La Ley de IA de la UE a partir del 2 de agosto: el vacío de alto riesgo también se extiende a la supervisión
5 Min. de lectura
El 2 de agosto de 2026 sigue siendo la fecha límite legalmente vinculante para las IA de alto riesgo del Anexo III según la Ley de IA de la UE. Ocho de los 27 Estados miembros han designado formalmente puntos de contacto nacionales, la Comisión Europea ha incumplido su plazo de orientación de febrero, el Consejo votó el 13 de marzo de 2026 a favor de un aplazamiento hasta el 2 de diciembre de 2027 (independiente) y el 2 de agosto de 2028 (sistemas integrados en productos). Quien hoy opera una herramienta de selección de recursos humanos o un modelo de puntuación crediticia, planifica contra una fecha límite incierta con plena obligación de cumplimiento.
Lo más importante en resumen
- La fecha límite sigue siendo el 2 de agosto de 2026 como fecha de aplicación vinculante. El Consejo de la UE votó el 13.03.2026 a favor de un aplazamiento hasta el 2 de diciembre de 2027 (independiente) o el 2 de agosto de 2028 (integrado), el Parlamento Europeo aprobó mayoritariamente el 18.03.2026. El Omnibus Digital está en trílogo, el texto final se espera bajo la presidencia chipriota del Consejo en mayo de 2026. Hasta la adopción formal, se aplica la fecha original.
- El vacío de supervisión es principalmente regulatorio. La Comisión Europea ha incumplido su plazo de orientación de febrero, solo ocho de los 27 Estados miembros han designado formalmente puntos de contacto nacionales. Alemania, según la Ley de Supervisión del Mercado de IA, apuesta por un modelo de supervisión híbrido con la Agencia Federal de Redes como autoridad central y autoridades sectoriales según el contexto del sistema.
- Las obligaciones permanecen inalteradas. Sistema de gestión de riesgos según el Art. 9, Gobernanza de datos según el Art. 10, Sistema de Gestión de Calidad según el Art. 17 y Monitoreo post-mercado según el Art. 72. En caso de incumplimiento de las obligaciones de alto riesgo, se aplican multas de hasta 15 millones de euros o el 3 por ciento del volumen de negocios anual mundial; las prácticas prohibidas tienen una escala propia de 35 millones de euros o el 7 por ciento.
¿Qué es un sistema del Anexo III según la Ley de IA de la UE? El Anexo III enumera ocho áreas en las que la IA se clasifica como de alto riesgo: identificación biométrica, infraestructura crítica, educación y formación profesional, empleo y gestión de personal, acceso a servicios esenciales como puntuación crediticia y prestaciones sociales, aplicación de la ley, migración y administración de justicia. Los sistemas de alto riesgo del Anexo III deben cumplir con todas las obligaciones del reglamento, incluyendo gestión de riesgos, gobernanza de datos, documentación técnica y evaluación de conformidad con marcado CE.
La fricción no reside principalmente en las empresas
El Consejo justificó su posición el 13 de marzo de 2026: sin orientación técnica oficial y sin estructuras nacionales de supervisión funcionales en la mayoría de los Estados miembros, la aplicación de las obligaciones de alto riesgo a partir del 2 de agosto de 2026 impondría una norma en el vacío. La Comisión Europea había incumplido su plazo de febrero para la orientación.
Al 28 de abril: ocho Estados miembros han nombrado formalmente puntos de contacto nacionales para la IA. Diecinueve no lo han hecho. El nombramiento formal dice poco sobre la capacidad operativa de la supervisión del mercado; es, sin embargo, un requisito previo para los pasos siguientes. Las negociaciones del Trilogo sobre el Paquete Digital Omnibus están en curso, y se busca aprobar el texto final bajo la presidencia cipriota del Consejo en mayo de 2026.
Hasta que eso ocurra, el 2 de agosto de 2026 sigue siendo la fecha de aplicación vigente. Alemania apuesta, según la Ley de Supervisión del Mercado de IA, por un modelo híbrido de supervisión: la Agencia Federal de Redes asume la coordinación como autoridad central, complementada por autoridades sectoriales según el contexto del sistema. La BfDI es competente para sistemas de alto riesgo relacionados con protección de datos, la BaFin para la IA financiera, y el BSI refuerza con enfoques en ciberseguridad y infraestructuras críticas. Las competencias de supervisión del mercado incluyen multas, prohibiciones de operación y órdenes de retirada.
Qué significa el Anexo III y dónde realmente se abre la brecha operativa
El Anexo III del Reglamento de la UE sobre IA define ocho ámbitos de alto riesgo con relevancia concreta en la región DACH: identificación y categorización biométrica, infraestructuras críticas, educación y formación profesional (por ejemplo, evaluación de exámenes), empleo y gestión de recursos humanos (screening de RRHH, gestión del rendimiento), acceso a servicios esenciales (score crediticio, prestaciones sociales), persecución penal, migración y justicia.
En la práctica de implementación en la región DACH, tres obligaciones suelen quedar fuera de la red. La gestión de riesgos según el artículo 9 suele existir como un documento de auditoría único, no como un proceso continuo durante todo el ciclo de vida. La gobernanza de la calidad de los datos según el artículo 10 se formula como una política, pero rara vez se verifica mediante métricas de representatividad, propiedades estadísticas y detección de sesgos. El monitoreo posterior al mercado según el artículo 72 no está establecido en la mayoría de las implementaciones.
Esa es la esencia de la brecha operativa. La brecha regulatoria en el aparato de supervisión europeo podría retrasar la fecha límite hasta 16 meses. Pero la brecha operativa dentro de las empresas no desaparece por ello.
La aplicación de las obligaciones de alto riesgo sin orientación oficial y sin infraestructura de supervisión en la mayoría de los Estados miembros impondría una norma en el vacío.
– Posición del Consejo de la Unión Europea, 13.03.2026 (resumen sustancial, fuente: consilium.europa.eu)
Lo que necesitan los equipos de seguridad y cumplimiento en los próximos 90 días
Las obligaciones pueden resumirse en una lista mínima de artefactos que deben estar disponibles antes del 2 de agosto de 2026. Solo entonces serán aplicables de manera coherente las normas y orientaciones armonizadas.
- Inventario de IA sobre todos los sistemas utilizados, incluyendo proveedores, versiones y fuentes de datos.
- Clasificación del Anexo III por sistema, con justificación y documentación de la evaluación de alto riesgo.
- Matriz proveedor-operador, que asigne para cada sistema la responsabilidad de conformidad y registro.
- Proceso de gestión de riesgos conforme al artículo 9, como documentación del ciclo de vida, no como auditoría puntual.
- Evidencias de calidad de datos conforme al artículo 10, con indicadores medibles de representatividad y sesgo.
- Manual de monitoreo e incidentes conforme al artículo 72, con pipeline de registro y vía de escalado a la autoridad supervisora.
Tres obligaciones operativas impactan directamente en el ámbito del CISO y la conformidad. En primer lugar: el sistema de gestión de riesgos conforme al artículo 9 debe documentarse como un proceso continuo, no como una instantánea de auditoría. Identificación, evaluación y medidas contra riesgos para la salud, la seguridad y los derechos fundamentales a lo largo de todo el ciclo de vida.
En segundo lugar: la gobernanza de la calidad de datos conforme al artículo 10. Los datos de entrenamiento, validación y prueba deben ser relevantes, suficientemente representativos y libres de errores en la medida de lo posible. Deben demostrarse las propiedades estadísticas de los conjuntos de datos respecto a los grupos de personas afectados.
En tercer lugar: el monitoreo post-mercado conforme al artículo 72. Los proveedores deben establecer un sistema documentado de monitoreo para el período posterior a la puesta en el mercado, incluyendo registro, reporte de incidentes y medidas correctivas.
La ENISA ha publicado el Marco para Prácticas de Ciberseguridad en IA (FAICP) como guía de implementación. Según el estado actual del debate, las normas y orientaciones finales deberían estar más estrechamente vinculadas con plazos transitorios. Para la preparación operativa esto cambia poco: el inventario de IA, la clasificación del Anexo III y las brechas de control deben estar listos antes de que puedan aplicarse correctamente las normas armonizadas. Hasta la adopción formal del Omnibus Digital, el 2 de agosto de 2026 seguirá siendo la fecha límite obligatoria.
Tres obligaciones, tres brechas prácticas
| Obligación (artículo) | Estado deseado según el Acta de IA de la UE | Brecha práctica habitual en DACH |
|---|---|---|
| Gestión de riesgos (artículo 9) | Proceso continuo a lo largo de todo el ciclo de vida, documentado y revisado regularmente | Documento único de auditoría, luego sin actualización sistemática ante nuevos datos o cambios en el caso de uso |
| Gobernanza de la calidad de datos (artículo 10) | Conjuntos de datos representativos, propiedades estadísticas documentadas, detección de sesgos por grupos de personas | Declaraciones de política sin indicadores medibles, ausencia de análisis sistemático de sesgos en los datos de entrenamiento |
| Monitoreo post-mercado (artículo 72) | Monitoreo documentado tras la puesta en el mercado, registro automático, reporte de incidentes | Sin sistema establecido, registro fragmentado, ausencia de pipeline de reporte de incidentes a las autoridades supervisoras |
Preguntas frecuentes
Si la transferencia se decide para diciembre de 2027, ¿se puede esperar con el desarrollo de la conformidad?
No. Hasta que el Digital Omnibus sea formalmente aprobado, la fecha de aplicación obligatoria seguirá siendo el 2 de agosto de 2026. La supervisión del mercado alemana comenzará a aplicarse a partir de esta fecha mediante la Bundesnetzagentur y las autoridades sectoriales, según lo establecido en el KI-MüG. Por experiencia, los procesos de evaluación de conformidad suelen durar entre tres y seis meses. Quien no haya iniciado sus actividades en mayo de 2026 ya no podrá cumplir con la fecha límite, por lo tanto, temporalmente.
¿Cuáles son las aplicaciones DACH que suelen estar incluidas en el Anexo III?
HR-Screening (gestión de candidatos, evaluación de desempeño), scoring de créditos en bancos y cajas de ahorro, inteligencia artificial educativa con evaluación de rendimiento, verificación biométrica en controles de acceso, inteligencia artificial en infraestructuras críticas como la energía y el transporte, así como inteligencia artificial en la persecución penal y en la administración judicial. La inteligencia artificial integrada en productos regulados según el Anexo I tendrá una prórroga hasta el 2 de agosto de 2027 o el 2 de agosto de 2028.
¿Cuál es la diferencia entre un proveedor y un operador según el AI Act de la UE?
El proveedor desarrolla el sistema y lo pone en el mercado. El operador lo utiliza en su propio negocio. Los proveedores asumen la responsabilidad central de la conformidad, incluyendo la evaluación de conformidad, la documentación técnica y la etiquetado CE. Los operadores deben garantizar el registro de datos, organizar la supervisión humana y verificar la adecuación para el propósito de uso previsto. Ambos son responsables; ambos están sujetos a las mismas normativas. Para las empresas usuarias, esta es la clave: aunque la evaluación de conformidad central recaiga en el proveedor, sus propias obligaciones no desaparecen. El registro de datos, el uso conforme a la finalidad, la supervisión humana, los procesos de incidentes y las responsabilidades internas son tareas de los operadores y también se aplican cuando se utilizan herramientas externas de HR, scoring o recruiting.
Consejos de lectura de la redacción
Más contenido del MBF Media Network
Fuente de la imagen de título: Pexels / Christian Wasserfallen (px:7327876)
