En 2018, cuando comenzó la aplicación del RGPD, las encuestas mostraban que el 71 % de las empresas no estaban preparadas para el cumplimiento (ISACA). Algunos estudios situaron la cifra aún más alta — Consultancy.eu encontró que el 90 % de las empresas europeas no estaban listas.
Las consecuencias de esa falta de preparación han sido graves. Las multas del RGPD ya superan los 7.100 millones de euros en más de 2.800 acciones de aplicación, con más del 60 % de esas multas emitidas desde enero de 2023 — años después de que la regulación entrara en vigor. La mayor multa única alcanzó los 1.200 millones de euros (Meta, 2023).
El AI Act está estructurado para seguir el mismo patrón de aplicación. Las empresas que asumen que pueden esperar y resolverlo después están cometiendo el mismo error que costó a miles de organizaciones miles de millones bajo el RGPD.
Incluso los Estados miembros de la UE están atrasados
La brecha de readiness se extiende más allá del sector privado. A marzo de 2026, solo 8 de los 27 Estados miembros de la UE han designado formalmente puntos de contacto nacionales de aplicación — un requisito que vencía el 2 de agosto de 2025, hace siete meses.
Finlandia se erige sola como el primer Estado miembro con plenas competencias de aplicación del AI Act (alcanzadas en diciembre de 2025). Mientras tanto, los organismos europeos de normalización CEN y CENELEC no cumplieron su plazo de 2025 para producir normas técnicas armonizadas, empujando el nuevo objetivo a finales de 2026.
Cuando los propios reguladores van retrasados, se señala tanto la complejidad del cumplimiento como la probabilidad de que la aplicación se intensifique agresivamente una vez que la infraestructura esté en su lugar — tal como sucedió con el RGPD.
Qué exige realmente el AI Act
El reglamento clasifica los sistemas de IA en cuatro niveles de riesgo:
IA prohibida (ya aplicada desde el 2 de febrero de 2025): puntuación social, vigilancia biométrica en tiempo real en espacios públicos (con excepciones limitadas), técnicas de manipulación subliminal y explotación de grupos vulnerables.
IA de alto riesgo (aplicación comienza el 2 de agosto de 2026): sistemas de IA usados en decisiones de empleo, scoring crediticio, educación, diagnóstico sanitario, aplicación de la ley, migración e infraestructura crítica. Requieren evaluaciones de conformidad completas, sistemas de gestión de riesgos, supervisión humana y documentación técnica.
IA de riesgo limitado: chatbots, sistemas de generación de contenido y herramientas de deepfake. Conllevan obligaciones de transparencia — los usuarios deben ser informados de que interactúan con IA.
IA de riesgo mínimo: todo lo demás. Sin obligaciones específicas, aunque se fomentan códigos de conducta voluntarios.
La Comisión Europea estima que entre el 10 % y el 18 % de todos los sistemas de IA en la UE se clasificarán como de alto riesgo, lo que representa una parte significativa de las aplicaciones críticas para el negocio.
El coste del cumplimiento — y del incumplimiento
La investigación independiente del CEPS (Centre for European Policy Studies) sitúa los costes de cumplimiento para un único sistema de IA de alto riesgo en:
- Cumplimiento inicial: 200.000 € – 500.000 €
- Configuración del sistema de gestión de calidad: 193.000 € – 330.000 €
- Evaluación de conformidad: 30.000 € – 150.000 €
- Monitorización post-comercialización anual: 40.000 € – 80.000 €
Para las pymes, estudios independientes estiman costes iniciales de cumplimiento de hasta 600.000 € incluyendo certificación y personal, con costes anuales recurrentes que alcanzan los 150.000 €. Esto representa una potencial erosión de beneficios del 30-40 % para empresas más pequeñas.
El coste total de cumplimiento en todo el mercado se estima entre 1.600 millones y 3.300 millones de euros.
Comparen esas cifras con las sanciones por incumplimiento:
- Prácticas prohibidas: hasta 35 M€ o el 7 % del volumen de negocio global anual
- Violaciones de sistemas de alto riesgo: hasta 15 M€ o el 3 % del volumen global
- Información falsa: hasta 7,5 M€ o el 1 % del volumen global
Cinco brechas que vemos con más frecuencia
Basándonos en nuestro trabajo con empresas de la UE evaluando su readiness al AI Act, estas son las brechas más comunes:
1. Sin inventario de sistemas de IA. La mayoría de las empresas no puede ni siquiera listar todos los sistemas de IA que usa, mucho menos clasificar su nivel de riesgo. La shadow AI — herramientas adoptadas por equipos individuales sin supervisión central — agrava esto.
2. Documentación de gestión de riesgos ausente. El artículo 9 requiere un sistema documentado de gestión de riesgos que se ejecute durante todo el ciclo de vida del sistema de IA. La mayoría de las empresas no tienen nada parecido.
3. Sin marco de gobernanza de datos. El artículo 10 exige requisitos específicos para los conjuntos de datos de entrenamiento, validación y prueba. Las empresas que usan modelos de terceros suelen no tener visibilidad de los datos de entrenamiento.
4. Los planes de supervisión humana no existen. El artículo 14 requiere que los sistemas de IA de alto riesgo se diseñen para permitir una supervisión humana efectiva. Muchos sistemas de toma de decisiones automatizada se construyeron específicamente para minimizar la participación humana.
5. Sin procedimientos de notificación de incidentes. Las empresas están obligadas a notificar incidentes graves a las autoridades. La mayoría no tiene un proceso para detectar, documentar o notificar incidentes relacionados con IA.
La demora propuesta no es razón para esperar
En marzo de 2026, el Parlamento Europeo votó para extender potencialmente los plazos de los sistemas de IA de alto riesgo hasta 16 meses como parte del paquete Digital Omnibus. Si se finaliza, los sistemas de alto riesgo independientes tendrían hasta diciembre de 2027.
Esto no debería cambiar su calendario. La propuesta de demora aún se negocia y podría no aprobarse. Incluso si lo hace, los requisitos de cumplimiento permanecen idénticos — solo cambia la fecha de aplicación. Las empresas que usen una potencial demora como excusa para posponer se encontrarán en la misma carrera que caracterizó la readiness al RGPD en 2018.
Más importante aún: la obligación de alfabetización en IA (artículo 4) y la prohibición de prácticas prohibidas ya están en vigor desde febrero de 2025. Las empresas ya están sujetas a aplicación en estas disposiciones.
Qué hacer en los próximos 90 días
Paso 1: Inventaríe sus sistemas de IA. Documente cada herramienta de IA que su organización utilice, quién la usa, qué decisiones influencia y qué datos procesa. Incluya servicios de IA de terceros.
Paso 2: Clasifique los niveles de riesgo. Mapee cada sistema contra las categorías de riesgo del AI Act. Preste especial atención a la IA usada en RR. HH., finanzas, sanidad y decisiones de cara al cliente. Use nuestro comprobador gratuito de readiness AI Act para una evaluación inicial.
Paso 3: Evaluación de brechas. Para cualquier sistema de alto riesgo, evalúe su estado actual contra los artículos 9-15 (gestión de riesgos, gobernanza de datos, documentación técnica, registro, transparencia, supervisión humana, precisión/robustez).
Paso 4: Asigne responsabilidad. Designe una persona o equipo responsable del cumplimiento del AI Act. Esto no es un problema de TI — requiere coordinación legal, de cumplimiento y de unidad de negocio.
Paso 5: Comience la documentación. Empiece a construir la documentación técnica requerida por el artículo 11. Es el requisito que más tiempo consume y no puede hacerse en unas pocas semanas.
Preguntas frecuentes
P: ¿Cuál es el plazo de aplicación del AI Act de la UE para sistemas de IA de alto riesgo?
R: El plazo principal de aplicación para los sistemas de IA de alto riesgo bajo el art. 6 y el anexo III es el 2 de agosto de 2026. Cualquier organización que ponga un sistema de IA de alto riesgo en el mercado de la UE debe haber completado la evaluación de conformidad, documentación técnica, sistemas de gestión de riesgos y registro en la base de datos de la UE antes de esa fecha. La prohibición de prácticas de IA prohibidas (art. 5) está vigente desde el 2 de febrero de 2025, y la obligación de alfabetización en IA (art. 4) desde la misma fecha. Una demora propuesta bajo el paquete Digital Omnibus podría extender el plazo de alto riesgo a diciembre de 2027, pero aún no está finalizada y no debería cambiar los plazos de preparación.
P: ¿Qué porcentaje de empresas están actualmente preparadas para el AI Act de la UE?
R: Solo el 36 % de las organizaciones declara estar bien preparada según la encuesta de Deloitte 2024 a más de 700 altos directivos europeos. Apenas el 18 % se considera altamente preparado en riesgo y gobernanza de IA. Esto significa que aproximadamente dos de cada tres empresas de la UE se dirigen al plazo de agosto de 2026 sin preparación adecuada — reflejando la brecha de readiness del RGPD en 2018, que resultó en más de 7.100 millones de euros en multas en más de 2.800 acciones de aplicación en los años posteriores.
P: ¿Cuánto cuesta el cumplimiento del AI Act de la UE para un único sistema de IA de alto riesgo?
R: CEPS estima costes iniciales de cumplimiento de 200.000-500.000 € por sistema de IA de alto riesgo, con la configuración del sistema de gestión de calidad costando 193.000-330.000 € y la evaluación de conformidad 30.000-150.000 €. La monitorización post-comercialización anual añade 40.000-80.000 € por sistema. Para pymes, los costes totales del primer año pueden alcanzar los 600.000 €. Plataformas de automatización de cumplimiento como Matproof pueden reducir significativamente estos costes al agilizar la documentación, los flujos de trabajo de gestión de riesgos y la recopilación de evidencias.
P: ¿Cuáles son las brechas más comunes de cumplimiento del AI Act?
R: Las cinco brechas más comunes son: (1) sin inventario de sistemas de IA — las organizaciones no pueden identificar todas las herramientas de IA en uso, especialmente shadow AI; (2) documentación de gestión de riesgos del art. 9 ausente; (3) sin marco de gobernanza de datos del art. 10 para conjuntos de entrenamiento; (4) planes de supervisión humana que no cumplen los requisitos del art. 14; (5) sin procedimientos de notificación de incidentes para el cumplimiento del art. 73. La brecha del inventario es fundamental — sin saber qué sistemas de IA opera, es imposible iniciar el proceso de clasificación y cumplimiento.
P: ¿La demora propuesta del Digital Omnibus afecta al calendario de cumplimiento del AI Act?
R: El Parlamento Europeo votó en marzo de 2026 para extender potencialmente los plazos de los sistemas de IA de alto riesgo hasta 16 meses, lo que empujaría el cumplimiento de los sistemas de alto riesgo independientes a diciembre de 2027. Sin embargo, esta propuesta aún se negocia y podría no aprobarse en su forma actual. Más importante aún, los requisitos de cumplimiento en sí no cambian — solo cambiaría la fecha de aplicación. Las organizaciones que usen la potencial demora como justificación para posponer la preparación arriesgan enfrentar la misma carrera que definió la readiness al RGPD en 2018, cuando el 90 % de las empresas no estaban preparadas al comenzar la aplicación.
Metodología
Este informe se basa en datos públicamente disponibles de la European AI Survey de Deloitte 2024 (700+ encuestados), fuentes institucionales de la UE (Parlamento Europeo, Comisión Europea, AI Act Service Desk), análisis de costes del CEPS, CMS GDPR Enforcement Tracker y encuestas de readiness de cumplimiento de ISACA. Las evaluaciones propias de readiness al AI Act de Matproof aportaron información cualitativa adicional sobre brechas comunes de cumplimiento.
Matproof automatiza la gestión de cumplimiento en el AI Act de la UE, DORA, NIS2, RGPD, ISO 27001 y otros 6 marcos. Compruebe su readiness AI Act gratis o explore la plataforma.