
La UE ha aplicado nuevos cambios para reordenar los tiempos de aplicación de la IA en las empresas para reforzar la seguridad, la trazabilidad y el control sobre los sistemas de las organizaciones.
La adopción de la IA en el entorno empresarial avanza con rapidez. Según los últimos datos del INE, el 21,1% de las empresas españolas de 10 o más empleados utilizaba tecnologías de IA en el primer trimestre de 2025. En la Unión Europea, Eurostat sitúa este porcentaje en el 20%, una cifra que supera el 55% en el caso de las grandes compañías.
Ante este nuevo escenario, la Unión Europea ha impulsado el denominado Ómnibus Digital, un paquete de propuestas legislativas que plantea ajustes en la aplicación del Reglamento Europeo de Inteligencia Artificial con el objetivo de simplificar su despliegue y facilitar la adaptación de empresas, proveedores y administraciones.
“Este nuevo marco no elimina las obligaciones, sino que reordena los tiempos de aplicación. La clave está en utilizar ese margen para reforzar la seguridad, la trazabilidad y el control sobre los sistemas de inteligencia artificial que ya se están incorporando a los procesos corporativos”, explica Francisco Valencia, director general de Secure&IT.
La Comisión Europea ha establecido un nuevo calendario para dar a las empresas más margen de adaptación a estas nuevas exigencias vinculadas a los sistemas de IA de alto riesgo. Las obligaciones para sistemas utilizados en ámbitos como biometría, infraestructuras críticas, educación, empleo, migración, asilo o control fronterizo se aplicarán desde el 2 de diciembre de 2027, mientras que las relativas a sistemas integrados en productos regulados lo harán desde el 2 de agosto de 2028.
“Este aplazamiento no debe interpretarse como una rebaja de las obligaciones ni como una invitación a esperar. Además, algunas exigencias de transparencia, como informar a los usuarios cuando interactúan con sistemas de IA o etiquetar determinados deepfakes y contenidos generados o manipulados mediante IA, serán aplicables desde el 2 de agosto de 2026”, indica Valencia.
Para las organizaciones, el nuevo escenario regulatorio exige conocer con precisión cómo se está usando la IA dentro de las compañías: qué herramientas se emplean, con qué finalidad, qué datos procesan, qué proveedores intervienen y qué controles existen para garantizar la seguridad, la trazabilidad y la supervisión humana. Por ello, no deben posponer la gestión de la inteligencia artificial y avanzar en algunas líneas prioritarias.
Cinco tareas que las empresas deberían abordar ya
Aunque el nuevo calendario europeo ofrece más margen para adaptarse a determinadas obligaciones, las organizaciones no deberían posponer la gestión de la inteligencia artificial y avanzar desde ahora en cinco líneas prioritarias:
- Inventariar los usos de IA, identificando qué herramientas se utilizan, por quiénson usadas, con qué finalidad, sobre qué datos, en qué procesos de negocio y qué rol y riesgo asume conforme al RIA.
- Definir una política corporativa de IAque establezca usos permitidos, usos supervisados, usos prohibidos, información que no debe introducirse en estas herramientas y responsabilidades internas.
- Controlar el Shadow AIpara evitar el uso de soluciones no autorizadas que puedan exponer información confidencial, datos personales o contenidos sensibles.
- Evaluar proveedores y clasificar los sistemasanalizando qué terceros intervienen, dónde se procesan los datos y qué nivel de riesgo tiene cada sistema de IA.
- Integrar la IA en la estrategia de seguridad y cumplimiento, incorporando controles de ciberseguridad, privacidad, trazabilidad, formación y respuesta ante incidentes.
“La regulación da más tiempo, pero no elimina la urgencia. Las empresas que empiecen ahora llegarán mejor preparadas, reducirán riesgos y podrán adoptar la IA con más garantías. El reto no es frenar la innovación, sino gobernarla”, concluye Valencia.