La arquitectura legal que sostiene el mercado tecnológico europeo ha encontrado su primer brazo ejecutor en el ámbito de la biometría. Casi dos años después de que el Reglamento Europeo de Inteligencia Artificial (AI Act) comenzara a dictar los tiempos de la innovación en el continente, la entidad DEKRA ha obtenido la primera acreditación mundial para certificar sistemas de IA biométrica bajo este marco. No es un movimiento administrativo menor; representa la apertura de la aduana técnica para tecnologías que, hasta ahora, operaban en un limbo de autorregulación y que a partir de agosto de 2026 enfrentarán el bloqueo comercial si no cuentan con este sello de conformidad.
La pregunta que subyace en los despachos de dirección de las tecnológicas españolas no es solo si sus sistemas cumplen con la norma, sino si existe la infraestructura suficiente para procesar las certificaciones antes de que expiren los plazos de gracia. Con esta acreditación, el mercado recibe una primera respuesta, aunque la capacidad de absorción de un solo organismo ante la demanda de todo el ecosistema europeo de IA sigue siendo una incógnita operativa.
El embudo de la alta densidad regulatoria
El Reglamento Europeo de IA clasifica las soluciones según su potencial de daño a los derechos fundamentales, y es precisamente en la cúspide de esta pirámide, la categoría de alto riesgo, donde DEKRA ha centrado su capacidad de maniobra. La acreditación no cubre la IA de propósito general, sino herramientas específicas de identificación biométrica remota, reconocimiento de emociones y categorización basada en rasgos físicos o conductuales.
Este despliegue ocurre en un momento en que la biometría ha dejado de ser una función de desbloqueo de dispositivos para convertirse en una infraestructura de vigilancia y gestión de masas. La identificación remota, capaz de señalar a un individuo en una multitud sin su consentimiento activo, es el punto de mayor fricción entre la eficiencia de la seguridad pública y el derecho a la privacidad. Al situarse como evaluador, DEKRA asume la responsabilidad de validar no solo que el algoritmo funciona, sino que los protocolos de supervisión humana y los registros de trazabilidad son lo suficientemente robustos para evitar sesgos discriminatorios.
Sin embargo, el reto para los fabricantes es mayúsculo. La transición desde el desarrollo ágil de software hacia un modelo de certificación similar al de los dispositivos médicos o la industria automotriz implica un cambio cultural en las plantillas de ingeniería. La documentación técnica requerida por el AI Act no es un apéndice del producto, sino el producto mismo en términos de validez legal.
La tricotomía de la vigilancia biométrica
El alcance de la nueva acreditación se divide en tres pilares que definen las tensiones actuales de la industria. En primer lugar, los sistemas de identificación biométrica remota. Estos son, quizás, los más polémicos por su uso potencial en espacios públicos. Aquí, la evaluación de conformidad debe garantizar que la precisión del sistema no decae en función de la etnia o el género, un problema persistente en los motores de reconocimiento facial de la última década.
En segundo lugar, aparece el reconocimiento de emociones. Es un terreno donde la ciencia y la regulación chocan con frecuencia. Mientras algunas empresas defienden su utilidad para mejorar la seguridad vial detectando el cansancio del conductor, la Comisión Europea mira con recelo su aplicación en entornos laborales o educativos. La labor de certificación en este punto es crítica: determinar si una IA está realmente detectando una emoción o simplemente interpretando un patrón muscular sin contexto real, lo que podría derivar en decisiones injustas para el usuario.
Finalmente, la categorización biométrica completa el tridente. Clasificar a las personas por sus rasgos físicos para segmentar publicidad o accesos plantea dilemas sobre la creación de perfiles automatizados. La intervención de DEKRA busca ofrecer una capa de «confianza digital», un término que Fernando E. Hardasmal, vicepresidente ejecutivo de DEKRA SD Digital & Product Solutions, destaca como el eje vertebrador de la nueva economía de los datos. Según Hardasmal, estar a la altura de esta normativa permite a los fabricantes afrontar los requisitos más exigentes con la seguridad de que sus productos no serán rechazados por el mercado comunitario.
El calendario de agosto de 2026
Para los directivos en España, la fecha marcada en rojo es agosto de 2026. Es el momento en que la obligatoriedad de cumplimiento será plena para los sistemas de IA de alto riesgo. El hecho de que DEKRA se haya posicionado como pionera en marzo de 2026 —apenas unos meses antes del cierre del plazo— evidencia la lentitud con la que se están engranando las piezas del sistema de acreditación europeo.
El proceso de evaluación de la conformidad no es un trámite de una semana. Implica auditorías profundas de los sistemas de gestión de riesgos, la calidad de los conjuntos de datos utilizados para el entrenamiento y la ciberseguridad del modelo. Para una startup tecnológica, este proceso puede suponer un cuello de botella financiero y temporal. Pese a ello, la existencia de un organismo acreditado elimina una de las principales quejas del sector: la falta de referentes claros para auditar sus desarrollos.
El marco regulatorio, en vigor desde agosto de 2024, ha tenido una aplicación gradual. Esta pausa ha servido para que entidades como DEKRA adapten sus propios laboratorios y formen a expertos capaces de entender cajas negras algorítmicas que, a menudo, ni siquiera sus creadores pueden explicar por completo. La confianza no se deposita solo en el código, sino en la transparencia del proceso de creación de ese código.
Tensiones entre innovación y control
Existe una narrativa persistente que sugiere que la regulación europea asfixia la innovación frente a los modelos de Estados Unidos o China. No obstante, el enfoque del AI Act apuesta por una ventaja competitiva basada en la ética. Si un sistema biométrico está certificado en la UE, teóricamente posee un estándar de calidad y respeto a los derechos que lo hace exportable a cualquier mercado que valore la protección del consumidor.
Pero este optimismo tiene matices. El coste de la certificación y la rigidez de los controles podrían desplazar a los competidores más pequeños, consolidando el dominio de las grandes corporaciones que tienen capacidad para mantener departamentos enteros de cumplimiento normativo. La biometría, al ser una tecnología tan transversal, afecta desde la banca hasta el retail, pasando por la gestión de recursos humanos. La certificación de DEKRA es solo el primer paso de una red de control que deberá expandirse rápidamente si Europa no quiere ver cómo sus empresas tecnológicas se quedan en la sala de espera de la legalidad.
Derivadas de un mercado en transformación
La aparición del primer organismo de certificación para biometría deja sobre la mesa varias incógnitas. ¿Cuántos organismos más se acreditarán en los próximos meses para evitar el monopolio técnico? ¿Cómo reaccionarán los desarrolladores ante las posibles denegaciones de certificación por sesgos algorítmicos no detectados previamente?
La infraestructura técnica para supervisar la IA está naciendo ahora, casi al mismo tiempo que la obligación de usarla. El éxito de DEKRA en obtener este reconocimiento marca el inicio de una era donde el algoritmo ya no es soberano; ahora debe rendir cuentas ante un auditor que habla el lenguaje de la ley y de los bits. La incógnita que resta es si este modelo de supervisión será lo suficientemente ágil para seguir el ritmo de una tecnología que muta cada semana, o si el certificado de conformidad nacerá obsoleto antes de que la tinta del sello se haya secado.
