Hay una escena que ya se repite en muchas empresas, aunque casi nadie la describa así. Un equipo usa IA para resumir documentación. Otro la usa para preparar propuestas. Otro para clasificar tickets. Otro para redactar campañas. Desde comité todavía puede parecer que la organización “está explorando”. Pero abajo, en el trabajo real, la IA ya está metida en tareas cotidianas, pequeñas decisiones y flujos que nadie trata como un proyecto formal.
Por eso la AI Act no debería leerse solo como un texto sobre riesgos altos, prohibiciones o grandes proveedores. También obliga a hacerse una pregunta bastante más incómoda y bastante más operativa: qué herramientas, asistentes, modelos y automatizaciones con capacidades de IA se están usando ya dentro de la empresa, quién las usa y sobre qué datos están trabajando.
La pregunta importa porque la IA rara vez entra por una puerta solemne. En muchas organizaciones aparece por urgencia, por comodidad o porque negocio detecta valor antes de que el marco esté claro. Y ahí nace el desfase: arriba se sigue hablando de futuro; abajo ya hay uso real.
Lo primero que obliga a mirar la AI Act
Para muchas empresas, la primera consecuencia no es técnica. Es organizativa. Si tienes que formar, supervisar, documentar y gobernar el uso de IA, antes necesitas saber qué existe, dónde está y para qué se está usando. La propia Comisión Europea, en sus materiales sobre alfabetización en IA, deja una idea difícil de esquivar: no puedes asegurar un nivel suficiente de conocimiento y supervisión si ni siquiera tienes una visión mínima del terreno.
Eso baja la conversación a algo mucho más concreto. Antes de discutir políticas sofisticadas, hay que responder preguntas bastante básicas:
- Qué sistemas, servicios o funciones con capacidades de IA están ya en uso.
- Qué áreas los utilizan y con qué objetivo práctico.
- Qué datos internos, personales, sensibles o estratégicos pasan por esos flujos.
- Qué validación humana, límites de uso y evidencias existen hoy.
Sin ese punto de partida, la conversación sobre cumplimiento corre el riesgo de quedarse en el discurso. Y ahí es donde muchas organizaciones empiezan a levantar una política sobre una realidad que todavía no conocen bien.
Lo que suele estar pasando de verdad
En empresa, esto rara vez adopta la forma de un gran despliegue oficial. Suele aparecer de manera mucho más dispersa. Un área compra o prueba una herramienta. Otra activa funciones de IA dentro de un software que ya usaba. Otra automatiza una parte del trabajo porque necesita velocidad y no quiere esperar a que todo quede definido. Nada de eso implica por sí solo descontrol. Pero sí deja una señal clara: la adopción suele ir bastante más rápido que la gobernanza.
Y cuando esa distancia crece, también crece la dificultad para responder con rigor a preguntas muy simples. Qué se usa. Quién lo usa. Para qué. Con qué datos. Bajo qué límites. Con qué supervisión. No es un problema de relato. Es un problema de visibilidad.
- No basta con aprobar una policy general de IA.
- No basta con autorizar una herramienta corporativa y asumir que el resto desaparece.
- No basta con confiar en que IT o seguridad van a ver por sí solos todo lo relevante.
- No basta con formar si antes no existe un mapa mínimo del uso real.
La lectura que debería hacer dirección
La AI Act no pide una reacción teatral ni un freno indiscriminado. Pide algo bastante más serio: que la organización pueda explicar con criterio cómo está entrando la IA en su operación. Y esa explicación no debería apoyarse en impresiones generales ni en la sensación tranquilizadora de que “todavía estamos en una fase temprana”.
La pregunta útil para dirección es mucho más directa. Si mañana comité, auditoría interna o legal te pidieran una fotografía del uso real de IA en la empresa, ¿podrías sostenerla con evidencia o tendrías que reconstruirla a base de intuición, memoria informal y conversaciones sueltas?
Ahí está el punto de inflexión. No en prometer control absoluto, sino en construir una base verificable: inventario, trazabilidad, responsables, usos permitidos, usos dudosos y flujos que merecen revisión. Sin esa base, la empresa no gobierna la IA. Simplemente convive con ella.
- La cuestión ya no es si tendrás una política de IA.
- La cuestión tampoco es si habrá herramientas de IA dentro de tu organización.
- La cuestión real es si puedes explicar con claridad cómo, dónde y para qué se está usando ya.
There is a scene that is already repeating itself in many companies, although almost no one describes it that way. One team uses AI to summarize documentation. Another uses it to prepare proposals. Another to classify tickets. Another to draft campaigns. From the committee's perspective, it may still seem like the organization is "exploring." But down in the real work, AI is already embedded in everyday tasks, small decisions, and workflows that no one treats as a formal project.
That is why the AI Act should not be read solely as a text about high risks, prohibitions, or large providers. It also forces a much more uncomfortable and operational question: what tools, assistants, models, and automations with AI capabilities are already being used within the company, who uses them, and what data are they working with.
The question matters because AI rarely enters through a solemn door. In many organizations, it appears out of urgency, convenience, or because the business detects value before the framework is clear. And that is where the gap arises: up top, they continue to talk about the future; down below, there is already real usage.
The first thing the AI Act forces us to consider
For many companies, the first consequence is not technical. It is organizational. If you need to train, supervise, document, and govern the use of AI, you first need to know what exists, where it is, and for what purpose it is being used. The European Commission itself, in its materials on AI literacy, leaves a difficult-to-avoid idea: you cannot ensure a sufficient level of knowledge and oversight if you do not even have a minimal view of the landscape.
This brings the conversation down to something much more concrete. Before discussing sophisticated policies, you must answer some quite basic questions:
- What systems, services, or functions with AI capabilities are already in use.
- What areas use them and for what practical purpose.
- What internal, personal, sensitive, or strategic data pass through those workflows.
- What human validation, usage limits, and evidence exist today.
Without that starting point, the conversation about compliance runs the risk of remaining just talk. And that is where many organizations begin to build a policy on a reality they do not yet know well.
What is usually really happening
In companies, this rarely takes the form of a large official rollout. It usually appears in a much more dispersed manner. One area purchases or tests a tool. Another activates AI functions within software they were already using. Another automates part of the work because they need speed and do not want to wait for everything to be defined. None of this alone implies a lack of control. But it does leave a clear signal: adoption tends to move much faster than governance.
And when that distance grows, so does the difficulty in rigorously answering very simple questions. What is being used. Who is using it. For what. With what data. Under what limits. With what oversight. It is not a problem of narrative. It is a problem of visibility.
- It is not enough to approve a general AI policy.
- It is not enough to authorize a corporate tool and assume the rest disappears.
- It is not enough to trust that IT or security will see everything relevant on their own.
- It is not enough to train if there is not a minimum map of real usage beforehand.
The reading that management should make
The AI Act does not call for a theatrical reaction or an indiscriminate halt. It calls for something much more serious: that the organization can explain with criteria how AI is entering its operation. And that explanation should not rely on general impressions or the reassuring feeling that "we are still in an early phase."
The useful question for management is much more direct. If tomorrow the committee, internal audit, or legal asked you for a snapshot of the real use of AI in the company, could you support it with evidence, or would you have to reconstruct it based on intuition, informal memory, and loose conversations?
There lies the turning point. Not in promising absolute control, but in building a verifiable foundation: inventory, traceability, responsible parties, permitted uses, questionable uses, and workflows that deserve review. Without that foundation, the company does not govern AI. It simply coexists with it.
- The question is no longer whether you will have an AI policy.
- The question is also not whether there will be AI tools within your organization.
- The real question is whether you can clearly explain how, where, and for what it is already being used.
