¿Cuántas veces hemos visto cómo un proyecto prometedor de Inteligencia Artificial muere lentamente sepultado bajo formularios, comités de aprobación y correos de “quién da el visto bueno”?

Si trabajas en una empresa mediana española, seguramente ya conoces ese camino: entornos de prueba que tardan semanas en aprobarse, dudas sobre quién puede acceder a qué datos, debates interminables sobre la LOPD y el RGPD, y reuniones para decidir si el piloto genera suficiente ROI como para justificar el siguiente paso.

La historia se repite. Y lo hace con una familiaridad que, a quienes llevamos más de tres décadas en el sector tecnológico y bancario, nos resulta extrañamente conocida.

El déjà vu de siempre: cuando internet era “peligroso”

Allá por los años noventa, cuando internet empezaba a asomarse a las empresas, los que teníamos alguna responsabilidad en informática teníamos que decidir, literalmente, quién podía acceder a esa nueva red y quién no. Éramos los guardianes de la puerta. Bloqueábamos URLs, limitábamos accesos y justificábamos cada conexión porque “si no, van a ver cosas que no deben”. Todos sabíamos, en el fondo, que aquello era una batalla perdida de antemano pero nuestros compañeros de Seguridad se lo tomaban realmente a pecho.

Spoiler: hoy todo el mundo tiene internet. En el trabajo, en casa, en el bolsillo. El debate de entonces sobre si era seguro, útil o necesario quedó resuelto por la propia realidad.

Con la IA (Inteligencia Artificial) estamos viviendo exactamente el mismo ciclo. Y reconocer ese patrón nos da una ventaja enorme: podemos no cometer los mismos errores.

Los obstáculos reales de un PoC de IA hoy

Un PoC (Proof of Concept, prueba de concepto) de IA en una empresa mediana española en 2026 se enfrenta a un circuito de obstáculos que haría temblar al más entusiasta de los equipos de innovación:

• Permisos de entorno: ¿Quién autoriza el servidor de pruebas? ¿IT central, el área de negocio, el CISO (Chief Information Security Officer)?

• Acceso a datos: El modelo necesita datos reales, pero los datos reales están afectados por el RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales). Antes de tocarlo, hay que hacer análisis de riesgo, posibles Evaluaciones de Impacto en Protección de Datos (EIPD) y en muchos casos designar o consultar al DPO (Data Protection Officer).

• El ROI imposible: “¿Cuánto ahorro va a generar esto? o ¿cuantas horas / hombre vamos a tener de retorno?” Le piden a un piloto de dos semanas que demuestre lo que una transformación de dos años debería mostrar.

• La guerra de los comités: Seguridad dice que no. Legal dice que quizás. Negocio dice que sí. IT dice que no hay recursos. Y en ese “mientras tanto”, la competencia avanza.

Según los datos del INE analizados por la Fundación Cotec, más del 21,1% de las empresas españolas de diez o más trabajadores ya había adoptado alguna tecnología de IA en 2025, ocho puntos más que el año anterior. El crecimiento existe, pero la burocracia interna es uno de los frenos más silenciosos y más dañinos.

Por qué la LOPD no debería paralizarte (pero sí respetarse)

Uno de los grandes fantasmas en estos proyectos es la normativa de protección de datos. Y tiene sentido que exista: el AI Act europeo exige que los sistemas de inteligencia artificial que procesen información sensible sean auditables y transparentes, alineándose con los principios del RGPD.

Pero hay una diferencia enorme entre cumplir con responsabilidad y usar la normativa como excusa para no hacer nada. En nuestra experiencia, gran parte de los bloqueos no vienen de restricciones legales reales, sino del miedo a interpretar mal la norma. La solución práctica: trabaja con datos sintéticos o anonimizados en los primeros pilotos. Esto elimina casi por completo el problema regulatorio en fase de prueba y te permite avanzar mientras el área legal hace su trabajo con calma.

El compliance no es burocracia: es una ventaja competitiva. Pero hay que saber distinguir entre lo que la ley exige de verdad y lo que el miedo organizacional añade por encima.

Cómo desbloquear tu proyecto de IA sin morir en el intento

Después de haber visto muchos proyectos tecnológicos arrancar, bloquearse y, en el mejor de los casos, relanzarse, compartimos algunas recomendaciones concretas:

1. Empieza pequeño y sin datos sensibles. Un piloto con datos públicos o sintéticos demuestra valor sin levantar alertas regulatorias. Una vez que hay resultados, el resto de la organización se sube al barco.

2. Crea un “pasaporte del proyecto IA”. Un documento de una página que responde a: qué hace, qué datos usa, quién lo aprueba y qué métricas de éxito tiene. Esto acelera la aprobación en comités y reduce el ruido.

3. Involucra al DPO desde el día uno, no al final. El Data Protection Officer no es tu enemigo; es tu aliado si lo integras en el proceso desde el inicio, no cuando ya está todo montado.

4. Define un caso de uso concreto con impacto medible. No “queremos usar IA”. Sino “queremos reducir el tiempo de clasificación de facturas de 3 días a 4 horas”. La concreción convence.

5. Busca un aliado interno con poder de decisión. Todo proyecto de IA necesita un sponsor ejecutivo que pueda cortar el nudo gordiano cuando los comités se atasquen.

Según McKinsey, para finales de 2025 el 23% de las empresas ya habían comenzado a escalar el uso de agentes de IA en al menos una función, mientras que el 39% estaba en fase de experimentación o proyectos piloto. Dentro del 2026 ya es algo relativamente habitual. El tren ya está en marcha. La pregunta no es si subirte, sino cuándo y cómo hacerlo sin que la burocracia interna te deje en el andén.

Conclusión: el futuro no espera a los comités

La IA no es una moda ni un capricho tecnológico. Es la misma disrupción inevitable que fue internet en su día. Entonces también hubo miedo, regulación precipitada, debates sobre quién podía usarlo y para qué. Y al final, todos acabamos conectados.

La diferencia ahora es que el ritmo es exponencialmente más rápido. Las empresas que hoy están atrapadas en laberintos burocráticos internos mientras sus competidores escalan pilotos a producción no solo pierden tiempo; pierden terreno que será muy difícil de recuperar.

El reto no es tecnológico. El reto es organizativo, cultural y de liderazgo. Y ese, afortunadamente, es uno que podemos resolver sin esperar a que el comité de aprobación se reúna el próximo trimestre.

Preguntas frecuentes (FAQs)

¿Un proyecto piloto de IA en una empresa mediana puede vulnerar la LOPD o el RGPD? No necesariamente. Si se trabaja con datos anonimizados o sintéticos en la fase de prueba, el riesgo regulatorio es mínimo. En todo caso, conviene involucrar al DPO o al equipo legal dependiendo del tipo de empresa desde el inicio para que el piloto esté correctamente encuadrado desde el primer día.

¿Qué es un PoC de IA y en qué se diferencia de una implementación real? Un PoC (Proof of Concept) es una prueba de concepto: un experimento controlado, de alcance reducido, que busca demostrar que una solución de IA es viable antes de invertir en una implementación completa. Es el paso cero antes de escalar.

¿Cuánto tiempo debería durar un piloto de IA para que tenga sentido? Entre dos y seis semanas es lo razonable para obtener señales claras. Los pilotos que se alargan indefinidamente suelen morir por pérdida de momentum y de presupuesto. La clave es definir desde el inicio qué métricas de éxito se van a medir y en qué plazo.