El último acuerdo para el Reglamento de Inteligencia Artificial sobre técnica, calendario y deepfakes
La madrugada del jueves, los negociadores del Parlamento Europeo y del Consejo alcanzaron un acuerdo provisional sobre la modificación de determinadas reglas del Reglamento de Inteligencia Artificial, en el marco del denominado paquete ómnibus digital. La reforma, impulsada por la Comisión en noviembre de 2025, persigue un objetivo confesado: evitar que el RIA, apenas estrenado, se convierta en un obstáculo normativo para la innovación por culpa de unos plazos de aplicación que la realidad técnica no estaba en condiciones de cumplir.
El texto pactado no desmonta la arquitectura basada en el riesgo que constituye la columna vertebral del reglamento original, pero introduce ajustes de calado en tres frentes especialmente sensibles: el calendario de obligaciones para los sistemas de alto riesgo, la prohibición de las aplicaciones que generan material íntimo no consentido y la eliminación de duplicidades normativas con otras regulaciones sectoriales. La negociación, conducida por los ponentes Arba Kokalari y Michael McNamara, desemboca en un equilibrio que merece un análisis detenido, porque de su acierto depende que Europa logre ser un continente donde la inteligencia artificial pueda desarrollarse sin que los derechos fundamentales queden desprotegidos.
II. El calendario que se pliega a la realidad industrial
Uno de los ejes centrales del acuerdo es la postergación de las obligaciones aplicables a los sistemas de inteligencia artificial de alto riesgo. La versión original del RIA establecía fechas que, en opinión generalizada de los operadores, resultaban imposibles de cumplir por la sencilla razón de que los estándares técnicos necesarios para acreditar la conformidad aún no han sido adoptados por los organismos de normalización. Exigir el cumplimiento de deberes cuyo contenido preciso se desconoce habría generado una inseguridad jurídica incompatible con el principio de legalidad que rige cualquier intervención administrativa sobre la actividad económica.
El compromiso alcanzado aplaza hasta el 2 de diciembre de 2027 la entrada en vigor de las obligaciones para los sistemas de alto riesgo con casos de uso particularmente sensibles —identificación biométrica, infraestructuras críticas, educación, empleo, aplicación de la ley y gestión de fronteras—. Para los sistemas de inteligencia artificial que funcionan como componentes de seguridad y que ya están cubiertos por la legislación sectorial europea sobre seguridad y vigilancia del mercado, el plazo se extiende hasta el 2 de agosto de 2028. La técnica legislativa es impecable: no se renuncia a la regulación, sino que se sincroniza con la capacidad real de la industria para cumplirla. Debe tenerse presente que, en el ínterin, el legislador confía en que los organismos de estandarización habrán completado las normas armonizadas que doten de contenido concreto a los requisitos esenciales.
También se retrasa hasta el 2 de diciembre de 2026 la obligación de incorporar marcas de agua u otras técnicas que permitan la detección y el rastreo de los contenidos generados por inteligencia artificial. La Comisión había propuesto el 2 de febrero de 2027, pero los colegisladores han considerado preferible adelantar esa fecha para no prolongar la brecha de opacidad que los deepfakes están ensanchando a velocidad de vértigo. La marca de agua no es una panacea, pero constituye una herramienta de transparencia cuyo valor para la lucha contra la desinformación y la protección de los derechos de propiedad intelectual difícilmente puede exagerarse.
III. La prohibición de las aplicaciones que desnudan y la protección de la intimidad
El capítulo más mediático del acuerdo es, sin duda, la prohibición de los denominados nudifiers o aplicaciones que, mediante inteligencia artificial generativa, crean imágenes, vídeos o audios de contenido sexual explícito utilizando los rasgos de una persona identificable sin su consentimiento. La misma prohibición se extiende a la generación de material de abuso sexual infantil, un ámbito en el que la tecnología ha demostrado una capacidad perturbadora para producir contenidos sintéticos que, sin corresponder a menores reales, alimentan un mercado criminal y dificultan la labor de las fuerzas de seguridad al saturar los canales de denuncia con imágenes que no siempre pueden distinguirse de las auténticas.
La técnica prohibitiva empleada es de una precisión que merece ser subrayada. No se persigue al usuario final que, en la intimidad de su domicilio, manipula una fotografía con una herramienta descargada de internet. La prohibición se articula en tres niveles. En primer lugar, se veta la introducción en el mercado de la Unión de sistemas de inteligencia artificial que tengan como finalidad específica la creación de este tipo de contenidos. En segundo lugar, se prohíbe la comercialización de aquellos sistemas que, aun no teniendo esa finalidad exclusiva, carezcan de medidas de seguridad razonables para impedir su uso desviado. Y en tercer lugar, se impide a los desplegadores —esto es, a quienes utilizan el sistema en un contexto profesional u organizativo— emplear la herramienta con el propósito de generar material íntimo no consentido.
Se colige de ello que el legislador ha querido atacar el problema en su raíz industrial, cortando el suministro de las herramientas que hacen posible la conducta lesiva, sin criminalizar la posesión o el uso privado, lo que habría planteado problemas de proporcionalidad y de eficacia persecutoria difícilmente superables. Las empresas dispondrán hasta el 2 de diciembre de 2026 para adaptar sus sistemas a la nueva regulación, un plazo que, aunque breve, refleja la urgencia con que los colegisladores contemplan esta amenaza.
IV. La simplificación de cargas y la evitación de solapamientos
Otra de las novedades relevantes del acuerdo es la clarificación de la relación entre el RIA y la legislación sectorial sobre seguridad de las máquinas. Hasta ahora, un producto que incorporara inteligencia artificial y estuviera sujeto a normas de seguridad podía verse sometido a una doble evaluación de conformidad: la exigida por el reglamento de IA y la impuesta por la directiva o reglamento sectorial correspondiente. El texto pactado elimina esa duplicidad, estableciendo que los productos con funciones de inteligencia artificial que ya estén cubiertos por la normativa de seguridad y vigilancia del mercado solo deberán cumplir con esta última, siempre que se garantice un nivel equivalente de protección de la salud y la seguridad.
La reforma también restringe el concepto de componente de seguridad, de modo que aquellos productos cuyas funciones de inteligencia artificial se limiten a asistir al usuario o a optimizar el rendimiento no se considerarán automáticamente de alto riesgo si su fallo o mal funcionamiento no genera riesgos para la salud o la seguridad. La medida es sensata y evita que una interpretación expansiva del concepto original acabe sometiendo a obligaciones desproporcionadas a productos que, en la práctica, no presentan una peligrosidad relevante.
Adicionalmente, se autoriza el tratamiento de datos personales cuando resulte estrictamente necesario para detectar y corregir sesgos, tanto en sistemas de alto riesgo como en aquellos que no lo son, con las garantías adecuadas. La disposición viene a resolver una tensión entre la normativa de protección de datos y la exigencia de equidad algorítmica que había sido señalada por la doctrina desde la aprobación del reglamento original. Considero que este ajuste, aunque técnico, es uno de los más relevantes para asegurar que la inteligencia artificial que se desarrolle en Europa sea, además de segura, no discriminatoria.
Por último, se amplían las exenciones previstas para las pequeñas y medianas empresas a las empresas de mediana capitalización, en un guiño a quienes consideran que el tejido empresarial europeo necesita crecer para competir con los gigantes tecnológicos de otras latitudes. La medida no suprime los deberes de transparencia y seguridad, pero aligera ciertas cargas administrativas que, para una empresa en fase de expansión, pueden resultar asfixiantes.
V. La gobernanza reforzada: el papel de la Oficina de IA
El acuerdo también racionaliza la supervisión de determinados sistemas de inteligencia artificial de propósito general, concentrando su control en la Oficina de Inteligencia Artificial de la Unión Europea. Esta centralización busca evitar la fragmentación que se produciría si cada Estado miembro interpretara y aplicara las obligaciones de manera divergente, algo que ya ha ocurrido con otras normativas comunitarias en el ámbito digital y que el legislador quiere atajar desde el principio.
La Oficina de IA, que fue creada por el reglamento original, adquiere así un protagonismo reforzado como autoridad de coordinación y, en ciertos aspectos, de supervisión directa. La arquitectura institucional resultante recuerda a la que opera en el ámbito de la protección de datos, con un organismo central que marca criterio y unas autoridades nacionales que actúan como correa de transmisión. Habrá que esperar para comprobar si los recursos asignados a esta Oficina están a la altura de las funciones que el legislador le encomienda, porque sin medios materiales y humanos suficientes la centralización puede convertirse en un cuello de botella.
VI. El significado político de un acuerdo en tiempo récord
El ponente para el mercado interior, Arba Kokalari, resumió el espíritu del acuerdo con una frase que refleja la voluntad política que ha impregnado la negociación: la política puede moverse tan rápido como la tecnología. Su colega en la comisión de libertades civiles, Michael McNamara, puso el acento en la prohibición de las aplicaciones de desnudez no consentida y en la protección frente a los abusos que comprometen la dignidad humana. Ambos ponentes comparecerán ante la prensa para detallar los pormenores del acuerdo, pero el mensaje central ya ha quedado fijado: Europa no se resigna a elegir entre innovación y derechos, sino que aspira a compatibilizar ambas aspiraciones con un marco normativo que sea exigente pero practicable.
El acuerdo necesita ahora la adopción formal por parte del Parlamento y del Consejo, y los colegisladores confían en completarla antes del 2 de agosto de 2026, fecha en que, conforme al calendario original, habrían empezado a aplicarse las normas sobre sistemas de alto riesgo. La premura no es caprichosa: de no aprobarse la reforma a tiempo, se produciría un vacío legal o, peor aún, una aplicación asincrónica de obligaciones cuyo contenido sigue sin estar definido.
VII. Reflexiones finales sobre la técnica legislativa al servicio de la confianza
El acuerdo alcanzado sobre el RIA demuestra que la técnica legislativa, cuando se emplea con flexibilidad y atención a los datos, puede corregir los errores de calendario sin sacrificar la protección de los bienes jurídicos que la norma originaria quiso salvaguardar. Los plazos se han plegado a la realidad industrial, las prohibiciones se han afinado para no castigar conductas inocuas y alcanzar con precisión a quienes comercian con la intimidad ajena, y las duplicidades se han eliminado para que las empresas no tengan que demostrar dos veces que un producto es seguro.
Queda por ver si los Estados miembros, al transponer o aplicar estas disposiciones, mantendrán el equilibrio alcanzado o si, por el contrario, introducirán exigencias adicionales que reabran la fragmentación. La inteligencia artificial no espera a que los legisladores se pongan de acuerdo, y la ventana de oportunidad que este acuerdo abre no permanecerá abierta indefinidamente. La Unión Europea ha dado un paso relevante para demostrar que su modelo regulatorio, basado en el riesgo y en la protección de los derechos fundamentales, puede ser compatible con la velocidad del cambio tecnológico. Ahora corresponde a los operadores jurídicos, a los desarrolladores y a las autoridades de control transformar el texto recién pactado en una realidad que devuelva a los ciudadanos la confianza en que la inteligencia artificial puede ser una aliada sin convertirse en una amenaza.