El AI Act de la UE entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026, con hitos ya operativos. 

Calendario relevante para negocio:

• Prácticas prohibidas + obligaciones de alfabetización en IA: aplican desde 2 de febrero de 2025. 
• Gobernanza + obligaciones para modelos de propósito general (GPAI): aplican desde 2 de agosto de 2025. 
• Alto riesgo (en general): empieza a entrar en vigor en 2026 (y parte en 2027 si está embebido en productos regulados). 

Además, el enfoque del AI Act es explícitamente basado en riesgo (mínimo, transparencia, alto y “riesgo inaceptable” con prohibiciones), e incluye obligaciones concretas como informar cuando se interactúa con un chatbot, etiquetar ciertos contenidos generados y requisitos estrictos para alto riesgo (gestión de riesgos, calidad de datos, logging, documentación, supervisión humana, robustez y ciberseguridad).

Cuando hablamos de responsabilidad en IA, normalmente se mezclan tres planos. Conviene separarlos para poder gestionarlos:

• Legal: AI Act, RGPD, propiedad intelectual, normativa sectorial, contratos con proveedores y clientes.
• Ético: equidad/no discriminación, transparencia, explicabilidad, control humano, impacto social.
• Operativo: prácticas y evidencias reales que reduzcan riesgos y permitan auditoría, trazabilidad y respuesta ante incidentes.

El problema típico: tener “principios” sin “mecanismos”. Y sin mecanismos no hay responsabilidad; hay intención.

1) Comunidad y enfoque transversal (no “solo Legal” o “solo IT”)

El Grupo de Expertos en IA Responsable de Adigital estructura líneas de trabajo que atacan lo que hoy pide el mercado: innovación y estándares, casos prácticos, regulación y gobernanza, gestión de riesgos, y formación/divulgación. 

2) Principios people-centric con decálogo accionable

El Manifiesto para impulsar una IA comprometida con las personas aterriza principios en un decálogo (transparencia y control, alfabetización, privacidad por diseño, ciberseguridad, equidad/no discriminación, propiedad intelectual, etc.) y avisa de algo muy real: si la IA se percibe como opaca o dañina, aparece rechazo social y frena la adopción. 

3) Transparencia algorítmica como “puente” hacia cumplimiento (y confianza)

La transparencia deja de ser una palabra bonita cuando se traduce en documentación y trazabilidad.

El Certificado de Transparencia Algorítmica se presenta como un proceso para preparar a organizaciones ante el AI Act, construir documentación y facilitar auditorías internas. También enfatiza que no evalúa “si tu IA es mejor”, sino la transparencia de los procesos y entregables que sostienen el sistema. 

Y Adigital detalla el enfoque “de verdad”: la certificación piloto se basó en criterios que cubren desde fuentes/modelos de datos hasta seguridad, accesos y monitorización en producción. 

4) Menos solapamientos, más coherencia normativa

En 2025, Adigital publica una propuesta para simplificar regulación digital en Europa y señala un dolor operativo muy concreto: evitar el solapamiento de evaluaciones de impacto, auditorías y obligaciones de gobernanza, y pedir coherencia entre AI Act, RGPD y otras normas. 

5) Responsabilidad también es sostenibilidad (y ya hay normalización)

La conversación de IA responsable incorpora el impacto ambiental, especialmente con modelos generativos y LLMs.

Adigital y UNE impulsan la especificación UNE 0086 para cuantificar impacto ambiental (energía/agua/eficiencia en entrenamiento e inferencia).

Si tu objetivo es pasar de “principios” a “responsabilidad operativa”, este es un mínimo viable razonable:

1) Inventario y clasificación de usos de IA

• Qué sistemas usas (internos, SaaS, copilots, agentes, modelos)
• Para qué decisiones se usan (personas, scoring, atención, pricing, contenidos, automatización)
• Qué datos tocan (personales, sensibles, terceros, IP)

2) Gobernanza mínima viable

• Un/una owner claro/a + comité transversal IA (Negocio, Legal, Seguridad, Data, IT, RRHH)
• Política de IA (qué se permite, qué no, con qué controles)
• Proceso de aprobación para nuevos casos de uso

3) Evidencias y trazabilidad (lo que te pedirán “mañana”)

• Fichas de sistema (finalidad, límites, datos, proveedor, controles)
• Registros de pruebas (sesgos, robustez, seguridad)
• Protocolos de revisión humana y vías de apelación

4) Riesgo reputacional y experiencia de usuario

• Señalización clara cuando hay IA (especialmente en atención y contenido)
• Canales de reclamación y explicación
• Revisión de impacto en colectivos vulnerables

5) Alfabetización en IA por perfiles

• Dirección (riesgo y toma de decisiones)
• Equipos operativos (uso seguro)
• Legal/Compliance (criterios aplicables)
• Data/IT (seguridad, evaluación, monitorización)

En 2026 gana quien gobierna bien

En INCIPY te ayudamos a convertir la “IA responsable” en un sistema operativo real:

• Diagnóstico de usos de IA y nivel de exposición (riesgo, datos, terceros).
• AI Governance: roles, políticas, flujos de aprobación y control.
• Cumplimiento y evidencias (AI Act, RGPD, trazabilidad y documentación).
• Evaluación de riesgos: sesgos, seguridad, robustez y control humano.
• Formación y adopción por perfiles (dirección, negocio, Legal, Data, IT).

Si quieres, agendamos una sesión y lo aterrizamos a tu contexto.