EU AI Act: qué cambia en la práctica para líderes de Data, IA y Producto

El AI Act es un Reglamento - específicamente, el Reglamento (UE) 2024/1689. Esto significa que es directamente aplicable en todos los Estados miembros. No es una directiva "para adaptar después". No es una recomendación. Es ley.

La idea central es simple: regulación basada en riesgo. Cuanto mayor el potencial de daño (seguridad, salud, derechos fundamentales), mayor la obligación de gobernanza y evidencia.

Lo que veo que muchas empresas hacen mal: tratar el AI Act como un "checklist legal". En la práctica, va a separar a los que hacen de la IA un sistema de trabajo real - con control, adopción y confianza - de los que se quedan atrapados en POCs y "shadow AI".

Qué cambia en la vida real

En lenguaje de liderazgo, sin términos legales:

Necesitas saber dónde ya usas IA. No solo "el proyecto oficial". Incluye herramientas compradas por equipos, automatizaciones, copilots, contenido generado por IA y plugins integrados en herramientas de productividad.
Clasificar por riesgo es parte de las operaciones. La pregunta pasa de "¿usamos IA?" a "¿cuál es el riesgo y qué evidencia tengo que mantener?"
La transparencia no es un detalle. Especialmente para contenidos sintéticos (deepfakes, imágenes generadas) e interacciones donde la persona necesita saber que está hablando con un sistema - Artículo 50 del Reglamento.
GPAI / modelos base entran en la gobernanza. La UE está poniendo obligaciones específicas para modelos de propósito general - documentación técnica, pruebas de seguridad y transparencia sobre datos de entrenamiento.

Cronograma: qué ya está vigente

El AI Act entró en vigor el 1 de agosto de 2024, pero las obligaciones son progresivas. Esto es lo que importa:

02 Feb 2025 — Prácticas prohibidas + Alfabetización IA

Las prohibiciones de usos inaceptables de IA (manipulación subliminal, scoring social, policía predictiva individual) ya se aplican. Obligación de alfabetización IA (Artículo 4): proveedores y deployers deben asegurar que sus equipos tienen conocimiento suficiente. Fuente: Artículo 113, § (a)

02 Ago 2025 — Gobernanza + GPAI

Reglas de gobernanza (Capítulos I-V del Título VII) y obligaciones para modelos de IA de propósito general (GPAI) entran en vigor. Incluye documentación técnica obligatoria y políticas de derechos de autor. Fuente: Artículo 113, § (b)

02 Ago 2026 — Mayoría de obligaciones

Entran en vigor las obligaciones para sistemas de IA de alto riesgo (Anexo III): gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana y robustez. Fuente: Artículo 113, § (c)

02 Ago 2027 — Transición extendida

Sistemas de IA de alto riesgo que también son componentes de seguridad bajo legislación sectorial de la UE (Anexo I - maquinaria, dispositivos médicos, aviación) tienen plazo extendido. Fuente: Artículo 113, § (d)

En la práctica: qué cambia por área

Aquí es donde la mayoría de los artículos se detienen. Explican el reglamento pero no dicen qué cambia en el día a día para quien lidera. Intentaré ser más útil que eso.

Finanzas — Alto riesgo

El scoring de crédito y la evaluación de riesgo crediticio están clasificados como alto riesgo (Anexo III, § 5(b)). Esto significa: gestión de riesgos documentada, gobernanza de datos, auditoría de sesgos, supervisión humana y explicabilidad.

En la práctica: si tienes un modelo de ML que aprueba o niega crédito, necesitas documentar cómo fue entrenado, con qué datos, qué sesgo fue medido y tener un humano con poder real de revisión. Lo mismo aplica para la detección de fraude cuando genera acciones automáticas.

Acción: revisar todos los modelos de scoring/riesgo y preparar la documentación antes de agosto 2026.

Marketing — Riesgo limitado + transparencia

El contenido generado por IA (textos, imágenes, videos) debe ser claramente identificado como sintético. El Artículo 50 es directo: si generas contenido con IA que pueda confundirse con contenido humano, debes etiquetarlo.

En la práctica: ¿el post de LinkedIn generado por ChatGPT? ¿La campaña con imagen de Midjourney? ¿El guión de video escrito por IA? Todo necesita etiquetado. Esto no es "nice to have" - es obligación legal.

La personalización de contenido (recomendaciones, targeting) generalmente es riesgo mínimo o limitado, pero atención: si tus recomendaciones afectan el acceso a servicios esenciales o usan perfilado comportamental profundo, el riesgo sube.

Acción: crear una política interna de etiquetado para contenido sintético.

RRHH / Personas — Alto riesgo

El reclutamiento, triaje de CVs, evaluación de desempeño y decisiones de promoción con IA son alto riesgo (Anexo III, § 4). Probablemente el área con mayor impacto directo en el día a día.

En la práctica: ¿la herramienta de triaje de CVs que usa el equipo de reclutamiento? ¿El scoring de candidatos? ¿El análisis de sentimiento en entrevistas por video? Todo es alto riesgo. Necesitas:

Documentación de cómo funciona el sistema
Auditoría de sesgos (género, edad, origen, discapacidad)
Supervisión humana real (no rubber-stamping)
Informar al candidato que se usa IA

Un punto importante: el monitoreo de productividad con IA también puede ser alto riesgo, dependiendo del uso y las decisiones que influye.

Acción: mapear toda herramienta de "people analytics" e IA en RRHH.

Producto — Varía según contexto

Los chatbots, asistentes virtuales y sistemas de recomendación tienen obligación de transparencia: el usuario necesita saber que está interactuando con un sistema de IA (Artículo 50). Simple, pero muchas empresas lo ignoran.

Los sistemas de recomendación de e-commerce generalmente son riesgo mínimo. Pero si tu producto usa IA para salud, educación, acceso a servicios públicos o justicia, probablemente estás en alto riesgo.

Para product managers: cada feature con IA necesita una evaluación de riesgo antes de ir a producción.

Acción: incluir "clasificación de riesgo" en tu framework de discovery/delivery de features con IA.

IT / Ingeniería — Operacional + GPAI

Si usas modelos de propósito general (GPT, Claude, Gemini, Llama) internamente o como parte del producto, las nuevas reglas de GPAI (Capítulo V, aplicables desde agosto 2025) te impactan directamente.

Para proveedores: documentación técnica, pruebas de seguridad, política de derechos de autor sobre datos de entrenamiento. Para quienes despliegan estos modelos: necesitas entender qué entra y qué sale y poder responder auditorías.

En la práctica: el equipo de ingeniería necesita mantener logs de inferencia, controlar los templates de prompts y documentar cómo se usan los modelos en cada contexto.

Acción: crear un registro de todos los modelos de IA en uso (comprados, open-source, APIs), con clasificación de riesgo y responsable técnico.

Riesgo / Cumplimiento — Transversal

Para Riesgo y Cumplimiento, el AI Act no es "un reglamento más". Es un cambio de paradigma: por primera vez, necesitas gobernanza específica para sistemas de IA, no solo para datos.

Esto significa:

Inventario de IA: saber qué existe, quién es dueño, cuál es el riesgo
Gobernanza de proveedores: exigir documentación de proveedores de IA (no aceptar "cajas negras")
Respuesta a incidentes: tener un proceso claro para cuando algo falla
Pista de auditoría: mantener evidencias de conformidad listas para supervisión

Las multas pueden llegar a 35 millones de euros o 7% de la facturación global por violaciones de prácticas prohibidas.

Acción: iniciar el inventario de IA ahora. Definir ownership. Alinearse con el DPO (GDPR) y construir el puente entre protección de datos y gobernanza de IA.

Mi perspectiva

El AI Act no es solo sobre cumplimiento. Fuerza una pregunta madura: ¿cómo asegurar que la IA aumente la capacidad humana sin aumentar el riesgo, la desigualdad o la desconfianza?

Si lideras Data/IA, Producto, RRHH, Riesgo/Cumplimiento u Operaciones, el playbook inicial que recomiendo es:

Inventario: mapear usos de IA (incluyendo shadow AI - ese GPT que alguien usa en Chrome)
Clasificación de riesgo: qué es mínimo/limitado/alto riesgo y por qué
Alfabetización IA por función: liderazgo, producto, legal, RRHH, ingeniería
Gobernanza de proveedores: qué exigir y cómo documentar (especialmente para GPAI)
Evidencias + respuesta a incidentes: pistas de auditoría mínimas y procedimientos de corrección

Puedo compartir un template simple (1 página) de "AI Act Readiness" para empezar este mapeo sin crear burocracia. Contáctame y menciona "template AI Act".