top of page

AI Act: Bruselas retrasa el cumplimiento a 2027 y veta la nudificación

  • Foto del escritor: Lia de Aimoova
    Lia de Aimoova
  • hace 2 horas
  • 4 Min. de lectura

El AI Act de Bruselas afloja la cuerda para llegar a 2027… y endurece el puño contra las apps de nudificación

La Unión Europea acaba de retrasar el reloj de cumplimiento más exigente de su famosa ley de inteligencia artificial (el AI Act) hasta diciembre de 2027. Para los directores de PYMES que ya usan IA en selección de personal, scoring crediticio o atención al cliente, esa prórroga puede parecer un respiro. Pero no bajes la guardia: la misma norma añade ahora una prohibición explícita de aplicaciones de nudificación (esas que generan imágenes íntimas sin consentimiento) y endurece la vigilancia sobre IA generativa en ámbitos sensibles.

¿Qué significa esto para tu empresa? Menos urgencia para adaptar tus sistemas de alto riesgo, pero más presión para auditar qué herramientas de IA usas y cómo proteges datos personales y reputación. La promesa de «menos papeleo para pymes» se queda en formularios más sencillos y sandboxes; la arquitectura de riesgo del AI Act no cambia: lo que ayer era prohibido o de alto riesgo, sigue siéndolo hoy.

Qué ha cambiado (y qué no) en el AI Act

El acuerdo político alcanzado entre el Parlamento Europeo y el Consejo este miércoles —tras dos trilogos fallidos— toca exclusivamente plazos y trámites, no la estructura central. Los sistemas de alto riesgo (RRHH, scoring, seguridad, biometría en espacios públicos) tenían fecha límite 2 de agosto de 2026; ahora cuentan con 16 meses más para estar en conformidad.

Paralelamente, se amplía hasta diciembre de 2026 el plazo para implementar marcas de agua obligatorias en contenidos generados por IA, y se prometen formularios simplificados para que las autoridades nacionales faciliten la documentación técnica. Pero ojo: esas plantillas y guías deben estar listas antes de diciembre de 2027, o la reducción de carga administrativa será papel mojado.

Nudificación y deepfakes: riesgo legal y reputacional

La gran novedad sustantiva es la prohibición explícita de herramientas que generen imágenes íntimas falsas (deepfake sexual o nudificación), incluido material de abuso infantil. Hasta ahora, el AI Act original dejaba un vacío legal que casos como el escándalo de Grok habían expuesto. Ahora, cualquier empresa que desarrolle, distribuya o incluso aloje servicios de este tipo enfrenta multas y responsabilidad penal.

¿Por qué te afecta si no vendes apps de desnudos? Porque si tus flujos de IA generativa (chatbots de atención, avatares, editores de imagen internos) no tienen guardarraíles claros, un empleado, un usuario malintencionado o un error de prompt puede desencadenar contenido prohibido. El riesgo reputacional —y la factura legal— recaen en ti.

Implicaciones prácticas para tu PYME

Para sistemas de alto riesgo (si usas IA en selección de personal, gestión de riesgos, control de acceso biométrico o análisis de comportamiento de empleados):

Audita hoy qué sistemas tienes en producción y quién es tu proveedor. El plazo nuevo de 2027 te da tiempo para exigir certificaciones y documentación técnica, pero no para olvidar el tema.

Establece un calendario de cumplimiento con hitos trimestrales: mapeo de sistemas, análisis de impacto en derechos fundamentales, ajuste de contratos con proveedores, designación de responsable interno.

Para IA generativa y contenido automatizado:

Si generas creatividades, avatares, asistentes de voz o cualquier contenido visual/multimedia con IA, activa marcas de agua y metadatos en cuanto estén disponibles. El plazo de diciembre de 2026 no es lejano.

Revisa tus condiciones de uso y políticas de contenido: prohíbe explícitamente nudificación, deepfakes sin consentimiento y usos que vulneren derechos de terceros. Un disclaimer legal claro te protege si alguien abusa de tu servicio.

Forma a tu equipo: que cualquier persona con acceso a herramientas generativas entienda qué está prohibido y por qué.

Para todas las empresas que usan IA:

El AI Act mantiene su pirámide de riesgos intacta: prácticas prohibidas (scoring social, manipulación subliminal, identificación biométrica en tiempo real sin autorización judicial), alto riesgo (con obligaciones de transparencia, trazabilidad y evaluación de impacto) y riesgo limitado o mínimo (con obligaciones de transparencia menores). Revisa dónde cae cada uso de IA en tu empresa.

Prepárate para una auditoría externa en algún momento entre 2027 y 2028. Las autoridades nacionales ya están montando equipos y herramientas de sandbox; aprovecha ese entorno de prueba regulado para validar tus sistemas antes de la auditoría formal.

El mensaje de fondo: cumplimiento no es opcional, pero sí gestionable

El acuerdo de Bruselas te da margen de maniobra, no una exención. La UE ha retrasado el reloj más difícil y ha prometido menos burocracia, pero ha blindado el núcleo: si tu IA afecta derechos fundamentales, empleo, acceso a servicios o seguridad, deberás demostrar que es segura, justa y transparente.

Lo más inteligente ahora es convertir ese plazo en ventaja competitiva: las empresas que lleguen a 2027 con auditorías hechas, documentación en orden y procesos de gobernanza claros ganan credibilidad frente a clientes, inversores y reguladores. Las que lleguen con prisas y parches, pagarán el precio.

Si aún no has mapeado qué IA usa tu empresa, cuánto riesgo representa y qué pasos de cumplimiento necesitas, es el momento de hacerlo. El AI Act ya no es un borrador: es ley, y el reloj —aunque más lento— sigue corriendo.

Comentarios

bottom of page