La mayoría de organizaciones no fracasan con la IA por falta de tecnología, sino por falta de método para priorizar, gobernar, escalar y demostrar valor.
La estrategia sobre inteligencia artificial aplicada a negocio suele estar atrapada por un lado en parte tecnológica con copilotos, agentes, RAG, automatización, nuevas demos y modelos etc, y por otro lado la reacción defensiva y de parada del equipo legal y compliance con las políticas internas, restricciones de uso y el cumplimiento normativo. El problema es que ninguna de esas dos aproximaciones, por sí sola, convierte la IA en una capacidad real de negocio.
Muchas organizaciones ya han entendido que, en teoría, la IA puede mejorar la productividad y abrir nuevas oportunidades. Lo que todavía no han resuelto es algo más básico, que es cómo pasar de la prueba aislada, del piloto controlado al uso sostenido y escala con impacto medible en resultados. Ahí es donde aparece la diferencia entre “usar IA” y construir de verdad una capacidad empresarial alrededor de ella basada en datos.
Aquí irremediablemente entra el AI Act, que ha obligado a muchas compañías a tomarse este debate más en serio. El reglamento entró en vigor el 1 de agosto de 2024 y su aplicación se está desplegando por fases:
-
2 de Febrero de 2025; definidos los sistemas y casos de uso prohibidos, así como la obligación de alfabetización en IA por parte de las empresas
-
2 de Agosto de 2025; definidas las reglas de gobernanza y las obligaciones para modelos GPAI (General Purpose Artificial Intelligence, como chatGPT, Anthropic o Gemini)
-
2 de Agosto de 2026; el marco general será plenamente aplicable, con una transición más larga para ciertos sistemas de alto riesgo integrados en productos regulados.
Pero aquí está la clave y el porqué de este artículo. Cumplir el AI Act no basta, porque el problema de fondo no es jurídico, sino operativo. Una empresa no escala la IA porque tenga una política de IA guardada en SharePoint, ni porque haya redactado una guía de uso responsable, ni evita el Shadow AI porque haya bloqueado ChatGPT en ciertos equipos.
La IA solo empieza a generar valor cuando la organización sabe actuar ante casos y retos concretos, como qué casos prioriza primero, con qué datos, bajo qué criterios, con qué responsables, con qué métricas, con qué guardarraíles de seguridad y con qué condiciones de retirada.
Es decir, el reto no es implantar una norma, sino que está en diseñar un sistema de decisión, y esto es a lo que nos referimos con la implementación de un marco operativo. De hecho, el famoso informe del MIT de verano de 2025 que indicaba que el 95% de proyectos de IA fracasaban, en realidad y leyendo las conclusiones, no era por la tecnología en sí, sino por no contar con este marco operativo definido y diseñado.
Este marco operativo de la IA no es un documento o un checklist, sino que es la forma en la que una organización conecta negocio, datos, tecnología, riesgo y gobierno para que la IA deje trascienda los pilotos y la fase de experimentación.
Un marco operativo sirve para decidir por dónde empezar, qué descartar, qué evidencias y datos se necesitan y qué condiciones deben cumplirse antes de escalar a producción. También sirve para algo estratégico, como evitar que la empresa se llene de PoCs eternas, decisiones ambiguas y Shadow AI.
La mayoría de empresas no tienen un problema de falta de ideas o casos de uso, más bien al contrario. Sin un marco operativo, la IA se convierte en una mezcla peligrosa de entusiasmo y expectativas dependientes de proveedores y resultados que no llegan o no se pueden medir, es decir, la receta para que aparezcan los síntomas clásicos de pilotos eternos, equipos que usan herramientas por su cuenta o en silos, legal que entra tarde parándolo todo, IT que no quiere asumir el riesgo y dirección que deja de creer en las iniciativas porque no ve impacto ni ROI. Y esto ya lo vivimos sobre todo en las primeras etapas de eso que se llamó (y sigue llamándose) “Transformación Digital”.
Por eso el AI Act debe entenderse como una condición necesaria, pero no suficiente. Su enfoque basado en riesgo obliga a clasificar usos, documentar ciertos sistemas, reforzar la transparencia, supervisión y asegurar la trazabilidad y explicabilidad. Pero el propio reglamento no te resuelve el cómo. No te dice qué caso elegir primero, cómo montar un gate o checkpoint de decisión, cómo ordenar la responsabilidad entre negocio, datos, seguridad y compliance, ni cómo pasar de una idea a un piloto con control y de un piloto a producción sin perder el gobierno del sistema o la cantidad de evidencias y controles a realizar.
Además, el propio marco regulatorio está evolucionando. La Comisión presentó el 19 de noviembre de 2025 una propuesta de simplificación del AI Act dentro del Digital Omnibus, con el objetivo de hacer su implantación más proporcionada y viable. No obstante, a fecha de hoy (Mayo 2026), eso sigue siendo una propuesta en tramitación, así que hay que construir un marco operativo que sirva con el AI Act vigente y que además sea suficientemente flexible para absorber la simplificación futura si termina aprobándose.
Aquí es donde muchas compañías deberían cambiar de enfoque. En vez de preguntarse “qué herramienta de IA compramos” o “qué exige exactamente el regulador”, conviene hacerse tres preguntas más útiles que han de servir de guía.
-
¿Qué decisiones de negocio queremos mejorar en los próximos 90 días? Crecimiento de los ingresos, del margen, minimizar riesgos, mejorar la experiencia del consumidor…
-
¿Qué nivel de preparación tenemos para hacerlo? Saber si existe sponsor, si el proceso está definido, si el dato es suficiente y de calidad, si hay criterios de éxito y quién es el responsable u “owner” del resultado.
-
¿Qué evidencias mínimas exigimos antes de dejar que un sistema influya en decisiones relevantes?
Por eso, en la práctica, un buen marco operativo de IA se articula alrededor de tres gates muy sencillos de entender.
El primero es el gate de diseño y viabilidad, donde se decide si merece la pena avanzar. Se contrasta hipótesis de valor, se prioriza el caso, se revisa la preparación real de la empresa (el AI Readiness) y se acota el riesgo.
El segundo es el gate del piloto, donde se demuestra que el caso funciona en un entorno acotado, con datos suficientes, límites de uso claros, responsables definidos y métricas observables.
El tercero es el gate de producción, que suele ser el más olvidado. Un piloto que parece prometedor no está listo para operar solo porque haya gustado a negocio. Para pasar a producción hacen falta condiciones de continuidad, supervisión, trazabilidad, gestión de incidentes, criterios de rollback y mecanismos claros para intervenir o parar si algo se degrada.
El planteamiento de este marco parece simple, y precisamente por eso funciona. Obliga a transformar una iniciativa de IA en una secuencia de decisiones empresariales comprensibles y basadas en datos, aclarando la ambigüedad, asignando responsabilidades y, lo más importante desde nuestro punto de vista, convirtiendo el cumplimiento en algo útil y diferenciador, pasando a formar parte del diseño desde el principio.
Cuando una empresa trabaja así, el cumplimiento del marco normativo empieza a convertirse en una ventaja competitiva, no porque “cumplir” venda por sí mismo, sino porque las empresas que saben priorizar, documentar, medir, corregir y escalar con criterio aprenden más deprisa que las demás y despliegan modelos más robustos, más eficientes y de forma más rápida
La discusión relevante, por tanto, no es si tu empresa debe cumplir el AI Act, que es de obligado cumplimiento, sino cómo y si se va a abordar la IA como una suma de pruebas desconectadas o como una capacidad operativa que puede escalar con control.
Y eso no se resuelve con una demo. Se resuelve con un marco operativo.