Bruselas llega a un acuerdo para reducir la Ley de IA y prohibir las aplicaciones de nudificación.

      Después de dos trilogos fallidos, el Parlamento y el Consejo finalmente lograron un compromiso que pospone la fecha límite de cumplimiento para los sistemas de alto riesgo hasta diciembre de 2027, aligera la burocracia para las pequeñas empresas y escribe una prohibición largamente prometida sobre imágenes íntimas no consensuadas en la ley de IA insignia de Europa.

      La Comisión Europea confirmó el miércoles que los negociadores del Parlamento y del Consejo finalmente habían alcanzado un acuerdo político sobre el llamado AI Omnibus, el paquete de enmiendas diseñado para suavizar la aplicación de la ley de Inteligencia Artificial del bloque y añadir una prohibición sobre imágenes íntimas no consensuadas generadas por IA.

      Se necesitaron tres rondas para llegar allí. La sesión fallida del 28 de abril colapsó después de aproximadamente doce horas de regateo sobre cómo se deberían evaluar los productos regulados que incorporan IA para su conformidad. Una sesión del miércoles, programada con poco tiempo de antelación antes de una fecha de respaldo del 13 de mayo, cerró la brecha.

      La vicepresidenta ejecutiva para la soberanía tecnológica, Henna Virkkunen, quien impulsó la iniciativa de simplificación a través del Colegio de Comisionados el noviembre pasado, dijo que el acuerdo permitiría a las empresas “enfocarse en construir, no en la burocracia”, enmarcándolo como una prueba de que Europa puede mantener su enfoque basado en reglas mientras las hace viables para la industria.

      Las fechas límite se mueven, la burocracia se aligera

      El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Suscríbete ahora! El cambio principal es la cronología. Las obligaciones sobre los sistemas de IA de alto riesgo independientes enumerados en el Anexo III, que cubren biometría, educación, empleo, servicios esenciales, aplicación de la ley, justicia y gestión de fronteras, ahora se aplicarán a partir del 2 de diciembre de 2027 en lugar del 2 de agosto de 2026. Las reglas para la IA incorporada en productos regulados bajo el Anexo I entran en vigor el 2 de agosto de 2028.

      Para las empresas que están trabajando en programas de cumplimiento parcialmente construidos, eso compra aproximadamente dieciséis meses adicionales. Bruselas insiste en que el aplazamiento es una función del trabajo de estándares no terminado, no un retroceso: los estándares armonizados de CEN-CENELEC y una biblioteca más completa de documentos de orientación son la condición previa para activar las obligaciones.

      Las pequeñas empresas obtienen un alivio más concreto. El acuerdo extiende un conjunto de simplificaciones ya disponibles para las pymes a las pequeñas empresas de mediana capitalización, incluyendo documentación técnica estandarizada, tarifas más bajas y un acceso más fácil a “sandbox” regulatorios. La intención, repetida a través del comunicado de prensa de la Comisión, es escalar las obligaciones según el tamaño organizacional en lugar de aplicar un único modelo de cumplimiento a cada proveedor en la cadena de valor.

      Una prohibición sobre la nudificación, escrita en la ley

      El elemento más cargado políticamente es la nueva prohibición sobre los sistemas de IA que generan material de abuso sexual infantil o que producen imágenes íntimas no consensuadas de personas identificables. Los legisladores habían estado presionando por ello desde la controvertida situación de nudificación de Grok a finales de 2025, y el Parlamento lo convirtió en una línea roja para el trilogo.

      El texto ahora prohíbe la comercialización y el uso de herramientas de IA cuyo propósito principal sea desnudar a personas en imágenes o representar a individuos identificables en escenarios sexualmente explícitos sin consentimiento. Las empresas tienen hasta el 2 de diciembre de 2026 para alinear los productos existentes.

      La prohibición no se aplica donde los desarrolladores hayan implementado medidas de seguridad efectivas para prevenir la generación y el uso indebido, una excepción negociada para proteger los modelos de propósito general que ya filtran tales resultados.

      TNW informó sobre el acuerdo político sobre deepfakes íntimos cuando el Parlamento lo incluyó en su mandato a finales de marzo; el texto del trilogo sigue en gran medida esa posición, aunque la aplicación ahora recae claramente en las autoridades nacionales de vigilancia del mercado y la Oficina de IA en lugar de en los reguladores sectoriales.

      Los críticos señalarán que el paquete deja intacta la arquitectura central de la Ley de IA. La pirámide basada en riesgos se mantiene. Las reglas para modelos de fundación, en vigor desde agosto de 2025, no se tocan. El Código de Práctica para proveedores de IA de propósito general sigue aplicándose de manera voluntaria. Las obligaciones de marca de agua sobre contenido generado por IA se retrasan de febrero a diciembre de 2026, pero siguen siendo obligatorias.

      Los grupos de la sociedad civil, más de cuarenta de los cuales firmaron una carta en contra del Omnibus en abril, han argumentado que la narrativa de simplificación oscurece recortes reales en la protección de derechos fundamentales, particularmente en torno a la identificación biométrica y la IA en las escuelas. Sus preocupaciones sobreviven al acuerdo: el trilogo no reabrió las obligaciones sustantivas, solo su cronología y burocracia.

      La industria, por el contrario, ha leído el paquete como parte de un impulso más amplio por la competitividad que incluye la simplificación del GDPR y la revisión de la Ley de Datos. El acuerdo lo confirma: cada concesión en el AI Omnibus es procedimental en lugar de sustantiva.

      El acuerdo político aún necesita la aprobación formal del pleno del Parlamento y de los ministros en el Consejo, que se espera antes del receso de verano. Sin eso, se aplica la fecha límite original del 2 de agosto de 2026 para los sistemas de alto riesgo, un escenario que la Comisión ha pasado seis meses tratando de evitar.

      Las autoridades nacionales, mientras tanto, tienen un trabajo paralelo: los formularios de documentación simplificada, las plantillas de sandbox y la orientación de SMC deben estar en su lugar mucho antes de las nuevas fechas límite, o el alivio en papel no se traducirá en alivio en la práctica.