Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La fecha límite de la Ley de IA de la UE del 2 de agosto de 2026 está a seis semanas. La mayoría de las organizaciones no están preparadas.

La fecha límite de la Ley de IA de la UE del 2 de agosto de 2026 está a seis semanas. La mayoría de las organizaciones no están preparadas.

by Marc ten Eikelder updated junio 23, 2026 Cumplimiento Regulatorio
Reading Time: 17 minutes

En seis semanas, las obligaciones de cumplimiento de la Ley de IA de la UE para sistemas de IA de alto riesgo entran en vigor legalmente. Los artículos 9 al 17 y el artículo 26 de la Ley de IA de la UE, que regulan a quienes implementan sistemas de IA de alto riesgo del Anexo III, serán exigibles a partir del 2 de agosto de 2026. El tope de sanción es elevado: hasta 15 millones de euros o el 3% de la facturación anual global, lo que sea mayor. Para la mayoría de las empresas medianas y grandes, no es una multa insignificante.

Un acuerdo político alcanzado por legisladores de la UE el 7 de mayo de 2026 mostró disposición para revisar ciertos plazos de implementación. Algunas organizaciones interpretaron esa señal como permiso para pausar sus programas de cumplimiento. Esa interpretación es legalmente peligrosa. A junio de 2026, el acuerdo del 7 de mayo no se ha convertido en ley. El 2 de agosto sigue siendo la fecha operativa. Las organizaciones que esperen a que el nuevo plazo pase por el proceso legislativo corren el riesgo de llegar a la fecha límite sin los controles, la documentación o la infraestructura de gobernanza que exige la ley.

La brecha de cumplimiento es real y medible. Solo el 37% de las organizaciones cuentan con políticas de gobernanza de IA, según una investigación publicada en junio de 2026. Al mismo tiempo, más del 80% de los empleados usan herramientas de IA no aprobadas, un patrón que los investigadores de seguridad llaman shadow IT. Esa combinación —adopción masiva de IA sin gobernanza— es exactamente el escenario que los reguladores de la Ley de IA de la UE buscan corregir con las obligaciones para quienes implementan IA. También es un escenario que genera exposición simultánea bajo nuevas leyes estatales de EE. UU.

Para organizaciones que operan en sectores como legal, financiero, ciencias de la vida, empleo y otros donde los sistemas de IA del Anexo III están en uso activo, las próximas seis semanas no son un periodo de espera. Son una carrera contra el tiempo. Este artículo mapea lo que exige la ley, dónde fallan la mayoría de las organizaciones y cómo cerrar la brecha antes del 2 de agosto.

Aspectos clave

1. El 2 de agosto de 2026 sigue siendo la fecha límite exigible

El acuerdo político de la UE del 7 de mayo de 2026 sobre los nuevos plazos no se ha convertido en ley: el 2 de agosto sigue siendo la fecha operativa para quienes implementan sistemas de IA de alto riesgo del Anexo III, y el tope de sanción llega a 15 millones de euros o el 3% de la facturación anual global.

2. La IA en la sombra es una fuga de datos activa, no un riesgo futuro

Más del 80% de los empleados usan herramientas de IA no aprobadas, y los productos legales representan el 22,3% de los datos confidenciales que se filtran por esos canales, generando exposición simultánea bajo la Ley de IA de la UE y riesgo de brecha.

3. La Ley de IA de Colorado ya está en vigor

Colorado fue el primer estado de EE. UU. en imponer obligaciones afirmativas a quienes implementan IA de alto riesgo, vigente desde el 1 de junio de 2026: los programas de cumplimiento enfocados solo en la UE y que ignoran la ley estatal de EE. UU. están incompletos.

4. La supervisión humana y los registros requieren infraestructura técnica, no solo política

El artículo 26 exige controles operativos de supervisión humana y registro automático de eventos con la granularidad adecuada: las declaraciones de política y la intención documentada no cumplen estos requisitos.

5. Los incidentes de IA en la sombra suman un coste promedio de brecha de $670,000

El argumento financiero para cerrar los canales de IA en la sombra es cuantificable: $670,000 en costes promedio adicionales por brecha y una ventana de detección promedio de 247 días convierten la gobernanza de IA en un asunto de administración de riesgos financieros.

¿Qué estándares de cumplimiento de datos importan?

Read Now

Qué exige realmente la Ley de IA de la UE a quienes implementan IA

La Ley de IA de la UE diferencia entre proveedores (organizaciones que desarrollan o comercializan sistemas de IA) y quienes los implementan (organizaciones que usan sistemas de IA en un contexto profesional). La mayoría de las empresas caen en la categoría de implementadores. Las obligaciones para quienes implementan sistemas de IA de alto riesgo del Anexo III son sustanciales y muy específicas a nivel operativo.

El artículo 26 exige que quienes implementan IA establezcan medidas de supervisión humana, usen los sistemas de IA conforme a las instrucciones del proveedor, supervisen el funcionamiento del sistema y reporten incidentes graves a la autoridad de vigilancia del mercado correspondiente. No son objetivos aspiracionales. Son requisitos exigibles con trazabilidad documental.

Los artículos 9 al 17 suman requisitos adicionales que afectan directamente cómo las organizaciones gestionan la gobernanza de datos para sistemas de IA. El artículo 10 exige prácticas adecuadas de gobernanza de datos, incluidos criterios de calidad de los datos, procesos de preparación de datos y medidas para abordar posibles sesgos. Esto es especialmente relevante para sistemas de IA usados en selección de personal, crédito, educación, orden público y acceso a servicios esenciales, todos incluidos en el Anexo III.

Las obligaciones de transparencia del artículo 13 exigen que los sistemas de IA de alto riesgo estén diseñados para que quienes los implementan puedan interpretar los resultados, y que se les proporcione información en un formato que permita un uso informado. Los requisitos de registro del artículo 12 exigen el registro automático de eventos durante toda la vida útil del sistema, con el nivel de granularidad adecuado para su propósito. Si tu organización no puede presentar un registro de auditoría completo de cómo un sistema de IA del Anexo III llegó a una decisión relevante, no cumples la normativa.

La estructura de sanciones refleja la seriedad con la que los reguladores de la UE tratan estos requisitos. Hasta 15 millones de euros o el 3% de la facturación anual global por incumplimiento de las obligaciones para quienes implementan IA sitúa estas multas en el mismo nivel que las infracciones graves de cumplimiento GDPR. Las organizaciones que ya han navegado el GDPR deberían reconocer el patrón: la falta de inversión temprana en infraestructura de cumplimiento genera remediaciones desproporcionadamente costosas.

Entendiendo el Anexo III: Qué sistemas de IA están realmente en alcance

El Anexo III de la Ley de IA de la UE enumera ocho categorías de sistemas de IA de alto riesgo. Entender qué categorías aplican a tu organización es el punto de partida de cualquier programa de cumplimiento, y muchas organizaciones descubrirán que su exposición al Anexo III es más amplia de lo que suponían.

Las ocho categorías son: sistemas de identificación y categorización biométrica; sistemas de IA usados en la gestión de infraestructuras críticas (energía, agua, transporte, infraestructura digital); sistemas de IA usados en educación y formación profesional (admisiones, calificaciones, supervisión, evaluación del aprendizaje); sistemas de IA usados en empleo y gestión de trabajadores (reclutamiento, selección de candidatos, evaluación de desempeño, asignación de tareas); sistemas de IA usados para determinar el acceso a servicios y beneficios privados o públicos esenciales (evaluación de solvencia, evaluación de riesgos de seguros, priorización de emergencias); IA para orden público (evaluación de riesgos, análisis de delitos, evaluación de pruebas); IA para migración, asilo y control fronterizo; y sistemas de IA usados en la administración de justicia y procesos democráticos (asistencia en investigación para tribunales, herramientas de integridad electoral).

Para la mayoría de las empresas medianas y grandes, las categorías de empleo y servicios financieros son los puntos más comunes de exposición al Anexo III. Herramientas de selección de currículums asistidas por IA, sistemas automatizados de programación de entrevistas con funcionalidad de ranking de candidatos, plataformas de gestión de desempeño que incluyen puntuación algorítmica y modelos de evaluación de solvencia están dentro del alcance. Los equipos legales, de RR. HH. y financieros que han implementado herramientas de trabajo asistidas por IA sin programas formales de gobernanza de datos de IA deben tratar esto como una tarea urgente de inventario.

Los sectores educativo y sanitario enfrentan consideraciones adicionales de alcance. Los sistemas de IA usados en imágenes médicas, apoyo a decisiones clínicas, recomendaciones de tratamiento y estratificación de riesgos de pacientes pueden calificar como IA de alto riesgo bajo el Anexo III, según su aplicación específica y el grado en que los resultados influyen en decisiones clínicas relevantes. Las instituciones de estos sectores deben realizar sus ejercicios de alcance del Anexo III con asesoría legal familiarizada tanto con las definiciones de la Ley de IA de la UE como con el marco de cumplimiento normativo de su sector.

Gobernanza de datos del artículo 10: el requisito más exigente a nivel operativo

De los requisitos de los artículos 9 al 17, el artículo 10 suele ser el más difícil de operacionalizar. Exige que los conjuntos de datos de entrenamiento, validación y prueba cumplan criterios de calidad adecuados al propósito del sistema, estén sujetos a prácticas apropiadas de gobernanza de datos, se examinen en busca de posibles sesgos y sean completos y con las propiedades estadísticas adecuadas para el caso de uso.

Para organizaciones que no construyeron sus sistemas de IA internamente —lo que describe a la mayoría de quienes implementan IA—, cumplir el artículo 10 es en parte una cuestión de diligencia debida y documentación del proveedor, más que de control directo sobre el entrenamiento del modelo. Se debe obtener documentación técnica de los proveedores de IA que aborde los requisitos del artículo 10 y complementarla con documentación propia sobre cómo se ha configurado el sistema, qué datos se proporcionan como entrada y qué evaluaciones de sesgo se han realizado sobre los resultados en el contexto específico de implementación.

El artículo 10 también tiene carácter continuo: no es una certificación de una sola vez. A medida que los sistemas de IA evolucionan, los proveedores lanzan actualizaciones de modelos y las organizaciones cambian el uso de estos sistemas, la documentación de gobernanza de datos debe actualizarse para reflejar el estado actual de la implementación. Aplicar principios de minimización de datos a lo que se introduce en los sistemas de IA es un primer paso práctico: restringir las entradas a los datos mínimos necesarios para el propósito del sistema reduce tanto el riesgo de sesgo como la exposición de datos.

El problema de la IA en la sombra dificulta el cumplimiento

El mayor obstáculo estructural para el cumplimiento de la Ley de IA de la UE en la mayoría de las empresas es la IA en la sombra: el uso de herramientas de IA no aprobadas y sin gobernanza por parte de empleados que no esperan a que se materialicen estrategias oficiales de IA. Investigaciones de junio de 2026 muestran la magnitud del problema con claridad. Más del 80% de los empleados usan herramientas de IA no aprobadas. Solo el 37% de las organizaciones tienen políticas de gobernanza de IA. Esa brecha —80% de adopción frente a 37% de cobertura de gobernanza— es donde reside la exposición regulatoria.

Los patrones de filtración de datos asociados a la IA en la sombra son específicos y preocupantes. El código fuente representa el 30% de lo que los empleados pegan en herramientas de IA no aprobadas. Los productos legales representan el 22,3%. Los datos de fusiones y adquisiciones, el 12,6%. No son categorías de baja sensibilidad. El producto legal es precisamente el tipo de material confidencial que los requisitos de gobernanza de datos de la Ley de IA de la UE buscan proteger. También es la categoría donde los tribunales empiezan a examinar el uso de IA. La clasificación de datos es el control fundamental que permite a las organizaciones identificar qué contenido nunca debe pasar por canales de IA no aprobados.

WilmerHale informó en febrero de 2026 que los tribunales empiezan a responsabilizar a los abogados por alucinaciones de IA en escritos legales. Cuando los abogados usan herramientas de IA no aprobadas para redactar escritos y estos contienen citas inventadas, la consecuencia no es solo vergüenza profesional. Son sanciones, exposición a mala praxis y, cada vez más, atención judicial a las prácticas de gobernanza de IA del despacho. La intersección entre IA en la sombra, producto legal y escrutinio regulatorio convierte la gobernanza de IA en un asunto de riesgo institucional, no solo de política de TI.

El argumento financiero para cerrar los canales de IA en la sombra también es claro. Las organizaciones que enfrentan brechas relacionadas con IA absorben un promedio de $670,000 en costes adicionales. La ventana promedio de detección de incidentes de IA en la sombra es de 247 días. Ambos datos apuntan a la misma conclusión: la IA en la sombra no es un problema teórico de gobernanza. Es un coste de incidente que se materializará en los próximos ocho meses para quienes no actúen ahora.

Cerrar los canales de IA en la sombra requiere visibilidad sobre qué herramientas de IA usan realmente los empleados, controles que canalicen los datos confidenciales por sistemas aprobados y una infraestructura de uso compartido seguro de archivos de Kiteworks que ofrezca a los empleados una alternativa gobernada que realmente utilicen. Si la opción aprobada es incómoda y la no aprobada es fluida, los empleados seguirán eligiendo la no aprobada, sin importar la política.

La Ley de IA de Colorado crea exposición paralela en EE. UU.

El cumplimiento de la Ley de IA de la UE no fue el único plazo que enfrentaron las organizaciones en la primera mitad de 2026. La Ley de Inteligencia Artificial de Colorado entró en vigor el 1 de junio de 2026, convirtiendo a Colorado en el primer estado de EE. UU. en imponer obligaciones afirmativas a quienes implementan sistemas de IA de alto riesgo. Para las organizaciones que ya trabajan en la preparación para la Ley de IA de la UE, la ley de Colorado crea una vía de cumplimiento paralela que utiliza conceptos similares pero difiere en detalles de implementación.

La ley de Colorado impone un deber de diligencia a quienes implementan sistemas de IA de alto riesgo, definido en términos de proteger a los consumidores de la discriminación algorítmica. Exige evaluaciones de impacto de sesgo antes de implementar sistemas de IA de alto riesgo y reevaluaciones periódicas posteriores. Obliga a notificar a los consumidores cuando la IA de alto riesgo se usa en decisiones que les afectan. Y requiere que las organizaciones mantengan documentación de gobernanza que demuestre que cumplen estas obligaciones.

La coincidencia conceptual con la Ley de IA de la UE es considerable. Ambos regímenes exigen documentar los sistemas de IA, evaluar riesgos, implementar supervisión humana y ser transparentes con los individuos afectados. Las organizaciones que construyan infraestructura de cumplimiento para un régimen verán que gran parte aplica al otro. Los mismos marcos de gobernanza de datos, los mismos registros y los mismos mecanismos de supervisión se trasladan entre ambos regímenes.

La implicación práctica para organizaciones con operaciones en EE. UU. es que la gobernanza de IA ya no es solo un tema europeo. Colorado no será el último estado en promulgar obligaciones para quienes implementan IA de alto riesgo. Construir un programa de cumplimiento que trate los requisitos de la Ley de IA de la UE como el piso y diseñe para ampliarse a las leyes estatales de privacidad de datos de EE. UU. es una inversión más sólida que crear dos programas separados.

La intersección de la Ley de IA de la UE con marcos de cumplimiento existentes

Para organizaciones que ya navegan el GDPR, HIPAA, NIS2 o DORA, la Ley de IA de la UE no es un dominio de cumplimiento completamente nuevo. Amplía obligaciones en las que muchas organizaciones ya han invertido. Entender dónde la infraestructura de cumplimiento existente se solapa con los requisitos de la Ley de IA de la UE acelera el cierre de brechas y evita duplicar esfuerzos.

Ley de IA de la UE y GDPR

La relación entre la Ley de IA de la UE y el cumplimiento GDPR es el solapamiento más relevante para organizaciones europeas. Ambas regulaciones rigen cómo se maneja la información personal, exigen proporcionalidad en el tratamiento de datos y requieren documentación de las actividades de procesamiento. El proceso de evaluación de impacto de protección de datos (EIPD) del GDPR, obligatorio para actividades de procesamiento de alto riesgo, se alinea conceptualmente con las evaluaciones de riesgos de la Ley de IA de la UE bajo el artículo 9. Las organizaciones con procesos de EIPD maduros pueden ampliar esa metodología para cubrir evaluaciones de riesgo de sistemas de IA sin empezar de cero.

El artículo 22 del GDPR —que regula la toma de decisiones automatizada y otorga derechos a las personas sobre decisiones tomadas únicamente por medios automatizados— es directamente relevante para sistemas de IA del Anexo III que producen resultados relevantes. Las organizaciones que han construido infraestructura de cumplimiento del artículo 22, incluidos procesos de revisión humana y flujos de respuesta a derechos individuales, tienen ventaja para cumplir los requisitos de supervisión humana del artículo 26 de la Ley de IA de la UE. Los formatos de documentación difieren, pero los controles operativos son en gran medida los mismos.

La principal brecha entre el cumplimiento GDPR y la Ley de IA de la UE es el registro técnico y la evaluación de sesgos. El GDPR no exige el registro automático de eventos con detalle granular que requiere el artículo 12, ni impone los criterios específicos de calidad de datos del artículo 10. Estas son las áreas donde el cumplimiento de la Ley de IA de la UE requiere inversión adicional más allá de los programas GDPR existentes.

Ley de IA de la UE y NIS2

El cumplimiento NIS2 impone obligaciones de administración de riesgos de ciberseguridad y requisitos de reporte de incidentes a operadores de servicios esenciales y entidades importantes. Ambas categorías de obligación se alinean estrechamente con los requisitos de la Ley de IA de la UE. La exigencia de NIS2 de implementar medidas técnicas y organizativas apropiadas y proporcionales para administrar riesgos de ciberseguridad se extiende naturalmente a sistemas de IA que procesan datos confidenciales o influyen en servicios críticos.

Los requisitos de reporte de incidentes de NIS2 —los incidentes significativos deben reportarse a las autoridades competentes en 24 horas (notificación inicial) y 72 horas (notificación completa)— son paralelos a los requisitos del artículo 26 de la Ley de IA de la UE para reportar incidentes graves relacionados con sistemas de IA del Anexo III. Las organizaciones que ya han construido canales de detección y reporte de incidentes para el cumplimiento NIS2 pueden ampliarlos para cubrir categorías de incidentes específicos de IA. Contar con un plan de respuesta a incidentes documentado que cubra explícitamente fallos y usos indebidos de sistemas de IA es un requisito previo para cumplir tanto NIS2 como la Ley de IA de la UE.

El punto de integración práctica es la gestión del registro de riesgos. Las organizaciones con registros de riesgos NIS2 maduros deben añadir los sistemas de IA del Anexo III como categoría de riesgo, documentar los riesgos específicos de cada sistema y mapear los controles NIS2 existentes a las obligaciones de la Ley de IA de la UE que cubren. Las brechas suelen aparecer en la granularidad de los registros, la documentación de evaluación de sesgos y los flujos de trabajo de supervisión humana específicos de IA.

Ley de IA de la UE y DORA

Las organizaciones de servicios financieros que trabajan en el cumplimiento DORA tienen requisitos de marco de administración de riesgos TIC entre los más rigurosos a nivel operativo. Las exigencias de DORA sobre inventarios de activos TIC, evaluaciones de riesgos, gestión de proveedores externos y reporte de incidentes crean una infraestructura de cumplimiento que se adapta bien a las obligaciones para quienes implementan IA de la Ley de IA de la UE.

Los requisitos de DORA para proveedores TIC externos son especialmente relevantes. Las instituciones financieras sujetas a DORA deben realizar diligencia debida sobre los proveedores TIC, incluidos los de herramientas de IA, y mantener protecciones contractuales que aseguren acceso continuo, capacidad de auditoría y derechos de salida. Este marco de diligencia debida, aplicado a proveedores de IA, respalda directamente los requisitos de documentación técnica del artículo 10 y los de registro del artículo 12 de la Ley de IA de la UE. El proceso de diligencia debida de DORA ofrece a las organizaciones un mecanismo estructurado para obtener la documentación técnica del lado del proveedor que exigen las obligaciones para quienes implementan IA.

Ley de IA de la UE y HIPAA

Las organizaciones sanitarias que gestionan el cumplimiento de la ley HIPAA cuentan con requisitos de gobernanza de datos y controles de auditoría que se alinean con varias obligaciones de la Ley de IA de la UE. El estándar de control de auditoría de HIPAA (45 CFR § 164.312(b)) exige implementar mecanismos de hardware, software y procedimientos para registrar y examinar la actividad en sistemas de información que contienen o usan información de salud protegida electrónica. Ese requisito, extendido a sistemas de IA que procesan PHI, cubre gran parte de lo que exige el artículo 12 en cuanto a registros.

El requisito de análisis de riesgos de HIPAA (45 CFR § 164.308(a)(1)) —la obligación de realizar una evaluación precisa y exhaustiva de los riesgos y vulnerabilidades potenciales para la confidencialidad, integridad y disponibilidad de la ePHI— proporciona una metodología que puede adaptarse a los requisitos de administración de riesgos del artículo 9 de la Ley de IA de la UE. Las organizaciones sanitarias que han realizado análisis de riesgos exhaustivos para herramientas clínicas asistidas por IA están bien posicionadas para ampliar ese análisis y cumplir los estándares de la Ley de IA de la UE.

La brecha distintiva para organizaciones sanitarias es la evaluación de sesgos. HIPAA no exige la evaluación de sesgos en herramientas clínicas de IA. Los requisitos de gobernanza de datos del artículo 10 de la Ley de IA de la UE aplican directamente a sistemas de IA usados en contextos sanitarios que califican como de alto riesgo bajo el Anexo III, por lo que se debe añadir metodología de evaluación de sesgos a los marcos de cumplimiento existentes.

Construyendo la infraestructura técnica que exige el cumplimiento

Las obligaciones regulatorias se operacionalizan, en última instancia, mediante controles técnicos. Los requisitos para quienes implementan IA bajo el artículo 26 de la Ley de IA de la UE no se pueden cumplir solo con documentos de política. Requieren infraestructura: sistemas de registro que capturen eventos de decisión de IA con la granularidad adecuada, controles de gobernanza de datos que aseguren calidad y estándares de sesgo, mecanismos de supervisión humana integrados en los flujos de trabajo y canales de reporte de incidentes capaces de alertar a los reguladores dentro del plazo requerido.

Los principios de arquitectura de confianza cero aplican directamente a la gobernanza de IA. Así como la confianza cero exige que ninguna entidad de red sea confiable por defecto y que todo acceso se verifique continuamente, la gobernanza de IA requiere que ninguna interacción de IA con datos confidenciales quede sin supervisión y que todos los resultados generados por IA que influyan en decisiones relevantes sean trazables. El principio es el mismo: verifica de forma continua, registra todo y asume que cualquier canal no supervisado será explotado tarde o temprano. Combinar principios de confianza cero con controles ABAC que restrinjan qué datos pueden acceder los sistemas de IA según el rol del usuario y la sensibilidad del contenido crea la defensa en capas que exige el artículo 26 en cuanto a supervisión humana.

Para organizaciones que gestionan flujos de datos confidenciales a través de sistemas de IA, la infraestructura de MFT segura proporciona un canal gobernado para los intercambios de datos relacionados con IA. Cuando los sistemas de IA necesitan recibir datos de entrenamiento, intercambiar entradas y salidas de inferencia o entregar resultados a sistemas posteriores, esos intercambios deben pasar por canales supervisados, registrados y controlados por políticas, no por integraciones improvisadas que eluden los controles de gobernanza.

La conexión con marcos regulatorios adyacentes es clave aquí. Las organizaciones sujetas a cumplimiento NIS2 ya tienen requisitos de reporte de incidentes y administración de riesgos que se solapan significativamente con los de la Ley de IA de la UE. Las organizaciones de servicios financieros que trabajan en el cumplimiento DORA cuentan con marcos de administración de riesgos TIC que pueden ampliarse para cubrir riesgos de sistemas de IA. Las organizaciones sanitarias que gestionan el cumplimiento de la ley HIPAA tienen requisitos de gobernanza de datos y auditoría alineados con las obligaciones de los artículos 10 y 12. Construir sobre la infraestructura de cumplimiento existente es más rápido que empezar de cero.

Las capacidades de gobernanza de IA y AI Cumpliente de Kiteworks abordan directamente la obligación de gobernanza de datos del artículo 10, proporcionando un canal gobernado para IA que procesa datos confidenciales. Kiteworks cuenta con autorización de cumplimiento FedRAMP (nivel Moderado), certificación CMMC Nivel 2 y soporta requisitos de cumplimiento HIPAA, NIS2 y DORA. La infraestructura que cumple los estrictos controles de FedRAMP respalda los requisitos de registro, gobernanza de datos y supervisión de la Ley de IA de la UE —verificado de forma independiente, no auto-certificado—. El CISO Dashboard brinda a los equipos de seguridad y cumplimiento visibilidad en tiempo real sobre qué datos están accediendo los sistemas de IA en toda la organización, permitiendo detectar actividad anómala de IA antes de que se convierta en un incidente reportable.

Seis semanas: lista de verificación práctica de preparación

Seis semanas son suficientes para avanzar de forma significativa en el cumplimiento, pero solo si las organizaciones priorizan correctamente. La siguiente secuencia refleja lo que los reguladores buscarán en una revisión del 2 de agosto.

  1. Primero, inventaría tus sistemas de IA del Anexo III. No puedes gobernar lo que no has identificado. El Anexo III cubre sistemas de IA usados en identificación biométrica, infraestructuras críticas, educación, empleo, servicios esenciales, orden público, migración y administración de justicia. Si tu organización usa IA en alguna de estas áreas, esos sistemas están en alcance.

  2. Segundo, audita tus controles de gobernanza de datos para esos sistemas. El artículo 10 exige prácticas adecuadas de gobernanza de datos. Documenta tus fuentes de datos de entrenamiento, tus criterios de calidad de datos y tu metodología de evaluación de sesgos. Si no puedes presentar esta documentación, esa es tu brecha más urgente.

  3. Tercero, evalúa tu infraestructura de registros y capacidad de auditoría. El artículo 12 exige registro automático de eventos con la granularidad adecuada. Extrae hoy una muestra de registro de auditoría de uno de tus sistemas del Anexo III. Si no puedes presentar un registro completo y con sello de tiempo de cómo el sistema llegó a una decisión relevante, tu infraestructura de registros necesita atención inmediata.

  4. Cuarto, documenta tus mecanismos de supervisión humana. El artículo 26 exige que la supervisión humana se implemente en la práctica, no solo en la política. Mapea los pasos específicos del flujo de trabajo donde las personas revisan los resultados de IA antes de tomar decisiones relevantes.

  5. Quinto, cierra tus canales de IA en la sombra. Esto es tanto un requisito de cumplimiento como una necesidad de seguridad de datos. Identifica qué herramientas de IA no aprobadas usan los empleados para manejar datos confidenciales, bloquea el acceso a esas herramientas a nivel de red y ofrece una alternativa gobernada a través de infraestructura de gobernanza de IA que los empleados puedan usar para trabajo legítimo asistido por IA.

  6. Sexto, mapea tu marco de cumplimiento existente con las brechas de la Ley de IA de la UE. Si tu organización ya cuenta con programas de cumplimiento GDPR, NIS2, DORA o HIPAA, mapea los controles de esos programas con los requisitos de la Ley de IA de la UE. El solapamiento es considerable y las brechas —normalmente granularidad de registros, documentación de evaluación de sesgos y flujos de trabajo de supervisión humana específicos de IA— son más manejables cuando amplías infraestructura existente en vez de construir desde cero.

  7. Séptimo, involucra a tus proveedores de IA para obtener documentación técnica. El cumplimiento del artículo 10 exige documentación técnica de los proveedores sobre gobernanza de datos de entrenamiento, metodología de evaluación de sesgos y criterios de calidad de datos. Si tus proveedores de IA no pueden presentar esta documentación al solicitarla, esa es una brecha de administración de riesgos de proveedores que debe resolverse antes del 2 de agosto, ya sea obteniendo la documentación o reemplazando sistemas donde no esté disponible.

Para saber más sobre el cumplimiento de la Ley de IA de la UE y cómo construir la infraestructura de gobernanza que tu organización necesita antes del 2 de agosto, agenda una demo personalizada hoy.

Preguntas frecuentes

El 2 de agosto de 2026 es la fecha en la que los artículos 9 al 17 y el artículo 26 de la Ley de IA de la UE se vuelven exigibles para quienes implementan sistemas de IA de alto riesgo del Anexo III. El artículo 26 regula directamente las obligaciones de quienes implementan IA: exige supervisión humana, cumplimiento de las instrucciones del proveedor, monitoreo operativo y reporte de incidentes a las autoridades de vigilancia del mercado. Los artículos 9 al 17 cubren el marco de conformidad, incluyendo administración de riesgos (artículo 9), gobernanza de datos (artículo 10), documentación técnica (artículo 11), mantenimiento de registros y registro de eventos (artículo 12), transparencia (artículo 13), diseño de supervisión humana (artículo 14) y precisión y robustez (artículo 15). Quienes no hayan construido un cumplimiento operativo con estos requisitos para el 2 de agosto enfrentan sanciones de hasta 15 millones de euros o el 3% de la facturación anual global. Para fines de planificación de cumplimiento de la Ley de IA de la UE, el acuerdo político de la UE del 7 de mayo de 2026 sobre los nuevos plazos no cambia esta fecha: no se ha convertido en ley a junio de 2026, por lo que el 2 de agosto sigue siendo la fecha operativa. Las organizaciones pueden evaluar su preparación según las definiciones del glosario de la Ley de IA de la UE sobre «implementador», «sistema de IA de alto riesgo» y «Anexo III» para confirmar qué obligaciones aplican a sus casos de uso específicos.

Posiblemente, en el futuro. Pero «posiblemente, en el futuro» no es una estrategia de cumplimiento. A junio de 2026, el acuerdo del 7 de mayo es un entendimiento político, no una ley. El 2 de agosto sigue siendo la fecha de exigibilidad. Las organizaciones que han pausado sus programas de cumplimiento anticipando el nuevo plazo están apostando a que el proceso legislativo avanzará más rápido que la acción de los reguladores. Esa apuesta tiene un riesgo conocido: exposición total a sanciones si el plazo no se revisa antes de que inicie la exigibilidad. El enfoque más seguro es continuar la preparación para el cumplimiento como si el 2 de agosto fuera fijo, mientras se monitorean los desarrollos legislativos. El trabajo realizado para cumplir con los requisitos de cumplimiento de la Ley de IA de la UE y gobernanza de datos no se pierde si la fecha cambia; se convierte en cumplimiento anticipado en lugar de cumplimiento de último minuto. Las organizaciones con programas de cumplimiento GDPR existentes verán que gran parte de la documentación y la infraestructura de procesos se transfiere directamente a la preparación para la Ley de IA de la UE.

La IA en la sombra genera exposición de cumplimiento bajo la Ley de IA de la UE a través de dos mecanismos superpuestos. Primero, cuando los empleados usan herramientas de IA no aprobadas para procesar datos personales u otros datos confidenciales, esos usos pueden constituir la implementación de sistemas de IA de alto riesgo sin los controles de gobernanza que exige el artículo 26. Segundo, los canales de IA en la sombra debilitan la infraestructura de gobernanza de datos que exigen los artículos 10 y 12. Si los datos confidenciales fluyen por herramientas de IA no gobernadas, la organización no puede documentar de forma creíble sus prácticas de calidad de datos ni presentar registros completos de eventos de decisión de IA. Investigaciones de junio de 2026 muestran que los productos legales representan el 22,3% de la filtración de datos por IA en la sombra. El problema de shadow IT también incrementa los costes de brecha: las organizaciones con incidentes de IA en la sombra enfrentan un promedio de $670,000 en costes adicionales y una ventana de detección promedio de 247 días. Cerrar los canales de IA en la sombra es un requisito previo para un cumplimiento creíble de la Ley de IA de la UE, no una mejora opcional de seguridad. Un marco de protección de datos de IA de confianza cero brinda a las organizaciones un enfoque estructurado para gobernar qué herramientas de IA pueden usar los empleados y qué datos pueden procesar esas herramientas.

La Ley de Inteligencia Artificial de Colorado, vigente desde el 1 de junio de 2026, impone tres obligaciones principales a quienes implementan sistemas de IA de alto riesgo: un deber de cuidado para proteger a los consumidores de la discriminación algorítmica, evaluaciones de impacto de sesgo antes de la implementación y periódicamente después, y notificaciones de transparencia a los consumidores cuando la IA de alto riesgo influye en decisiones relevantes. Es la primera ley estatal de EE. UU. en imponer obligaciones afirmativas a quienes implementan IA en esta categoría. La coincidencia conceptual con las obligaciones de la Ley de IA de la UE es considerable: ambas leyes exigen documentación de evaluación de riesgos, transparencia con los individuos afectados y contemplan supervisión humana continua de la toma de decisiones de IA. Las organizaciones que construyan infraestructura de gobernanza de IA para cumplir con la Ley de IA de la UE —incluyendo evaluaciones de riesgos documentadas, procesos de evaluación de sesgos y registros auditables— verán que la misma infraestructura respalda el cumplimiento en Colorado con una adaptación relativamente sencilla. Combinar esto con marcos de cumplimiento GDPR brinda a las organizaciones una base transfronteriza sobre la que pueden construir. Las organizaciones con clientes en varios estados de EE. UU. también deben monitorear las leyes estatales de privacidad de datos para detectar nuevas obligaciones específicas de IA que probablemente sigan el ejemplo de Colorado.

Seis semanas es un periodo acotado pero viable si las organizaciones abordan primero las brechas de mayor prioridad. La secuencia que cubre más cumplimiento en menos tiempo: (1) Inventaría todos los sistemas de IA del Anexo III en uso, incluidas implementaciones de IA en la sombra identificadas mediante monitoreo de red: no puedes gobernar sistemas que no has identificado. (2) Audita tu infraestructura de registro de auditoría para cada sistema en alcance; el artículo 12 exige registro automático de eventos y, si no puedes presentar un registro completo y con sello de tiempo de eventos de decisión de IA, esa es tu brecha más urgente. (3) Documenta los controles de gobernanza de datos para el artículo 10, incluyendo documentación escrita de criterios de calidad de datos, metodología de evaluación de sesgos y procesos de preparación de datos. (4) Mapea los mecanismos de supervisión humana a pasos específicos del flujo de trabajo donde los resultados de IA influyen en decisiones relevantes: las declaraciones de política no son suficientes, el artículo 26 exige controles operativos de supervisión. (5) Cierra los canales de IA en la sombra bloqueando herramientas no aprobadas a nivel de red y ofreciendo alternativas gobernadas mediante uso compartido seguro de archivos de Kiteworks e infraestructura de gobernanza de IA que los empleados realmente utilicen. Las organizaciones con programas de cumplimiento NIS2 o cumplimiento DORA existentes deben mapear los requisitos de administración de riesgos de esos marcos con las obligaciones de la Ley de IA de la UE, ya que el solapamiento es considerable y puede acelerar el cierre de brechas. Aplicar disciplinas de administración de riesgos de seguridad a los inventarios de sistemas de IA del Anexo III —asignando niveles de riesgo, documentando controles y programando reevaluaciones periódicas— brinda a los equipos de cumplimiento la metodología estructurada que los reguladores esperan ver.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero-Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Brecha en la gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks