David Guiu 
- Los expertos reclaman una revisión continua de la norma para evitar que quede desfasada ante la irrupción de nuevos sistemas de inteligencia artificial
- Las obligaciones para sistemas de alto riesgo previsiblemente se aplazarán: hasta el 2 de diciembre de 2027 para los independientes y el 2 de agosto de 2028 para los integrados en productos regulados
Madrid, 15 de junio de 2026-. El uso de la inteligencia artificial por parte de las empresas comunitarias va a sufrir importantes cambios regulatorios a corto y medio plazo. Tanto a nivel europeo como nacional. Un avance legislativo que tendrá especial impacto en sectores con elevada regulación, como banca, seguros y farmacéuticas, que cuentan con un nivel de cumplimiento normativo ya alto y tendrán que adecuar sus sistemas a la nueva regulación.
Así lo ha explicado Guillermo Hidalgo, counsel de MAIO Legal y experto en derecho digital, en un desayuno informativo. El abogado abordó el impacto del Reglamento Europeo de IA (UE) 2024/1689, primera gran norma comunitaria en la materia, el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA, cuya remisión al Congreso aprobó el Consejo de Ministros el 26 de mayo de 2026, y el acuerdo provisional sobre el Omnibus Digital alcanzado el 7 de mayo de 2026, que introduce cambios relevantes en el calendario y el alcance de las obligaciones.
El experto ha destacado que la norma europea clasifica los sistemas de IA en cuatro niveles, según su potencial impacto sobre derechos fundamentales, la salud o la seguridad. En el nivel más alto, declarado inaceptable y por tanto prohibido, se encuentran los sistemas de puntuación social masiva y la vigilancia biométrica en tiempo real en espacios públicos.
En el segundo nivel, denominado de alto riesgo, entran en juego los sistemas que pueden afectar gravemente a derechos o a decisiones de especial trascendencia, desde la selección de personal y la evaluación crediticia hasta las decisiones judiciales, el control fronterizo o la evaluación educativa. No están prohibidos, pero quedan sujetos a obligaciones estrictas, como documentación técnica exhaustiva, evaluación de conformidad, supervisión humana y registro en la base de datos europea.
En el tercer nivel, el de riesgo limitado, se sitúan herramientas como los chatbots, que deben cumplir obligaciones de transparencia, sobre todo identificarse como IA ante el usuario. En el cuarto y último nivel, el de riesgo mínimo, queda el resto de sistemas, que pueden emplearse libremente siempre que se observen buenas prácticas. En la práctica, el grueso de las exigencias recae sobre las prácticas prohibidas y los sistemas de alto riesgo, mientras que los dos niveles inferiores se rigen por la transparencia y las buenas prácticas.
El contexto de uso resulta determinante, como ha ilustrado Hidalgo. “El reconocimiento emocional de trabajadores es una práctica prohibida. Aplicado a los consumidores, en cambio, se considera de alto riesgo”, ha destacado. Los sistemas de riesgo limitado, como los chatbots, solo deben cumplir obligaciones de transparencia, sobre todo identificarse como IA ante el usuario, y los de riesgo mínimo pueden emplearse libremente siempre que se observen buenas prácticas.
En este sentido, el abogado también ha destacado el impacto que puede tener la nueva legislación entre los headhunters, que utilizan este tipo de herramienta en procesos de selección de personal, entrevistas y elección de CV. Unas prácticas que el Anexo III de la legislación califica de como alto riesgo.
De igual forma, Hidalgo ha destacado que la norma deberá tener una continua revisión para adaptarse a los futuros sistemas que se implanten en el futuro. “La tecnología avanza cada día y una clasificación estanca no contempla los escenarios futuros”, ha explicado, antes de defender un marco más abierto y basado en principios. “Si dejas un tipo fuera, no lo proteges”, ha resumido.
En este sentido, las obligaciones para sistemas de alto riesgo se aplazan: hasta el 2 de diciembre de 2027 para los independientes y el 2 de agosto de 2028 para los integrados en productos regulados.
El impacto reputacional
En el ámbito español, Hidalgo ha explicado que el Proyecto de Ley Orgánica no crea un régimen paralelo al europeo, sino que lo desarrolla y concreta en los márgenes que el reglamento deja a los Estados miembros, esto es, quién supervisa, cómo se sanciona y cómo debe emplearse la IA en el sector público. El régimen sancionador es escalonado.
Sin embargo, Hidalgo ha destacado que el riesgo para las organizaciones no es solo sancionador, sino también reputacional y de confianza. “El riesgo no es solo que la IA se equivoque”, ha señalado, “es que se equivoque con apariencia de seguridad”.
En este sentido, el experto recomienda a las organizaciones un modelo de gobernanza proporcional pero real, con inventario de sistemas, clasificación por nivel de riesgo, un responsable interno, supervisión humana y gestión de incidentes. “Gobernar la IA no significa frenarla, sino crear las condiciones para usarla con trazabilidad, prudencia y control humano real”, ha concluido.
El papel del delegado de protección de datos también ha ocupado un lugar destacado en la sesión. Hidalgo ha recordado que el Reglamento de IA no sustituye al RGPD. Cuando un sistema de IA trata datos personales, siguen aplicándose íntegramente las obligaciones de protección de datos. El DPO debe intervenir ante el uso de prompts que incluyan datos personales, el almacenamiento de logs de conversación o el entrenamiento de modelos con datos de la propia organización y, en su caso, promover una Evaluación de Impacto en la Protección de Datos conforme al artículo 35 del RGPD.
Bilbao acogerá el HYPERAUTOMATIZACIÓN & IA SUMMIT 2025 
¿Qué es Llama 4? 
Qué es Gemma 3 de Google 
Antes queríamos móviles con buenas cámaras, ahora cámaras que sirvan de móvil 
El poder transformador de las redes neuronales 
Machine Learning: Definición, ejemplos y su impacto en el mundo moderno 