La Unión Europea ha alcanzado un acuerdo provisional para simplificar y ajustar la aplicación de la Ley de Inteligencia Artificial, una de las normas tecnológicas más ambiciosas aprobadas hasta ahora en el mundo. El pacto, cerrado entre la presidencia del Consejo y los negociadores del Parlamento Europeo, forma parte del paquete legislativo Omnibus VII y busca reducir cargas administrativas, aclarar competencias y dar más tiempo a empresas y autoridades para aplicar las reglas sobre sistemas de alto riesgo.
El movimiento no supone una retirada de la regulación, pero sí una corrección importante del calendario. Las obligaciones más exigentes para determinados sistemas de alto riesgo ya no entrarían en vigor el 2 de agosto de 2026 como estaba previsto. El nuevo acuerdo fija dos fechas: el 2 de diciembre de 2027 para sistemas de alto riesgo independientes y el 2 de agosto de 2028 para sistemas de alto riesgo integrados en productos. La medida responde a una preocupación recurrente en la industria: regular sin tener todavía todos los estándares, herramientas técnicas y guías de aplicación puede crear inseguridad jurídica y costes difíciles de asumir.
La simplificación llega, además, con una novedad de protección relevante. Los colegisladores han añadido una prohibición específica contra prácticas de Inteligencia Artificial destinadas a generar contenido sexual o íntimo no consentido y material de abuso sexual infantil. Es una respuesta directa al crecimiento de herramientas capaces de crear imágenes, vídeos o falsificaciones íntimas mediante IA generativa, un problema que ha dejado de ser hipotético y que afecta especialmente a mujeres, menores y figuras públicas.
Menos carga administrativa, pero con nuevas fechas claras
La Comisión Europea había planteado retrasar hasta 16 meses la aplicación de las normas de alto riesgo, condicionándola a que estuvieran disponibles los estándares y herramientas necesarios. El acuerdo provisional mantiene el espíritu de esa propuesta, pero evita una fecha abierta y opta por un calendario fijo. Esto aporta más previsibilidad a proveedores, usuarios empresariales, organismos notificados y autoridades nacionales.
El retraso no significa que las empresas puedan olvidarse de la Ley de IA. Al contrario, les da una ventana más larga para preparar inventarios, sistemas de gestión de riesgos, documentación técnica, datos de entrenamiento y validación, supervisión humana, registros, ciberseguridad y controles de calidad. Las organizaciones que esperen a 2027 para empezar llegarán tarde.
La norma afecta a ámbitos especialmente sensibles, como empleo, educación, servicios esenciales, infraestructuras críticas, acceso a crédito, identificación biométrica, seguridad de productos o determinados usos en sanidad y administración pública. En esos casos, la exigencia no se limita a “usar IA con cuidado”. Requiere demostrar que el sistema ha sido diseñado, evaluado, documentado y gobernado de forma compatible con los derechos fundamentales y la seguridad.
El acuerdo también recupera la obligación de registrar en la base de datos europea aquellos sistemas en los que el proveedor considere que existe una exención de la clasificación como alto riesgo. Este matiz es importante porque evita que la autoevaluación se convierta en una zona opaca. Si una empresa entiende que su sistema no debe ser considerado de alto riesgo, deberá dejar rastro de esa decisión.
Además, el pacto restablece el estándar de estricta necesidad para el tratamiento de categorías especiales de datos personales cuando se usen con el fin de detectar y corregir sesgos. La idea es permitir controles de equidad y no discriminación, pero sin abrir una vía demasiado amplia para procesar datos sensibles bajo la excusa de mejorar modelos.
Transparencia, sandboxes y reparto de competencias
El acuerdo aplaza hasta el 2 de agosto de 2027 la obligación de que las autoridades competentes establezcan espacios controlados de pruebas, los conocidos como regulatory sandboxes. Estos entornos están pensados para que empresas, startups y administraciones puedan probar sistemas de IA bajo supervisión y con más seguridad jurídica.
También se reduce de seis a tres meses el periodo de gracia para que los proveedores implementen soluciones de transparencia en contenido generado artificialmente. La nueva fecha queda fijada en el 2 de diciembre de 2026. Esto puede afectar a sistemas que generan o manipulan texto, imagen, audio o vídeo, especialmente cuando sea necesario informar al usuario de que está interactuando con contenido sintético.
Otro punto delicado es el reparto de competencias entre la Oficina Europea de IA y las autoridades nacionales. El acuerdo aclara que la AI Office supervisará sistemas basados en modelos de propósito general cuando el modelo y el sistema hayan sido desarrollados por el mismo proveedor, pero establece excepciones en áreas como fuerzas de seguridad, gestión de fronteras, autoridades judiciales e instituciones financieras, donde seguirán interviniendo autoridades nacionales.
Ese reparto será clave en la práctica. La Ley de IA no se aplicará en el vacío, sino sobre sectores ya regulados. Una entidad financiera que use modelos de IA no solo responderá ante normas tecnológicas, sino también ante supervisores financieros, reglas de protección de datos, obligaciones de gestión de riesgos y normativa sectorial. Lo mismo ocurrirá en dispositivos médicos, maquinaria, juguetes, ascensores o embarcaciones.
En el caso de la IA industrial, los colegisladores han pactado un mecanismo para evitar solapamientos cuando la legislación sectorial ya incluya requisitos similares a los de la Ley de IA. La maquinaria queda exenta de la aplicabilidad directa de la Ley de IA, mientras que la Comisión podrá adoptar actos delegados bajo el reglamento de maquinaria para añadir requisitos de salud y seguridad relativos a sistemas de IA clasificados como de alto riesgo. Es una solución técnica, pero importante para fabricantes que temían duplicidad normativa.
Competitividad europea frente a presión regulatoria
El acuerdo encaja con una línea política más amplia en Bruselas: simplificar normas para mejorar competitividad sin desmontar el marco de protección. Desde 2025, la Comisión ha presentado varios paquetes Omnibus para reducir cargas en sostenibilidad, inversión, agricultura, digitalización, defensa, química, medio ambiente, automoción y alimentación. En el ámbito digital, el objetivo es evitar que el exceso de fragmentación frene a empresas europeas frente a competidores de Estados Unidos y China.
La presión empresarial ha sido evidente. Muchas compañías tecnológicas, industriales y financieras pedían más tiempo, guías más claras y menos duplicidades. Reuters describió el acuerdo como una versión más ligera de ciertas reglas, con retraso de obligaciones clave sobre alto riesgo y nuevas prohibiciones contra contenidos sexuales generados sin consentimiento.
La crítica también era previsible. Parte de la sociedad civil y expertos en derechos digitales temen que la simplificación se convierta en una rebaja de garantías, sobre todo si las empresas aprovechan el retraso para aplazar inversiones en cumplimiento. La protección frente a discriminación algorítmica, vigilancia indebida, decisiones automatizadas opacas o sistemas inseguros no depende solo de tener una ley exigente, sino de aplicarla con recursos, supervisores preparados y sanciones creíbles.
Para las empresas, el mensaje es más práctico. El nuevo calendario da aire, pero no elimina la necesidad de prepararse. Quien desarrolla o compra sistemas de IA debe empezar a clasificar usos, identificar riesgos, documentar proveedores, revisar datos, definir responsables internos y establecer procedimientos de auditoría. La regulación puede haberse movido en el tiempo, pero la presión reputacional, contractual y comercial ya está aquí.
En sectores regulados, además, los clientes empiezan a exigir evidencias antes incluso de que los plazos legales sean plenamente aplicables. Bancos, aseguradoras, administraciones públicas, hospitales o grandes industriales no quieren incorporar IA que luego les obligue a rediseñar procesos por falta de trazabilidad. El cumplimiento se está convirtiendo en un requisito de venta.
El acuerdo provisional todavía debe ser respaldado formalmente por el Consejo y el Parlamento Europeo, además de pasar por revisión jurídica y lingüística antes de su adopción definitiva. Hasta entonces, puede haber ajustes de redacción, pero el rumbo político parece claro: Bruselas quiere una Ley de IA aplicable, menos pesada para las empresas y más clara en los puntos donde la norma se cruzaba con legislación sectorial.
La paradoja europea sigue intacta. La UE quiere proteger derechos fundamentales y, al mismo tiempo, no quedarse atrás en la carrera global de la Inteligencia Artificial. Este acuerdo intenta cuadrar ambas prioridades: retrasar y simplificar parte del cumplimiento, reforzar prohibiciones frente a abusos concretos y ordenar mejor quién supervisa qué. La prueba real llegará cuando las empresas tengan que convertir esa arquitectura legal en procesos, controles y productos que funcionen.
Preguntas frecuentes
¿La UE ha retrasado la Ley de IA?
No toda la Ley de IA. El acuerdo provisional retrasa la aplicación de ciertas obligaciones sobre sistemas de alto riesgo: hasta el 2 de diciembre de 2027 para sistemas independientes y hasta el 2 de agosto de 2028 para sistemas integrados en productos.
¿Qué nueva prohibición se ha añadido?
El pacto introduce una prohibición específica sobre prácticas de IA que generen contenido sexual o íntimo no consentido y material de abuso sexual infantil.
¿Qué cambia para las empresas que desarrollan IA?
Tendrán más tiempo para cumplir algunas obligaciones de alto riesgo, pero deberán seguir preparando documentación, gestión de riesgos, controles de datos, supervisión humana, registros y procesos de cumplimiento.
¿El acuerdo ya es definitivo?
No. Es un acuerdo provisional. Debe ser respaldado por el Consejo y el Parlamento Europeo y pasar por revisión jurídica y lingüística antes de su adopción formal.
vía: consilium.europa
