El EU AI Act entra en fase de enforcement: lo que hay que saber

Gerónimo
Gerónimo
Fractional CTO
7 min de lectura

Llevamos años oyendo hablar del EU AI Act como algo que “ya llegará”. Pues bien, ya está aquí: el 2 de agosto de 2026 era la fecha marcada desde el principio como el día de plena aplicación del reglamento, y aunque el calendario ha cambiado en los últimos meses (lo veremos en el timeline), sigue siendo un punto de inflexión para cualquier empresa que use IA en Europa, o que ofrezca sus servicios a usuarios europeos.

He hablado con bastantes empresas estos meses y me encuentro dos extremos: las que creen que esto no va con ellas porque “no hacen IA”, y las que están paralizando iniciativas por miedo a la regulación. Opino que ambas posturas parten de no entender bien el reglamento, así que este post pretende ser una introducción con las ideas clave, sin entrar en el detalle jurídico.

Antes de nada, dos detalles que a menudo se pasan por alto. El AI Act (Reglamento UE 2024/1689) es un reglamento, no una directiva: aplica directamente en todos los Estados miembros sin esperar a leyes nacionales. Y tiene alcance extraterritorial: si tu empresa está fuera de la UE pero tus sistemas de IA se usan en territorio europeo, también te aplica. Es el mismo efecto Bruselas que ya vimos con el GDPR.

Cómo se despliega: el calendario actualizado

El reglamento no entra en vigor de golpe, se despliega por fases. Y aquí está la mayor fuente de confusión: en mayo de 2026, el acuerdo político sobre el “Digital Omnibus” aplazó las obligaciones de alto riesgo. Mucho contenido publicado antes de esa fecha dice que “todo el alto riesgo” entra en agosto de 2026, y ya no es correcto. Este es el calendario actualizado:

1 agosto 2024
Entrada en vigor
El reglamento entra en vigor y arranca el calendario de aplicación progresiva.
2 febrero 2025
Prohibiciones y alfabetización
Quedan prohibidas las prácticas de riesgo inaceptable y pasa a ser obligatoria la formación en IA del personal (Artículo 4).
2 agosto 2025
Modelos de propósito general
Aplican las obligaciones para proveedores de modelos GPAI (grandes modelos de lenguaje) y arranca la gobernanza europea (AI Office).
2 agosto 2026 Estás aquí
Transparencia
Entran en aplicación las obligaciones de transparencia del Artículo 50: avisar cuando hay una IA de por medio y etiquetar el contenido sintético.
2 diciembre 2027
Alto riesgo (Anexo III)
Aplazado por el Omnibus: obligaciones para sistemas de alto riesgo en empleo, educación, crédito, biometría, migración, etc.
2 agosto 2028
Alto riesgo en productos (Anexo I)
También aplazado: IA integrada como componente de seguridad en productos regulados (dispositivos médicos, maquinaria, juguetes...).

Los cuatro niveles de riesgo

Esto es lo primero que hay que interiorizar: el AI Act no regula “la IA” en abstracto, regula los usos que le damos. El mismo modelo puede no tener ninguna obligación o tener muchísimas según para qué lo utilices.

La tabla sigue la clasificación oficial de la Comisión Europea (nótese que la Comisión denomina al tercer nivel “riesgo de transparencia”, no “riesgo limitado”):

CategoríaRiesgo inaceptableAlto riesgoRiesgo de transparenciaRiesgo mínimo o nulo
EstadoProhibidoObligaciones estrictasObligaciones de divulgaciónSin obligaciones
Qué esAmenaza clara para la seguridad, los medios de vida o los derechos de las personasUsos que pueden suponer riesgos serios para la salud, la seguridad o los derechos fundamentalesUsos donde las personas deben saber que hay IA de por medio para preservar la confianzaLa gran mayoría de los sistemas de IA que se usan hoy en la UE
Ejemplos
El reglamento prohíbe 8 prácticas:
  • Manipulación y engaño dañinos
  • Explotación de vulnerabilidades
  • Puntuación social
  • Predicción de delitos individuales
  • Scraping masivo para bases de datos de reconocimiento facial
  • Reconocimiento de emociones en trabajo y educación
  • Categorización biométrica de características protegidas
  • Identificación biométrica remota en tiempo real en espacios públicos con fines policiales
  • Componentes de seguridad de infraestructuras críticas
  • Acceso a la educación (p. ej. corrección de exámenes)
  • Empleo y gestión de trabajadores (p. ej. filtrado de CVs)
  • Acceso a servicios esenciales (p. ej. scoring crediticio)
  • Biometría
  • Aplicación de la ley
  • Migración y fronteras
  • Justicia
  • Chatbots
  • IA generativa
  • Deepfakes y textos generados por IA publicados para informar sobre asuntos de interés público
  • Videojuegos con IA
  • Filtros de spam
  • Recomendadores básicos
  • La mayor parte del tooling interno
ObligacionesNinguna: están directamente prohibidos
  • Evaluación y mitigación de riesgos
  • Calidad de los datasets
  • Registro de actividad y trazabilidad
  • Documentación técnica
  • Información al desplegador
  • Supervisión humana
  • Robustez, ciberseguridad y precisión
  • Informar de que se interactúa con una IA
  • Hacer identificable el contenido generado
  • Etiquetar de forma visible deepfakes y textos de interés público
Ninguna. Códigos de conducta voluntarios
Aplica desdeFebrero de 2025Diciembre de 2027 (Anexo III) y agosto de 2028 (IA integrada en productos)Agosto de 2026

Basado en la clasificación oficial de la Comisión Europea: digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

A esto se suma un régimen propio para los modelos de propósito general (GPAI). Si eres una empresa que usa estos modelos vía API, esas obligaciones no son tuyas, son del proveedor. Las tuyas dependen del uso que hagas.

Qué entra en vigor el 2 de agosto del 2026

Lo que entra en aplicación ahora, y no se ha aplazado, son las obligaciones de transparencia del Artículo 50:

  • Interacción con IA: si tu sistema interactúa con personas (un chatbot, por ejemplo), deben saber que hablan con una IA, salvo que sea evidente por el contexto.
  • Contenido sintético: si generas o manipulas con IA imágenes, vídeo o audio que puedan parecer auténticos (deepfakes), debes etiquetarlos como tales.
  • Textos de interés público: los textos generados por IA que se publican para informar sobre asuntos de interés público deben identificarse, salvo que haya revisión y responsabilidad editorial humana.
  • Marcado técnico: los proveedores de IA generativa deben marcar técnicamente sus salidas como generadas artificialmente, en formato legible por máquina.

Esto afecta a muchas más empresas de lo que parece. No hace falta entrenar modelos ni hacer scoring crediticio: basta con tener un chatbot de atención al cliente o publicar contenido generado con IA.

Sanciones

El régimen sancionador es de los más duros del derecho digital europeo. Las multas se calculan sobre la cifra fija o el porcentaje de la facturación global anual, la que sea mayor:

35M€ / 7%
Prácticas de IA prohibidas
15M€ / 3%
Incumplir obligaciones de alto riesgo, transparencia o GPAI
7,5M€ / 1%
Facilitar información incorrecta a las autoridades
Para pymes se prevén criterios de proporcionalidad, pero la obligación de cumplir es la misma.

Preguntas frecuentes

¿Me aplica el AI Act si solo uso IA de terceros?
Muy probablemente sí. El reglamento cubre tanto a proveedores como a desplegadores de sistemas de IA usados en la UE, incluyendo empresas que solo integran modelos de terceros. Tus obligaciones dependen del nivel de riesgo del uso que hagas.
¿Qué cambia exactamente el 2 de agosto de 2026?
Entran en aplicación las obligaciones de transparencia del Artículo 50: informar cuando alguien interactúa con una IA y etiquetar el contenido sintético. Las prohibiciones y las reglas GPAI ya aplicaban desde antes.
¿No se había aplazado todo con el Digital Omnibus?
No todo. El Omnibus (acuerdo político de mayo de 2026) aplazó el alto riesgo del Anexo III a diciembre de 2027 y el del Anexo I a agosto de 2028. La transparencia del Artículo 50 no se aplazó y aplica desde agosto de 2026.
¿Qué pasa si uso un chatbot de atención al cliente?
Es un caso típico de riesgo de transparencia: debes informar a los usuarios de que están hablando con una IA, salvo que sea evidente por el contexto. Es una de las obligaciones que entran ahora.
¿Se prohíbe el uso de modelos alojados fuera de la UE?
No, el AI Act no prohíbe usar modelos o proveedores de IA alojados fuera de la UE. Lo que sí lo prohíbe, en general, es el RGPD: transferir datos personales a países fuera del Espacio Económico Europeo (EEE) sin que exista un mecanismo válido de transferencia (como una decisión de adecuación o las Cláusulas Contractuales Tipo). Es una cuestión de protección de datos, no del AI Act.

El AI Act ya va a entrar en su fase de enforcement, por lo que no es recomendable retrasar más empezar a trabajar en asegurarse de que cumplimos con el reglamento.

Para la mayoría de empresas, el primer paso es sencillo y no requiere abogados: hacer inventario de los sistemas de IA que se usan (propios y de terceros), clasificarlos por nivel de riesgo y, a partir de ahí, ver qué obligaciones aplican y cuándo.

Este post es una introducción divulgativa, no asesoramiento legal. Para clasificar tus sistemas y conocer tus obligaciones concretas, consulta con asesoría jurídica especializada.

IA regulación IA EU AI Act compliance unión europea