Bruselas podría redefinir qué sistemas de IA serán considerados “de alto riesgo” en Europa

La regulación europea de la inteligencia artificial vuelve a acelerar. Y esta vez, el movimiento puede alterar profundamente cómo miles de empresas clasifican, desarrollan y despliegan sus sistemas de IA dentro de Europa. La Comisión Europea ha publicado un borrador de directrices interpretativas sobre la clasificación de sistemas de inteligencia artificial de “alto riesgo” bajo el Artificial Intelligence Act, abriendo además una consulta pública hasta el próximo 23 de junio de 2026. Aunque el documento no tiene carácter jurídicamente vinculante, sí marcará la interpretación práctica que utilizarán empresas, consultoras, supervisores y autoridades nacionales en los próximos años. Y eso, en la práctica, puede redefinir completamente qué herramientas de IA entran dentro del régimen más estricto del AI Act europeo.

El problema que intenta resolver Bruselas lleva meses generando incertidumbre dentro de empresas de todos los tamaños. El AI Act europeo establecía categorías de riesgo, pero la realidad empresarial actual es muchísimo más compleja que el propio texto legal. Muchas organizaciones no saben realmente si las herramientas que están utilizando actualmente podrían terminar siendo consideradas “alto riesgo”. Y eso afecta especialmente a la explosión de asistentes generativos, copilots corporativos, automatizaciones de RRHH, sistemas de scoring, plataformas de evaluación de clientes, IA integrada en software empresarial y herramientas híbridas basadas en modelos fundacionales.

La Comisión intenta ahora aterrizar cuestiones que están bloqueando decisiones estratégicas en multitud de compañías europeas. ¿Cuándo una IA utilizada en recursos humanos pasa a ser considerada de alto riesgo? ¿Qué ocurre cuando un sistema generativo participa indirectamente en una decisión laboral? ¿Cómo se clasifica un modelo que inicialmente era de productividad interna pero acaba interviniendo en evaluaciones de personas? ¿Qué sucede cuando el proveedor de IA es distinto del deployer? ¿Dónde termina una simple recomendación automatizada y comienza una decisión sensible bajo supervisión regulatoria? El nuevo borrador incorpora ejemplos prácticos, escenarios empresariales y criterios interpretativos orientados precisamente a responder estas preguntas.

Uno de los puntos que más inquietud está generando en el mercado europeo es que el criterio de clasificación no dependerá únicamente de la tecnología utilizada, sino también del contexto, del uso previsto y del impacto potencial sobre personas. Esto implica que dos sistemas técnicamente similares podrían recibir tratamientos regulatorios completamente distintos dependiendo del entorno en el que operen. Y aquí es donde muchas empresas podrían descubrir que proyectos considerados hasta ahora “de bajo riesgo” podrían terminar dentro del perímetro regulatorio más exigente.

La situación afecta especialmente a departamentos de recursos humanos, banca, seguros, salud, educación, atención automatizada al cliente y sistemas de evaluación financiera o laboral. Pero el alcance puede ir mucho más allá. En realidad, el gran cambio del AI Act europeo es que la inteligencia artificial deja de ser tratada únicamente como una cuestión tecnológica y pasa a convertirse en un asunto de gobierno corporativo, trazabilidad, responsabilidad y supervisión organizativa. Europa está construyendo un modelo donde el problema no será únicamente qué hace una IA, sino quién responde cuando esa IA afecta derechos, oportunidades o decisiones relevantes para las personas.

Durante los últimos meses muchas compañías europeas han operado bajo una falsa sensación de seguridad regulatoria. El auge de herramientas generativas y asistentes basados en grandes modelos lingüísticos llevó a numerosos directivos a asumir que el uso interno de IA quedaba fuera del núcleo duro del AI Act. Sin embargo, el nuevo borrador deja claro que la clasificación dependerá también del resultado operativo del sistema y de cómo termina utilizándose realmente dentro de la organización. Esto significa que integrar IA en procesos de selección, scoring, análisis de productividad o toma de decisiones podría activar obligaciones regulatorias mucho más amplias de lo que muchas empresas habían previsto.

En paralelo, Bruselas trabaja también sobre el denominado “Digital Omnibus”, un paquete legislativo orientado a reorganizar y simplificar parte del calendario regulatorio digital europeo. Las negociaciones actuales contemplan retrasar algunas fechas clave del AI Act, especialmente para sistemas incluidos dentro del Anexo III y para determinados productos regulados. Según las propuestas actualmente sobre la mesa, parte de las obligaciones podrían desplazarse hasta finales de 2027 e incluso 2028. Sin embargo, el AI Act sigue plenamente vigente y las empresas continúan acumulando riesgo regulatorio y deuda de compliance cuanto más retrasen la adaptación interna de sus estructuras de gobernanza.

El escenario que empieza a dibujarse en Europa es especialmente complejo para organizaciones que todavía no han desarrollado inventarios internos de sistemas IA, protocolos de supervisión humana, mecanismos de trazabilidad documental o programas formativos de AI Literacy.

Porque el problema ya no será únicamente disponer de tecnología avanzada, sino poder demostrar documentalmente que esa tecnología opera bajo controles adecuados, políticas internas, procedimientos verificables y mecanismos de supervisión continuada.

La Comisión Europea está dejando claro que el enforcement del AI Act se apoyará enormemente en la capacidad de las organizaciones para acreditar procesos internos de control y gobernanza. Eso implica auditorías, evaluaciones de impacto, registros documentales, formación de empleados, supervisión humana estructurada y trazabilidad operativa. En otras palabras, Europa está construyendo un ecosistema donde el compliance de IA se parecerá cada vez más al compliance financiero, sanitario o de protección de datos.

La próxima gran batalla de la inteligencia artificial en Europa ya no será únicamente tecnológica. Será regulatoria, organizativa y estratégica. Porque mientras gran parte del mercado continúa obsesionado con modelos, prompts y automatizaciones, Bruselas está definiendo silenciosamente qué empresas podrán utilizar inteligencia artificial bajo determinadas condiciones y cuáles asumirán riesgos legales, reputacionales y operativos si no son capaces de demostrar control real sobre sus sistemas.

Y ahí es donde muchas organizaciones todavía no son plenamente conscientes de lo que está ocurriendo.