Reglamento europeo de IA (AI Act): Novedades y timeline 2026
La importancia de contar con un socio tecnológico certificado
El 2 de agosto de 2026 es la fecha más importante en la vida del reglamento europeo de inteligencia artificial desde su entrada en vigor. Ese día empieza a aplicarse la mayor parte del AI Act, incluidas las obligaciones de transparencia que afectan a chatbots, contenido generado por IA y deepfakes. Y llega, además, con una novedad de última hora que conviene entender bien. La Unión Europea acaba de aprobar el llamado Digital Omnibus, que aplaza a diciembre de 2027 las obligaciones para los sistemas de alto riesgo.
En este artículo repasamos el contexto, explicamos qué aplica desde agosto, qué se ha aplazado y respondemos a las preguntas más frecuentes que nos trasladan las empresas.
Qué es el AI Act y en qué punto estamos
El Reglamento (UE) 2024/1689, conocido como AI Act o ley de inteligencia artificial europea, es la primera norma integral del mundo que regula la inteligencia artificial. Entró en vigor en agosto de 2024, pero su aplicación es escalonada. El planteamiento de fondo consiste en que, cuanto mayor es el riesgo que un sistema de IA supone para las personas, mayores son las obligaciones de quien lo desarrolla o lo utiliza.
El reglamento distingue cuatro niveles.
- Riesgo inaceptable: Usos prohibidos, por ejemplo la manipulación subliminal o la puntuación social.
- Alto riesgo: Sistemas que se usan en ámbitos como selección de personal, educación o acceso a servicios esenciales. Deben cumplir requisitos estrictos de gestión de riesgos, calidad de datos y supervisión humana.
- Riesgo limitado: Sistemas con obligaciones de transparencia.
- Riesgo mínimo: El resto, la gran mayoría, puede seguir operando sin requisitos adicionales.
Hasta ahora se han cumplido dos hitos.
- Febrero de 2025: Aplican las prohibiciones y las obligaciones de alfabetización en IA, que exigen que las plantillas que trabajan con estos sistemas tengan formación suficiente.
- Agosto de 2025: Aplican las normas de gobernanza y las obligaciones para los proveedores de modelos de propósito general, como los grandes modelos de lenguaje.
Lo que viene ahora: el calendario entra en su tramo decisivo
Con esos hitos ya cumplidos, quedan por delante las fechas que concentran casi todas las obligaciones pendientes.
- Agosto 2026: aplicación general del reglamento, con las obligaciones de transparencia como principal novedad.
- Diciembre 2027: nuevo plazo para los sistemas de alto riesgo del Anexo III tras el aplazamiento aprobado por la UE.
- Agosto 2028: fecha límite para los sistemas de alto riesgo integrados en productos regulados del Anexo I.
Vamos por partes.
Qué se aplica desde el 2 de agosto de 2026
La fecha de agosto de 2026 marca la aplicación general del reglamento. Para la mayoría de las empresas, el cambio más tangible son las obligaciones de transparencia del artículo 50, que afectan tanto a quienes desarrollan sistemas de IA como a quienes los utilizan en su actividad.
Avisar cuando una persona interactúa con una IA
Si tu empresa tiene un chatbot de atención al cliente, un asistente virtual o un agente de voz, el usuario debe saber que está hablando con una máquina. El aviso debe ser claro y producirse a más tardar en el momento de la primera interacción, salvo que resulte evidente por el contexto.
Marcar el contenido generado por IA
Los proveedores de sistemas que generan texto, imagen, audio o vídeo sintético deberán incorporar un marcado técnico en ese contenido en un formato legible por máquina, de modo que pueda detectarse automáticamente que ha sido generado o manipulado artificialmente.
Los sistemas de IA generativa que ya estaban en el mercado antes del 2 de agosto de 2026 cuentan con un régimen transitorio y tienen hasta el 2 de diciembre de 2026 para incorporar este marcado técnico.
Ojo: Esta obligación es principalmente de los proveedores (quienes desarrollan o comercializan los sistemas). Las empresas que solo usan herramientas de terceros no tienen que implementar el marcado ellas mismas, pero deben asegurarse de que sus proveedores cumplen con este requisito.
Etiquetar los deepfakes
Quien difunda imágenes, audios o vídeos que recreen a personas, objetos o hechos reales de forma artificial deberá indicar de manera visible que se trata de contenido manipulado. Esta obligación es exigible desde el 2 de agosto sin periodo transitorio.
Informar sobre reconocimiento de emociones y categorización biométrica
Las organizaciones que utilicen sistemas de reconocimiento de emociones o categorización biométrica en los casos permitidos por la normativa deberán informar previamente a las personas expuestas. En el ámbito laboral y educativo, estos sistemas están prohibidos, salvo excepciones muy específicas.
Textos de interés público
Los textos generados por IA que se publiquen para informar a la ciudadanía sobre asuntos de interés público deberán indicar su origen artificial, salvo que hayan pasado por revisión humana y alguien asuma la responsabilidad editorial.
La gran novedad: el Digital Omnibus aplaza el alto riesgo a 2027
El calendario original preveía que las obligaciones para los sistemas de alto riesgo también aplicasen el 2 de agosto de 2026. Eso ha cambiado. Tras el acuerdo alcanzado en mayo de 2026, el Parlamento Europeo aprobó en junio el Digital Omnibus sobre IA, y el Consejo lo adoptó formalmente a finales de ese mismo mes.
El resultado es un nuevo calendario: los sistemas de alto riesgo del Anexo III, los que se usan en ámbitos como empleo, educación, biometría, infraestructuras críticas, migración o acceso a servicios esenciales, tendrán que cumplir sus obligaciones desde el 2 de diciembre de 2027. Los sistemas de alto riesgo integrados en productos regulados por la legislación de seguridad del Anexo I, como maquinaria o dispositivos médicos, disponen hasta el 2 de agosto de 2028.
El motivo del aplazamiento es práctico, puesto que las normas técnicas armonizadas y las guías necesarias para cumplir no estaban listas, y el tejido empresarial europeo reclamaba tiempo y certidumbre. Conviene subrayar que el aplazamiento no afecta a las prohibiciones ni a las obligaciones de transparencia, que siguen su calendario.
Sanciones y supervisión en España
El régimen sancionador ya está activo desde 2025 y despliega todo su alcance con la aplicación general del reglamento. Las multas pueden llegar a 35 millones de euros o el 7% de la facturación mundial anual en el caso de las prácticas prohibidas, y a 15 millones de euros o el 3% de la facturación por incumplir otras obligaciones, incluidas las de transparencia.
En España, la autoridad de referencia es la AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial, que a partir de agosto de 2026 contará con plenas competencias de inspección y sanción.
Cómo prepararse: cuatro pasos razonables
No hace falta esperar a diciembre de 2027 para ponerse en marcha. Un punto de partida sensato incluye cuatro pasos.
- Primero, inventariar los sistemas de IA que la organización desarrolla o utiliza, incluidos los que llegan integrados en herramientas de terceros.
- Segundo, clasificarlos según el nivel de riesgo del reglamento para saber qué obligaciones aplican y desde cuándo.
- Tercero, revisar los casos de transparencia inmediata, es decir, chatbots, generación de contenido y cualquier uso de deepfakes en comunicación o marketing.
- Y cuarto, aprovechar el margen hasta finales de 2027 para adecuar los sistemas de alto riesgo con calma, documentando datos, procesos y supervisión humana.
La importancia de contar con un socio tecnológico certificado
Cumplir el reglamento europeo de inteligencia artificial no es solo una cuestión jurídica. Detrás de cada obligación hay decisiones técnicas, desde el marcado del contenido sintético hasta la trazabilidad de los datos o la supervisión humana de los modelos, y ejecutarlas bien requiere experiencia en proyectos reales de datos e inteligencia artificial.
Trabajar con un socio tecnológico certificado aporta garantías en tres frentes. Permite clasificar correctamente los sistemas según su nivel de riesgo, algo que condiciona todo lo demás. Asegura que los desarrollos incorporan los requisitos de la norma desde el diseño, en lugar de parchearlos después. Y facilita la documentación y las evidencias que las autoridades de supervisión, como la AESIA, pueden requerir en una inspección.
En LIS Data Solutions abordamos los proyectos de datos e inteligencia artificial con esa base. Contamos con las certificaciones ISO 27001, ISO 9001 y el Esquema Nacional de Seguridad en categoría alta, y somos Microsoft Solutions Partner en Data & AI, Infrastructure y Digital & App Innovation. Además, formamos parte del Claude Partner Network de Anthropic, con más de diez profesionales con certificación oficial vigente, y todo nuestro equipo de Gobierno del Dato está certificado por DAMA International en Data Management Fundamentals. Credenciales que, valga la redundancia, acreditan procesos auditados y conocimiento actualizado justo en las áreas que el reglamento pone a prueba.
Preguntas frecuentes (FAQ) sobre el AI Act
Repasamos algunas de las preguntas más frecuentes sobre la aplicación de AI Act en 2026 y 2027.
¿Cuándo entra en vigor el reglamento europeo de inteligencia artificial?
El reglamento está en vigor desde agosto de 2024, pero se aplica por fases. Las prohibiciones rigen desde febrero de 2025, las normas para modelos de propósito general desde agosto de 2025, la aplicación general llega el 2 de agosto de 2026 y las obligaciones de alto riesgo del Anexo III se han aplazado al 2 de diciembre de 2027.
¿Afecta el AI Act a mi empresa si solo uso herramientas de IA de terceros?
Sí, puede afectar. El reglamento impone obligaciones no solo a los proveedores sino también a los responsables del despliegue, es decir, a las organizaciones que utilizan sistemas de IA en su actividad. Si usas un chatbot con clientes o generas contenido con IA, las obligaciones de transparencia te aplican.
¿Qué es el artículo 50 del AI Act?
Es el artículo que regula las obligaciones de transparencia. Exige avisar cuando una persona interactúa con una IA, marcar el contenido sintético en formato legible por máquina, etiquetar los deepfakes e informar sobre el uso de sistemas de reconocimiento de emociones o categorización biométrica. Se aplica desde el 2 de agosto de 2026.
¿Qué ha cambiado con el Digital Omnibus?
El Digital Omnibus sobre IA, aprobado en junio de 2026, aplaza las obligaciones de los sistemas de alto riesgo del Anexo III al 2 de diciembre de 2027 y las de los sistemas del Anexo I al 2 de agosto de 2028. No modifica las prohibiciones ni las obligaciones de transparencia.
¿Qué multas prevé el reglamento?
Hasta 35 millones de euros o el 7 % de la facturación mundial anual por prácticas prohibidas, y hasta 15 millones de euros o el 3 % de la facturación por incumplir otras obligaciones, como las de transparencia.
¿Quién supervisa el cumplimiento en España?
La AESIA, con sede en A Coruña, es la autoridad nacional de supervisión y desde agosto de 2026 tiene plenas competencias de inspección y sanción.