La verdadera fecha límite de la AI Act es agosto

Hay una fecha que vale la pena apuntar en el calendario si tu software llega a usuarios de la UE: 2 de agosto de 2026. Es cuando entran en vigor las obligaciones de la EU AI Act para los sistemas de IA de alto riesgo — y, a diferencia de las prohibiciones que coparon titulares antes, esta es la parte con dientes operativos de verdad. Es la documentación, la supervisión humana, la gestión de riesgos y las sanciones: hasta €35 millones o el 7% de la facturación anual global para las infracciones más graves.

Dos cosas hacen que este momento sea genuinamente confuso, y tiran en direcciones opuestas. La maquinaria de aplicación no está lista: a marzo de 2026, solo 8 de 27 Estados miembros habían establecido su punto de contacto único. Y la propia ley tiene un agujero que nadie ha tapado del todo: cuando un agente autónomo actúa por su cuenta y causa un daño, está realmente sin resolver quién carga con la culpa: el desarrollador, el operador o el usuario.

No soy abogado y esto no es asesoramiento legal. Pero la forma de lo que viene importa a cualquiera que construya con IA, así que déjame exponerlo sin rodeos.

Qué significa de verdad «alto riesgo»

La Act no regula toda la IA por igual. Clasifica los sistemas por riesgo, y casi todo el peso recae en el nivel de «alto riesgo»: IA usada en cosas como contratación, crédito, educación, servicios esenciales y otras decisiones que afectan de forma material a la vida de las personas. Si tu sistema toma o influye con fuerza en esas decisiones, agosto es cuando aterrizan las obligaciones: tienes que documentar cómo funciona, mantener a personas de forma significativa dentro del proceso, gestionar y registrar el riesgo, y poder enseñárselo todo a un regulador.

Lo que hay que interiorizar es que esto va sobre todo de proceso, no de que el modelo sea listo. La Act no pregunta «¿es buena tu IA?». Pregunta «¿puedes mostrar cómo decide, quién la supervisa y qué hiciste con los riesgos?». Un sistema brillante sin documentación y sin supervisión humana es exactamente lo que está diseñada para atrapar.

La brecha de responsabilidad es la parte a vigilar

El problema más hondo es el que la era de los agentes creó más rápido de lo que la ley pudo responder. La Act se escribió en gran medida en torno a sistemas de IA: herramientas que asisten una decisión humana. Pero un agente autónomo que ejecuta sus propias acciones difumina eso. Cuando un agente reserva, compra, envía o decide por su cuenta y sale mal, la cadena de responsabilidad entre el desarrollador del modelo, la empresa que lo desplegó y el usuario que lo soltó no está resuelta con limpieza.

Para ti, como constructor, esa ambigüedad es en sí misma el riesgo. Cuando la ley no tiene claro quién responde, «di por hecho que era problema de otro» no es una posición que quieras descubrir en un juzgado. Es otra razón por la que el sistema alrededor del modelo —sus límites, su supervisión, su rastro auditable — es donde vive tu verdadera exposición, no el modelo en sí.

Qué hacer en realidad

No necesitas entrar en pánico, ni montar un departamento de cumplimiento de la noche a la mañana. Necesitas dejar de tratar la gobernanza como algo que atornillar después:

• Conoce tu nivel de riesgo con honestidad. Averigua si lo que estás construyendo cae en territorio de alto riesgo según la Act. La mayoría de las apps no lo hacen, pero si la tuya toca contratación, crédito, salud o servicios esenciales, asume que sí hasta que lo hayas comprobado.
• Mantén el rastro auditable ya. Registra qué hace tu IA y por qué, mantén a personas en las decisiones irreversibles y de peso, y deja por escrito cómo funciona el sistema. Son las obligaciones de todos modos, y salen más baratas integradas que añadidas después.
• Fija quién es responsable. Dentro de tu propio producto, sé explícito sobre dónde recae la responsabilidad humana por lo que hace el agente. No dejes que «lo hizo la IA» sea la única respuesta que tengas.
• No apuestes a la clemencia de una aplicación lenta. Ocho de 27 puntos de contacto hoy no significa barra libre mañana: significa una aplicación desigual y difícil de predecir, y las multas son lo bastante grandes como para que no quieras ser el ejemplo que hagan escarmiento.

En resumen

El 2 de agosto no es el día en que se prohibió la IA en Europa: es el día en que «ya arreglaremos la gobernanza más tarde» dejó de ser un plan viable para los sistemas de alto riesgo. Lo que la Act exige de verdad es poco glamuroso y totalmente factible: muestra cómo decide tu sistema, mantén a una persona de forma significativa al mando, gestiona el riesgo y sé capaz de demostrarlo. Los equipos que ya construyen así tienen casi todo el trabajo hecho.

El matiz es la brecha de responsabilidad en torno a los agentes autónomos, y ese es el punto en el que de verdad hay que pensar, porque la ley va a asignar culpas tanto si la tecnología lo puso fácil como si no, y «lo decidió el agente» no será una defensa. Integra la supervisión y el rastro auditable ahora, mientras es una decisión de diseño y no una orden judicial. La fecha límite es real, las multas son reales, y el momento más barato para tomarse en serio la gobernanza es antes de que el regulador te obligue.