“Este nuevo marco no elimina las obligaciones, sino que reordena los tiempos de aplicación. La clave está en utilizar ese margen para reforzar la seguridad, la trazabilidad y el control sobre los sistemas de inteligencia artificial que ya se están incorporando a los procesos corporativos”, explica Francisco Valencia, director general de Secure&IT, compañía española especializada en seguridad de la información.
La Comisión Europea ha establecido un nuevo calendario para dar a las empresas más margen de adaptación a estas nuevas exigencias vinculadas a los sistemas de IA de alto riesgo. Las obligaciones para sistemas utilizados en ámbitos como biometría, infraestructuras críticas, educación, empleo, migración, asilo o control fronterizo se aplicarán desde el 2 de diciembre de 2027, mientras que las relativas a sistemas integrados en productos regulados lo harán desde el 2 de agosto de 2028.
“Este aplazamiento no debe interpretarse como una rebaja de las obligaciones ni como una invitación a esperar. Además, algunas exigencias de transparencia, como informar a los usuarios cuando interactúan con sistemas de IA o etiquetar determinados deepfakes y contenidos generados o manipulados mediante IA, serán aplicables desde el 2 de agosto de 2026”, indica Valencia.
Para las organizaciones, el nuevo escenario regulatorio exige conocer con precisión cómo se está usando la IA dentro de las compañías: qué herramientas se emplean, con qué finalidad, qué datos procesan, qué proveedores intervienen y qué controles existen para garantizar la seguridad, la trazabilidad y la supervisión humana. Por ello, no deben posponer la gestión de la inteligencia artificial y avanzar en algunas líneas prioritarias.
Cinco tareas que las empresas deben abordar
Aunque el nuevo calendario europeo ofrece más margen para adaptarse a determinadas obligaciones, las organizaciones no deben posponer la gestión de la inteligencia artificial y tienen que avanzar desde ahora en cinco líneas prioritarias:
- Inventariar los usos de IA, identificando qué herramientas se utilizan, por quién son usadas, con qué finalidad, sobre qué datos, en qué procesos de negocio y qué rol y riesgo asume conforme al RIA.
- Definir una política corporativa de IA que establezca usos permitidos, usos supervisados, usos prohibidos, información que no debe introducirse en estas herramientas y responsabilidades internas.
- Controlar el Shadow AI para evitar el uso de soluciones no autorizadas que puedan exponer información confidencial, datos personales o contenidos sensibles.
- Evaluar proveedores y clasificar los sistemas analizando qué terceros intervienen, dónde se procesan los datos y qué nivel de riesgo tiene cada sistema de IA.
- Integrar la IA en la estrategia de seguridad y cumplimiento, incorporando controles de ciberseguridad, privacidad, trazabilidad, formación y respuesta ante incidentes.
“La regulación da más tiempo, pero no elimina la urgencia. Las empresas que empiecen ahora llegarán mejor preparadas, reducirán riesgos y podrán adoptar la IA con más garantías. El reto no es frenar la innovación, sino gobernarla”, concluye Valencia.