Aplazamiento Ley IA europea: calendario AI Act 2027-2028
|

Aplazamiento de la Ley de IA europea: nuevas fechas hasta 2027 y menos burocracia para las empresas

PorJosé Enrique Ibarra

El 7 de mayo de 2026 la Unión Europea cerró el acuerdo que media industria llevaba esperando: las obligaciones del AI Act para sistemas de alto riesgo se aplazan a 2 de diciembre de 2027 y 2 de agosto de 2028. El paquete, conocido como AI Omnibus, simplifica trámites, reduce carga administrativa para pymes y mid-caps, y prohíbe expresamente las apps de «nudificación».

Lo que ningún titular está contando, y es lo que veo en cada conversación con dirección estos días, es que hay una obligación clave que sigue vigente para el 2 de agosto de 2026. Saltársela puede costar hasta 15 millones de euros, y mucha gente está dando por hecho que el aplazamiento la cubre. No la cubre.

En este artículo te explico qué se ha aplazado, qué sigue corriendo igual, qué cambia de verdad para tu empresa y cómo planificar el cumplimiento sin que esto se convierta en un problema en 2027.

Qué es el aplazamiento de la Ley de IA europea

El aplazamiento de la Ley de IA europea es un acuerdo provisional entre el Consejo de la UE y el Parlamento Europeo, alcanzado en la madrugada del 7 de mayo de 2026 tras seis meses de negociación. Forma parte del paquete Digital Omnibus propuesto por la Comisión Europea el 19 de noviembre de 2025.

El objetivo es doble:

  • Posponer las obligaciones de los sistemas de IA de alto riesgo porque ni los estándares armonizados ni las herramientas técnicas estarán listos para la fecha original (2 de agosto de 2026).
  • Reducir la burocracia un 25 % para todas las empresas y un 35 % para pymes y mid-caps, como exige el informe Draghi de competitividad europea.

Es importante entender lo siguiente: el AI Act sigue en vigor. La estructura, las sanciones y la pirámide de riesgos no cambian. Lo único que se mueve son los plazos y algunos trámites.

Las nuevas fechas del AI Act tras el aplazamiento

Este es el calendario actualizado que toda empresa española debería tener pegado en la pared:

ObligaciónFecha originalNueva fechaSistemas afectados
Alto riesgo Anexo III2 agosto 20262 diciembre 2027RR. HH., scoring crediticio, educación, biometría, infraestructuras críticas
Alto riesgo Anexo I2 agosto 20272 agosto 2028Productos sanitarios, maquinaria, juguetes, vehículos, ascensores
Marcado de contenido sintético (Art. 50)2 agosto 20262 diciembre 2026Watermarking de IA generativa ya en mercado
Sandboxes nacionales2 agosto 20262 agosto 2028Entornos de prueba regulatorios
Alfabetización IA (Art. 4)2 agosto 2026SIN CAMBIOSToda organización que use IA
Prohibiciones (Art. 5)Febrero 2025EN VIGORManipulación subliminal, social scoring, biometría masiva

Los retrasos son significativos: 16 meses para los sistemas autónomos de alto riesgo y 12 meses adicionales para la IA embebida en productos regulados.

Por qué la UE aplaza la Ley de IA: tres razones reales

Detrás del titular oficial hay tres motivos que llevo viendo desde hace meses en proyectos de cumplimiento, y que explican mejor el aplazamiento que la nota de prensa del Consejo:

1. Las normas técnicas no están listas. La Comisión debía publicar en febrero de 2026 la guía oficial de clasificación de alto riesgo. A día de hoy sigue sin aparecer. Sin esa guía, las empresas no tienen criterios claros para autoevaluarse.

2. Las autoridades nacionales no están operativas. Solo 8 de los 27 Estados miembros han designado sus puntos de contacto. La supervisión carece de estructura operativa real. AESIA en España es la excepción: ya ha publicado 16 guías técnicas y ha lanzado la primera convocatoria de su sandbox, pero es una rara avis europea.

3. Presión competitiva del informe Draghi. Estados Unidos y China avanzan a otro ritmo. La UE necesita una señal política a la industria para evitar que la innovación se desplace fuera del mercado europeo.

Qué obligaciones del AI Act NO se han aplazado

Aquí está la trampa que casi todos los directivos con los que hablo están pasando por alto. Tres bloques de obligaciones siguen exactamente donde estaban, y son justo los que la mayoría había planificado para 2026:

Artículo 4: alfabetización en IA (2 de agosto de 2026)

Toda organización que desarrolle, despliegue o utilice sistemas de IA debe garantizar que su personal tenga un nivel suficiente de alfabetización en IA. Las sanciones llegan a 15 millones de euros o el 3 % de la facturación global.

No distingue por sector. No distingue por tamaño. No distingue por tipo de IA. Si en tu empresa alguien usa ChatGPT, Copilot o un sistema de scoring, eres operador y te aplica. Lo desarrollé en detalle en mi artículo sobre alfabetización en inteligencia artificial, donde explico cómo aterrizarlo en una empresa real sin convertirlo en un trámite.

Artículo 5: prácticas prohibidas (en vigor desde febrero de 2025)

Manipulación subliminal, social scoring, vigilancia biométrica masiva en espacios públicos, scraping indiscriminado de imágenes faciales: prohibidas hoy. Las multas alcanzan los 35 millones de euros o el 7 % de la facturación.

Artículo 50: transparencia de IA generativa (2 de agosto de 2026)

Si lanzas un sistema de IA generativa al mercado a partir de agosto, debe permitir que el contenido generado sea identificable como artificial mediante marcas legibles por máquina. La capacidad técnica de watermarking debe estar operativa.

La novedad: prohibición de nudificación y CSAM

El acuerdo del 7 de mayo añadió una prohibición que no estaba en el texto original. Los sistemas de IA diseñados para generar contenido sexual o íntimo no consentido, o material de abuso sexual infantil (CSAM), quedan prohibidos.

La prohibición alcanza a:

  • Quien comercializa estos sistemas, incluso sin esa finalidad declarada, si no implementa salvaguardas razonables.
  • Quien los despliega para crear ese contenido.

Es una de las pocas adiciones restrictivas en un paquete que, por lo demás, alivia obligaciones.

Qué cambia con la simplificación administrativa

El componente burocrático del Omnibus incluye seis medidas concretas que afectan al cumplimiento del AI Act:

  • Registro reducido en la base de datos europea para sistemas que el proveedor considere exentos de alto riesgo.
  • Procedimientos de evaluación de conformidad más claros, especialmente en la frontera con normativa sectorial (sanitario, automoción).
  • Opciones ampliadas de testeo en condiciones reales (real-world testing).
  • Extensión a mid-caps (hasta 750 empleados y 150 M€ de facturación) de las simplificaciones reservadas a pymes.
  • Aplazamiento de los sandboxes nacionales al 2 de agosto de 2028, dando margen a las autoridades para diseñarlos correctamente.
  • Uso ampliado de datos personales sensibles para detección y corrección de sesgos, sujeto a salvaguardas. Esta es la disposición más controvertida del paquete.

Las críticas: ¿simplificación o desregulación encubierta?

No todo el mundo aplaude. Coaliciones de derechos digitales —EDRi, Amnistía Internacional, La Quadrature du Net— han calificado el Digital Omnibus como un retroceso disfrazado de simplificación.

Kai Zenner, asesor del eurodiputado Axel Voss y figura clave en la negociación original del AI Act, lo resume sin filtros: «Es un desastre para la democracia». Sus principales preocupaciones:

  • Debilitamiento de los organismos de supervisión de derechos fundamentales.
  • Exenciones para grandes empresas mediante cambios estructurales.
  • Uso arriesgado de datos sensibles sin salvaguardas adecuadas.
  • Modificación sustancial de la estructura de la ley al excluir un amplio sector de las normas de alto riesgo.

El propio Michael McNamara, negociador principal del Parlamento, advierte que trasladar la gobernanza de la IA hacia normativas sectoriales puede acabar siendo «más desregulador que simplificador».

Mi lectura, después de leer las 240 páginas del Omnibus completo: hay simplificación legítima — el calendario original era irreal — pero también hay flexibilizaciones que afectan a derechos fundamentales y que merecen vigilancia. Las dos cosas son ciertas a la vez. Quien ignore las críticas se va a llevar sorpresas en la transposición nacional, sobre todo en lo que tiene que ver con la huella cognitiva que la IA generativa empieza a dejar en consumidores y empleados.

Qué debe hacer tu empresa antes de agosto de 2026

El aplazamiento no es una excusa para parar. Es la ventana que muchos proyectos necesitábamos para hacer las cosas bien y no contra reloj. Estas son las cinco prioridades en las que estoy enfocando ahora a clientes de sectores regulados, y que comparto en mi laboratorio AI Forge:

1. Cierra el artículo 4 antes de agosto

Diseña un programa de alfabetización en IA proporcional al rol de cada perfil:

  • Equipos legal y de cumplimiento.
  • Negocio que toma decisiones automatizadas.
  • Personal técnico que desarrolla o integra sistemas.
  • Dirección y consejo.

Documenta el programa, conserva evidencia, registra asistencia.

2. Inventaría y clasifica tus sistemas de IA

Sin inventario no hay cumplimiento posible. Necesitas saber:

  • Qué sistemas de IA tienes (incluidos los SaaS con módulos de IA escondidos).
  • Quién es el proveedor y qué documentación técnica aporta.
  • En qué nivel de la pirámide de riesgo cae cada uno.
  • Qué decisiones automatiza y sobre qué personas.

3. Prepara el watermarking

Si despliegas IA generativa que produce contenido para usuarios finales, las capacidades técnicas de marcado deben estar operativas en agosto de 2026 para sistemas nuevos. Los ya existentes tienen hasta diciembre.

4. Audita tus contratos con proveedores de IA

El nuevo plazo de 2027 te da tiempo para exigir certificaciones, fichas técnicas, documentación de conformidad y garantías contractuales. No para olvidarte del tema.

5. Diseña una hoja de ruta hasta diciembre de 2027

Establece hitos trimestrales: mapeo, análisis de impacto en derechos fundamentales, ajuste contractual, designación de responsable interno, formación, evaluación de conformidad y, si aplica, marcado CE.

Sanciones del AI Act: qué te juegas

Conviene recordar el régimen sancionador para dimensionar correctamente el riesgo:

  • Hasta 35 M€ o 7 % de facturación global: prácticas prohibidas (Artículo 5).
  • Hasta 15 M€ o 3 % de facturación global: incumplimiento de obligaciones de alto riesgo, alfabetización (Artículo 4) o información engañosa a autoridades.
  • Hasta 7,5 M€ o 1 % de facturación global: infracciones de transparencia o información incorrecta a notificadores.

Las pymes pagan el menor de los dos valores. El resto, el mayor.

Y un detalle crítico: el AI Act prevé responsabilidad personal de los directivos en casos de incumplimientos graves, especialmente con sistemas prohibidos o incumplimiento reiterado de obligaciones de alto riesgo.

Si tu organización está además en el perímetro de DORA o NIS2, los regímenes sancionadores se acumulan y la dimensión del riesgo crece. Si necesitas cuantificarlo para tu caso concreto, esto es exactamente el tipo de diagnóstico que hago en la primera fase de un proyecto: cuéntame tu caso aquí.

Preguntas frecuentes sobre el aplazamiento del AI Act

¿El AI Act sigue en vigor?

Sí. El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024 y sigue plenamente operativo. El Omnibus solo modifica plazos y trámites concretos.

¿Cuándo se aplica el AI Act a sistemas de alto riesgo?

Tras el aplazamiento, las obligaciones plenas para sistemas de alto riesgo del Anexo III se aplican el 2 de diciembre de 2027. Para sistemas integrados en productos regulados (Anexo I), el 2 de agosto de 2028.

¿Qué obligaciones del AI Act se aplican en agosto de 2026?

Tres bloques siguen vigentes para esa fecha: alfabetización en IA (Artículo 4), transparencia de IA generativa (Artículo 50) y régimen de sanciones. Las prohibiciones del Artículo 5 ya están en vigor desde febrero de 2025.

¿Afecta el AI Act a las pymes españolas?

Sí, pero con medidas proporcionadas. Las pymes y mid-caps (hasta 750 empleados y 150 M€ de facturación) acceden a procedimientos simplificados, sandboxes y plazos de implantación adaptados. Sin embargo, las obligaciones materiales son las mismas si usan IA de alto riesgo.

¿Qué papel juega AESIA en el cumplimiento del AI Act?

AESIA (Agencia Española de Supervisión de Inteligencia Artificial) es el organismo competente en España. Inspecciona, requiere documentación, sanciona y ordena retiradas de mercado. Ha publicado 16 guías técnicas y opera el sandbox español de IA.

¿Cómo se relaciona el AI Act con el RGPD y la NIS2?

Son normativas complementarias y solapadas. Una IA que trate datos personales debe cumplir AI Act y RGPD; si forma parte de un servicio esencial bajo NIS2, también las obligaciones de ciberseguridad de esa directiva. En entidades financieras se suma además DORA para la banca. Lo trabajo a diario combinado: rara vez una IA encaja en una sola norma.

Conclusión: el reloj de los 16 meses ya está corriendo

El aplazamiento de la Ley de IA europea no es una vuelta atrás. Es un reajuste pragmático ante un calendario inviable. Las empresas serias en cumplimiento ganan margen para hacer las cosas bien —con estándares disponibles, AESIA operativa y guías técnicas publicadas— en lugar de improvisar contra una fecha imposible.

Las que estén usando el aplazamiento como pretexto para no hacer nada se encontrarán, en diciembre de 2027, exactamente donde están hoy: sin gobernanza de IA, sin inventario, sin trazabilidad y sin cultura de cumplimiento. Con la diferencia de que las multas serán reales y el mercado, mucho más exigente.

¿Necesitas una hoja de ruta de cumplimiento del AI Act adaptada a tu organización? Es exactamente lo que hago: ayudo a empresas en sectores regulados a convertir el AI Act en un programa ejecutable, con hitos trimestrales, ownership claro y trazabilidad real. Si quieres trabajarlo conmigo, escríbeme aquí y te respondo personalmente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *