mando.
  3. Artículo 26 — Obligaciones de los responsables del despliegue: supervisión humana, monitorización post-mercado, registros de funcionamiento. La cuantía de la responsabilidad no admite delegarla en el primer mando intermedio.

Sumado al deber general de diligencia del Artículo 225 de la Ley de Sociedades de Capital, el consejo español tiene una obligación clara de conocer, supervisar y poder rendir cuentas sobre el cumplimiento del AI Act.

La pregunta de plantilla para el comité o consejo

Si una organización solo va a hacer una cosa este semestre en materia de IA, que sea esta: introducir el AI Act como punto fijo en el orden del día, al menos trimestralmente, con tres apartados invariables:

  • Inventario actualizado de sistemas, clasificados.
  • Estado de cumplimiento de los sistemas de alto riesgo.
  • Incidentes graves o casi-incidentes desde el último consejo (Artículo 73).

Esto no es burocracia. Es la única forma de que, llegado el 2 de agosto de 2026, el consejo pueda firmar las cuentas con la conciencia razonablemente tranquila de que la organización no está operando un sistema prohibido sin saberlo o un sistema de alto riesgo sin marcado CE.

Los tres errores recurrentes que veo en consejos españoles

1. Confundir gobierno de la IA con política de uso interno. Las políticas de "qué herramientas puede usar el empleado" son útiles pero no son gobierno de IA. El gobierno empieza cuando la organización produce o despliega sistemas que afectan a terceros.

2. Asumir que el cumplimiento es responsabilidad del proveedor. Un banco que utiliza un modelo de scoring de un tercero sigue siendo el responsable del despliegue. El Artículo 26 es expreso. El proveedor responde por su parte; el desplegador no se escapa.

3. Tratar el AI Act como un proyecto. No lo es. Es un régimen permanente. Quien lo monte como sprint de 2026 se encontrará en 2027 con un sistema vivo sin mecanismos para mantenerlo vivo. La arquitectura debe ser de operación continua desde el primer día.

Recomendación práctica para la primera reunión

Si el consejo todavía no ha abordado el AI Act como punto formal, propongo arrancar con tres preguntas a la dirección, por escrito, con plazo de respuesta de un mes:

  1. ¿Cuántos sistemas de IA de alto riesgo desplegamos hoy, según la clasificación del Anexo III del Reglamento?
  2. ¿Quién es el responsable interno del cumplimiento del AI Act y a quién reporta?
  3. ¿Qué riesgos cuantificados de sanción tenemos identificados en el escenario base y en el escenario adverso?

Las respuestas determinan si la organización tiene un problema operativo, un problema de gobierno o ambos. En cualquiera de los tres casos, el reloj del verano de 2026 corre igual.