Solicitar demostración
Contactar con Ventas
Buscar por palabra clave
Buscar por palabra clave
Solicitar demostración
Contactar con Ventas

Seminario web bajo demanda disponible próximamente

Seminario web bajo demanda disponible próximamente

Blog

Noticias sobre la Ley de IA de la UE: propuestas actualizadas, qué sigue igual y lo que los líderes empresariales deben saber

21 de diciembre de 2025

EU flag flying in front of a government building

Índice

Conclusiones clave

  • Las propuestas y los debates normativos recientes se han centrado en cómo se implementará la Ley de IA de la UE, y no en si resulta aplicable o no.
  • Además, ajustar los plazos no cambia el marco basado en riesgos de la ley ni las expectativas de responsabilidad proactiva.
  • Por su parte, estar a la espera de directrices finales aumenta el riesgo de acabar con plazos ajustados y de un cumplimiento normativo reactivo.
  • La manera más efectiva de prepararse es a través de un  gobierno de la IA conectado y repetible que abarque la IA, la privacidad, los riesgos, la seguridad y la supervisión de terceros.

 

Últimas noticias sobre la Ley de IA de la UE

Si has estado al tanto de los avances sobre la Ley de IA de la UE, es posible que hayas notado un flujo constante de actualizaciones, comentarios y especulaciones durante los últimos meses. Gran parte de la atención se ha centrado en cómo la UE planea implementar y asegurar el cumplimiento de la Ley de IA en la práctica.

Un factor clave relacionado con las discusiones recientes es el mayor esfuerzo por parte de la Comisión Europea a la hora de simplificar y ajustar la regulación digital de la UE, lo que a menudo suele denominarse como Reglamento Ómnibus Digital .

Estas propuestas tienen por objeto reducir cualquier complejidad innecesaria, mejorar la coherencia entre los Estados miembros y ajustar adecuadamente la aplicación del cumplimiento normativo con la disponibilidad de normas, directrices y capacidad de supervisión. El resultado es un énfasis creciente en la gobernanza operativa —es decir, en cómo las organizaciones gestionan los riesgos de IA, la responsabilidad proactiva y las evidencias a diario— en lugar de únicamente poner el foco sobre el cumplimiento normativo a nivel teórico.

En la práctica, esto significa que algunos aspectos de la implementación de la Ley de IA pueden ajustarse o aclararse con el tiempo, con ciertas obligaciones vinculadas más estrechamente al nivel de preparación del ecosistema de cumplimiento normativo en lugar de fechas fijas.

En lo que respecta a las organizaciones, esto hace que el desafío pase del seguimiento de cada actualización a mantener el nivel de preparación de manera continua a medida que van evolucionando las expectativas.

OneTrust respalda este contexto operativo al proporcionar un sistema unificado capaz de administrar el gobierno de la IA junto con los requisitos de privacidad, riesgo y seguridad, lo que permite que las organizaciones puedan adaptarse a las directrices en constante cambio sin tener que reelaborar flujos de trabajo o evidencias cada vez que cambien las expectativas de cumplimiento normativo.

Es importante distinguir entre lo que indican las propuestas con claridad y lo que aún está en desarrollo:

  • Áreas donde la dirección está clara, como una implementación por fases y un ajuste más estrecho a las normas y directrices de apoyo
  • Áreas que siguen en fase de desarrollo, tales como directrices detalladas, prácticas para aplicar el cumplimiento normativo y expectativas de supervisión a nivel de los Estados miembros

Estas propuestas no modifican la Ley de IA en sí, sino que reflejan un esfuerzo por hacer que la aplicación de esta ley sea más factible dentro del panorama tecnológico complejo y en rápida evolución actual. 

 

Lo que se está proponiendo

Los aspectos más tratados en las últimas propuestas de Ley de IA de la UE afectan a plazos, mecánicas y directrices, y no suponen ningún cambio en el fondo de la ley.

Ajustes en los plazos y mecánicas de implementación

Las discusiones en torno al Ómnibus Digital han incluido propuestas para ajustar cómo y cuándo se aplican ciertas obligaciones de la Ley de IA; en concreto, para casos más complejos o de alto riesgo. En algunos casos, la aplicación normativa podría estar relacionada con la disponibilidad de normas armonizadas, especificaciones técnicas o directrices oficiales.

Para las empresas, esto añade flexibilidad pero también incertidumbre.

Cuando las obligaciones están vinculadas a hitos de nivel de preparación en lugar de fechas fijas, las organizaciones que vayan más rezagadas podrían tener menos tiempo del esperado cuando los requisitos entren en vigor.

Aclaraciones sobre la IA de alto riesgo y la supervisión

Los sistemas de IA de alto riesgo siguen siendo un punto clave. Las actualizaciones y comentarios recientes han hecho hincapié en la necesidad de directrices más claras en materia de documentación, gestión de riesgos, supervisión humana y supervisión posterior a la comercialización. Estas aclaraciones están destinadas a ayudar a las organizaciones a la hora de aplicar los requisitos de manera consistente y no a reducir el listón.

Por qué se introdujeron estos cambios

Estos cambios reflejan aspectos prácticos:

  • Los órganos y autoridades de control necesitan tiempo para finalizar las directrices 
  • Las organizaciones requieren claridad a la hora de implementar los controles correctamente
  • Los reguladores quieren que la aplicación de la ley sea factible y consistente en toda la UE

En resumen, la UE está puliendo cómo se produce el cumplimiento normativo en lugar de si este tiene lugar o no.

 

Lo que no ha cambiado

Aunque los plazos y las directrices pueden evolucionar, hay varios aspectos clave de la Ley de IA que no han cambiado. En este punto es donde muchas empresas no terminan de comprender correctamente la situación.

El enfoque basado en riesgos se mantiene intacto.

De hecho, la Ley de IA sigue fundamentándose en un marco basado en riesgos. Las obligaciones incrementan según cómo y dónde se utilice la IA; especialmente, cuando los sistemas afecten a los derechos, la seguridad o el acceso a servicios esenciales de los individuos.

Aun así, se espera que las organizaciones estén al tanto de:

  • Qué sistemas de IA utilizan o proporcionan
  • Cómo se despliegan dichos sistemas
  • Cuál es el nivel de riesgo que presentan

La responsabilidad proactiva sigue recayendo sobre las organizaciones 

Los proveedores y responsables del despliegue continúan siendo los responsables del cumplimiento normativo. Sin embargo, la responsabilidad proactiva seguirá recayendo sobre las organizaciones en vez de sobre los reguladores, proveedores o directrices futuras. Se espera que las empresas puedan demostrar que la gobernanza está vigente y en funcionamiento.

Se sigue requiriendo una gobernanza demostrable

Las políticas por sí solas no son suficiente. De hecho, las organizaciones deben tener la capacidad de demostrar:

  • Evaluaciones de riesgos e impacto
  • Decisiones y aprobaciones debidamente documentadas
  • Monitorización y supervisión continuos
  • Rutas para escalamiento y responsabilidad claras

La aplicabilidad transfronteriza y sectorial continúa siendo bastante amplia

La ley de IA continúa aplicándose entre diferentes sectores y fronteras. De hecho, cualquier organización multinacional, filial dentro de la UE y empresa global que interactúe con usuarios de la UE entra dentro de este ámbito.

En estos casos, es cuando una plataforma como OneTrust se vuelve crítica al crear un espacio donde las expectativas de gobernanza continúan siendo sólidas, pero los detalles de implementación pueden ir evolucionando. Esto es fundamental, puesto que las organizaciones requieren de un método unificado e interconectado para administrar sus evidencias, flujos de trabajo y su supervisión, en lugar de herramientas desconectadas y procesos puntuales.

Por qué es esto importante para los líderes empresariales

Esto no es una mera cuestión jurídica. Se trata de una incidencia en el modelo operativo que afecta la forma en que la empresa planifica, crea y escala la IA.

Los sistemas de IA rara vez recaen sobre una sola función. Están diseñados, entrenados, desplegados y monitorizados por diversos equipos y, a menudo, a lo largo de diferentes regiones y según diferentes tipos de informes. En la práctica, la IA influye sobre muchas partes de la organización:

  • Los equipos de productos e ingeniería crean e implementan funciones habilitadas para IA
  • Los equipos de datos entrenan, prueban y mantienen los modelos
  • Los equipos de seguridad administran el acceso, monitorizan y se encargan de responder a los incidentes
  • Los equipos de privacidad y riesgo evalúan el impacto, las obligaciones y el cumplimiento normativo
  • Los equipos de adquisiciones gestionan los proveedores y las herramientas de IA externos

Para los líderes empresariales, esto supone un desafío que las actualizaciones jurídicas por sí solas no pueden resolver.

Cuando la responsabilidad acaba fragmentada, la rendición de cuentas acaba siendo muy difusa. Las decisiones se toman de manera aislada, las evidencias se registran en sistemas diferentes y no hay una imagen clara del riesgo de IA en toda la organización.

Esta fragmentación aumenta el riesgo cuando los líderes quedan a la espera de una «mayor claridad»:

  • Los esfuerzos de gobernanza acaban siendo reactivos en lugar de planificarse
  • Los equipos tienen que actuar con urgencia para coordinarse debido a la presión de los plazos
  • La documentación y las pistas de auditoría tienen que reelaborarse a posteriori
  • Los equipos regionales sienten el impacto en primer lugar; a menudo, sin las herramientas o las directrices necesarias para responder de manera consistente

Las noticias recientes sobre la Ley de IA de la UE destacan algo indiscutible: la incertidumbre regulatoria no afecta a todos por igual. Las organizaciones con una gobernanza fragmentada luchan por mantenerse al día, mientras que las que disponen de una supervisión adecuadamente interconectada y responsabilidades bien definidas pueden adaptarse con tranquilidad a medida que los requisitos van evolucionando.

Para los líderes empresariales, la pregunta del millón ya no es si se aplicará el cumplimiento del gobierno de IA, sino más bien si la organización está bien estructurada para gestionarla a escala.

Cada vez más, esto significa ir más allá de una coordinación informal y herramientas desconectadas, e ir aplicando un enfoque de gobernanza unificado que aúne la IA, la privacidad, el riesgo, la seguridad y la supervisión de terceros en un único sistema de registro. Es decir, el tipo de plataformas de modelo operativo como OneTrust están diseñadas para admitir. 

Lo que los líderes empresariales deberían hacer ahora

Actuar ahora no significa tener que demostrar el cumplimiento normativo de la Ley de IA de antemano. Significa preparar la base adecuada.

1. Haz que la gobernanza de la IA forme parte de una gobernanza de riesgos más amplia

La IA no debe operar de modo aislado. La gobernanza debe conectarse con los programas de riesgo, privacidad y seguridad existentes para que los controles y las evidencias se puedan compartir.

2. Conecta la supervisión de la IA con la privacidad, los datos y la seguridad

Muchas obligaciones en torno a la IA se basan en controles que ya están presentes en el RGPD y los marcos de seguridad. Alinear estos esfuerzos reduce duplicaciones y lagunas.

3. Crea procesos repetibles y auditables

Un error común en la gobernanza de la IA es tratar cada evaluación como una acción puntual. Esto ralentiza a los equipos y dificulta la situación a la hora de demostrar un cumplimiento normativo consistente y auditable a lo largo del tiempo.

  • Inventario y clasificación de IA
  • Evaluaciones de riesgos e impacto
  • Revisión y aprobación
  • Supervisión y reevaluación periódica

 

4. Prepárate para las auditorías y los cambios en la aplicación de la normativa

La agencia reguladora no te preguntará si tienes una política, sino más bien si puedes mostrarles cómo funciona tu proceso de gobernanza en la práctica.

Aquí es donde plataformas como OneTrust aportan valor añadido, puesto que ayudan a las organizaciones a administrar la IA, la privacidad, los riesgos y la gobernanza de terceros a partir de flujos de trabajo conectados y evidencias compartidas, en lugar de tener que coordinarlo todo de manera manual.

Lección clave a nivel estratégico

La Ley de IA de la UE seguirá evolucionando. Las directrices se consolidarán, las normas se acabarán puliendo y las prácticas para aplicar la normativa se aclararán con el paso del tiempo. Este período de cambio no es ninguna excepción; de hecho, es la manera más probable en que funcionará la regulación sobre IA en Europa.

Dentro de este entorno, estarán en clara ventaja todas las organizaciones que puedan adaptarse sin tener que rediseñar sus programas de gobernanza cada vez que cambien las expectativas. Las empresas que invierten en una gobernanza unificada están mejor equipadas para afrontar cualquier actualización con menos obstáculos porque la supervisión, las evidencias y la rendición de cuentas ya están interconectadas. Por el contrario, las organizaciones que dependen de hojas de cálculo, soluciones puntuales y una coordinación informal suelen sufrir muchas dificultades cuando se van acumulando requisitos y los plazos se van estrechando.

La verdadera competitividad no será únicamente el resultado de la interpretación jurídica.

Esta provendrá del nivel de preparación a nivel operativo; es decir, de la capacidad para demostrar en cualquier momento cómo se gobiernan los sistemas de IA en la práctica a nivel de equipos, regiones y áreas de riesgo.

La plataforma OneTrust está diseñada para apoyar este cambio ayudando a las organizaciones a poner en marcha la gobernanza de IA como parte de un programa de riesgo y cumplimiento normativo más amplio e interconectado.

Descubre cómo un enfoque de gobernanza bien unificado puede ayudar a tu organización a prepararse frente a la Ley de IA de la UE y a adaptarse a medida que vayan ajustándose los requisitos. Solicita una demostración ahora.  

 

P+F

Las noticias más recientes sobre la Ley de IA de la UE se centran en los detalles sobre su implementación, incluidos despliegues por fases, desarrollo de directrices y propuestas para simplificar la aplicación de esta ley mediante un esfuerzo más amplio de armonización digital por parte de la UE.

Algunos mecanismos de implementación podrían cambiar. Especialmente, en el caso de sistemas de IA complejos o de alto riesgo, aunque la propia Ley de IA permanece en vigor y sus requisitos clave no han cambiado.

Las propuestas recientes sobre la ley de IA de la UE y los debates normativos se están centrando en detalles sobre su implementación, como plazos, directrices y mecanismos para aplicar su cumplimiento, en lugar de cambios en el marco básico basado en riesgos o en las expectativas en cuanto a rendición de cuentas.

Significa que estas deben comprender sus sistemas de IA, evaluar los riesgos, documentar sus decisiones y demostrar una gobernanza continua en materia de IA, privacidad, seguridad y riesgos.

Crear una buena base para la gobernanza de la IA que esté interconectada: inventariar los sistemas de IA, definir las responsabilidades, establecer evaluaciones repetibles y ajustar la supervisión de la IA con los programas de riesgos y privacidad existentes.

También podría interesarte:

Photo of abstract architecture behind a purple overlay with a play button

Agentes de IA: ¿autonomía o amenaza? Lo que deben saber los equipos de ciber-riesgo

enero 21, 2026 |
AI Governance
Seminario web
Illustration of a report atop a multi gradient blue background

Informe de gobernanza adaptada a la IA de 2025

AI Governance
Informe
Cover of an eBook with misc charts and graphs on it atop a multi gradient green background

Cómo generar confianza en la era de la IA: una guía para el consentimiento, la privacidad y el perfeccionamiento de los datos propios

Consent & Preferences
Libro electrónico

Búsquedas principales

Recursos

Plataforma

Empresa

Contacto

La privacidad importa

Nuestro centro de privacidad te lo pone fácil para saber cómo
recopilamos y utilizamos tu información.

Tu privacidad

Cuando recopilamos tu información personal, siempre te informamos sobre tus derechos y facilitamos que los puedas ejercer. Siempre que sea posible, también permitimos que puedas administrar tus preferencias sobre cuánta información quieres compartir con nosotros o nuestros socios.

© {{CURRENT_DATE}} OneTrust LLC. Todos los derechos reservados.

Seminario web bajo demanda disponible próximamente

Nuestras políticas

Tus derechos