Desafíos de gobernanza de la IA con agentes bajo la Ley de IA de la UE de 2026

A medida que las disposiciones de aplicación de la Ley de IA de la UE comiencen a entrar en vigor en agosto de 2025 —con la extensión de las obligaciones de cumplimiento total a 2026— surge un nuevo y complejo problema para los líderes tecnológicos de toda Europa y más allá. Los sistemas de IA agente, que ejecutan de forma autónoma tareas de varios pasos en entornos empresariales, están poniendo de manifiesto profundas deficiencias en la gobernanza que los marcos de cumplimiento existentes nunca fueron diseñados para abordar.

Lo que está en juego es enorme. Las organizaciones que implementan estos agentes autónomos se enfrentan a posibles multas de hasta 35 millones de euros o el 7 % de su facturación anual global por las infracciones más graves. Y la incómoda realidad es que muchas empresas actualmente no tienen una forma fiable de explicar qué hacen sus agentes de IA, y mucho menos de demostrar que esas acciones son legales.

¿Qué está provocando la crisis de gobernanza?

A diferencia de los modelos de IA tradicionales, que responden a una sola orden y generan un único resultado, los sistemas de IA con agentes operan con un grado de independencia que transforma radicalmente el cálculo de riesgos. Estos agentes pueden transferir datos entre plataformas, iniciar transacciones, comunicarse con API externas y encadenar secuencias de decisiones, a menudo con una mínima intervención humana en cada paso.

Esa autonomía es precisamente lo que las hace valiosas. Empresas como Salesforce, Microsoft y Google han apostado fuertemente por las arquitecturas basadas en agentes en los últimos dieciocho meses. La plataforma Agentforce de Salesforce, los agentes Copilot de Microsoft y los agentes de IA Vertex de Google prometen automatizar flujos de trabajo empresariales complejos que antes requerían intervención humana en cada etapa.

Pero aquí radica el desafío de la gobernanza: cuando un agente toma una decisión trascendental —por ejemplo, rechazar una reclamación de seguro, priorizar los datos médicos de un paciente o señalar a un empleado para una evaluación de desempeño— la organización que lo implementa necesita un registro de auditoría completo. ¿Quién autorizó el alcance de la acción del agente? ¿Qué datos fundamentaron la decisión? ¿Hubo una supervisión humana efectiva? Según los requisitos de la Ley de IA de la UE para sistemas de alto riesgo, estas preguntas no son opcionales, sino obligatorias por ley.

Por qué la Ley de IA de la UE hace que esto sea urgente

La Ley de IA de la UE clasifica las aplicaciones de IA en niveles de riesgo, y las obligaciones más estrictas recaen en los casos de uso de alto riesgo, como las decisiones laborales, la calificación crediticia, la aplicación de la ley, la gestión de la migración y las infraestructuras críticas. Para comprender mejor estas categorías, consulte nuestro resumen de las 5 arquitecturas de computación de IA que todo ingeniero debe conocer en 2025 .

Esto es lo que deben demostrar las organizaciones que implementan sistemas basados en agentes en estos dominios:

• Trazabilidad: Registro completo de las acciones, entradas y salidas del agente a lo largo de su ciclo de vida operativo.
• Supervisión humana: Mecanismos que permiten a personas cualificadas intervenir, anular o desactivar el sistema en cualquier momento.
• Gestión de riesgos: Evaluación continua de cómo el comportamiento autónomo del agente podría producir resultados perjudiciales o discriminatorios.
• Transparencia: Documentación clara que permita a los reguladores y a las personas afectadas comprender cómo se tomaron las decisiones.

El problema radica en que muchas implementaciones de IA con agentes difuminan los límites de la responsabilidad. Cuando un agente coordina acciones en múltiples sistemas —extrayendo datos de una base de datos, realizando inferencias con otro modelo y enviando el resultado a una tercera aplicación— la cadena de decisiones se vuelve opaca. Incluso los ingenieros que crearon el sistema pueden tener dificultades para reconstruir la lógica precisa detrás de un resultado específico.

La brecha de rendición de cuentas que los líderes deben cerrar

Los líderes empresariales son los máximos responsables de los sistemas que implementan, independientemente de su grado de autonomía. Este principio se refuerza explícitamente en la Ley de IA de la UE. Quienes implementan sistemas de IA de alto riesgo —no solo los desarrolladores— tienen importantes obligaciones de cumplimiento.

Sin embargo, una encuesta de McKinsey realizada a principios de 2025 reveló que, si bien el 72 % de las organizaciones habían adoptado alguna forma de IA en sus operaciones, menos de la mitad habían implementado estructuras de gobernanza formales para dichas implementaciones. En el caso específico de los sistemas basados en agentes, es probable que la brecha sea aún mayor, ya que muchas empresas todavía se encuentran en fases piloto y consideran la gobernanza como un problema que se resolverá más adelante.

Ese enfoque se está volviendo rápidamente insostenible. Los analistas del sector advierten que las organizaciones deben tratar la gobernanza de los agentes de IA con el mismo rigor que aplican a los controles financieros o a la protección de datos según el RGPD. Si no se puede auditar, no se puede defender, y los reguladores acabarán exigiendo explicaciones.

Lo que dicen los expertos

Varias voces destacadas en el ámbito de la política de IA han señalado a los sistemas de agentes como un punto ciego regulatorio. Investigadores del Instituto Ada Lovelace han argumentado que los marcos de gobernanza de la IA existentes parten de la base de una relación relativamente estática entre entrada y salida, una suposición que se desmorona cuando los agentes encadenan múltiples decisiones autónomas a lo largo del tiempo.

Por su parte, Gartner predijo a finales de 2024 que, para 2028, al menos el 15 % de las decisiones empresariales diarias serían tomadas de forma autónoma por agentes de IA, frente a prácticamente cero en 2023. Esta trayectoria sugiere que el problema de la gobernanza no hará sino intensificarse a medida que aumente la escala de la implementación.

Para los líderes de TI, el mensaje es claro: esperar a que la normativa se convierta en prescriptiva antes de actuar es una estrategia perdedora. La Ley de IA de la UE establece obligaciones generales, y corresponderá a las organizaciones demostrar que las han cumplido mediante prácticas de gobernanza documentadas y justificables. Quienes estén interesados en desarrollar programas sólidos de supervisión de la IA deberían consultar nuestra guía sobre Microsoft Open-Source Toolkit para la seguridad de los agentes de IA en tiempo de ejecución .

¿Qué sucede después?

Hay varios acontecimientos que merecen ser seguidos de cerca durante lo que queda de 2025 y en 2026:

1. Documentos de orientación regulatoria: Se espera que la Oficina Europea de IA publique una guía detallada sobre el cumplimiento de las normas de alto riesgo, que podría abordar específicamente los sistemas multiagente y los sistemas basados en agentes.
2. Funcionalidades de rendición de cuentas del proveedor: Es probable que los principales proveedores de servicios en la nube implementen funciones mejoradas de registro, explicabilidad y control para sus plataformas de agentes a medida que aumente la presión en materia de cumplimiento normativo.
3. Cambios en los seguros y la responsabilidad civil: Cabe esperar la aparición de productos de seguros de responsabilidad civil específicos para la IA, a medida que las empresas busquen transferir parte del riesgo regulatorio asociado con los sistemas autónomos.
4. Tensiones en la aplicación de la normativa transfronteriza: Las empresas con sede fuera de la UE, pero que prestan servicios a clientes europeos, se enfrentarán a complejas cuestiones jurisdiccionales sobre cómo se aplica la gobernanza de los agentes a sus operaciones.

En resumen

La IA con agentes representa uno de los cambios más trascendentales en la tecnología empresarial desde la llegada de la computación en la nube. Pero la misma autonomía que hace que estos sistemas sean poderosos también dificulta su gobernanza, y el calendario de aplicación de la Ley de IA de la UE no deja margen para la complacencia.

Los líderes que consideran la gobernanza como algo secundario se arriesgan no solo a sanciones regulatorias, sino también a la pérdida de confianza de clientes, empleados y socios. Las organizaciones que prosperen bajo estas nuevas normas serán aquellas que integren la rendición de cuentas en sus sistemas operativos desde el principio, en lugar de implementarla posteriormente tras una crisis de cumplimiento normativo.