IEBS Business School La carrera por la regulación de la Inteligencia Artificial en Europa ha dado un giro inesperado. El desfase entre innovación y marco legal ha sido una constante en la historia digital. Las redes sociales crecieron durante una década antes de que el Reglamento General de Protección de Datos tomara forma. Los influencers y la publicidad encubierta tardaron casi una década en tener obligaciones claras de transparencia y etiquetado. La IA generativa irrumpió en el mercado mucho antes de que existiera un reglamento europeo capaz de regularla.
El acuerdo alcanzado el pasado 7 de mayo entre el Parlamento Europeo y el Consejo para prohibir los sistemas de IA que permitan crear deepfakes sexuales no rompe ese patrón.
Índice de contenidos
Tres millones de imágenes antes de que existiera una ley
A finales de 2024 e inicios de 2025, miles de imágenes de mujeres reales fueron sexualizadas mediante IA y viralizadas en X. Tres millones de imágenes en once días, según datos del Centro para Contrarrestar el Odio Digital. No había ningún mecanismo claro que lo frenara.
La respuesta institucional llegó después.
España propuso una enmienda a la Ley de IA. La Comisión Europea la incorporó al paquete de simplificación presentado en noviembre de 2025. Cinco meses más tarde hay acuerdo político. Las obligaciones empezarán a aplicarse el 2 de diciembre de 2026.
Para los estándares regulatorios europeos, ese ritmo es rápido. Pero el daño ya estaba hecho.
Esa es, precisamente, la mayor dificultad a la hora de regular la tecnología: cuando la norma llega, el problema ya se ha masificado.
Por qué la ley siempre va por detrás
No es un fallo de voluntad política. Es una cuestión de naturaleza.
La tecnología escala en semanas. Una herramienta de IA generativa puede pasar de uso experimental a millones de usuarios en meses. La regulación, en cambio, requiere identificar el problema, construir consenso, redactar una propuesta, negociarla entre instituciones y Estados, y aprobarla formalmente.
En ese intervalo ocurren tres cosas:
El daño se produce. Como en el caso de los deepfakes sexuales, el perjuicio a personas reales no espera a que exista un marco legal.
La tecnología evoluciona. Para cuando se aprueba la norma, la herramienta que pretendía regular ya ha cambiado, y han aparecido otras nuevas que escapan a su alcance.
Los actores se adaptan. Quienes desarrollan o distribuyen tecnología con usos dudosos aprenden a operar en los márgenes del marco regulatorio antes de que este se consolide.
El acuerdo sobre deepfakes es, en ese sentido, un ejemplo claro: la prohibición llega porque el problema ya tiene nombre, víctimas identificables y presión social acumulada. Sin esos tres elementos, el proceso habría tardado mucho más.
Máster en Inteligencia Artificial
Crea, automatiza y escala proyectos con inteligencia artificial generativa, agentes inteligentes y sistemas reales aplicados a negocio
¡Quiero información!Qué viene después: los frentes que aún no tienen respuesta
Cerrar una brecha regulatoria no significa cerrar todas.
El mismo acuerdo que prohíbe los sistemas generadores de deepfakes sexuales aplaza hasta diciembre de 2027 las obligaciones más exigentes para sistemas de IA de alto riesgo —los que afectan a biometría, empleo, educación o aplicación de la ley— y hasta agosto de 2028 para los sistemas integrados en componentes de seguridad regulados sectorialmente.
Hay al menos tres frentes donde el desfase entre tecnología y ley sigue siendo amplio:
La IA en la toma de decisiones laborales. Sistemas que filtran currículums, evalúan el rendimiento o deciden ascensos ya operan en muchas empresas. La regulación sobre su uso está pendiente de desarrollo y aplicación real.
Los modelos de propósito general. Los grandes modelos de lenguaje tienen una categoría propia en la Ley de IA, pero los mecanismos de supervisión y responsabilidad todavía están siendo definidos por la Oficina Europea de IA.
La desinformación generada por IA. Las obligaciones de watermarking —marcas de agua digitales que permiten identificar contenido generado por IA— se han retrasado hasta diciembre de 2026. En un año electoral en múltiples países, ese plazo no es neutro.
La regulación responde bien a los problemas que puede nombrar con precisión. Los que todavía no tienen un relato consolidado esperan.
Lo relevante para empresas y profesionales
El debate sobre si la regulación llega tarde o a tiempo importa menos que una pregunta más operativa: ¿cómo afecta este ciclo regulatorio a la forma en que las organizaciones adoptan tecnología?
Las empresas que han construido herramientas sobre IA generativa sin integrar salvaguardas ante contenido no consentido ahora tienen un plazo —diciembre de 2026— para adaptar sus sistemas o salir del mercado europeo. No es una amenaza teórica; es una fecha en el calendario.
Pero más allá del cumplimiento normativo, el patrón que se repite en cada ciclo regulatorio lanza una señal clara para quienes lideran procesos de transformación digital: el espacio sin reglas no dura para siempre, y cuando se cierra, lo hace con efecto retroactivo sobre decisiones ya tomadas.
Anticipar qué usos de la IA tienen más probabilidad de generar daño visible —y por tanto de atraer regulación rápida— es, en este momento, parte de la gestión del riesgo tecnológico.
Conclusión
La prohibición europea de los sistemas que permiten crear deepfakes sexuales es una buena noticia. También es un recordatorio incómodo: llegó porque el daño ya había ocurrido a escala masiva.
Ese es el patrón que define la relación entre tecnología y regulación. No es nuevo. Pero con la IA generativa, la velocidad a la que se produce el daño y la escala a la que se distribuye han cambiado de orden de magnitud.
Regular en tiempo real sigue siendo, por ahora, una aspiración. Lo que cambia es el coste de no intentarlo.
Máster en Inteligencia Artificial
Crea, automatiza y escala proyectos con inteligencia artificial generativa, agentes inteligentes y sistemas reales aplicados a negocio
¡Quiero información!