Después de la IA llega el estado sensor
La IA no es solo software — se convierte en inteligencia integrada en cámaras, cuerpos, sistemas de salud, lugares de trabajo, ciudades y dispositivos. La Ley de IA de la UE entra en plena vigencia en agosto de 2026. Pero la batalla más decisiva apenas comienza: la convergencia de la IA con la biomedicina, la computación espacial y la vigilancia ambiental está construyendo una infraestructura que será casi imposible de gobernar una vez que se consolide.
Tabla de Contenidos
Por qué Europa debe regular la próxima década antes de que se convierta en infraestructura.
La Ley de Inteligencia Artificial de la UE entra en plena vigencia en agosto de 2026. Es un hito genuino — la primera ley de IA integral y basada en riesgos en cualquier lugar del mundo. Pero si estás construyendo sistemas que funcionarán en 2028 o 2031, la Ley no es el mapa completo. Es el prólogo.
La pregunta más decisiva no es si un modelo determinado es de alto riesgo según el Anexo III. Es si las sociedades democráticas pueden gobernar la convergencia más amplia: la IA fusionándose con sistemas de datos biomédicos, realidad aumentada, análisis del lugar de trabajo, sensores ambientales, dispositivos conectados e identificación biométrica — antes de que esa fusión se convierta en una infraestructura demasiado arraigada para ser cuestionada.
Este es el estado sensor. No un estado de vigilancia en el sentido dramático de la Guerra Fría. Algo más silencioso y, en ciertos aspectos, más duradero: un mundo en el que el entorno se vuelve computable, el cuerpo se convierte en fuente de datos, y el archivo espera a que el algoritmo lo alcance.
I. El centro visible y la tormenta más amplia
A mediados de 2026, la IA está profundamente integrada tanto en la infraestructura de nube como en la de borde. Los grandes modelos de lenguaje ya no son experimentos — son capas de decisión dentro de las organizaciones: búsqueda, atención al cliente, revisión legal, triaje médico, selección de personal, detección de fraude, administración pública, moderación de contenidos. La IA en el borde (pequeños modelos de lenguaje que funcionan en el dispositivo) es ahora lo suficientemente común como para que el razonamiento significativo ya no requiera un viaje de ida y vuelta a un centro de datos.
La Ley de IA identifica correctamente una clase de usos prohibidos — puntuación social, reconocimiento facial indiscriminado de cámaras de vigilancia, inferencia de emociones en lugares de trabajo — y una taxonomía de sistemas de alto riesgo que requieren documentación, registro, supervisión humana y pruebas de sesgo. Esa taxonomía importa. Pero está construida en torno a sistemas individuales evaluados de forma aislada.
La arquitectura de riesgo real de 2026 es diferente. Se trata de cadenas de sistemas y flujos de datos convergentes.
Un organismo público utiliza IA para priorizar casos de inspección. Un banco utiliza IA para interpretar eventos vitales y ajustar el riesgo crediticio. Un empleador utiliza IA para inferir el compromiso o predecir la rotación. Un municipio utiliza feeds de cámaras asistidos por IA para asignar recursos policiales. Cada uso es individualmente defendible. Juntos producen una sociedad en la que los ciudadanos son continuamente clasificados, puntuados y prejuzgados — no por un único sistema de alto riesgo sino por una malla de inferencias interoperables.
Regular la malla requiere un marco diferente al de regular modelos individuales.
II. Las tres capas convergentes
Tres categorías tecnológicas están madurando simultáneamente y fusionándose en torno a un sustrato común: datos íntimos sobre cuerpos, comportamiento, ubicación, atención, salud e intención.
Infraestructura de datos biomédicos
Diagnósticos asistidos por IA, secuenciación genómica vinculada a perfiles de riesgo, sensores portátiles que monitorizan signos vitales de forma continua, plataformas de telemedicina digital que combinan historiales clínicos con datos fisiológicos en tiempo real — estos no son escenarios futuros. Son implementaciones actuales. Bajo el Espacio Europeo de Datos de Salud (EHDS), publicado en marzo de 2025, los sistemas sanitarios de la UE están construyendo infraestructura de intercambio de datos transfronteriza tanto para la atención primaria como para el uso secundario en investigación.
Los datos de salud no son simplemente información sobre lo que hemos hecho. Pueden revelar lo que puede sucedernos: riesgo de enfermedad, fertilidad, historial de salud mental, ascendencia genética, asegurabilidad futura. Implican a familiares que nunca dieron su consentimiento. Conservan relevancia durante décadas — y pueden re-identificarse a partir de datos que en su momento parecían anónimos.
Computación aumentada y espacial
El hardware de AR y RV es más capaz y más distribuido de lo que sugiere la curva de adopción del consumidor. Las implementaciones relevantes no son cascos de videojuegos. Son superposiciones de mantenimiento de fábrica, sistemas de guía quirúrgica, flujos de trabajo de logística, entornos de formación en el lugar de trabajo e infraestructura de gemelos digitales a escala urbana. Los sensores de mapeo espacial — LiDAR, cámaras de profundidad, rastreadores de mirada — escanean entornos de forma continua.
El problema de privacidad con la AR no es solo lo que ve el usuario. Es lo que el dispositivo debe percibir para funcionar. Los sistemas de computación espacial mapean habitaciones, rastrean la mirada, interpretan gestos, graban voces, identifican objetos, localizan cuerpos e infieren atención. Un teléfono inteligente sabe dónde estás. Las gafas de AR pueden saber qué miraste, durante cuánto tiempo, con qué respuesta fisiológica, en presencia de quién y dentro de qué habitación privada.
Los estudios señalan que las cámaras de RV/AR pueden capturar postura, mirada y patrones nerviosos sutiles que revelan el estado emocional o de salud — datos que el usuario nunca compartió conscientemente.
Infraestructura de vigilancia y memoria barata
Las cámaras y los micrófonos son ahora ubicuos: CCTV, cámaras de tráfico, drones, cámaras de timbre, altavoces inteligentes, cámaras de salpicadero. La IA cambia la economía de lo que ha sido grabado. Antes, la recopilación era barata pero la interpretación era cara. Ahora la interpretación también es barata.
El concepto crítico es la re-identificación retroactiva. Una imagen borrosa de una cámara callejera de hace cinco años puede aclararse con superresolución moderna. Una muestra de voz guardada por un tercero puede asociarse a un perfil social. Un registro de movilidad considerado anónimo puede identificar al 95 % de los individuos a partir de cuatro puntos de ubicación. Esto convierte los datos almacenados en poder latente. El archivo es paciente.
III. Lo que la Ley de IA cubre — y lo que no
El calendario de la Ley de IA es ahora bien conocido:
1 ago 2024 La Ley entra en vigor
2 feb 2025 Prácticas prohibidas (Art. 5) aplicables
2 feb 2025 Obligaciones de alfabetización en IA (Art. 4) aplicables
2 ago 2025 Obligaciones de proveedores de IAGP (Capítulo V) aplicables
2 ago 2026 Requisitos de alto riesgo (Capítulo III) aplicables
2 ago 2027 Plazo ampliado para IA de alto riesgo en
productos regulados del Anexo I
La Ley cubre sistemas de IA individuales evaluados frente a categorías de riesgo definidas. Requiere documentación, registro, supervisión humana, pruebas de sesgo y gestión de riesgos para sistemas de alto riesgo. Esto es necesario y real.
Lo que no aborda directamente:
Cadenas de sistemas. Una secuencia de decisiones asistidas por IA en diferentes organizaciones, cada una individualmente conforme, puede producir un resultado del que ningún sistema individual es responsable. La malla no está gobernada.
Vigilancia retroactiva. La Ley restringe la identificación biométrica remota en tiempo real. Es menos clara sobre el análisis retrospectivo — el uso de grabaciones almacenadas y algoritmos futuros mejorados para identificar a personas que estuvieron presentes años antes.
Daños de privacidad inferencial. Los modelos modernos pueden inferir etnia a partir de la voz, opiniones políticas a partir de patrones de redes sociales, orientación sexual a partir de patrones de reacción y estado de salud a partir de datos de movimiento. Estas inferencias ocurren a partir de datos que no parecen biométricos en el momento de la recopilación.
Flujos de datos de productos conectados. Los dispositivos IoT, los cascos de AR, los vehículos inteligentes y los dispositivos de salud portátiles generan flujos de comportamiento continuos. Estos están regulados principalmente por el RGPD y la Ley de Datos, no por la Ley de IA — creando una brecha entre donde se generan los datos y donde se aplica la regulación basada en riesgos.
IV. Datos biomédicos: La frontera más personal
El marco EHDS es estratégicamente importante precisamente porque expone la tensión en el núcleo de la gobernanza de datos de salud. En su mejor expresión, permite valor público genuino: investigación transfronteriza, mejor IA diagnóstica, respuesta coordinada a pandemias. El uso secundario de datos de salud — con consentimiento y bajo una gobernanza estricta — puede acelerar el descubrimiento de fármacos y reducir las desigualdades sanitarias.
En su peor expresión, cualquier gran espacio de datos de salud corre el riesgo de creación misión. El «uso secundario» se amplía. Los mecanismos de consentimiento se vuelven nominales. Los socios comerciales obtienen acceso que no era la intención original. La OMS ha advertido que los grandes modelos de IA multimodal pueden ser ampliamente utilizados en el sistema sanitario y la investigación, y ha subrayado que la ética y los derechos humanos deben estar en el centro del diseño y la implementación — no como reflexiones tardías añadidas cuando la presión pública lo exige.
Para los ingenieros y arquitectos que construyen sistemas en este ámbito, los principios prácticos son:
- Minimización de datos como arquitectura. Recopilar solo lo necesario para el propósito declarado. Diseñar sistemas que no puedan retener más de lo que necesitan. Hacer de la minimización una propiedad estructural, no un documento de política.
- Limitación de finalidad con aplicación técnica. Los permisos de uso secundario deben estar codificados en controles de acceso, no meramente documentados en términos de servicio.
- Procedencia y capacidad de auditoría. Todo uso de datos de salud debe registrarse, ser atribuible y revisable por el interesado y por los reguladores.
Un sistema sanitario no debe convertirse en un sistema de vigilancia suave porque se colocó la palabra «innovación» sobre la entrada.
V. Computación espacial: La interfaz se convierte en sensor
El error que cometieron los reguladores con las cookies fue construir arquitectura de consentimiento después de que el modelo económico estaba maduro. La lección es que la gobernanza debe llegar antes de que el despliegue masivo consolide los valores predeterminados.
Para la computación espacial, esa ventana está abierta ahora — pero no indefinidamente.
La Comisión Europea ha reconocido los mundos virtuales y Web 4.0 como campo estratégico, con objetivos declarados para un entorno digital abierto, confiable e interoperable. Pero el marco de gobernanza para lo que los dispositivos espaciales perciben — no lo que muestran — está subdesarrollado. El RGPD se aplica en principio. La brecha práctica de aplicación es amplia.
El principio para la computación espacial debería ser simple: ningún mapeo invisible de espacios privados o semiprivados sin propósito claro, indicadores visibles y control de usuario ejecutable.
Concretamente:
- Procesamiento local por defecto, no carga en la nube de mapas espaciales.
- Períodos de retención cortos para escaneos ambientales.
- Indicadores de grabación visibles — un requisito legal y de diseño, no opcional.
- Derechos sólidos para terceros: una persona que entra en un espacio no debe ser mapeada continuamente sin aviso.
- Prohibición estricta de combinar datos espaciales con perfiles de identidad excepto bajo condiciones estrechas y auditadas.
Una persona que entra en una cafetería no debería necesitar negociar silenciosamente con los sensores ambientales de cada dispositivo en la sala.
VI. Vigilancia a escala: Memoria barata y el archivo paciente
La Ley de IA de Europa establece límites importantes a la identificación biométrica remota en tiempo real en espacios públicamente accesibles con fines policiales — requiriendo condiciones estrechas y autorización previa de una autoridad judicial o administrativa independiente. Esta es una restricción real a un riesgo real.
Pero las organizaciones de la sociedad civil han identificado correctamente las lagunas. La vigilancia biométrica por parte de actores no policiales está en gran medida sin regular a nivel de sensor. El análisis retrospectivo — el reprocesamiento de grabaciones almacenadas con modelos futuros mejorados — cae en una ambigüedad regulatoria. Y la convergencia de modalidades (CCTV más metadatos de teléfono, datos de mirada AR más historial de compras) crea capacidad de vigilancia que ningún conjunto de datos individual parecería autorizar.
El problema más profundo es estructural. Una persona que puede ser identificada, rastreada y analizada retroactivamente en todas partes se comporta de manera diferente. Asiste con menos frecuencia a reuniones políticas. Visita con menos frecuencia organizaciones sensibles. Se vuelve cautelosa de maneras difíciles de medir y políticamente profundas. La democracia requiere no solo libertad de expresión sino también libertad frente a la identificación continua.
Por eso el valor predeterminado debe ser la prohibición del rastreo generalizado en espacios públicos, con excepciones estrechas, limitadas en el tiempo y autorizadas judicialmente — no al revés.
VII. Productos conectados: La frontera de gobernanza silenciosa
Dos leyes que reciben menos atención pública que la Ley de IA son silenciosamente significativas:
La Ley de Datos de la UE (aplicable desde septiembre de 2025) otorga a los usuarios — consumidores y empresas — derechos para acceder y compartir datos generados por su uso de productos conectados: coches, electrodomésticos, máquinas industriales, monitores de salud, dispositivos domésticos inteligentes. Prohíbe cláusulas contractuales injustas que impidan compartir datos y establece condiciones para el acceso de emergencia público.
La Ley de Resiliencia Cibernética (en vigor desde diciembre de 2024, obligaciones principales desde diciembre de 2027) impone requisitos obligatorios de ciberseguridad a todos los productos de hardware y software vendidos en la UE. Los fabricantes deben construir productos seguros por diseño, proporcionar actualizaciones de seguridad e informar sobre vulnerabilidades.
Junto con el RGPD, la Ley de IA, la Ley de Servicios Digitales y la Ley de Mercados Digitales, estos instrumentos comienzan a formar un modelo de gobernanza a nivel de pila — reglas que se aplican en capas de hardware, nube, software, acceso a datos, plataforma e IA. Esta es la intuición correcta. El poder tecnológico en 2026 no está localizado en una capa. Se asienta en toda una pila, y la gobernanza que solo alcanza una capa será eludida.
El regulador de la próxima década debe ver toda la pila, no solo el modelo en la cima.
VIII. Cinco principios para el próximo acuerdo
La Ley de IA es el comienzo, no el fin. Para arquitectos, directores de tecnología y responsables de decisiones institucionales que construyen sistemas que operarán hasta 2031, cinco principios estructurales importan más que cualquier lista de verificación de cumplimiento.
1. Regular la recopilación de datos en la fuente. Una vez que los datos se han recopilado a escala, la batalla de gobernanza ya está parcialmente perdida. La próxima generación de reglas debe requerir minimización de datos, procesamiento local donde sea técnicamente factible, períodos de retención cortos por defecto y limitación de finalidad como propiedad arquitectónica — en sistemas de IA, dispositivos AR, productos conectados y plataformas biomédicas por igual.
2. Tratar la identificación biométrica como infraestructura excepcional. Tanto la identificación biométrica en tiempo real como la retrospectiva requieren un control democrático estricto. El valor predeterminado debe ser la prohibición del rastreo generalizado, con excepciones estrechas, limitadas en el tiempo y autorizadas judicialmente. Esto se aplica a los actores no estatales tanto como a la aplicación de la ley.
3. Auditar la organización, no solo el modelo. El cumplimiento de la IA que se detiene en la documentación del modelo no da en el blanco. Una auditoría significativa debe inspeccionar la procedencia de los datos de entrenamiento, el contexto de implementación, los mecanismos de supervisión humana, las vías de recurso para los usuarios, el registro, el reporte de incidentes y la deriva posterior a la implementación. El modelo es un componente de un sistema sociotécnico. La gobernanza debe cubrir el sistema.
4. Los espacios de datos de salud necesitan límites de gobernanza estrictos. El uso secundario de datos de salud puede tener valor público, pero debe ser transparente, registrado, revisable por los interesados y protegido contra la reutilización comercial. La «innovación» no es una justificación suficiente para debilitar estas protecciones. Los ciudadanos necesitan confianza en que la infraestructura de datos de salud sirve a los resultados de salud, no a la extracción optimizada.
5. La contratación pública como instrumento regulador. Las instituciones públicas no deben comprar sistemas de IA, AR, vigilancia o datos de salud que no cumplan requisitos estrictos de privacidad, capacidad de auditoría e interoperabilidad. El Estado no debe financiar las arquitecturas que luego luchará por regular. Los estándares de contratación pública se encuentran entre los instrumentos más poderosos disponibles — más rápidos de aplicar que la legislación y con efecto inmediato en el mercado.
La elección es sobre los valores predeterminados
Los próximos cinco años no estarán determinados por un único invento dramático. Estarán determinados por los valores predeterminados.
Si los sistemas graban por defecto. Si los modelos retienen por defecto. Si los dispositivos identifican por defecto. Si los empleadores miden por defecto. Si los organismos públicos automatizan primero y establecen responsabilidad después. Si los ciudadanos pueden rechazar significativamente.
La tecnología siempre está por delante de la legislación en el sentido trivial: el despliegue precede al estatuto. Pero no debería estar años por delante del control democrático. Esa brecha es un fracaso político, no una inevitabilidad técnica.
La tarea para arquitectos y reguladores es moverse aguas arriba: de la respuesta al daño a las reglas de diseño, de los banners de consentimiento a las restricciones estructurales, del cumplimiento aislado a la gobernanza a nivel de pila.
Europa ha construido el comienzo de ese modelo. La Ley de IA, EHDS, Ley de Datos, DSA y Ley de Resiliencia Cibernética son imperfectas, a veces pesadas, a veces disputadas. Pero juntas representan una afirmación necesaria: la economía digital debe permanecer gobernable, y la tecnología debe permanecer cuestionable.
El verano de 2026 no es la resolución del debate sobre la IA. Es la apertura del próximo acuerdo de privacidad. La pregunta es si la infraestructura institucional para dar forma a ese acuerdo puede construirse antes de que el estado sensor se consolide a su alrededor.
Referencias
- Parlamento Europeo y Consejo. Reglamento (UE) 2024/1689 (Ley de IA). eur-lex.europa.eu
- Comisión Europea. Espacio Europeo de Datos de Salud — Reglamento. eur-lex.europa.eu
- Parlamento Europeo y Consejo. Ley de Datos de la UE (Reglamento 2022/868). eur-lex.europa.eu
- Parlamento Europeo y Consejo. Ley de Resiliencia Cibernética (Reglamento 2024/2847). eur-lex.europa.eu
- NIST. Marco de Gestión de Riesgos de IA 1.0. nist.gov
- OMS. Ética y gobernanza de la inteligencia artificial para la salud. who.int
- OCDE. Principios de IA (actualizado 2024). oecd.ai
- Comisión Europea. Ley de Servicios Digitales (Reglamento 2022/2065). eur-lex.europa.eu
- Comisión Europea. Estrategia para mundos virtuales — Web 4.0. digital-strategy.ec.europa.eu
- EU AI Act Explorer. Texto completo y cronología. artificialintelligenceact.eu