La inteligencia artificial ya se utiliza de forma cotidiana en empresas de todos los tamaños, muchas veces sin una estrategia formal, sin protocolos internos y sin una supervisión clara. Herramientas como ChatGPT, Copilot, Gemini o Claude han pasado de ser soluciones experimentales a integrarse en procesos de recursos humanos, atención al cliente, finanzas, marketing, análisis o productividad.
Sin embargo, esta adopción acelerada se produce en un momento clave: el Reglamento Europeo de Inteligencia Artificial, conocido como AI Act, ya está desplegando sus obligaciones de forma progresiva y contempla sanciones que pueden alcanzar los 35 millones de euros o el 7% de la facturación anual mundial de una empresa. El Reglamento entró en vigor el 1 de agosto de 2024 y desde el 2 de febrero de 2025 ya se aplican las primeras obligaciones, incluidas las relativas a prácticas prohibidas y alfabetización en IA.
A esto se suma una doble actualización reciente del marco: el Acuerdo Omnibus Digital, cerrado en Bruselas el 7 de mayo de 2026, que reajusta el calendario europeo, y el Proyecto de Ley español de gobernanza de la IA aprobado por el Consejo de
Ministros este 26 de mayo de 2026.
Desde CenteIA Consulting, división especializada en transformación tecnológica y gobernanza de inteligencia artificial para empresas, alertan de que muchas organizaciones han incorporado IA antes de establecer una política interna, formar a sus equipos o identificar qué sistemas se están utilizando realmente dentro de la compañía. «La IA ha entrado en muchas empresas por la puerta de atrás: primero como herramienta de productividad, después como hábito diario y ahora como riesgo de gobernanza», explica Juan Luis Pascual, CEO de CenteIA Consulting.
El AI Act deja de ser una conversación futura
La situación cobra especial relevancia en un momento en el que el Reglamento Europeo de Inteligencia Artificial (AI Act), la primera normativa integral de la Unión Europea para regular el desarrollo y uso de sistemas de inteligencia artificial en función de su nivel de riesgo, deja de ser un marco futuro para convertirse en una realidad regulatoria con efectos progresivos ya en marcha. La norma establece obligaciones tanto para las empresas que desarrollan sistemas de IA como para aquellas que utilizan herramientas de terceros dentro de sus procesos.
El calendario ya está en marcha. El AI Act entró en vigor el 1 de agosto de 2024. Desde el 2 de febrero de 2025 se aplican las primeras disposiciones, incluidas las relativas a determinados usos prohibidos y la obligación de alfabetización en IA; y el pasado 2 de agosto de 2025 comenzaron a desplegarse nuevas obligaciones vinculadas a gobernanza y modelos de propósito general.
Este pasado 7 de mayo de 2026, en el marco del Acuerdo Omnibus Digital, el Parlamento Europeo y el Consejo cerraron un acuerdo político provisional que reajusta el calendario: las obligaciones para sistemas de alto riesgo del Anexo III, que debían aplicarse desde el 2 de agosto de 2026, se aplazan al 2 de diciembre de 2027, y las del Anexo I se trasladan al 2 de
agosto de 2028. El acuerdo introduce además una prohibición específica para los sistemas de generación de imágenes íntimas no consentidas. Sin embargo, este reajuste no afecta a las obligaciones más relevantes para la mayoría de empresas: la alfabetización en IA, las prácticas prohibidas y el régimen sancionador siguen plenamente exigibles.
La gran fecha para muchas empresas será justo un año después: este próximo 2 de agosto de 2026, cuando comenzará a aplicarse buena parte del Reglamento y sus obligaciones seguirán desplegándose progresivamente en determinados ámbitos de alto riesgo.
El nuevo marco regulatorio establece un sistema basado en niveles de riesgo y contempla sanciones relevantes para los incumplimientos. Las infracciones relacionadas con prácticas prohibidas pueden alcanzar hasta los 35 millones de euros o el 7% de la facturación anual mundial de cada empresa; otros incumplimientos relevantes pueden llegar hasta los 15 millones de euros o el 3%; y facilitar información incorrecta o engañosa a las autoridades puede suponer multas de hasta 7,5 millones de euros o el 1% del volumen de negocio.
Desde la compañía, con presencia en Europa y LATAM en el ámbito de la formación en IA, señalan que el principal problema no es la tecnología en sí, sino la velocidad con la que se está desplegando dentro de las organizaciones. Según la experiencia de CenteIA, muchas organizaciones ya están utilizando sistemas de IA en tareas que afectan directamente a personas o decisiones empresariales relevantes: desde procesos automatizados de selección de personal hasta análisis financieros o herramientas de evaluación y scoring. «Estamos viendo compañías que han incorporado seis o siete herramientas de IA en menos de un año y cuando preguntamos quién es el responsable interno, nadie levanta la mano. La velocidad de adopción ha superado claramente la capacidad de gestión interna», afirma Pascual.
La consecuencia, señalan desde la consultora, es una combinación creciente de riesgos: posibles fugas de información, automatización sin supervisión humana, incumplimientos regulatorios y exposición reputacional.
