Ultima revision
4 de julio de 2026
Fuente
European AI Office
Bruselas ya ha montado una de las piezas que le faltaban al engranaje del AI Act: el Advisory Forum de la Oficina Europea de IA. No aprueba multas, no redacta reglamentos por sí solo y no va a entrar en tu comité de producto a decirte qué modelo puedes lanzar mañana. Pero conviene no despacharlo con un bostezo regulatorio. En la arquitectura institucional del AI Act, este foro es una señal política y operativa: la Comisión Europea quiere escuchar a mercado, academia, sociedad civil y sector técnico de forma estructurada, justo cuando empieza la fase menos glamurosa y más decisiva de cualquier ley tecnológica europea: la aplicación real.
La página de la European AI Office dedicada al foro asesor confirma su existencia como mecanismo de apoyo a la implementación del Reglamento de IA de la UE. El dato relevante no es solo que exista, sino para qué existe: aportar experiencia independiente y multisectorial a la Comisión y a la Oficina de IA en cuestiones cubiertas por el reglamento. Traducido al castellano que entiende cualquier responsable de compliance: si tu empresa está esperando que el AI Act se vuelva concreto a base de guías, prioridades supervisoras y criterios interpretativos, este tipo de órganos importa más de lo que parece en la primera lectura.
Y aquí está la ironía regulatoria habitual: cuando Bruselas dice “foro asesor” muchos piensan en una sala con café mediocre y documentos que nadie recuerda al cabo de dos semanas. A veces, con razón. Pero esta vez llega en un momento distinto. En 2026, el AI Act ya no es una promesa legislativa ni una guerra de enmiendas; es una norma en despliegue, con obligaciones escalonadas, actores intentando descifrar definiciones prácticas y autoridades buscando un equilibrio entre control, innovación y puro realismo administrativo. En ese contexto, quien ayude a fijar la conversación técnica influye, aunque no firme la sanción.
Para entender por qué el Advisory Forum merece atención hay que empezar por el diseño del propio AI Act. El reglamento europeo de inteligencia artificial no funciona solo a base de prohibiciones y requisitos para sistemas de alto riesgo. Funciona también a base de capas de gobernanza: Comisión, Oficina Europea de IA, autoridades nacionales, el futuro ecosistema de vigilancia de mercado, organismos notificados donde proceda, y órganos de apoyo o coordinación que ayudan a que la interpretación no se disperse demasiado entre Estados miembros.
Eso era previsible desde que el texto final del AI Act apostó por una combinación de armonización europea y ejecución distribuida. La Comisión necesita una máquina institucional capaz de hacer tres cosas a la vez:
Primero, recoger inteligencia técnica sobre cómo evolucionan los modelos y sistemas de IA;
Segundo, detectar dónde se atasca la implementación para empresas y supervisores;
Tercero, evitar que cada actor nacional improvise su propia versión del reglamento hasta convertir la “armonización” en un chiste privado.
El Advisory Forum encaja exactamente ahí. No es una autoridad de supervisión. No sustituye a las autoridades nacionales. No es el AI Office Board ni el mecanismo formal de enforcement. Su valor está en otro sitio: organiza la influencia experta. Y cuando un reglamento es técnicamente complejo, esa influencia experta acaba moldeando borradores de guías, prioridades de vigilancia y la sensibilidad política de la Comisión ante determinados riesgos.
Si alguien en tu organización todavía cree que el AI Act se va a aplicar leyendo solo el articulado y esperando a que llegue una inspección, llega tarde. La práctica regulatoria europea nunca ha funcionado así. Ocurrió con GDPR, donde el peso de las directrices del antiguo Article 29 Working Party y después del EDPB fue enorme. Ocurre con DORA, donde RTS, ITS y guías supervisoras están definiendo la operativa real mucho más allá del eslogan de “resiliencia digital”. Y ocurrirá con el AI Act: el texto legal es la columna vertebral, pero la musculatura práctica se construye con interpretación, coordinación y priorización.
La información pública de la Oficina Europea de IA presenta el AI Act Advisory Forum como un grupo de expertos con representación equilibrada de partes interesadas. La idea es incorporar perspectivas de la industria, startups, pymes, academia, organizaciones de la sociedad civil y otros actores relevantes. Ese diseño no es cosmético. Responde a un problema muy concreto del AI Act: si la aplicación se apoya solo en la visión de grandes proveedores o solo en la de los reguladores, el resultado será o bien complaciente con el mercado o bien tan rígido que nadie pueda operarlo con seguridad jurídica.
Un foro de este tipo sirve para canalizar preguntas que ya están encima de la mesa en 2026:
Nada de eso se decide exclusivamente en una sola página web ni en un único acto delegado. Pero el foro crea un cauce formal para que esas tensiones entren en la cocina institucional antes de explotar fuera. Y esa función importa especialmente porque el AI Act no regula una tecnología estática. Regula una cadena de valor llena de dependencias: proveedores de modelos, integradores, deployers, distribuidores, importadores, responsables de producto, equipos de legal, CISO, DPO y compras. Si la gobernanza no escucha a todos, se rompe por el lado más débil. Normalmente, el de quien tiene que demostrar cumplimiento sin haber controlado todo el stack técnico.
Hay además una lectura política que conviene no pasar por alto. La Comisión, a través de la European AI Office, está intentando evitar dos riesgos simultáneos. Uno es la captura regulatoria por los gigantes que sí tienen recursos para sentarse siempre en la mesa. El otro es la parálisis por pluralismo performativo: invitar a todos, escuchar a todos y no aterrizar nada operativo. Entre ambos extremos se jugará la credibilidad del foro.
El AI Act no es un reglamento cualquiera. Su estructura mezcla obligaciones directas con un fuerte componente de desarrollo institucional. Las reglas para sistemas de alto riesgo incluyen, entre otras, requisitos sobre sistema de gestión de riesgos, calidad de datos y gobernanza de datos, documentación técnica, registro de logs, transparencia, supervisión humana, precisión, robustez y ciberseguridad. Ese núcleo aparece en el título dedicado a sistemas de alto riesgo y convierte la conformidad en algo mucho más cercano a un régimen de producto regulado que a una mera declaración de buenas intenciones.
¿El problema? Que casi cada uno de esos requisitos necesita interpretación práctica.
Tomemos la ciberseguridad. El AI Act exige que los sistemas de alto riesgo alcancen un nivel adecuado de precisión, robustez y ciberseguridad durante todo su ciclo de vida, incluyendo resiliencia frente a intentos de alterar el uso, el comportamiento o el rendimiento del sistema por terceros no autorizados. Sobre el papel suena impecable. En la práctica obliga a responder preguntas incómodas: ¿qué estándar técnico se considera suficiente?, ¿qué pruebas son razonables según el caso de uso?, ¿cómo documentas ataques adversariales o manipulación de datos de entrenamiento cuando dependes de terceros?
Lo mismo ocurre con la supervisión humana. La obligación existe, sí, pero no toda supervisión humana vale. Si el operador recibe una recomendación algorítmica que no puede desafiar de manera realista por falta de tiempo, formación o acceso a contexto, llamar a eso “human in the loop” es maquillaje. Y Bruselas lo sabe. Por eso los órganos de apoyo y asesoramiento pueden convertirse en lugares donde se decida si la supervisión humana será un control serio o un trámite decorativo.
También está la cuestión de los modelos de propósito general, cuyo régimen ha complicado la gobernanza del AI Act y ha elevado el protagonismo de la Oficina Europea de IA. La Comisión necesita inputs técnicos constantes para entender riesgos sistémicos, cadenas de suministro, expectativas de transparencia y viabilidad de las obligaciones. Un foro asesor bien usado puede aportar esa inteligencia. Uno mal usado solo servirá para producir PDF con lenguaje consensual y utilidad limitada, que es otra forma de contaminación documental.
Si quieres calibrar la importancia futura del Advisory Forum, no lo compares con una mesa redonda corporativa. Compáralo con cómo han madurado otras normativas europeas complejas.
Con GDPR, el texto del reglamento era solo el principio. La aplicación real se fue concretando mediante decisiones de autoridades, guías del EDPB, jurisprudencia y una larga colección de preguntas muy poco filosóficas: cuándo una evaluación de impacto era realmente necesaria, qué hacía “libre” al consentimiento en entornos asimétricos, qué significaba seguridad adecuada del tratamiento en contextos de cadena de suministro o qué criterio aplicar a transferencias internacionales tras Schrems II. Los órganos colegiados y grupos de expertos no legislaron, pero sí acotaron lo defendible.
Con DORA ha ocurrido algo parecido, quizá más técnico. El reglamento fijó pilares claros —gestión de riesgo TIC, incidentes, pruebas de resiliencia, terceros proveedores de servicios TIC, intercambio de información—, pero la operativa real ha ido aterrizando con normas técnicas de regulación y ejecución, guías supervisoras y lectura cruzada con el marco de outsourcing, seguridad y continuidad. Quien solo leyó el artículo 28 sobre terceros TIC o el artículo 17 sobre clasificación de incidentes sin seguir el desarrollo posterior se quedó con media película.
El AI Act va por el mismo camino. La diferencia es que la tecnología subyacente cambia aún más rápido y la presión geopolítica es mayor. Estados Unidos, China, Reino Unido y otras jurisdicciones no están copiando el modelo europeo tal cual; están observando si funciona. Eso añade un incentivo para que la Comisión module el despliegue con instrumentos de soft governance. El Advisory Forum es uno de ellos.
La reacción equivocada sería esta: “no tiene capacidad ejecutiva directa, luego da igual”. Ese razonamiento ya ha costado disgustos en privacidad, resiliencia digital y competencia. Cuando una institución europea crea un cauce formal de asesoramiento en una norma nueva, las empresas prudentes hacen tres cosas: leen la composición, siguen sus temas recurrentes y detectan qué lenguaje técnico empieza a repetirse. Ahí suele estar el avance de la expectativa regulatoria.
Para proveedores, deployers e integradores de IA, hay al menos cinco frentes que conviene vigilar desde ahora.
La primera batalla de cualquier reglamento tecnológico está en las definiciones aplicadas. Qué entra como sistema de IA, cuándo un componente pasa a ser parte relevante del sistema regulado, qué cuenta como modificación sustancial o qué se considera control suficiente sobre un proveedor ascendente. El foro puede no fijar la definición final, pero sí influir en la interpretación dominante que la Comisión y la Oficina de IA acaben impulsando.
Si tu empresa está ensamblando productos con capas de terceros —modelo fundacional, herramienta de orquestación, módulo de scoring, capa de supervisión humana y datos propios—, necesitas un mapa de responsabilidades más fino que “el proveedor nos garantiza cumplimiento”. Esa frase tiene el mismo valor jurídico que una promesa de ascensor. Muy reconfortante hasta que deja de funcionar.
El AI Act exige documentación robusta para sistemas sujetos a obligaciones específicas. La experiencia comparada en la UE enseña una lección simple: lo que no está documentado suele no existir a ojos del regulador. Un foro como este puede elevar el listón de lo que se considera documentación suficiente: pruebas de robustez, historial de cambios, límites de uso, fuentes de datos, métricas de rendimiento, registros de decisiones de diseño y evidencias sobre supervisión humana efectiva.
Para equipos de compliance y producto, la implicación es inmediata. No esperes a que llegue una plantilla oficial perfecta. Empieza a estructurar desde ya un expediente vivo por sistema o por caso de uso, con control de versiones, decisiones de riesgo y dependencia de terceros. Si luego la guía oficial ajusta el detalle, corregirás. Lo difícil es reconstruir a posteriori por qué se diseñó algo de determinada manera hace nueve meses.
Durante demasiado tiempo, el debate regulatorio sobre IA ha estado secuestrado por dos polos: ética abstracta y privacidad clásica. Ambos importan, por supuesto. Pero el AI Act introduce con claridad la variable de robustez y ciberseguridad, y eso obliga a tratar la IA también como superficie de ataque.
Aquí el cruce con NIS2 y marcos como NIST CSF 2.0 es evidente. NIS2, en su artículo 21, exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar riesgos de seguridad de redes y sistemas de información. Si un sistema de IA crítico forma parte de un servicio esencial o importante, la conversación ya no es solo de sesgos o explicabilidad. Es de integridad, disponibilidad, cadena de suministro, logging, detección de abuso y respuesta a incidentes.
El Advisory Forum puede acelerar esa convergencia. Si en sus discusiones pesa el enfoque técnico serio, la IA regulada en Europa dejará de verse como una excepción flotante y pasará a integrarse mejor con los marcos de seguridad existentes. Buena noticia para CISOs. Menos buena para quienes vendían “AI governance” como una presentación bonita sin controles verificables detrás.
Cuando Bruselas endurece expectativas sobre documentación, supervisión o transparencia, el primer sitio donde eso se nota de verdad es el contrato. Quien compre o integre soluciones de IA en 2026 debería revisar ya cláusulas sobre acceso a documentación técnica, cooperación en auditorías, notificación de cambios relevantes, soporte para investigaciones de incidentes, retención de logs y derecho a recibir información sobre subprocesadores o subproveedores críticos.
Esto recuerda mucho a DORA y a sus exigencias sobre terceros proveedores TIC en los artículos 28 y siguientes: si no consigues meter ciertas obligaciones en el papel, luego el cumplimiento se vuelve performativo. Con IA ocurre igual. El foro no redactará tus contratos, pero puede subir el estándar de lo que será razonable exigir al mercado.
Muchas empresas siguen viendo la participación en procesos regulatorios como una actividad reputacional o de relaciones institucionales. Error. En normas técnicamente densas, participar o al menos monitorizar no es lujo: es gestión de riesgo. Si el Advisory Forum publica orientaciones, líneas de trabajo, consultas o prioridades temáticas, esa información debería llegar no solo a public affairs, sino también a legal, compliance, ingeniería, seguridad y procurement.
La empresa que lee estas señales antes alinea mejor sus controles. La que las ignora suele descubrir la nueva expectativa cuando ya tiene producto desplegado, clientes firmados y deuda técnica acumulada. No es el mejor momento para una epifanía regulatoria.
Todo foro asesor presume de pluralidad. El problema nunca es la intención escrita; es la ejecución. Hay tres riesgos clásicos.
El primero es la captura por incumbentes. Los grandes actores disponen de equipos jurídicos, técnicos y de policy capaces de producir posición, asistir a reuniones y sostener influencia continuada. Startups, pymes y organizaciones de la sociedad civil rara vez tienen esa capacidad con la misma intensidad. Si la composición formal es plural pero la producción material de conocimiento la dominan unos pocos, el resultado se desequilibra.
El segundo riesgo es la abstracción improductiva. La IA genera debates seductores y vaporosos: humanidad, confianza, alineamiento, dignidad, futuro del trabajo. Todo eso importa. Pero un foro útil para la aplicación del AI Act tiene que bajar al barro: especificaciones técnicas, trazabilidad, gobernanza de datos, incidentes, distribución de responsabilidades y pruebas de conformidad. Si se queda en las grandes palabras, será irrelevante justo donde el mercado necesita claridad.
El tercer riesgo es la lentitud institucional. La Comisión Europea tiene un incentivo natural a construir procesos sólidos, inclusivos y jurídicamente defensables. Perfecto. El mercado de IA, en cambio, itera en semanas. Si las recomendaciones del foro llegan siempre después de que la industria haya cambiado de arquitectura, proveedor o patrón de uso, el mecanismo perderá capacidad de ordenar la práctica.
Ahora bien, la objeción contraria tampoco convence: prescindir de foros y centralizar toda interpretación en la Comisión o en pocas autoridades tampoco resolvería el problema. Solo haría el sistema menos informado y más vulnerable a errores técnicos. La cuestión no es si debe haber un foro. La cuestión es si producirá señales accionables a tiempo.
Aunque la noticia no es específicamente financiera, sí tiene consecuencias claras para el sector financiero europeo. Y más en 2026, cuando muchas entidades ya han pasado de los pilotos vistosos a usos de IA más incrustados en procesos críticos: onboarding, scoring, antifraude, monitorización transaccional, atención al cliente, ciberdefensa, detección de anomalías y automatización interna.
La banca y los seguros viven un problema regulatorio muy poco glamuroso y muy real: no cumplen una norma en un vacío, sino varias a la vez. Si despliegan IA en un proceso relevante, la pregunta no es solo “¿encaja con el AI Act?”. La pregunta correcta es “¿cómo se superpone el AI Act con GDPR, DORA, NIS2 —cuando proceda—, reglas sectoriales de gobernanza, outsourcing, continuidad y, en ciertos casos, protección del consumidor o prevención de blanqueo?”
Ese cruce convierte cualquier orientación del AI Advisory Forum en algo potencialmente más importante para finanzas que para otros sectores menos densamente regulados. Por ejemplo:
Y aquí aparece una tensión que el sector financiero conoce bien: el proveedor de IA puede no ser “crítico” en sentido tradicional, pero sí convertirse en un punto de dependencia material para controles, decisiones o experiencia de cliente. DORA enseñó que el mapa de terceros TIC real suele ser más delicado de lo que sugiere el organigrama. El AI Act puede terminar revelando algo parecido con los proveedores de modelos, plataformas y herramientas de observabilidad.
El error más caro en compliance tecnológico suele ser fijarse solo en el momento sancionador. Sí, las multas importan. También importan las medidas correctivas, las órdenes de retirada, la exposición reputacional y el coste de rehacer procesos mal diseñados. Pero antes de todo eso hay un territorio menos espectacular y mucho más útil: las señales tempranas.
Un foro asesor ofrece precisamente eso. No castiga; anticipa. Si empieza a insistir en ciertos temas, conviene escuchar:
Nada de esto debería sorprender a una organización madura. Pero muchas todavía gestionan IA con estructuras heredadas: el equipo de innovación prueba, el negocio presiona, legal entra tarde, seguridad aún más tarde y compliance aparece cuando alguien pregunta por una política. Ese modelo ya era frágil con GDPR. Con el AI Act y su ecosistema de gobernanza, directamente envejece mal.
Sin convertir esto en una plantilla de consultoría con corbata azul, hay una secuencia operativa sensata que sí sale de esta noticia.
Primero, identifica qué casos de uso de IA tienes realmente en producción o preproducción y cuáles podrían entrar en categorías de riesgo relevante. Parece básico, pero muchas organizaciones siguen sin inventario fiable. Sin inventario no hay clasificación, y sin clasificación no hay priorización.
Segundo, separa la conversación en tres capas: riesgo regulatorio, riesgo técnico y riesgo de terceros. Mezclarlo todo en una sola evaluación produce documentos largos y decisiones malas. Un caso de uso puede tener riesgo jurídico moderado y dependencia técnica altísima de un proveedor externo. O al revés.
Tercero, revisa desde ya qué evidencia puedes producir si mañana te preguntan por un sistema concreto: finalidad, base de diseño, datos, métricas, cambios, límites de uso, supervisión humana, pruebas de robustez, logging, respuesta a incidentes, vendor due diligence y cláusulas contractuales. Si la mitad de esa información vive en correos sueltos y la otra mitad en la cabeza de dos ingenieros, tienes un problema que ningún foro asesor va a arreglar por ti.
Cuarto, conecta a los equipos que suelen trabajar en paralelo. IA regulada sin seguridad es mala idea. Seguridad sin entender el caso de uso, también. Legal sin producto llega tarde; producto sin legal suele improvisar; compras sin ambos firma lo que no debe. La gobernanza real del AI Act será interdisciplinar o no será.
Quinto, sigue de cerca a la Oficina Europea de IA y los mecanismos que la rodean. No por afición burocrática, sino porque ahí se irá filtrando la expectativa supervisora antes de que cristalice en inspecciones, guías más duras o exigencias del mercado. En sectores regulados, la señal de Bruselas no tarda mucho en convertirse en pregunta del supervisor, cláusula contractual del cliente o due diligence del inversor.
La fase uno fue legislativa: negociación, equilibrios políticos, arquitectura del texto y grandes titulares sobre prohibiciones, alto riesgo y modelos de propósito general. Esa fase acabó. La fase dos es bastante menos fotogénica y mucho más determinante: construir la maquinaria que hará aplicable la norma.
El Advisory Forum pertenece a esa fase dos. No es la noticia que sacude mercados en una mañana. Es una de esas noticias que los equipos serios recortan, archivan y siguen durante meses porque entienden lo que anticipa: la Comisión no quiere limitarse a publicar el reglamento y esperar milagros del mercado. Quiere rodearlo de estructura institucional, inteligencia técnica y mecanismos de interlocución.
Eso tiene ventajas claras. Puede mejorar la calidad de la implementación, reducir puntos ciegos y evitar parte de la divergencia nacional. También tiene riesgos: más capas, más tiempo, más espacio para la influencia asimétrica y, si nadie vigila, más producción de consenso vago.
La pregunta útil para empresas no es si el foro tiene “poder real” en abstracto. La pregunta es otra: ¿puede afectar a lo que la Comisión y la Oficina Europea de IA considerarán cumplimiento razonable dentro de seis, doce o dieciocho meses? La respuesta sensata es sí.
Y con eso basta para prestarle atención.
Porque así funciona la regulación tecnológica europea cuando se pone seria: primero aparece el texto legal, luego llegan los órganos, las guías, las prioridades, las interpretaciones, la práctica de supervisión y, finalmente, la sorpresa de quienes pensaban que todo aquello era solo institucionalismo de Bruselas. Suele ser una sorpresa cara.
Esta vez, al menos, la señal está a la vista. La Oficina Europea de IA ya no está solo construyendo discurso. Está construyendo gobernanza. Y en 2026, para cualquiera que desarrolle, compre, integre o despliegue IA en Europa, esa diferencia importa bastante más de lo que sugiere el nombre anodino de “Advisory Forum”.
Guía de referencia
Todo sobre Reglamento de IA (AI Act): artículos, obligaciones y plazos
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en AI Act: clasificación de riesgo de tus sistemas de IA y obligaciones por nivel.
¿Necesitas priorizar acciones ya? Empieza un GAP Assessment AI Act.
El Reglamento de IA de la UE clasifica los sistemas por nivel de riesgo: inaceptable (prohibido), alto riesgo (sujeto a obligaciones estrictas), riesgo limitado (transparencia) y riesgo mínimo.
Gestión de riesgos, gobernanza de datos, documentación técnica, registro de actividad, transparencia, supervisión humana y robustez/ciberseguridad, además de evaluación de conformidad.
El Reglamento entró en vigor en 2024 con una aplicación escalonada: las prohibiciones aplican antes y las obligaciones de alto riesgo se aplican de forma progresiva en los años siguientes.