TwinLadder Weekly

Numero #30 | Marzo 2026

Nota del editor

La semana pasada me preguntaron tres veces -- dos por asesores juridicos internos y una por un responsable de cumplimiento -- si su programa de RGPD "cubre" el Reglamento de IA. Cada vez di la misma respuesta: no. Cada vez obtuve la misma mirada de alarma silenciosa.

La confusion es comprensible. Ambos son reglamentos de la UE. Ambos implican datos. Ambos conllevan multas sustanciales. Pero tratar el Reglamento de IA como una extension del RGPD es como tratar las normas de seguridad aerea como una extension de las normas de trafico porque ambas involucran vehiculos. La materia se solapa. Las obligaciones no.

El Articulo 4 del Reglamento Europeo de IA es juridicamente vinculante desde el 2 de febrero de 2025 -- hace ya mas de trece meses. [cite:eu-ai-act-article4] La mayoria de las organizaciones con las que trabajo aun no han comprendido lo que realmente exige. Han actualizado un aviso de privacidad, quiza anadido una clausula de IA a sus contratos de tratamiento de datos, y han seguido adelante. Ese es un reflejo del RGPD aplicado a un problema de competencia en IA. Y deja la obligacion real -- construir una alfabetizacion en IA genuina en cada funcion que interactua con la IA -- completamente sin abordar.

El pensamiento RGPD no le salvara del Reglamento de IA

Un reglamento, no una directiva -- y eso importa mas de lo que cree

Permita que empiece con algo que suponia que todo profesional de cumplimiento entendia, hasta que descubri que muchos no lo hacen. El Reglamento Europeo de IA es un reglamento. [cite:eu-ai-act-regulation] En derecho de la UE, esa es la forma mas potente de instrumento legislativo. Es directamente aplicable en los 27 estados miembros desde el momento en que entra en vigor. No requiere transposicion. No necesita legislacion nacional de implementacion. No hay que esperar a que su gobierno decida como aplicarlo.

Asi es exactamente como funciona el RGPD -- tambien un reglamento, no una directiva. Pero el paralelismo termina en la forma juridica. La sustancia de lo que exige el Reglamento de IA es fundamentalmente diferente de lo que exige el RGPD. Y las organizaciones que asumen lo contrario estan construyendo programas de cumplimiento sobre los cimientos equivocados.

El Reglamento de IA entro en vigor el 1 de agosto de 2024. El Articulo 4 (alfabetizacion en IA) y el Articulo 5 (practicas prohibidas) se aplicaron a partir del 2 de febrero de 2025. La Comision Europea publico sus Directrices sobre Practicas Prohibidas de IA en abril de 2025, clarificando el alcance de lo que esta prohibido de forma absoluta. [cite:ec-prohibited-practices-guidelines] Las obligaciones relativas a modelos de IA de proposito general entraron en vigor el 2 de agosto de 2025. Y los requisitos completos para sistemas de alto riesgo llegan el 2 de agosto de 2026 -- dentro de cinco meses.

La maquinaria de aplicacion esta aun en construccion. Las autoridades nacionales de vigilancia del mercado deben estar designadas para agosto de 2026. Aun no se han emprendido acciones de aplicacion publicas. Pero si usted esta leyendo esto y pensando "tenemos tiempo", le preguntaria: ¿tiempo para que? La obligacion de alfabetizacion ya esta en vigor. Las practicas prohibidas ya son exigibles. La cuestion no es si la aplicacion llegara. Es si estara preparado cuando llegue.

Las multas, como referencia: hasta 35 millones de euros o el 7% de la facturacion anual global por practicas prohibidas. Hasta 15 millones de euros o el 3% por otras infracciones. Hasta 7,5 millones de euros o el 1% por proporcionar informacion incorrecta a las autoridades.

Las cuatro distinciones que su equipo de cumplimiento esta pasando por alto

Aqui es donde los instintos del RGPD le llevan por el camino equivocado. He identificado cuatro diferencias fundamentales entre lo que exige el RGPD y lo que exige el Reglamento de IA. Su equipo de cumplimiento probablemente esta aplicando el pensamiento de la Columna A a un problema de la Columna B.

	Enfoque RGPD	Enfoque Reglamento de IA
Que protege	Datos personales	Personas afectadas por sistemas de IA -- independientemente de que haya datos personales involucrados
Mecanismo central	Controlar los flujos de datos: consentimiento, minimizacion, limitacion de la finalidad, derechos de acceso	Controlar la competencia del sistema: alfabetizacion, transparencia, supervision humana, gestion de riesgos
Quien debe actuar	Responsables y encargados del tratamiento	Proveedores y responsables del despliegue de IA -- con obligaciones distintas y no delegables para cada uno
Como es el cumplimiento	Politicas, avisos, EIPD, registros de actividades de tratamiento, designacion de DPD	Programas de formacion, evidencia de competencia, documentacion tecnica, monitorizacion continua, protocolos de supervision humana

Lea esa tabla con atencion. El RGPD trata fundamentalmente de controlar lo que ocurre con los datos. El Reglamento de IA trata fundamentalmente de controlar lo que ocurre con las personas cuando los sistemas de IA toman o influyen en decisiones sobre ellas. La proteccion de datos es necesaria pero no suficiente. Se puede tener un despliegue de IA perfectamente conforme con el RGPD que infrinja el Reglamento de IA de tres maneras diferentes.

La confusion mas peligrosa esta en la tercera fila. Bajo el RGPD, se puede delegar en gran medida el cumplimiento a un encargado del tratamiento mediante clausulas contractuales -- su contrato de tratamiento de datos. Bajo el Reglamento de IA, las obligaciones del responsable del despliegue son no delegables. El cumplimiento de su proveedor no le exime del suyo. El Articulo 4 exige que usted garantice la alfabetizacion en IA de su personal. El Articulo 26 exige que usted asigne la supervision humana a personas con la competencia y la autoridad necesarias. Ningun contrato con un proveedor satisface estas obligaciones en su nombre.

La verificacion de la realidad temporal

¿Donde estamos ahora y que viene?

Ya vinculante (desde el 2 de febrero de 2025):

Articulo 4: Alfabetizacion en IA para todo el personal y personas que operen IA en su nombre
Articulo 5: Practicas prohibidas (puntuacion social, IA manipuladora, ciertos usos biometricos)

Vinculante desde el 2 de agosto de 2025:

Obligaciones de modelos de IA de proposito general (transparencia, documentacion, cumplimiento de derechos de autor)
La Oficina de IA ha estado en una fase de "colaboracion informal" con los principales proveedores de GPAI desde agosto de 2025

Proximo: 2 de agosto de 2026 (dentro de 5 meses):

Requisitos completos para sistemas de alto riesgo (evaluaciones de conformidad, gestion de riesgos, gobernanza de datos, supervision humana)
Las autoridades nacionales de vigilancia del mercado deben estar operativas
Requisitos de registro de sistemas de alto riesgo en la base de datos de la UE

Si su programa de cumplimiento trata agosto de 2026 como la fecha de inicio, ya ha incumplido mas de un ano de obligaciones vinculantes. El Articulo 4 no llega en agosto. Llego en febrero de 2025.

La cuestion de la competencia

Este es el escenario que me quita el sueno. No el dramatico -- no el sistema de IA descontrolado que causa un dano evidente. El silencioso.

Amazon construyo una herramienta de contratacion impulsada por IA que se uso internamente durante anos antes de que alguien descubriera que estaba penalizando sistematicamente a las candidatas femeninas. [cite:amazon-hiring-tool] El sistema habia sido entrenado con diez anos de curriculos, que procedian predominantemente de hombres. Aprendio que los candidatos masculinos eran preferibles. Rebajaba la puntuacion de los curriculos que contenian la palabra "women's" -- como en "women's chess club captain" (capitana del club de ajedrez femenino). Penalizaba a las graduadas de dos universidades exclusivamente femeninas.

Nadie se dio cuenta durante anos. No porque las personas que usaban el sistema fueran negligentes, sino porque carecian de la competencia para reconocer lo que el sistema estaba haciendo. Veian resultados -- clasificaciones de candidatos -- y asumian que los resultados eran fiables porque el sistema era sofisticado. No comprendian como los datos de entrenamiento configuran el comportamiento del modelo. No sabian que debian preguntar si los datos historicos codificaban los mismos sesgos que la herramienta supuestamente debia eliminar. No estaban alfabetizados en IA en el sentido que el Articulo 4 ahora exige.

Por eso argumento -- de forma repetida y con creciente frustracion -- que la competencia en IA no puede centralizarse. No se puede nombrar a un Director de IA, darle un presupuesto y declarar el problema resuelto. La herramienta de contratacion de Amazon no la usaban especialistas en IA. La usaban reclutadores de RRHH. Las personas que necesitaban comprender las limitaciones del sistema eran las que tomaban decisiones de contratacion con el -- no las que lo construyeron.

El Articulo 4 reconoce esto. No dice "designe a alguien que entienda de IA". Dice que se garantice la alfabetizacion en IA del "personal y otras personas que se ocupen del funcionamiento y uso de los sistemas de IA". [cite:eu-ai-act-article4] Eso es toda persona que interactua con un sistema de IA en su trabajo. La reclutadora que usa una herramienta de seleccion con IA. El director de marketing que usa un generador de contenidos. El abogado que usa una plataforma de revision de contratos. La analista financiera que usa un modelo de prevision. Cada uno de ellos necesita comprender, a un nivel apropiado para su funcion, lo que el sistema puede hacer, lo que no puede hacer y cuando su juicio profesional debe prevalecer sobre el resultado del sistema.

La encuesta de BCG de 2025 revelo que solo el 36% de los empleados considera que su formacion en IA es suficiente. El 18% de los usuarios habituales de IA no recibio ninguna formacion. [cite:bcg-ai-work-2025] Esa es la linea base con la que trabaja. No es una laguna de competencia -- es un abismo de competencia.

El cumplimiento del RGPD nunca exigio esto. Se podia centralizar el conocimiento del RGPD en un delegado de proteccion de datos y un equipo juridico. Ellos redactaban las politicas. Revisaban las actividades de tratamiento. Gestionaban las solicitudes de los interesados. La mayoria de los empleados necesitaban conocer lo basico -- no enviar hojas de calculo con datos personales por correo electronico, notificar las brechas con prontitud -- pero la experiencia profunda residia en una funcion.

El Reglamento de IA no permite este modelo. La alfabetizacion en IA es distribuida por diseno. Cada funcion que use IA debe contar con personas competentes que la utilicen. Eso no es un requisito de politica -- es un requisito de capacidad. No se puede satisfacer con un documento. Se satisface con evidencia de que sus empleados comprenden los sistemas que operan.

Aqui es donde entra el marco de TwinLadder. Nuestro modelo de competencia de siete pilares -- Competencia de Despliegue, Politica y Proteccion de Datos, Formacion, Herramientas, Evidencia, Gobernanza -- fue construido especificamente para esta obligacion distribuida. Se evalua la competencia a nivel funcional, no a nivel organizativo, porque ahi es donde reside la obligacion. Un departamento juridico que usa revision de contratos con IA necesita una competencia diferente a la de un equipo de marketing que usa generacion de contenidos con IA. El marco se adapta a ambos, con la profundidad adecuada al rol.

Las organizaciones que traten el Reglamento de IA como el RGPD construiran un programa de cumplimiento centralizado y se preguntaran por que falla. Las organizaciones que comprendan la diferencia construiran competencia distribuida -- y eso es lo unico que realmente satisface el Articulo 4.

Que hacer

Audite su respuesta actual al Reglamento de IA. Si reside dentro de su programa de RGPD, extraigala. El Reglamento de IA requiere gobernanza separada, formacion separada y evidencia separada. Un programa de cumplimiento del RGPD no puede satisfacer el Articulo 4, del mismo modo que un plan de seguridad contra incendios no puede satisfacer los requisitos estructurales de un edificio.
Mapee cada sistema de IA en uso en su organizacion. No solo los que adquirio el departamento de TI. Los que marketing adopto mediante una suscripcion SaaS. Los que empleados individuales contrataron con un correo personal. Los integrados en el software empresarial existente que su proveedor actualizo silenciosamente con "funciones impulsadas por IA". No se puede construir alfabetizacion en torno a sistemas que desconoce que existen.
Identifique quien en cada funcion esta operando sistemas de IA. El Articulo 4 se aplica al "personal y otras personas que se ocupen del funcionamiento y uso de los sistemas de IA". Eso significa que necesita una lista de nombres y roles, no de departamentos. La directora de RRHH que revisa candidatos clasificados por IA. El analista que usa previsiones generadas por IA. El abogado que depende de resumenes de contratos con IA.
Evalue la alfabetizacion actual en IA frente al estandar del Articulo 4. ¿Pueden estas personas explicar lo que hace su sistema de IA, como puede fallar y cuando deben anular su resultado? Si la respuesta es no -- y para la mayoria de las organizaciones lo sera -- tiene una laguna medible y cinco meses para cerrarla antes de que lleguen los requisitos de alto riesgo.
Deje de tratar la formacion del proveedor como evidencia de cumplimiento. La incorporacion al producto de su proveedor no es formacion en alfabetizacion en IA. Ensena a las personas a usar la interfaz. El Articulo 4 exige que las personas comprendan las capacidades y limitaciones del sistema. Pregunte si la formacion de su proveedor cubre los modos de fallo, los sesgos conocidos y cuando el juicio humano debe prevalecer. Si no lo hace, construya formacion complementaria o busque un proveedor que aborde la laguna.
Empiece a recopilar evidencia ahora. Cuando comience la aplicacion, los reguladores pediran documentacion. Registros de formacion, evaluaciones de competencia, protocolos de supervision, inventarios de sistemas. Las organizaciones que empezaron a construir esta evidencia en 2025 tendran una ventaja sustancial sobre las que se apresuren en 2027.

Lecturas rapidas

Texto completo del Reglamento Europeo de IA -- la fuente primaria. Lea los Articulos 4, 5 y 26 antes de leer la interpretacion de cualquier otro.
Directrices de la Comision Europea sobre Practicas Prohibidas de IA -- publicadas en abril de 2025, clarifican lo que prohibe el Articulo 5 y como evaluar los casos limite.
BCG, AI at Work 2025 -- El 36% de los empleados dice que la formacion en IA es suficiente. El 18% no recibio ninguna. La laguna de competencia en cifras.
Bird & Bird, Calendario de Implementacion del Reglamento de IA -- rastreador practico de que obligaciones se aplican cuando, actualizado regularmente.
Future of Life Institute, Verificador de Cumplimiento del Reglamento de IA -- base de datos de busqueda del reglamento con analisis articulo por articulo.

Una pregunta

Si un regulador pidiera hoy a su organizacion que demostrara que el personal que utiliza sistemas de IA tiene una "alfabetizacion en IA suficiente" como exige el Articulo 4 -- una obligacion que lleva trece meses siendo vinculante -- ¿que evidencia presentaria?

TwinLadder Weekly | Numero #30 | Marzo 2026

Ayudando a los profesionales europeos a desarrollar competencia en IA mediante una educacion honesta.