La Unión Europea lleva años trabajando en una ley para regular la inteligencia artificial. Se llama el AI Act, y entró en vigor en agosto de 2024 con una fecha clave grabada en el calendario de muchas empresas: agosto de 2025. A partir de ese momento, las primeras normas con consecuencias reales para empresas y ciudadanos empezaron a aplicarse. Pero lejos de ser el punto final, fue el punto de partida de un proceso que todavía está en pleno desarrollo. Y que tiene en 2026 y 2027 algunos de sus momentos más importantes. Qué ha cambiado ya, qué llega pronto y por qué importa: esto es lo que hay que saber ahora mismo.
¿Qué es exactamente el AI Act?
El AI Act no regula la inteligencia artificial como concepto, sino los usos concretos que se hacen de ella según el riesgo que generan. La lógica es sencilla: cuanto más puede afectar un sistema de IA a la vida de las personas, más obligaciones tiene que cumplir quien lo desarrolla o lo usa. En el nivel más estricto están las prácticas directamente prohibidas, aquellas que la ley considera incompatibles con los derechos fundamentales y que no tienen cabida bajo ninguna circunstancia.
El siguiente escalón lo ocupan los sistemas de alto riesgo, que sí pueden usarse pero solo después de superar un proceso exigente: documentación técnica detallada, supervisión humana, garantías de precisión y una evaluación de conformidad antes de llegar al mercado. Más abajo están los sistemas de riesgo limitado, donde la clave es la transparencia: que el usuario sepa en todo momento que está interactuando con una IA. Y en la base de la pirámide, la gran mayoría de aplicaciones cotidianas quedan con obligaciones mínimas o directamente sin ninguna.
Lo que ya ha entrado en vigor
Desde febrero de 2025, hay cosas que la inteligencia artificial directamente no puede hacer en Europa. Ninguna empresa puede usar sistemas que manipulen a las personas sin que estas lo sepan, que identifiquen a alguien por su origen étnico o sus creencias a partir de su cara, o que analicen las emociones de los empleados en el trabajo. Un caso que ilustra bien hasta dónde llegan estas prohibiciones es el de Clearview AI. La empresa que construyó una base de datos de miles de millones de rostros scrapeando imágenes de internet sin permiso. Fue multada en varios países europeos antes incluso de que el AI Act entrase en vigor. El tipo de tecnología que usaba es exactamente lo que la ley prohíbe ahora de forma explícita.
En agosto de 2025 llegó otra fase importante. Las obligaciones para los grandes modelos de inteligencia artificial de propósito general, como GPT, Gemini o Claude, que son la base sobre la que se construyen miles de aplicaciones distintas. Desde entonces, sus desarrolladores tienen que documentar cómo han sido entrenados, qué datos han usado y qué medidas toman para respetar los derechos de autor. Los modelos más potentes tienen además obligaciones adicionales de seguridad y deben informar a la Comisión Europea si detectan que su tecnología podría causar daños a gran escala. Como amenazas para infraestructuras críticas o riesgos para la seguridad pública.
Para facilitar el cumplimiento, la UE publicó un código de buenas prácticas. Consistía en un conjunto de compromisos concretos que las empresas pueden firmar para demostrar que están alineadas con la ley. La respuesta de la industria fue reveladora. OpenAI, Google, Microsoft, Anthropic o Mistral lo firmaron. Meta se negó, y su argumento fue directo: que este tipo de regulación introduce demasiada incertidumbre jurídica y frena el desarrollo de la tecnología. Una postura que refleja la tensión que hay entre querer regular la IA y no frenar su desarrollo.
Lo que está por venir
El siguiente gran paso era agosto de 2026, fecha en la que debían entrar en aplicación las obligaciones para los sistemas de alto riesgo: aquellos algoritmos que toman decisiones que afectan directamente a las personas. Los que aprueban o deniegan un crédito, filtran candidatos en un proceso de selección, gestionan el acceso a prestaciones públicas o controlan fronteras. No es un escenario hipotético: Amazon tuvo que retirar su propio sistema de selección de personal cuando descubrió que discriminaba sistemáticamente a mujeres, y los algoritmos de scoring crediticio que usan grandes bancos europeos entran de lleno en esta categoría. Para poder seguir usándolos, las empresas tendrían que demostrar que cumplen con requisitos técnicos y de supervisión humana. Era, en muchos sentidos, la parte más ambiciosa de toda la ley.
Sin embargo, en mayo de 2026 la Comisión Europea decidió retrasar esa fecha hasta diciembre de 2027. Detrás de esa decisión hay una presión que lleva meses acumulándose. Mario Draghi, expresidente del Banco Central Europeo, publicó en 2024 un informe encargado por la propia Comisión sobre la competitividad europea. En este informe se advertía que Europa corre el riesgo de quedarse atrás frente a Estados Unidos y China por culpa, entre otras cosas, del exceso de regulación tecnológica. El informe tuvo mucho eco, y poco después un grupo de grandes empresas europeas firmó una carta pidiendo directamente pausar la aplicación del AI Act. La Comisión acabó cediendo parcialmente: las normas técnicas que las empresas necesitan para saber exactamente cómo cumplir con la ley no estaban listas, y forzar los plazos sin esa base habría generado más confusión que orden.
Lo que sí llega este año
El retraso no significa que no haya nada que hacer hasta entonces. Antes de que acabe 2026 entran en vigor el etiquetado del contenido generado por IA y las nuevas prohibiciones sobre imágenes íntimas no consentidas creadas con inteligencia artificial. En la práctica, esto significa que herramientas como Midjourney, DALL-E o Sora tendrán que identificar de forma clara cuando una imagen o un vídeo ha sido generado por IA. Algo que hoy no siempre ocurre. Y las empresas que usan IA para tomar decisiones sobre personas harían bien en no esperar a 2027 para empezar a prepararse. Identificar y clasificar todos los sistemas que utilizan es un proceso largo, y muchas todavía no han empezado.
Cómo afecta esto a las personas
Para la mayoría de ciudadanos, el AI Act no va a cambiar de golpe lo que ven en su pantalla. Su impacto es más estructural: pone límites a cómo las empresas pueden usar la IA para tomar decisiones que afectan a la vida de las personas. Y además obliga a que esas decisiones sean explicables, supervisadas y, en muchos casos, auditadas. Son cambios que no se ven a simple vista, pero que están detrás de procesos cotidianos como conseguir un préstamo, buscar trabajo o acceder a un servicio público.
La pregunta de fondo es si todo esto va a funcionar. Europa ha apostado por ser el primer territorio del mundo en regular la inteligencia artificial de forma integral, y esa apuesta tiene dos lecturas posibles. Si el AI Act consigue equilibrar protección e innovación, puede convertirse en un referente global, el mismo camino que recorrió el RGPD con la protección de datos. Pero si la regulación acaba siendo demasiado pesada para las empresas europeas sin serlo para las americanas o las chinas, el riesgo es que Europa pierda terreno en una carrera tecnológica que no espera a nadie. El debate está abierto, y los próximos dos años dirán si Europa ha encontrado el equilibrio o si ha apostado demasiado fuerte por la regulación.
Si te ha gustado este artículo y quieres recibir más contenido sobre innovación y tecnología directamente en tu correo, suscríbete a nuestra newsletter y mantente siempre actualizado. No somos de los que llenan tu bandeja, solo compartimos los lunes.
