La Ley de IA europea entró en vigor en agosto de 2024 con un calendario de aplicación escalonado. Las primeras partes, prohibiciones absolutas sobre ciertos usos y obligaciones básicas de transparencia, empezaron a aplicarse en febrero de 2025. Las obligaciones para modelos de uso general llegaron en agosto de 2025. Y en agosto de 2026, hace siete meses ya, la Ley entró en aplicación plena para sistemas de alto riesgo. El primer ciclo completo de cumplimiento termina ahora, y con él llegan las primeras conclusiones prácticas sin relato institucional.
Qué se cumple sin esfuerzo
Algunas obligaciones de la Ley se han absorbido con facilidad porque coincidían con prácticas que las empresas serias ya tenían. La transparencia sobre contenido generado con IA, obligatoria desde 2025, se ha integrado en la mayoría de productos sin problema: avisos visibles en imágenes y vídeos generados, marcas de agua cuando es técnicamente viable, etiquetado en conversaciones automatizadas. El coste de cumplimiento aquí es bajo porque el trabajo técnico ya estaba hecho para respuesta a presión social previa a la Ley.
La prohibición de ciertos usos inaceptables, como scoring social generalizado o identificación biométrica en espacios públicos sin autorización judicial, tampoco ha causado problemas serios porque ninguna empresa seria en Europa planeaba hacerlos. La Ley ha actuado aquí como prevención frente a presiones comerciales futuras más que como cambio inmediato de prácticas.
La documentación de gestión de riesgos y evaluación de impacto ha sido más trabajosa pero asumible para empresas con procesos GDPR maduros. La maquinaria de análisis de impacto en protección de datos se ha extendido con adaptaciones razonables al caso IA. Las empresas que ya tenían DPO y procesos establecidos han incorporado las obligaciones de IA Act como capa adicional sin revolver estructuras.
Qué ha costado más
El coste más alto en el primer ciclo no está en las obligaciones nuevas sino en identificar qué sistemas encajan como “alto riesgo”. La definición de la Ley incluye ocho categorías concretas más criterios que dejan zonas grises. Empresas que usan IA para filtrar CVs, decidir admisión educativa, evaluar crédito o priorizar urgencias médicas se han encontrado con que sus sistemas caen en alto riesgo incluso cuando la función asistida parecía menor.
El proceso de clasificación ha requerido trabajo legal y técnico coordinado que muchas empresas no tenían presupuesto para hacer adecuadamente. Algunas organizaciones han sobreclasificado sus sistemas para evitar riesgo regulatorio, otras han subclasificado por optimismo interpretativo con el riesgo de sanciones si se detecta en auditoría.
El segundo coste alto ha sido la obligación de supervisión humana efectiva en sistemas de alto riesgo. No basta con poner a un humano delante que aprueba todo sin mirar, pero tampoco es realista pedir revisión detallada de cada decisión en sistemas que procesan miles al día. Las empresas han tenido que diseñar flujos de supervisión con muestreo, alertas por desviación y capacidad real de anular decisiones individuales.
El tercer coste es la gestión de registros de incidentes: sesgos detectados, errores significativos, fallos de seguridad. Montar esta infraestructura con integridad y retención adecuada no es trivial en empresas cuya telemetría interna no estaba diseñada para auditoría externa.
Lo que se incumple de facto
El primer incumplimiento generalizado que se observa en el primer ciclo es la notificación a usuarios afectados por decisiones automatizadas de alto riesgo. La Ley requiere informar de forma clara cuando una decisión que afecta significativamente a una persona ha sido tomada con sistema IA. En la práctica, muchas empresas notifican solo cuando la Ley lo exige explícitamente y evitan hacerlo en zonas grises donde podrían argumentar que la decisión final fue humana.
El segundo incumplimiento común es la calidad de la documentación de datos de entrenamiento. La Ley pide documentar orígenes, procesos de limpieza, posibles sesgos conocidos y medidas de mitigación. Para modelos propios entrenados con datos bien gobernados, esto es asumible; para sistemas que usan modelos propietarios de terceros, la documentación depende de lo que el proveedor publique, y la práctica es que muchos proveedores publican menos de lo que la Ley pediría si el sistema fuera propio. La Comisión Europea ha empezado a presionar a proveedores grandes pero los plazos son largos.
El tercer incumplimiento es menos visible: muchas empresas han hecho el ejercicio de cumplimiento como documentación estática una vez al año en lugar de proceso continuo. La Ley implícitamente espera que el análisis de riesgos se actualice cuando el sistema cambia, pero en la práctica muchas organizaciones producen el informe inicial, lo archivan y siguen modificando el sistema sin revisar el cumplimiento. Esto funciona mientras nadie audita, y crea exposición acumulada que eventualmente va a salir.
Sanciones reales en el primer ciclo
Las sanciones aplicadas en el primer ciclo han sido pocas pero visibles. La primera multa significativa fue en octubre de 2026 a una plataforma de empleo francesa por sistema de filtrado de CVs sin supervisión humana adecuada; la cifra, dos millones de euros, no fue catastrófica pero sí suficiente para enviar señal al mercado. La segunda, en enero de 2026, a un banco alemán por sistema de scoring de crédito sin documentación de datos de entrenamiento completa. Ambas sanciones estuvieron muy por debajo del máximo teórico del reglamento, señal de que los reguladores están en fase pedagógica más que punitiva.
La estrategia de las autoridades nacionales y la Oficina de IA europea ha sido clara: primero priorizar casos evidentes, usar sanciones moderadas para establecer jurisprudencia y dejar que las empresas ajusten. La expectativa es que las multas realmente altas lleguen a partir de 2027 cuando el cuerpo doctrinal esté establecido y los incumplimientos sean más difíciles de justificar como error interpretativo.
Lo que parece haber funcionado
Dos cosas merecen mención positiva. Primero, la Oficina de IA europea ha actuado con más pragmatismo del que muchos temían. Sus documentos de guía publicados durante 2025 y 2026 han aclarado puntos oscuros sin endurecer interpretaciones más allá de lo razonable. Los sandbox regulatorios nacionales han funcionado relativamente bien en Francia, Alemania y Países Bajos.
Segundo, la Ley ha empujado a muchas empresas a profesionalizar la gobernanza de IA que antes era ad-hoc o inexistente. Comités internos, roles específicos de cumplimiento, revisión estructurada de sistemas antes de despliegue. Esta profesionalización habría tardado años más en llegar sin regulación.
Qué falta
El primer punto pendiente es armonización real entre autoridades nacionales. Hay divergencias de interpretación entre España, Francia, Alemania e Italia que crean incertidumbre multinacional. El segundo punto pendiente es el tratamiento de modelos de uso general: la definición de “riesgo sistémico” sigue siendo ambigua para casos concretos y los criterios de entrada y salida de la lista no son completamente transparentes.
Mi lectura
El primer ciclo de aplicación plena de la Ley de IA europea termina con un balance más matizado de lo que esperaban tanto entusiastas como detractores. La Ley no ha destruido la innovación europea ni ha resuelto todos los problemas de transparencia y sesgo que motivaron su redacción. Ha introducido fricción moderada que empresas serias han absorbido sin drama, ha forzado a muchas organizaciones a formalizar gobernanza IA y ha generado unos pocos casos visibles que establecen pauta.
Para las empresas, la lección práctica es que el cumplimiento de la Ley es asumible si se trata como proceso continuo integrado con gestión de riesgos y protección de datos, y es caro y arriesgado si se trata como proyecto puntual de informe anual. La mayoría del trabajo real no es producir documentación sino rediseñar flujos internos para que la supervisión humana sea efectiva, los registros sean fiables y los cambios del sistema actualicen el análisis. Eso no se improvisa y no se subcontrata; requiere cambios de proceso real. Las empresas que han entendido esto en el primer ciclo están bien posicionadas para los siguientes; las que no, probablemente tendrán noticias del regulador antes del próximo agosto.
