Quedan poco más de seis semanas para el 2 de agosto de 2026 y, en las reuniones que tengo con clientes de hosting y agencias, el AI Act sigue apareciendo como «algo que habrá que mirar más adelante». Eso me preocupa más que la norma en sí. Porque el Reglamento europeo de Inteligencia Artificial no entra en vigor de golpe este verano: lleva meses aplicándose por fases. Lo que cambia el 2 de agosto es que se activan de verdad las obligaciones para sistemas de alto riesgo, las evaluaciones de conformidad, la documentación técnica y un régimen sancionador que puede rozar el 7% de la facturación global. Y la mayoría de pymes que uso IA en selección de personal, scoring crediticio o analítica de rendimiento laboral aún no sabe en qué categoría caen.
Lo digo sin dramatismo barato. Según recopilan consultoras como Fase Consulting, la fecha crítica para implantadores y proveedores en España es precisamente esa: cuando el Anexo III deja de ser teoría y pasa a ser checklist obligatorio. Multas, registro en base de datos europea, supervisión humana documentada, gestión de riesgos. No es un PDF que firmas y archivas.
En junio de 2026 el sector habla de otras cosas. Claude Fable 5, IA local en GPU, la corrección bursátil de las acciones tech. Las tendencias del mes van de agentes autónomos y soberanía de datos, no de auditorías de conformidad. Entiendo el desfase: vender innovación da titulares; vender cumplimiento normativo aburre. Pero si tu negocio integra un plugin de IA en WooCommerce para recomendar productos, un SaaS de RRHH que filtra currículums o un chatbot que prioriza tickets de soporte, ya no estás en el terreno de «juguetes de productividad». Estás en el terreno regulado.
Lo que no me cuadra del discurso oficial es la mezcla de urgencia y vaguedad. El Gobierno español aprobó en mayo de 2026 el proyecto de Ley Orgánica de gobernanza de la IA; la AESIA lleva operativa desde 2025 con capacidad sancionadora. Hispacolex lo resume bien: no hace falta ser OpenAI para quedar enganchado. Basta con ser implantador de un sistema que tome decisiones sobre personas. Y aquí viene la trampa: muchas empresas creen que el riesgo lo traslada el proveedor del software. Spoiler: el AI Act distingue roles, pero el implantador también responde.
Te pongo un caso que veo a menudo. Una tienda online de tamaño medio contrata una herramienta de «IA para predecir abandono de clientes». El vendor promete GDPR compliant en la landing. El departamento de marketing conecta el CRM, activa segmentaciones automáticas y listo. Nadie ha clasificado si eso es alto riesgo. Nadie ha hecho una Evaluación de Impacto en Derechos Fundamentales. Nadie ha verificado si el modelo fue entrenado con datos sesgados que penalicen a ciertos códigos postales — que, como sabes, en la práctica puede ser un proxy bastante sucio de otras variables.
El mercado responde con lo de siempre: webinars genéricos, plantillas de política de privacidad recicladas y consultoras que venden «paquetes AI Act» sin entrar a mirar tu stack real. En mi experiencia, el primer paso no es comprar un sello. Es inventariar dónde tienes IA tomando decisiones o influyendo en decisiones sobre personas. Y eso incluye integraciones que ni siquiera llamáis IA: un scoring en el ERP, un filtro en LinkedIn Recruiter, un algoritmo de priorización en Zendesk.
Tampoco ayuda que la propia Comisión Europea siga publicando directrices y códigos de práctica mientras el reloj avanza. Las prohibiciones absolutas llevan vigentes desde febrero de 2025; los modelos de propósito general desde agosto de 2025. Si aún no has hecho nada, no empiezas de cero el 2 de agosto: llegas tarde a una fiesta que ya empezó. Lo peor es el falso confort de pensar que «somos pequeños, no nos mirarán». La AESIA no necesita una redada masiva el primer día; basta con una reclamación de un candidato rechazado por un filtro opaco, una inspección sectorial o un competidor denunciando prácticas desleales.
Desde el lado técnico — que es donde me muevo — veo otro problema: los equipos de desarrollo despliegan agentes y APIs de IA más rápido de lo que legal puede revisarlos. El MLOps del mes es Copilot, MCP, conectores en el hosting. El compliance del mes es un PDF sin leer. Esa asimetría no es sostenible. Y no, meter un banner de «este contenido puede haber sido generado por IA» no te salva si el sistema clasifica currículums sin supervisión humana real.
¿Hay margen? Sí, pero es estrecho. Clasifica tus sistemas. Separa lo que es mero chatbot informativo de lo que afecta acceso al empleo, crédito o evaluación de desempeño. Documenta proveedores, versiones de modelo y logs de decisiones automatizadas. Exige contratos con cláusulas de reparto de responsabilidad explícitas. Y si tu proveedor no sabe responder qué Anexo aplica a su producto, cambia de proveedor antes de cambiar de abogado.
Lo irónico es que la regulación europea podría ser una ventaja competitiva para empresas que lo hagan bien: confianza, trazabilidad, diferenciación frente a competidores que venden cajas negras. Pero eso requiere dejar de tratar el AI Act como un impuesto a la innovación y empezar a tratarlo como parte del coste real de operar con IA en 2026. Porque el 2 de agosto no es el inicio de la regulación. Es el día en que deja de valer la excusa de «aún no aplica del todo».
Si mañana tu proveedor de IA te confirmara por escrito que su herramienta es «solo informativa» pero mañana mismo tu equipo de RRHH la usa para descartar candidatos, ¿quién firmaría esa responsabilidad sin revisar el Anexo III contigo?