La Comisión Europea abre consulta sobre IA de alto riesgo en medio de una brecha del 78% en cumplimiento
Directrices publicadas el 19 de mayo buscan desbloquear empresas paralizadas por la incertidumbre de clasificación. Mercado estimado en hasta €38 mil millones en cumplimiento hasta 2030, con un costo de hasta US$ 15 millones inicial para grandes corporaciones.
La Comisión Europea abrió ayer (19) una consulta pública sobre las directrices de clasificación de sistemas de inteligencia artificial de alto riesgo previstos en el AI Act. El documento, con una estructura dividida entre principios generales y dos secciones dedicadas a categorías específicas, busca dar previsibilidad a empresas que aún tienen dudas sobre cuáles de sus productos caen en el alcance restringido del reglamento. Los comentarios serán recibidos durante los próximos 35 días, con plazo final el 23 de junio, y la versión definitiva incorporará las contribuciones antes de la publicación final.
El tiempo es importante por el escenario de adopción. Un estudio publicado en abril muestra que el 78% de las organizaciones aún no han tomado medidas concretas hacia el cumplimiento con el AI Act, y los costos esperados explican parte de la parálisis. Las grandes empresas con ingresos superiores a €1 mil millones deben desembolsar entre US$ 8 millones y US$ 15 millones en inversión inicial para el cumplimiento de sistemas de alto riesgo. Las empresas de tamaño medio enfrentan proyecciones de US$ 2 a US$ 5 millones iniciales, con costos anuales de mantenimiento de US$ 500 mil a US$ 2 millones. Las pequeñas y medianas empresas pueden estar entre US$ 500 mil y US$ 2 millones en costos iniciales, con evaluaciones de cumplimiento por sistema que varían de €5 mil a €50 mil cada una. Una estimación publicada por Arturs Prieditis en Medium proyecta el mercado total de cumplimiento de IA de alto riesgo en Europa entre €17 mil millones y €38 mil millones hasta 2030.
Bajo el AI Act, los sistemas son clasificados como de alto riesgo cuando amenazan la salud, la seguridad o los derechos fundamentales. La formulación genérica ha sido fuente de divergencia interpretativa en los consejos jurídicos de empresas multinacionales, especialmente en los casos de IA aplicada a la contratación, concesión de crédito, educación, infraestructura crítica y justicia. La Comisión añade ejemplos prácticos para reducir la ambigüedad a la hora de la clasificación, aunque el documento no define criterios numéricos para los factores de riesgo. Las multas por no cumplimiento pueden llegar a €35 millones o 7% de la facturación global, lo que convierte la clasificación tardía o incorrecta en un riesgo financiero material.
Proveedores, implantadores y la carga de la auto-evaluación
La consulta está abierta a una lista amplia de encuestados: proveedores e implantadores de sistemas de IA, empresas, autoridades públicas, academia, institutos de investigación y ciudadanos. El enfoque en el término implantador es deliberado. A diferencia de regulaciones anteriores que ponían la carga principal sobre el fabricante, el AI Act distribuye obligaciones a lo largo de la cadena, y empresas que solo implementan un sistema de IA de terceros, como un banco que adopta una solución de scoring de crédito de un proveedor, pueden encontrarse en la categoría de alto riesgo incluso sin haber desarrollado el modelo. La consecuencia práctica es que el departamento de cumplimiento de una institución financiera puede verse obligado a documentar una evaluación de impacto sobre los derechos fundamentales para un modelo cuya documentación técnica está bajo un NDA con el proveedor.
El escenario regulatorio inmediato añade una capa. El 7 de mayo, el Consejo y el Parlamento Europeo cerraron un acuerdo político sobre enmiendas al AI Act que prorrogan plazos de cumplimiento para sistemas de alto riesgo, en un movimiento ampliamente leído como un concesión a la industria. Las directrices ahora abiertas para consulta operan como un puente entre esta flexibilización y la aplicación práctica: al detallar cómo clasificar, la Comisión reduce el riesgo de clasificación tardía o equivocada por empresas que esperaban claridad para iniciar procesos internos de cumplimiento.
Inventario antes de la versión final
La presentación se realiza a través de la AI Act Single Information Platform. Para CIOs y DPOs con operaciones en la Unión Europea, el ciclo de 35 días debe ser utilizado tanto para el envío formal de comentarios como para la revisión interna del inventario de sistemas de IA en producción. La cuestión estratégica es dónde asignar presupuesto. El cumplimiento reactivo, en el que la empresa solo actúa tras la notificación de la autoridad, es un camino desaconsejado por la escala de multas potenciales. El cumplimiento proactivo requiere un equipo multidisciplinario con superposición entre legal, datos y seguridad, perfil escaso en el mercado laboral europeo. En lugar de esperar la versión final de las directrices en julio, la lectura técnica recomienda comenzar ahora con el inventario, aislando los casos de uso de scoring, filtrado y toma de decisiones automatizada que aparecen repetidamente en los ejemplos del documento en consulta.