Durante años hablar de inteligencia artificial en Europa era hablar de futuro. De ética, de oportunidades, de innovación responsable. Todo muy correcto. Todo muy de power point. Ese tiempo se ha acabado, porque la IA ha dejado de ser un debate filosófico para convertirse en un problema jurídico tangible. Con nombres, con artículos, con sanciones. El AI Act (Reglamento de IA) ya no es una promesa regulatoria: es un marco de riesgo real para organizaciones que siguen desplegando sistemas como si nada hubiera cambiado. Y ha cambiado todo.
El Reglamento europeo de Inteligencia Artificial entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026. Pero pensar que eso concede margen para la calma es una ilusión peligrosa. Desde el 2 de febrero de 2025 ya están vigentes las prácticas prohibidas y las obligaciones de alfabetización en IA, y desde el 2 de agosto de 2025 se activaron las reglas para los modelos de propósito general. Traducido al román paladino: el cumplimiento ya no es un proyecto a medio plazo, es una fuente de exposición jurídica presente.
La pregunta clave ya no es si un sistema “cumple”, sino en qué categoría cae. El AI Act introduce una lógica incómoda para muchas organizaciones: la clasificación por riesgo. Incómoda porque obliga a aceptar que hay usos de la IA que no se pueden salvar con cláusulas, consentimientos o políticas bien redactadas. El artículo 5 del Reglamento es explícito: existen prácticas directamente prohibidas por riesgo inaceptable para la dignidad, la privacidad o los derechos fundamentales. Y cuando algo está prohibido, el debate jurídico se termina. No se discute cómo cumplir, sino cómo evitarlo.
Aquí es donde muchas empresas siguen equivocándose. Continúan analizando la IA con el prisma clásico del RGPD: base jurídica, deber de información, contrato con el proveedor. Todo eso sigue siendo necesario, pero hoy resulta claramente insuficiente. El AI Act no pregunta si informaste bien, sino si ese sistema debía existir en primer lugar.
El fenómeno de los deepfakes sexualmente explícitos es probablemente el mejor ejemplo de este cambio de paradigma, especialmente cuando afecta a menores. No es un riesgo hipotético ni una exageración académica. En España ya se han impuesto sanciones administrativas por la difusión de desnudos falsos generados con IA, calificadas como tratamientos ilícitos de datos personales. El mensaje jurídico es claro: incluso sin entrar en la vía penal, la IA generativa puede activar responsabilidad administrativa grave cuando vulnera derechos fundamentales.
Desde la óptica del AI Act, el problema es doble. Por un lado, estos sistemas trabajan con datos personales evidentes: imagen, rasgos faciales, contexto, y en muchos casos datos biométricos. Por otro, el modelo de funcionamiento habitual (sube una imagen, obtén un resultado inmediato y compártelo) ignora por completo cualquier noción de gobernanza, control o diligencia. El Reglamento no regula contenidos como tal, pero sí castiga la irresponsabilidad algorítmica. Si una organización despliega IA sin evaluar impactos, sin límites claros y sin controles efectivos, el riesgo regulatorio deja de ser teórico y pasa a ser inmediato.
En febrero de 2025 la Comisión Europea publicó guías interpretativas sobre las prácticas prohibidas. No son vinculantes, pero ignorarlas sería suicida. Orientan la aplicación práctica del Reglamento y el criterio de las autoridades supervisoras, especialmente en entornos laborales, plataformas digitales y usos abusivos. Y junto a ello aparece un elemento que muchas organizaciones aún no han interiorizado: la obligación de alfabetización en IA. No hablamos de un curso simbólico ni de una política decorativa, sino de formación real, criterios de uso claros y responsabilidades internas definidas.
En Derecho, el “no lo sabía” rara vez funciona como defensa. Con el Reglamento de IA, el “no me formé” empieza a ser todavía peor.
A diferencia de otras normas, el Reglamento no se queda en la declaración de principios. Prevé un sistema de supervisión con autoridades concretas y mecanismos de coordinación. En España, la AEPD ya ha recordado públicamente que determinados apartados están plenamente vigentes desde 2025 y que su capacidad de actuación no es teórica. El resultado es un doble carril de control: protección de datos, por un lado, y cumplimiento en inteligencia artificial, por otro, con amplias zonas de solapamiento. Para las organizaciones esto tiene una consecuencia incómoda, pero inevitable: ya no basta con tener un DPD diligente. Hace falta una verdadera gobernanza algorítmica, donde legal, compliance, seguridad, recursos humanos y negocio dejen de trabajar en compartimentos estancos.
A estas alturas, las diferencias entre quién reduce riesgo y quién lo acumula ya no son sutiles. Saber qué sistemas de IA se están usando realmente, incluida la llamada “IA sombra” (uso de herramientas de inteligencia artificial por personas usuarias o integrantes de la organización sin autorización, control ni supervisión de la organización, normalmente para “ir más rápido”), clasificar los casos de uso por riesgo, controlar todo el ciclo de vida del sistema, exigir transparencia a proveedores y formar de manera continua y operativa ya no son buenas prácticas: son mínimos defensivos.
La pregunta que debería presidir cualquier comité de dirección ya no es si la organización usa IA, sino si puede demostrar que la usa con diligencia, control y respeto a los derechos fundamentales. Porque en el nuevo Derecho Digital europeo hay una regla que empieza a imponerse con rapidez: lo que no se gobierna, se sanciona.
