El AI Act no nace muerto, pero sí llega tensionado: fue concebido para clasificar riesgos en sistemas de inteligencia artificial y ahora debe gobernar una tecnología que se integra en sanidad, educación, justicia, defensa, industria, energía, administraciones públicas y cadenas críticas de decisión.
Europa quiso llegar primero. Y, en buena medida, llegó primero. El Reglamento Europeo de Inteligencia Artificial, conocido como AI Act, se presentó como la primera gran ley integral del mundo para ordenar el despliegue de una tecnología llamada a alterar la economía, la política, el trabajo, la educación, la seguridad, la cultura y la vida cotidiana. Su lógica era clara: no prohibir la inteligencia artificial, sino clasificarla según el riesgo, impedir los usos inaceptables, imponer obligaciones estrictas a los sistemas de alto riesgo y fijar reglas de transparencia para los modelos de propósito general y los contenidos sintéticos.
Pero la pregunta que plantea Fernando Maldonado en Retina Tendencias es tan incómoda como pertinente: ¿está obsoleto el reglamento europeo de IA antes incluso de su aplicación plena? La cuestión no es si el AI Act era necesario. Lo era. La cuestión es si el marco regulatorio aprobado por la Unión Europea puede responder a la velocidad, escala y mutación de una tecnología que en apenas dos años ha pasado de parecer una herramienta digital avanzada a convertirse en una posible infraestructura crítica. Fuente:
La tesis de Maldonado es que Europa diseñó el AI Act pensando en plataformas y sistemas digitales capaces de afectar derechos fundamentales, pero la inteligencia artificial empieza a parecerse cada vez más a una capa estructural de funcionamiento económico y social. Ya no hablamos únicamente de aplicaciones que clasifican currículos, recomiendan contenidos, identifican rostros o generan textos. Hablamos de modelos integrados en servicios públicos, sistemas sanitarios, herramientas judiciales, procesos industriales, infraestructuras energéticas, ciberseguridad, educación, banca, defensa, investigación científica y administración. Cuando una tecnología se convierte en infraestructura, el problema regulatorio cambia de naturaleza.
El calendario oficial confirma además que el AI Act llega por fases. Entró en vigor el 1 de agosto de 2024, las prohibiciones y obligaciones de alfabetización en IA empezaron a aplicarse el 2 de febrero de 2025, las reglas para modelos de propósito general comenzaron el 2 de agosto de 2025 y la aplicación plena del grueso del reglamento está prevista para el 2 de agosto de 2026, con algunas obligaciones que se extienden hasta 2027 y 2028.
Ese despliegue progresivo tiene sentido jurídico y administrativo, pero entra en tensión con la realidad tecnológica. Entre la negociación inicial del reglamento, su aprobación formal y su aplicación plena, la IA generativa ha cambiado de escala. Los modelos ya no solo responden preguntas: razonan, programan, interpretan imágenes, generan vídeo, operan con voz, usan herramientas, navegan por entornos digitales, se conectan a bases de datos, ejecutan tareas y empiezan a actuar como agentes. La categoría clásica de “sistema de IA” se queda corta cuando la IA deja de ser una aplicación delimitada y pasa a ser una capa distribuida dentro de múltiples procesos.
El AI Act se basa en una arquitectura de riesgo. Prohíbe determinados usos considerados inaceptables, somete a obligaciones estrictas los sistemas de alto riesgo, exige transparencia en algunos supuestos y establece deberes específicos para los modelos de propósito general. Esa estructura era razonable para un ecosistema de productos identificables. Pero se complica cuando una misma capacidad de IA se integra en decenas de servicios, se actualiza constantemente, se combina con otros modelos, opera a través de API, se adapta al contexto y puede generar efectos no previstos por sus propios desarrolladores.
Ahí aparece el primer gran desfase: la ley necesita clasificar; la tecnología se desborda. El regulador pregunta qué sistema es, qué riesgo tiene, quién lo provee, quién lo despliega y qué obligaciones corresponden. La IA contemporánea responde con arquitecturas modulares, cadenas de agentes, modelos de terceros, datos dinámicos, capas de personalización, integraciones empresariales y actualizaciones continuas. El cumplimiento normativo exige perímetros; la IA tiende a disolverlos.
La Comisión Europea ha intentado reducir esa incertidumbre mediante guías, códigos de práctica y consultas públicas. Las obligaciones para modelos de propósito general se apoyan en un Código de Práctica diseñado para ayudar a los proveedores a cumplir con el reglamento. Además, Bruselas ha publicado borradores y orientaciones para clasificar sistemas de alto riesgo, precisamente porque muchas empresas y administraciones necesitan saber si sus herramientas quedan dentro o fuera de las obligaciones más exigentes.
El problema es que las guías llegan cuando el ecosistema ya se ha movido. La inteligencia artificial no espera a que el derecho cierre sus interpretaciones. En 2024 y 2025, las empresas lanzaron copilotos, asistentes internos, agentes de productividad, herramientas de generación de código, sistemas de automatización documental, modelos multimodales y aplicaciones integradas en procesos críticos. En 2026, la pregunta ya no es solo qué proveedor cumple, sino cómo se audita una red de capacidades de IA que atraviesa departamentos, jurisdicciones y proveedores.
Por eso la expresión “infraestructura crítica” resulta tan importante. Una infraestructura crítica no se regula solo por el daño directo de un producto concreto, sino por su función sistémica. La electricidad, las telecomunicaciones, el transporte, la sanidad, el sistema financiero o la ciberseguridad no pueden entenderse como simples servicios individuales. Son capas de dependencia. Si fallan, el daño se propaga. Si se concentran, generan poder. Si se manipulan, afectan a la soberanía. Si quedan en manos de pocos actores, condicionan la autonomía de gobiernos, empresas y ciudadanos.
La IA empieza a ocupar ese lugar. Un modelo fundacional integrado en miles de servicios no es comparable a una aplicación aislada. Si una administración pública usa IA para tramitar prestaciones, si un hospital la usa para priorizar pruebas, si una empresa energética la usa para optimizar redes, si un banco la usa para evaluar riesgos, si una escuela la usa para personalizar aprendizaje y si una redacción la usa para producir o verificar información, la IA deja de ser una herramienta sectorial. Se convierte en una capa de decisión.
El AI Act no ignora estos riesgos. Su orientación hacia los derechos fundamentales es una de sus mayores fortalezas. La norma presta atención a ámbitos especialmente sensibles: empleo, educación, migración, justicia, servicios esenciales, biometría, seguridad y acceso a derechos. También introduce obligaciones de documentación, gestión de riesgos, calidad de datos, supervisión humana, transparencia, robustez, ciberseguridad y trazabilidad. Pero la pregunta de fondo es si esos mecanismos bastan cuando la IA opera con una velocidad y una plasticidad superiores a la del ciclo regulatorio.
Bruselas parece consciente de la tensión. En 2025, la Comisión rechazó públicamente la idea de una pausa general en la aplicación del AI Act, pese a las presiones de grandes empresas tecnológicas y compañías europeas preocupadas por los costes y la complejidad del cumplimiento. Reuters recogió que la Comisión insistía en que no habría “pausa”, “periodo de gracia” ni paralización de los plazos legalmente vinculantes.
Sin embargo, al mismo tiempo, la Unión Europea ha discutido ajustes, simplificaciones y posibles retrasos parciales en determinadas obligaciones, especialmente en sistemas de alto riesgo y en el marco más amplio de simplificación digital. Le Monde explicó que la Comisión presentó en noviembre de 2025 un paquete de simplificación regulatoria digital que incluía propuestas para aliviar cargas y revisar ciertos elementos del marco digital europeo, en un contexto de presión empresarial y geopolítica.
Esta tensión ilustra el dilema europeo. Si la UE aplica el AI Act con toda su exigencia, corre el riesgo de ser acusada de frenar la innovación, encarecer el cumplimiento y favorecer indirectamente a las grandes compañías que sí pueden pagar equipos legales, auditorías, documentación y adaptación técnica. Si relaja o retrasa demasiado las obligaciones, puede vaciar de contenido su promesa de proteger derechos fundamentales y convertirse en una regulación fuerte sobre el papel pero débil en la práctica.
La pregunta sobre la obsolescencia del AI Act, por tanto, no admite una respuesta simple. No está obsoleto en el sentido de que sus principios hayan dejado de ser válidos. La clasificación por riesgos, la prohibición de usos especialmente dañinos, la transparencia sobre contenidos sintéticos, la supervisión de sistemas de alto impacto y las obligaciones para modelos de propósito general siguen siendo imprescindibles. De hecho, sin ese marco, Europa estaría en peor posición. El problema es otro: el reglamento puede quedarse corto si se interpreta como una norma cerrada, estática y autosuficiente.
El AI Act necesita funcionar como una arquitectura viva. No puede limitarse a establecer categorías y sanciones. Debe apoyarse en capacidades permanentes de supervisión técnica, auditoría dinámica, actualización normativa, cooperación internacional, acceso independiente a información, evaluación de modelos, trazabilidad de incidentes y gobernanza sectorial. Regular IA en 2026 no consiste solo en aprobar leyes; consiste en construir instituciones capaces de entender sistemas que cambian cada pocas semanas.
El AI Office, creado para supervisar la implementación y aplicación de las reglas sobre modelos de propósito general, será una pieza central de esa gobernanza. Pero su eficacia dependerá de recursos, independencia, talento técnico, capacidad de interlocución con empresas y poder real para exigir información. Una agencia sin músculo quedaría atrapada entre documentos de cumplimiento y declaraciones voluntarias. Una autoridad fuerte, en cambio, podría convertir el AI Act en un marco adaptable y operativo.
También hace falta una mirada sectorial. No se puede gobernar igual la IA que genera imágenes falsas, la que asiste a un médico, la que recomienda créditos, la que ayuda a un juez, la que protege una red eléctrica o la que automatiza una campaña publicitaria. El AI Act establece una base común, pero la verdadera regulación tendrá que aterrizar en sectores concretos. Sanidad, educación, finanzas, justicia, medios, defensa, transporte y administración pública necesitan criterios propios, pruebas específicas, estándares técnicos y mecanismos de reclamación adaptados.
La gobernanza de la IA tampoco puede ser solo europea. Los modelos más potentes se desarrollan mayoritariamente fuera de la Unión Europea, especialmente en Estados Unidos y China. Europa puede regular el acceso a su mercado, pero no controla por completo la infraestructura global de la IA: chips, nubes, modelos fundacionales, capital, talento, plataformas y estándares de facto. Esa dependencia convierte el AI Act en una herramienta de poder normativo, pero también revela sus límites. Europa puede fijar reglas, pero si no desarrolla capacidades propias corre el riesgo de convertirse en un regulador sofisticado de tecnologías ajenas.
Este punto conecta con el debate sobre soberanía tecnológica. Una regulación ambiciosa sin industria fuerte puede proteger derechos, pero también puede consolidar dependencia. Una industria fuerte sin regulación puede generar crecimiento, pero también abusos, concentración y daños sociales. El desafío europeo consiste en combinar ambas dimensiones: proteger derechos y, al mismo tiempo, construir capacidad tecnológica propia. Si el AI Act se percibe únicamente como una carga administrativa, perderá legitimidad. Si se convierte en una garantía de confianza, interoperabilidad y seguridad, puede ser una ventaja competitiva.
La velocidad es el otro gran problema. El derecho europeo se mueve por reglamentos, actos delegados, guías, consultas, comités, transposiciones institucionales y plazos de aplicación. La IA se mueve por iteraciones de modelos, lanzamientos comerciales, benchmarks, integraciones y experimentación masiva. Esa asimetría temporal no se resuelve redactando leyes más largas. Se resuelve creando mecanismos de actualización continua, estándares técnicos revisables, auditorías recurrentes y sistemas de alerta temprana.
En ese sentido, la pregunta de Maldonado apunta a una cuestión más profunda: ¿puede la gobernanza democrática operar a la misma velocidad que los sistemas que intenta supervisar? Si la respuesta es no, la regulación corre el riesgo de llegar tarde. Si la respuesta es sí, habrá que cambiar la manera de regular. La IA exige pasar de una regulación puramente normativa a una regulación operativa: menos obsesionada con cerrar de una vez todas las categorías y más orientada a monitorizar, aprender, corregir y actuar.
El AI Act será juzgado no por su ambición inicial, sino por su capacidad de adaptación. Si se queda en un mapa de riesgos diseñado para la IA de 2023, envejecerá rápido. Si se convierte en una plataforma institucional capaz de incorporar nuevos riesgos, nuevas arquitecturas y nuevas prácticas, seguirá siendo relevante. La diferencia entre ambas posibilidades dependerá de la Comisión, los Estados miembros, las autoridades nacionales, los tribunales, las empresas, la sociedad civil y la comunidad técnica.
La regulación europea tampoco debe caer en una falsa dicotomía entre innovación y derechos. Las empresas necesitan seguridad jurídica, pero los ciudadanos necesitan protección real. Los desarrolladores necesitan reglas claras, pero los reguladores necesitan transparencia técnica. Los Estados quieren competitividad, pero no pueden renunciar a la supervisión democrática de sistemas que afectan decisiones esenciales. La buena regulación no es la que bloquea la tecnología, sino la que impide que se despliegue sin responsabilidad.
Por eso el AI Act no está muerto, pero sí está obligado a madurar antes de terminar de aplicarse. Nació como una norma pionera para ordenar riesgos de sistemas de IA. Ahora debe convertirse en una arquitectura de gobernanza para una tecnología que se comporta como infraestructura. Esa transformación no invalida el reglamento; lo somete a una prueba mucho más exigente. La pregunta ya no es si Europa fue la primera en regular. La pregunta es si será capaz de regular bien cuando la IA deje de ser una novedad y se convierta en una dependencia estructural.
La respuesta dependerá de si Bruselas entiende que el AI Act no puede ser el final del camino, sino el principio de una política pública permanente sobre inteligencia artificial. Una política con supervisión técnica, inversión, soberanía, coordinación sectorial, auditorías, derechos exigibles y capacidad de reacción. Si lo consigue, Europa habrá construido algo más importante que una ley: una forma democrática de gobernar sistemas inteligentes. Si no lo consigue, el reglamento podría convertirse en una foto fija de una tecnología que ya cambió de forma antes de que las obligaciones terminaran de entrar en vigor.
