Si hoy despliega un agente de IA autónomo en un equipo regulado, las normas que ya le obligan son más estrechas y específicas de lo que sugieren los titulares. A fecha de junio de 2026, los elementos exigibles son las prohibiciones de la Ley de IA de la UE (en vigor desde febrero de 2025), sus obligaciones sobre IA de propósito general y transparencia (en vigor desde agosto de 2025), y un puñado de leyes estatales de EE. UU. (Texas y varias leyes de California entraron en vigor el 1 de enero de 2026). Las grandes obligaciones de alto riesgo, las que más preocupan a la mayoría de los flujos de trabajo con agentes, se han aplazado, y el panorama estadounidense se mueve bajo un esfuerzo federal por anular las normas estatales. Esta entrada le ofrece el mapa fechado, con fuentes primarias, para que pueda distinguir lo que es ley ahora de lo que está por llegar.
Esto es información general, no asesoramiento jurídico. Las fechas y los textos cambian; confirme las obligaciones vigentes con un asesor legal para su jurisdicción y caso de uso.
¿Qué es exigible bajo la Ley de IA de la UE en este momento?
La Ley de IA de la UE (Reglamento 2024/1689) se aplica por fases. Dos fases ya están en vigor.
Las prohibiciones (Artículo 5) se aplican desde el 2 de febrero de 2025. Estas vetan por completo un conjunto definido de prácticas. Las que con más probabilidad afectan a quien construye agentes son la puntuación social, ciertas técnicas manipuladoras o engañosas, el rastreo no dirigido para construir bases de datos de reconocimiento facial e, importante para el ámbito laboral, el reconocimiento de emociones (que se trata más adelante). El deber de alfabetización en IA del Artículo 4 también comenzó en esta fecha. Las fechas oficiales de las fases las publica la Comisión Europea en la línea temporal de implementación de la Ley de IA.
Las normas sobre IA de propósito general (GPAI) y las disposiciones de gobernanza y sanciones se aplican desde el 2 de agosto de 2025. GPAI se refiere a un modelo entrenado de forma lo bastante amplia como para realizar muchas tareas, la capa de modelo fundacional que subyace a la mayoría de los agentes. Los proveedores de estos modelos asumen ahora deberes de documentación y transparencia. La estructura de gobernanza de la Ley (la Oficina de IA, las autoridades nacionales) y sus artículos sancionadores también pasaron a ser operativos en esta fecha. Los modelos que ya estaban en el mercado antes del 2 de agosto de 2025 tienen hasta el 2 de agosto de 2027 para alcanzar el cumplimiento.
¿Qué se aplazó, y hasta cuándo?
El cambio más relevante desde la última vez que este tema fue sencillo es el Digital Omnibus. El 19 de noviembre de 2025 la Comisión Europea propuso simplificar partes del marco normativo digital, y el 7 de mayo de 2026 el Consejo y el Parlamento alcanzaron un acuerdo provisional sobre enmiendas específicas a la Ley de IA. El titular para los equipos de agentes: las obligaciones de alto riesgo para sistemas del Anexo III, previstas inicialmente para aplicarse el 2 de agosto de 2026, ahora se aplican no más tarde del 2 de diciembre de 2027. Despachos que siguen el expediente, entre ellos Gibson Dunn y White & Case, describen el nuevo calendario fijo.
La razón declarada es que las normas técnicas armonizadas frente a las que se supone que deben construir los proveedores de alto riesgo llegaron tarde. Es un argumento justo y documentado: no se puede exigir a una empresa una norma de conformidad que aún no existe. La preocupación legítima de la empresa en el otro lado es que un plazo móvil premia la espera, y la espera es exactamente como un equipo regulado termina con un agente sin documentar ni registrar ya en producción cuando por fin llega la fecha.
¿Qué flujos de trabajo con agentes son de alto riesgo según el Anexo III?
El Anexo III enumera los casos de uso que la Ley considera de alto riesgo. Para los agentes dentro de una empresa, la categoría de empleo es la que abarca más flujos de trabajo reales. El Anexo III nombra dos grupos de empleo:
- Contratación y selección: sistemas usados para colocar anuncios de empleo dirigidos, filtrar candidaturas y evaluar a los candidatos.
- Decisiones en la relación laboral: sistemas que toman o informan materialmente decisiones sobre ascenso, despido y asignación de tareas, y sistemas que supervisan y evalúan el rendimiento y el comportamiento de los trabajadores.
Esa última cláusula es la que conviene leer dos veces. Un “agente de productividad” que puntúa cómo trabajan los empleados puede caer dentro del Anexo III. Otras categorías de alto riesgo que tocan los agentes incluyen la puntuación de crédito y de solvencia, el acceso a servicios esenciales privados y públicos, y ciertos usos biométricos y de infraestructura crítica.
| Elemento de la Ley de IA de la UE | Qué abarca | Estado a junio de 2026 |
|---|---|---|
| Prohibiciones del Artículo 5 | Puntuación social, manipulación, reconocimiento de emociones en el trabajo, etc. | Aplica (desde el 2 de febrero de 2025) |
| Alfabetización en IA del Artículo 4 | El personal entiende la IA que usa | Aplica (desde el 2 de febrero de 2025) |
| Deberes para modelos GPAI (Cap. V) | Documentación, transparencia para modelos fundacionales | Aplica (desde el 2 de agosto de 2025) |
| Gobernanza y sanciones | Oficina de IA, autoridades, multas | Aplica (desde el 2 de agosto de 2025) |
| Transparencia del Artículo 50 | Informar al usuario de que es IA; marcar el contenido sintético | Aplica (desde el 2 de agosto de 2025) |
| Alto riesgo, Anexo III (autónomo) | Empleo, crédito, servicios esenciales, etc. | Aplazado a no más tarde del 2 de diciembre de 2027 |
| Alto riesgo en productos regulados | Componentes de seguridad (productos sanitarios, maquinaria) | Aplica el 2 de agosto de 2027 |
¿Qué prohíbe realmente la prohibición del reconocimiento de emociones en el lugar de trabajo?
Esta está en vigor y es absoluta, con una excepción estrecha. El Artículo 5 prohíbe poner en el mercado o usar sistemas de IA para inferir las emociones de una persona en el lugar de trabajo y en centros educativos. La única excepción es por motivos médicos o de seguridad, como un sistema que detecta la fatiga del conductor por seguridad. El Future of Privacy Forum tiene un desglose claro de esta línea roja.
Para un programa de agentes, la lectura práctica es directa. Un agente que escucha llamadas de soporte para formar a los representantes está bien si califica el flujo de trabajo (tiempo de resolución, adhesión a la política, exactitud). Pisa terreno prohibido en el momento en que empieza a inferir el estado emocional del representante o del cliente para evaluar al trabajador. La distinción entre puntuar el trabajo y puntuar los sentimientos del trabajador no es una cuestión de estilo. Es la línea entre un sistema de alto riesgo que puede documentar y uno prohibido que no puede desplegar en absoluto.
¿Dónde se sitúa EE. UU., estado por estado?
EE. UU. no tiene una única ley federal de IA. En su lugar hay un mosaico de leyes estatales y un empuje federal por aplanarlo. Este es el estado de la cuestión fechado.
Orientación ejecutiva federal. En abril de 2025 la Oficina de Gestión y Presupuesto emitió dos memorandos para las agencias federales: M-25-21 sobre acelerar el uso federal de la IA con gobernanza y prácticas mínimas de gestión de riesgos para la IA de alto impacto, y M-25-22 sobre la adquisición de IA. Estos obligan a las agencias, no a las empresas privadas, pero son una plantilla útil: directores de IA, inventarios públicos de casos de uso y controles de riesgo para sistemas de consecuencias relevantes.
Un movimiento para desplazar a los estados. El 11 de diciembre de 2025, el Presidente firmó una orden ejecutiva, Ensuring a National Policy Framework for Artificial Intelligence, que establece un Grupo de Trabajo de Litigios sobre IA para impugnar las leyes estatales de IA ante los tribunales y amenaza con retirar cierta financiación federal a los estados con leyes que Washington considere gravosas. Una orden ejecutiva no puede derogar por sí sola una ley estatal; solo el Congreso o los tribunales pueden hacerlo. Pero ya ha cambiado el cálculo de riesgos, y varios estados han ralentizado el paso.
Leyes estatales en vigor ahora (1 de enero de 2026):
- Texas (TRAIGA, HB 149) entró en vigor el 1 de enero de 2026. Prohíbe usar la IA para incitar intencionadamente a causar daño, para discriminar ilegalmente o para asignar una “puntuación social” gubernamental, exige a las entidades públicas revelar cuándo una persona interactúa con IA, y endurece el consentimiento para identificadores biométricos.
- California puso en vigor varias leyes el 1 de enero de 2026, incluida la Training Data Transparency Act (AB 2013), que obliga a los desarrolladores a publicar un resumen de alto nivel de los datos de entrenamiento. Los deberes de la AI Transparency Act (SB 942) se escalonaron y se aplazaron en parte por la AB 853, con obligaciones para plataformas que se extienden hasta 2027.
Una ley que se aplazó:
- Colorado (SB 24-205), la primera ley integral de IA de EE. UU., se trasladó de febrero de 2026 al 30 de junio de 2026, y luego, tras una nueva enmienda, al 1 de enero de 2027, con su marco antidiscriminación basado en el riesgo acotado en el proceso. Su aplicación también quedó suspendida antes en 2026.
| Elemento de EE. UU. | Tipo | Estado |
|---|---|---|
| OMB M-25-21 / M-25-22 | Orientación a agencias federales | En vigor (abril de 2025), obliga a las agencias |
| Orden ejecutiva del 11 de diciembre de 2025 | Esfuerzo federal de desplazamiento | Activo; presión de litigios y financiación |
| Texas TRAIGA (HB 149) | Ley estatal | En vigor el 1 de enero de 2026 |
| California AB 2013, SB 942/AB 853 | Leyes estatales | En vigor el 1 de enero de 2026 (algunas escalonadas a 2027) |
| Colorado SB 24-205 | Ley estatal | Aplazada al 1 de enero de 2027 |
¿Qué debería construir un despliegue de agentes, con independencia de la fecha?
Las fechas cambian. Las obligaciones riman. A lo largo del marco de la UE y de todo proyecto de ley serio de EE. UU., se repiten cinco requisitos operativos, y los cinco son más fáciles de incorporar desde el primer día que de añadir tras una solicitud de auditoría.
- Clasifique el flujo de trabajo. Decida, por flujo de trabajo, si es prohibido, de alto riesgo, solo de transparencia o de riesgo mínimo, y anote por qué. La clasificación es la entrada de todos los demás controles. Nuestra escalera de autonomía muestra cómo la unidad de gobernanza es el flujo de trabajo, no el agente.
- Revele la IA. Cuando una persona interactúa con el agente, o ve contenido que ha producido, infórmele. El Artículo 50 ya exige versiones de esto.
- Registre las decisiones para su reproducción. Conserve las entradas, las llamadas a herramientas, las salidas y la decisión de política de cada ejecución de consecuencias relevantes, de modo que una ejecución pueda reconstruirse y defenderse. Este es el registro de auditoría que piden los reguladores y los auditores.
- Mantenga a un humano en el bucle donde importa. Las acciones de alto riesgo y de consecuencias relevantes necesitan un aprobador definido y una capacidad real de anulación, no un sello de goma.
- Supervise a nivel de flujo de trabajo, no del individuo. Mida coste, calidad y resultados por flujo de trabajo. No convierta el lago de trazas en vigilancia de los trabajadores, que es exactamente lo que vigilan la categoría de supervisión laboral del Anexo III y la prohibición del reconocimiento de emociones.
Este es también el hilo conector de nuestra tesis. Las políticas de los proveedores cambian, las versiones de los modelos quedan obsoletas, y el mapa legal se redibuja dos veces al año, como documenta esta misma entrada. La respuesta defendible es mantener el agente, sus evaluaciones, sus modelos fijados y su registro de auditoría dentro de su propio perímetro, donde usted controla la evidencia. Cuando un regulador, un auditor o su propio asesor jurídico pregunte qué hizo el agente y por qué, la respuesta vive en su torre de control, no en los registros de un tercero. Vea cómo esto se traduce en un modelo de despliegue privado y nuestra postura de seguridad, y explore más sobre estos temas en nuestros análisis.
Preguntas frecuentes
¿Están los agentes de IA autónomos regulados específicamente, o solo los “sistemas de IA”?
Las leyes regulan los sistemas de IA por caso de uso y por riesgo, no por la etiqueta “agente”. Un agente autónomo que criba candidatos a un puesto se rige por las mismas normas de alto riesgo del Anexo III que cualquier otro sistema que realice esa tarea. La autonomía eleva lo que está en juego en la práctica (más acciones ejecutadas sin un humano en el bucle), razón por la cual el registro y la supervisión humana importan más, no menos, en los agentes.
Mis obligaciones de alto riesgo en la UE se aplazaron a 2027. ¿Puedo esperar?
Puede esperar para presentar la documentación de conformidad, pero no debería esperar para construir los controles subyacentes. La clasificación, la evaluación de riesgos, el registro y la supervisión humana tardan trimestres en ponerse en pie y se necesitan en el momento en que llega la fecha. Las prohibiciones y los deberes de transparencia, incluida la prohibición del reconocimiento de emociones en el lugar de trabajo, ya son exigibles con independencia del aplazamiento del alto riesgo.
¿Significa la orden ejecutiva de EE. UU. que puedo ignorar las leyes estatales de IA?
No. La orden ejecutiva del 11 de diciembre de 2025 ordena a las agencias federales impugnar las leyes estatales y presiona sobre la financiación, pero no deroga ninguna ley. Las leyes de Texas y California están en vigor ahora, y la de Colorado entra en vigor en 2027 salvo que se vuelva a modificar. Hasta que actúen los tribunales o el Congreso, las obligaciones estatales que apliquen a su flujo de trabajo siguen aplicando.