Bluewaves ← Todas las notas
Ocho de Veintisiete
Bertrand 17 de marzo de 2026

Ocho de Veintisiete

16 min de lectura

Ocho. Es el numero de Estados miembros de la UE que han designado un punto de contacto unico para la aplicacion del Reglamento de IA. De veintisiete. El plazo para hacerlo era el 2 de agosto de 2025. Hace siete meses.

Sin multas. Sin procedimientos de infraccion. Sin declaraciones publicas de preocupacion por parte de la Comision. Diecinueve Estados miembros incumplieron un plazo legalmente vinculante hace siete meses y no paso nada. El reglamento que impondra multas de hasta el 7 % del volumen de negocios mundial a las empresas que no cumplan no ha producido consecuencias para los gobiernos que no construyeron el aparato de aplicacion.

Esto no es una disfuncion. Es la forma en que la regulacion europea se despliega a traves de veintisiete implementaciones soberanas. Y si diriges una empresa que opera a traves de fronteras en la UE, entender este patron es mas importante que entender cualquier articulo individual del Reglamento de IA.

El Plazo Que Nadie Cumplio

El Articulo 70 del Reglamento Europeo de IA exigia que cada Estado miembro designase autoridades nacionales competentes — como minimo, una autoridad de notificacion y una autoridad de vigilancia del mercado — y comunicase esas designaciones a la Comision antes del 2 de agosto de 2025. El mismo articulo exigia que los Estados miembros designasen un punto de contacto unico: una autoridad que sirve como centro de coordinacion para toda la aplicacion del Reglamento de IA en ese pais.

El punto de contacto unico no es una formalidad burocratica. Es la direccion a la que llegan las quejas, donde se coordina la aplicacion transfronteriza, donde el Comite Europeo de IA comunica con las autoridades nacionales. Sin el, la cadena de aplicacion esta rota a nivel nacional. Un reglamento sin autoridad de aplicacion es una sugerencia.

A marzo de 2026, segun el informe del Servicio de Estudios del Parlamento Europeo publicado el 18 de marzo de 2026, ocho Estados miembros han designado su punto de contacto unico. El informe es especifico. El numero es ocho. El denominador es veintisiete. La brecha es diecinueve.

Los Ocho

Los ocho Estados miembros que han designado autoridades de aplicacion comparten un patron. No son los mas ricos. No son los mas grandes. Son los que tomaron una decision institucional temprana y la ejecutaron.

Finlandia se movio primero. El 22 de diciembre de 2025, el Presidente de la Republica aprobo las modificaciones legislativas que otorgaron mandatos del Reglamento de IA a diez autoridades de vigilancia del mercado existentes. Traficom — la Agencia Finlandesa de Transportes y Comunicaciones — se convirtio en el punto de contacto unico. Los poderes de aplicacion se activaron el 1 de enero de 2026. Finlandia no creo una nueva agencia de IA. Activo reguladores existentes con nuevos mandatos. Operaciones ligeras. Sin nueva burocracia. El enfoque finlandes es un modelo de lo que el Articulo 70 pretendia: usar la infraestructura institucional que ya se tiene.

Alemania designo a la Bundesnetzagentur — la Agencia Federal de Redes — como punto de contacto unico. El modelo aleman es complejo por necesidad: un sistema federal con autoridades de vigilancia del mercado sectoriales en dieciseis Lander. La Bundesnetzagentur tambien establecio un centro de coordinacion (KoKIVO) para apoyar a otras autoridades competentes. El sistema es pesado. Pero existe. Esta designado, comunicado y operativo.

Espana fue temprana. La Agencia Espanola de Supervision de la Inteligencia Artificial (AESIA) fue creada por el Real Decreto 729/2023 — antes de que el Reglamento de IA fuera publicado en el Diario Oficial. La AESIA esta operativa desde junio de 2024. El sandbox regulatorio de Espana, gestionado por la AESIA, ha completado dos ciclos y seleccionado doce proyectos de IA para el tercero. Espana construyo la infraestructura de aplicacion antes de que el reglamento lo exigiera.

Dinamarca adopto su ley nacional de implementacion en mayo de 2025 y designo sus autoridades antes del plazo de agosto. El enfoque danes refleja el pragmatismo finlandes: organismos reguladores existentes, nuevos mandatos, infraestructura nueva minima.

Italia designo multiples autoridades de vigilancia del mercado con competencias sectoriales. El modelo italiano distribuye la aplicacion entre los reguladores sectoriales existentes — un patron que refleja la arquitectura regulatoria existente de Italia en lugar de construir infraestructura paralela especifica para IA.

Los tres restantes de los ocho han designado sus puntos de contacto unico a traves de arreglos institucionales variados. El hilo conductor no es el modelo elegido. Es que un modelo fue elegido, legislado y comunicado a la Comision dentro del plazo legal — o cerca de el.

Los Diecinueve

Los diecinueve que no han designado autoridades de aplicacion no son un grupo homogeneo. Algunos tienen propuestas legislativas pendientes. Algunos han identificado autoridades informalmente pero no han completado la designacion legal. Algunos no han empezado.

El informe del Parlamento Europeo distingue tres categorias entre los Estados miembros rezagados: los que tienen legislacion en tramitacion parlamentaria, los que tienen autoridades identificadas pero no formalmente designadas, y los que no muestran progreso visible. La distribucion es aproximadamente uniforme entre las tres categorias.

Las razones del retraso son estructurales, no accidentales. Varios patrones se repiten.

Batallas territoriales institucionales. En varios Estados miembros, el proceso de designacion se estanco porque reguladores existentes — autoridades de proteccion de datos, reguladores de telecomunicaciones, agencias de proteccion del consumidor, supervisores sectoriales — compitieron por el mandato del Reglamento de IA. El ambito del Reglamento de IA cruza todos los dominios regulatorios existentes. Decidir que autoridad “obtiene” la aplicacion del Reglamento de IA es una decision politica disfrazada de administrativa. En paises con fuertes fronteras institucionales, esa decision lleva tiempo. En algunos, no se ha tomado.

Cuellos de botella legislativos. Algunos Estados miembros requieren legislacion primaria para designar nuevas autoridades competentes o ampliar mandatos existentes. Calendarios parlamentarios, negociaciones de coalicion y prioridades legislativas han empujado la implementacion del Reglamento de IA al final de la cola. El reglamento es directamente aplicable — no requiere transposicion nacional — pero la designacion de autoridades de aplicacion si requiere accion legislativa nacional. La distincion importa.

Asignacion de recursos. Designar una autoridad de aplicacion sin financiarla es peor que no designar ninguna. Varios Estados miembros han retrasado la designacion mientras determinaban presupuestos, plantillas y capacidades tecnicas. El Articulo 70(8) exige que los Estados miembros aseguren que las autoridades competentes dispongan de “recursos financieros y humanos adecuados” asi como de experiencia tecnica. Una designacion sin recursos es una designacion sobre el papel — y la Comision ha senalado que evaluara la adecuacion de los recursos, no solo el estado de la designacion.

Desprioridad politica. En algunos Estados miembros, la implementacion del Reglamento de IA simplemente no es una prioridad politica. Politica energetica, migracion, consolidacion fiscal, elecciones — la competencia por la atencion politica es feroz. Un reglamento que no entra en plena aplicacion hasta agosto de 2026 es facil de aplazar cuando el calendario politico esta saturado. El calculo cambia cuando la aplicacion comienza. Para entonces, la brecha de implementacion puede ser estructural.

Lo Que la Brecha Significa para las Empresas

Para una pyme que opera a traves de fronteras en la UE, la brecha de preparacion para la aplicacion crea un conjunto especifico de condiciones que debe entenderse operativamente, no de forma abstracta.

La aplicacion sera desigual. Cuando las disposiciones sobre IA de alto riesgo del Reglamento de IA entren en vigor el 2 de agosto de 2026 — o en diciembre de 2027 si se adopta el Omnibus Digital — las empresas que operan en Finlandia se enfrentaran a una autoridad de aplicacion operativa desde hace meses o anos. Las empresas que operan en un Estado miembro que no ha designado una autoridad se enfrentaran a un vacio regulatorio. El mismo sistema de IA, desplegado de la misma manera, existira en dos realidades de aplicacion diferentes segun el Estado miembro.

Esto no es hipotetico. Es la realidad vivida de cada reglamento europeo. El RGPD entro en vigor el 25 de mayo de 2018. En 2020, la aplicacion variaba en un factor de cincuenta entre las autoridades de proteccion de datos mas activas y las menos activas. La DPC irlandesa proceso quejas de Facebook durante cuatro anos antes de emitir su primera multa significativa. La CNIL francesa multo a Google con 50 millones de euros en siete meses. El reglamento era identico. La aplicacion no.

El Reglamento de IA seguira el mismo patron. El reglamento es uniforme. La aplicacion sera fragmentada. La fragmentacion sigue, aproximadamente, las mismas lineas: las autoridades nordicas y de Europa occidental aplicaran antes y con mas fuerza. Las autoridades del sur y el este de Europa tardaran mas en construir capacidad de aplicacion. El patron no es una sorpresa. Es una caracteristica estructural de como veintisiete sistemas juridicos soberanos implementan un unico marco regulatorio.

El arbitraje regulatorio es una trampa. La tentacion es optimizar para el aplicador mas debil: desplegar tu sistema de IA desde un Estado miembro que no ha designado autoridad, operar en mercados donde la aplicacion es lenta, y tratar la brecha de preparacion como vacaciones de cumplimiento.

Es la conclusion equivocada por tres razones.

Primero, el efecto Bruselas. El Reglamento Europeo de IA se aplica a cualquier sistema de IA puesto en el mercado de la UE o cuyo resultado se utilice en la UE — independientemente de donde este establecido el proveedor. Una empresa que opera desde un Estado miembro sin aplicacion sigue expuesta a la aplicacion de cualquier Estado miembro donde se utilice su sistema. La autoridad de vigilancia del mercado en Finlandia puede investigar un sistema de IA desplegado por una empresa establecida en un Estado miembro sin autoridad de aplicacion si ese sistema afecta a usuarios finlandeses.

Segundo, la aplicacion alcanza. La brecha de aplicacion del RGPD se cerro. No uniformemente, no rapidamente, pero se cerro. Los Estados miembros que tardaron anos en construir capacidad de aplicacion acabaron construyendola. Las multas, cuando llegaron, tuvieron efecto retroactivo: las infracciones ocurridas durante el periodo de baja aplicacion fueron investigadas y sancionadas despues de construir la capacidad. Las vacaciones de cumplimiento tienen fecha de caducidad. Solo que no se sabe cuando.

Tercero, la dimension reputacional. Para una pyme que sirve a clientes empresariales en toda Europa, la pregunta “cumples con el Reglamento de IA?” vendra de los clientes antes que de los reguladores. Un fabricante aleman que evalua proveedores de IA evaluara la postura de cumplimiento como criterio de adquisicion. La brecha de aplicacion en el Estado miembro de origen del proveedor es irrelevante para el proceso de diligencia debida del cliente. Al cliente le importa el reglamento, no la geografia de la aplicacion.

La Complicacion del Omnibus Digital

La brecha de preparacion para la aplicacion ha creado presion politica para retrasar el plazo de cumplimiento. El 19 de noviembre de 2025, la Comision Europea publico el Omnibus Digital — una propuesta legislativa que, entre otras cosas, aplazaria la fecha de aplicacion de los requisitos para sistemas de IA de alto riesgo.

La propuesta ha avanzado rapido. El 13 de marzo de 2026, el Consejo adopto su posicion: fechas de aplicacion fijas del 2 de diciembre de 2027 para sistemas de IA autonomos de alto riesgo y del 2 de agosto de 2028 para sistemas de IA de alto riesgo integrados en productos. El 18 de marzo de 2026, las comisiones IMCO y LIBE del Parlamento Europeo adoptaron su informe conjunto — 101 votos a favor, 9 en contra, 8 abstenciones — proponiendo la misma fecha de diciembre de 2027 para sistemas de alto riesgo del Anexo III y agosto de 2028 para sistemas del Anexo I.

Las posiciones del Parlamento y del Consejo estan alineadas en la cuestion central: aplazamiento. Seguiran las negociaciones en trilogo. Si se adopta el Omnibus Digital, el plazo del 2 de agosto de 2026 para las disposiciones sobre alto riesgo se traslada a diciembre de 2027.

Pero — y este es el punto critico que la mayoria de los comentarios pasa por alto — el Omnibus Digital no ha sido adoptado. A fecha de hoy, 17 de marzo de 2026, el 2 de agosto de 2026 sigue siendo el plazo legal. Las disposiciones sobre practicas prohibidas estan en vigor desde el 2 de febrero de 2025. La obligacion de alfabetizacion en IA del Articulo 4 esta en vigor desde el 2 de febrero de 2025. Las disposiciones sobre modelos GPAI estan en vigor desde el 2 de agosto de 2025. Y el requisito de designar autoridades nacionales competentes — el mismo requisito que solo ocho Estados miembros han cumplido — esta en vigor desde el 2 de agosto de 2025.

Planificar para el aplazamiento es racional. Depender del aplazamiento es temerario. El Omnibus Digital debe pasar el trilogo, publicarse en el Diario Oficial y entrar en vigor. Hasta que eso ocurra, el 2 de agosto de 2026 es la ley. Una empresa que aplaza la preparacion del cumplimiento porque el aplazamiento “probablemente” se adoptara esta haciendo una apuesta. Las probabilidades pueden favorecer el aplazamiento. Pero la desventaja de equivocarse es operativa: la carrera para cumplir un plazo que todos asumieron que se moveria pero no se movio.

La Brecha de los Sandboxes

El Articulo 57 del Reglamento de IA exigia que cada Estado miembro estableciese al menos un sandbox regulatorio de IA, operativo antes del 2 de agosto de 2026. El requisito del sandbox sigue la brecha de las autoridades de aplicacion: los paises que designaron autoridades temprano son los mismos paises con sandboxes operativos o casi operativos. Los paises sin autoridades de aplicacion generalmente tampoco tienen sandboxes.

El sandbox de Espana funciona desde 2022. La infraestructura de apoyo regulatorio de Finlandia esta operativa. La Bundesnetzagentur de Alemania lanzo su AI Service Desk. Los Paises Bajos tienen una propuesta de sandbox en coordinacion entre la Autoridad para los Consumidores y los Mercados y la Autoridad Neerlandesa de Proteccion de Datos.

Para el resto, el plazo del sandbox es el 2 de agosto de 2026 — el mismo dia en que las disposiciones que debian ayudar a las empresas a prepararse entran en vigor. Un sandbox que abre el dia de la aplicacion es un sandbox que llega demasiado tarde para cumplir su proposito. El sandbox regulatorio fue disenado como un mecanismo pre-aplicacion: un espacio donde las empresas desarrollan sistemas de IA bajo supervision regulatoria antes de que se apliquen los requisitos de pleno cumplimiento. Abrir el sandbox el dia de la aplicacion es como construir el campo de entrenamiento el dia del partido.

La brecha de los sandboxes agrava la brecha de aplicacion. Los Estados miembros sin autoridades de aplicacion tampoco cuentan con la infraestructura institucional para operar sandboxes. La autoridad competente que gestiona el sandbox es la misma autoridad competente que aplica el reglamento. Si la autoridad no existe, el sandbox tampoco.

Para una pyme en un Estado miembro sin autoridad de aplicacion y sin sandbox, la realidad practica es: te estas preparando para un reglamento sin ningun apoyo institucional de tu gobierno nacional. Sin orientacion de una autoridad nacional competente. Sin sandbox para probar tu arquitectura de cumplimiento. Sin punto de contacto unico para responder preguntas. Estas solo con el texto del reglamento y los servicios de asesoria comercial que puedas pagar.

Esto no es aceptable. Pero es el estado real de las cosas. El articulo no cambia porque la implementacion llegue tarde. El requisito de cumplimiento no se suaviza porque el gobierno no cumplio su propio plazo.

Lo Que una Empresa Debe Hacer

La brecha de preparacion para la aplicacion no cambia el requisito de cumplimiento. Cambia la estrategia de cumplimiento.

Construir para el aplicador mas estricto. Si operas en mercados europeos, tu arquitectura de cumplimiento debe cumplir el estandar de la autoridad de aplicacion mas capaz y activa. Hoy, eso significa Finlandia, Espana y Alemania. Un sistema conforme en Finlandia es conforme en todas partes. Un sistema conforme solo en un Estado miembro sin autoridad de aplicacion es un sistema que fallara en su primer encuentro regulatorio transfronterizo.

No esperar a la autoridad nacional. Si tu Estado miembro no ha designado una autoridad de aplicacion, no esperes. El reglamento se aplica igualmente. Los requisitos tecnicos — gestion de riesgos del Articulo 9, gobernanza de datos del Articulo 10, documentacion tecnica del Articulo 11, registro del Articulo 12, supervision humana del Articulo 14 — estan definidos en el propio reglamento. No dependen de orientacion nacional. La orientacion nacional ayuda. No es un prerrequisito.

Usar sandboxes disponibles a traves de fronteras. El Articulo 57 permite a los Estados miembros establecer sandboxes conjuntamente. Varios programas de sandbox aceptan solicitudes de empresas establecidas en otros Estados miembros. El sandbox de la AESIA espanola, en particular, ha procesado solicitudes de empresas de la UE no espanolas. Si tu Estado miembro no ofrece un sandbox, solicita a uno que si lo haga. La documentacion de cumplimiento producida en un sandbox espanol tiene valor ante un regulador aleman.

Monitorizar el Omnibus Digital. El proceso de trilogo determinara si el 2 de agosto de 2026 o el 2 de diciembre de 2027 es la fecha operativa para las disposiciones sobre alto riesgo. Sigue el progreso legislativo. Preparate para agosto. Ajusta si se confirma diciembre. No asumas.

Documentar el esfuerzo de cumplimiento ahora. Independientemente de la fecha de aplicacion, el acto de prepararse — realizar evaluaciones de riesgos, documentar la gobernanza de datos, construir documentacion tecnica — tiene valor aunque el plazo se mueva. La documentacion en si misma es un activo. Demuestra esfuerzo de cumplimiento de buena fe. En un panorama de aplicacion donde los reguladores tienen recursos limitados y deben priorizar investigaciones, una empresa con arquitectura de cumplimiento documentada es una prioridad de aplicacion mas baja que una empresa sin nada.

El Patron

El Reglamento Europeo de IA seguira el mismo arco de implementacion que todos los grandes reglamentos europeos antes que el. El reglamento se publica. El plazo pasa. Algunos Estados miembros estan listos. La mayoria no. La aplicacion comienza de forma desigual. La brecha se cierra en dos a cinco anos. Las empresas que se prepararon para el reglamento tal como fue escrito — no para el reglamento tal como fue aplicado — estan en cumplimiento cuando llega la aplicacion. Las empresas que optimizaron para la brecha quedan expuestas cuando se cierra.

El RGPD siguio este arco. La Directiva de Servicios de Pago siguio este arco. El Reglamento de Productos Sanitarios siguio este arco. Cada vez, el patron sorprendio a empresas que asumieron que la brecha de implementacion era una caracteristica permanente y no temporal.

Ocho de veintisiete. El numero es una fotografia de un sistema regulatorio en medio de su despliegue. El sistema no esta roto. Es lento, desigual y predecible. El reglamento sera aplicado. La unica pregunta es cuando — y si tu empresa estara lista antes de que el regulador lo este.

La cuenta atras no se detuvo porque diecinueve gobiernos llegaron tarde. Nunca lo hace.

Escrito por
Bertrand
Tecnólogo Creativo

Emprendedor en serie con doctorado en IA y veinticinco años construyendo sistemas por toda Europa. Crea código como surfea: leyendo patrones, encontrando el flujo, haciendo que lo difícil parezca sencillo.

← Todas las notas