La Ley de IA de la UE ya está en vigor, las sanciones ya están activas y la mayoría de las empresas no pueden clasificar sus propios sistemas de IA. La brecha de gobernanza ya no es teórica; es un pasivo que figura en el balance.
Durante los últimos tres años, los consejos de administración han estado implementando con entusiasmo la IA en áreas como la contratación, la toma de decisiones crediticias, el servicio al cliente, las operaciones y la estrategia. La mayoría lo ha hecho sin desarrollar la estructura de gobernanza necesaria para gestionarla. Ahora, el marco regulatorio ha llegado, y lo ha hecho con autoridad.
Algunas disposiciones de la Ley de IA de la UE ya están en vigor. Las prohibiciones sobre prácticas de IA inaceptables entraron en vigor en febrero de 2025. Las sanciones para los proveedores de modelos de IA de uso general se activaron en agosto de 2025. La plena aplicación de la normativa contra los sistemas de IA de alto riesgo se implementará gradualmente entre agosto y diciembre de 2027. El tiempo que queda hasta entonces no es un respiro; es todo el plazo disponible.
Sin embargo, la brecha en la preparación es sorprendente. Un estudio de appliedAI sobre 106 sistemas de IA empresariales reveló que el 40 % no podía identificar claramente su propia clasificación de riesgo según la Ley. El paso más básico del proceso de cumplimiento permanece incompleto en una gran proporción de implementaciones empresariales. La mayoría de los directivos ahora identifican el incumplimiento normativo como su principal preocupación en materia de IA. El factor que se queda atrás es la respuesta operativa.
Este es el meollo de la cuestión. La inversión en IA es real. La presión competitiva para su implementación es real. La obligación regulatoria es ahora real. Lo que no ha avanzado al mismo ritmo es la gobernanza.
La brecha de la que nadie habla
La mayoría de las conversaciones sobre IA en las empresas siguen centrándose en las capacidades y la inversión. El debate sobre la gobernanza se ha quedado rezagado, y las consecuencias ya se están haciendo sentir.
Según datos del Informe sobre el Estado de la Seguridad de la Información de IO, el 79 % de las organizaciones han adoptado la IA o el aprendizaje automático en los últimos 12 meses, y un 19 % adicional planea hacerlo. Esto convierte la implementación de la IA en prácticamente universal. Lo que agrava aún más la brecha de gobernanza es lo siguiente: el 37 % de las organizaciones informan que sus empleados utilizan IA generativa sin autorización.
Un estudio adicional de IBM indica que los incidentes relacionados con la IA oculta representaron el 20 % de las filtraciones de datos durante el último año, y el 11 % de las organizaciones afectadas no estaban seguras de haber sufrido un incidente de este tipo. La implicación para el cumplimiento de la Ley de IA es directa: cuando los empleados implementan IA sin el conocimiento de la organización, esta puede estar operando sistemas de IA de alto riesgo que no puede clasificar, supervisar ni controlar. Según la Ley, esto constituye una responsabilidad del implementador.
No se puede gobernar lo que no se ve. Y la mayoría de las organizaciones aún no pueden visualizar toda su inteligencia artificial.
Este problema no reside en una sola área de la empresa. La Ley de IA de la UE establece obligaciones simultáneas en materia de seguridad de la información, privacidad de datos y gobernanza de la IA. Cualquier sistema de IA que procese datos personales está sujeto tanto a la Ley como al RGPD. Cualquier sistema integrado en procesos de contratación, crédito o toma de decisiones de clientes conlleva obligaciones para el implementador, independientemente de si se desarrolló internamente o se adquirió de un proveedor. Los contratos con los proveedores deben ahora asignar responsabilidades de cumplimiento en materia de IA. La cadena de suministro de gobernanza de la IA es responsabilidad de la organización.
La mayoría de las organizaciones tienen estas funciones en salas separadas, con conversaciones independientes. Esa fragmentación es precisamente la vulnerabilidad estructural que la ley pondrá de manifiesto.
La regulación va más allá de lo que la mayoría de las juntas entienden actualmente.
La estructura de sanciones es significativa: multas de hasta 35 millones de euros o el 7% de la facturación anual global para las infracciones más graves, un límite que supera incluso el del RGPD.
La ley contempla la responsabilidad personal de la alta dirección y su alcance es extraterritorial. Cualquier organización cuyos sistemas de IA afecten a usuarios o mercados en la UE está sujeta a ella, independientemente de su sede. Londres, Nueva York, Singapur: si su IA tiene relación con la UE, usted asume la obligación. Para las empresas del Reino Unido que operan bajo la premisa de que la distancia regulatoria posterior al Brexit les ofrece algún tipo de protección, no es así.
La obligación se rige por el sistema, no por la bandera.
El cronograma es una secuencia, no una fecha futura fija. Las prohibiciones ya están en vigor. Las sanciones generales contra la IA ya están activas. Diciembre de 2027 no es una fecha límite lejana. Construir una infraestructura de gobernanza integrada que abarque funciones que actualmente operan de forma independiente, con ciclos diferentes y herramientas distintas, requiere más tiempo del que disponen la mayoría de las organizaciones que gestionan programas de cumplimiento reactivos.
¿Por qué falla el modelo de casilla de verificación?
La respuesta tradicional en materia de cumplimiento —elaborar un documento de evaluación de riesgos, asignar un responsable de la política y programar una revisión anual— no funciona. Los requisitos de la ley son técnicos y operativos. Los sistemas de IA deben ser monitoreados, registrados y probados continuamente en función de su rendimiento actual. Los modelos se desfasan. Los datos de entrenamiento se vuelven obsoletos. Los contextos de implementación cambian. Un modelo de gobernanza diseñado en torno a revisiones periódicas no puede mantenerse al día.
Los datos de IO evidencian la magnitud del problema. El 54 % de los encuestados afirma haber adoptado la tecnología de IA demasiado rápido y ahora enfrenta dificultades para reducir su uso o implementarla de manera más responsable. Solo el 21 % considera prioritario establecer políticas de uso responsable de la IA para el próximo año. El contraste es sorprendente: implementación casi universal, mínima prioridad en materia de gobernanza.
Fundamentalmente, ninguna función abarca la totalidad del ámbito de cumplimiento que examina la Ley. Un equipo jurídico que se centra únicamente en la amenaza a la privacidad deja expuestos los riesgos de seguridad e IA. Un CISO que se centra únicamente en la seguridad deja desatendidos la clasificación y la gobernanza de datos. Un equipo de producto que se centra únicamente en el riesgo de IA carece de visibilidad sobre la privacidad y la seguridad de los sistemas que gestiona. Las respuestas aisladas a las regulaciones interfuncionales no dan como resultado un cumplimiento parcial. Producen la ilusión de cumplimiento, y esa ilusión es precisamente lo que los reguladores pretenden comprobar.
El ciclo de la resiliencia
La clave que distingue a las organizaciones que desarrollan una resiliencia genuina de aquellas que gestionan obligaciones aisladas es la siguiente: la gobernanza de la IA no puede tratarse de forma aislada de la seguridad de la información y la privacidad de los datos, porque en la práctica estos riesgos son inseparables.
El ciclo de resiliencia, la gestión continua y unificada de la seguridad de la información, la privacidad de los datos y la gobernanza de la IA como un único sistema integrado, es la respuesta arquitectónica a esa realidad. Un sistema que genera una visión general clara de los riesgos y las medidas de mitigación, se adapta a los nuevos requisitos normativos y ofrece el tipo de resiliencia demostrable y auditable que los reguladores, los inversores y los clientes empresariales exigen cada vez más.
Los tres ámbitos que activa simultáneamente la Ley de IA de la UE son precisamente los tres ámbitos que unifica el ciclo de resiliencia. Una organización que ya opera de esta manera no necesita adaptar posteriormente el cumplimiento de la Ley de IA a sus programas existentes. La infraestructura ya está implementada y abarca toda la superficie multifuncional que examina la normativa.
Las organizaciones que aún no han realizado este cambio no se enfrentan a una falta de documentación, sino a una falta de arquitectura.
El caso competitivo
Los sectores regulados, como los servicios financieros, la sanidad y las infraestructuras críticas, están acelerando los requisitos de gobernanza de la IA para proveedores y socios. Las compras empresariales incluyen cada vez más evaluaciones de gobernanza de la IA. Los inversores institucionales están empezando a considerar la madurez de la supervisión de la IA como parte de su evaluación de riesgos.
Los datos de IO apuntan a lo que ya está sucediendo. Los encuestados informan que los mayores incrementos en el ROI del cumplimiento provinieron de una mejor toma de decisiones empresariales, retención de clientes y nuevas oportunidades de venta, y estos beneficios se han fortalecido considerablemente año tras año. El patrón es consistente: las organizaciones que adoptan primero la gobernanza integrada se distancian de aquellas que aún gestionan el cumplimiento de forma reactiva, no porque la gobernanza en sí misma sea una ventaja competitiva, sino porque la infraestructura que crea permite un despliegue más rápido y seguro de las capacidades que sí lo son.
La Ley de IA no es el límite máximo de lo que exige la gobernanza. Es el punto de partida.
El plazo es más corto de lo que la mayoría de los consejos entienden actualmente.
Diciembre de 2027 es la fecha límite para los sistemas de IA de alto riesgo. Construir la infraestructura de gobernanza integrada para cumplir con ese plazo no es un proyecto que comience en el tercer trimestre de 2026. Comienza ahora.
Las organizaciones que actúen dentro de este plazo estarán preparadas para la aplicación de la ley desde una posición de fortaleza. Aquellas que esperen tendrán que adaptarse bajo presión, con una fecha límite que ya se vislumbra en el horizonte de todos los reguladores.
La pregunta que todo consejo debería hacerse no es si actuar, sino si aún hay tiempo. Y la respuesta, por ahora, es sí.
Amplíe su conocimiento
Podcast: Phishing for Trouble T02 Ep02: IA: Confianza, ética y cómo hacerlo bien desde el principio
