Europa quiso ser la primera del mundo en poner reglas a la inteligencia artificial, y lo consiguió. Su Ley de IA, aprobada en 2024, es el primer marco legal completo del planeta sobre esta tecnología, y nació con una idea sencilla: cuanto más peligroso es el uso que se le da a una IA, más estrictas son las normas que debe cumplir.
Pero gobernar algo que avanza tan rápido es difícil. Dos años después, la propia UE acaba de dar marcha atrás en parte de su calendario, presionada por las grandes tecnológicas y por la realidad de que el mercado no llegaba a tiempo. Aquí está lo que ya está prohibido, lo que llega este año y lo que se ha aplazado.
Lo que ya está prohibido
La ley parte de una pirámide de riesgo: la mayoría de las IA —un filtro de spam, un videojuego— no tienen apenas normas, pero en lo más alto hay usos considerados una amenaza directa para los derechos de las personas, y esos están directamente vetados. Esas prohibiciones ya están en vigor desde febrero de 2025.
Son ocho prácticas, y leerlas da una idea clara de qué quería frenar Europa. Queda prohibido el "puntaje social" al estilo del que se asocia a China, calificar a los ciudadanos según su comportamiento. También la IA que manipula a las personas o explota las vulnerabilidades de un colectivo, el reconocimiento de emociones en el trabajo o en las aulas, y la categorización biométrica para deducir datos sensibles como la etnia o la orientación.
Y hay dos especialmente sonadas: la prohibición de rastrear internet o las cámaras de seguridad de forma masiva para crear bases de datos de caras, y la de usar identificación biométrica en tiempo real en espacios públicos para vigilancia policial, salvo excepciones muy concretas. En resumen, la UE ha trazado una línea roja en torno a la vigilancia y la manipulación.
Ahora te avisarán: chatbots y deepfakes
El siguiente gran bloque es la transparencia, y es el que más te afecta como usuario corriente. La idea de fondo es que tengas derecho a saber cuándo estás tratando con una máquina o viendo algo fabricado por una IA, en lugar de que te la cuelen como real.
En la práctica son dos cosas. A partir de agosto de 2026, cuando hables con un chatbot la empresa estará obligada a dejarte claro que no es una persona. Y desde diciembre de 2026, los contenidos generados por IA tendrán que ir identificados: los deepfakes y los textos de actualidad publicados con IA deberán etiquetarse de forma visible.
Lo que la UE acaba de retrasar
Aquí está el giro de actualidad. La parte más dura de la ley —la que regula los sistemas de "alto riesgo", como la IA que filtra currículums, decide un préstamo, puntúa un examen o se usa en fronteras y justicia— iba a entrar en agosto de 2026. Pero a finales de 2025 estaba claro que la aplicación iba con retraso, y en mayo de 2026 la UE aprobó un paquete de simplificación, el "Digital Omnibus", que mueve esas obligaciones nada menos que a finales de 2027.
El motivo oficial es dar tiempo a empresas e instituciones a adaptarse y reducir cargas burocráticas. El de fondo, según buena parte de los análisis, es la presión de las grandes tecnológicas, que llevaban meses pidiendo aire. De hecho, el mismo paquete plantea facilitar que compañías como Google, Meta u OpenAI usen datos personales de europeos para entrenar sus modelos, un cambio que ha levantado ampollas entre los defensores de la privacidad.
Una ley con dos caras
Queda así una norma desigual: firme en lo que prohíbe y en exigirte transparencia, pero más blanda y más lenta justo en su parte más ambiciosa, la que de verdad iba a poner orden en cómo la IA decide sobre tu trabajo, tu dinero o tu acceso a servicios.
Europa sigue siendo la que marca el camino regulando la inteligencia artificial, y eso ya influye en cómo se diseñan estos sistemas en todo el mundo. Pero el pulso entre proteger al ciudadano y no ahogar a la industria está lejos de resolverse, y este frenazo es la mejor prueba de lo difícil que es ponerle reglas a algo que corre más rápido que las leyes.
