Reglamento de IA: qué cambia aún el 2 de agosto de 2026 — y cómo responder a una solicitud de cumplimiento

Respuesta rápida: el 2 de agosto de 2026 sigue siendo una fecha de cumplimiento importante del Reglamento de IA, pero su efecto exacto depende ahora del Ómnibus Digital sobre IA. Según el Reglamento de IA original (Reglamento (UE) 2024/1689), esa era la fecha en que la mayoría de las disposiciones restantes pasaban a aplicarse, incluidas las obligaciones para los sistemas de IA de alto riesgo y el marco sancionador. Sin embargo, un acuerdo político provisional de la UE alcanzado el 7 de mayo de 2026 aplazaría las obligaciones de alto riesgo para los sistemas independientes del anexo III hasta el 2 de diciembre de 2027, y para la IA integrada en productos regulados hasta el 2 de agosto de 2028. Varias obligaciones de transparencia y normas de ejecución y supervisión siguen haciendo del 2 de agosto de 2026 una fecha importante para muchas organizaciones.

El Reglamento de IA es la primera ley integral del mundo sobre inteligencia artificial y entra en vigor de forma escalonada a lo largo de varios años, no de golpe. El hito del 2 de agosto de 2026 se describió durante mucho tiempo como la fecha de cumplimiento más importante para la mayoría de las empresas. El Ómnibus Digital no elimina esa fecha, pero cambia lo que llega ese día.

Si desarrollas, despliegas, vendes o incluso adquieres sistemas de IA que afectan a personas en la UE, esto te sigue afectando. Igual que la realidad de que ya están llegando reclamaciones, requerimientos de autoridades y preguntas de diligencia debida de socios sobre el cumplimiento de la IA, que exigen una respuesta clara, documentada y formal.

Esta guía es información general, no asesoramiento jurídico. El Reglamento de IA es complejo y algunas partes se están modificando mediante el Ómnibus Digital, que en el momento de redactar esto era un acuerdo provisional aún no adoptado formalmente. Consulta siempre el texto vigente del Reglamento (UE) 2024/1689 y busca asesoramiento jurídico cualificado para tu situación concreta.

El 2 de agosto de 2026 sigue siendo una fecha importante del Reglamento de IA, pero no todo lo programado originalmente para ese día llegará ahora al mismo tiempo. Esto es lo que se mantiene.

La mayor parte del Reglamento pasa a aplicarse. El artículo 113 del Reglamento (UE) 2024/1689 establece que el Reglamento se aplica a partir del 2 de agosto de 2026, con excepciones anteriores y posteriores. El Ómnibus Digital no suprime esa fecha de aplicación general.

Muchas obligaciones de transparencia se mantienen en la vía de 2026. Una serie de obligaciones de transparencia del artículo 50 —por ejemplo, las obligaciones de los responsables del despliegue de informar sobre determinados usos de la IA— siguen aplicándose a partir del 2 de agosto de 2026. Una excepción importante: la obligación de los proveedores del artículo 50, apartado 2, de marcar el contenido generado por IA o sintético se ha aplazado (véase la cronología más abajo).

Comienzan las competencias de aplicación sobre los GPAI. Las competencias de supervisión y aplicación de la Comisión Europea sobre los proveedores de modelos de IA de propósito general (GPAI) entran en vigor el 2 de agosto de 2026. Las propias obligaciones GPAI se aplican desde el 2 de agosto de 2025.

El marco sancionador rige para las normas ya en vigor. Las multas por prácticas prohibidas y por incumplimientos de GPAI están activas. Lo que se mueve es la aplicación de las obligaciones de alto riesgo —y, por tanto, el alcance práctico de las sanciones vinculadas específicamente a ellas.

El 7 de mayo de 2026, el Consejo de la UE y el Parlamento Europeo alcanzaron un acuerdo político provisional sobre el Ómnibus Digital sobre IA, el primer conjunto de modificaciones específicas del Reglamento de IA desde su adopción. Lo motivó el hecho de que las normas y herramientas de cumplimiento necesarias para los sistemas de alto riesgo iban con retraso. Estos cambios solo surten efecto jurídico tras la adopción formal y la publicación en el Diario Oficial, que aún deben producirse antes de que sean jurídicamente vinculantes.

Los cambios principales:

• Obligaciones de alto riesgo aplazadas. Los sistemas independientes de alto riesgo del anexo III pasarían del 2 de agosto de 2026 al 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados (anexo I) pasaría al 2 de agosto de 2028.
• Plazo de marcado acortado y después aplazado. La obligación de los proveedores del artículo 50, apartado 2, de marcar el contenido generado por IA y sintético se aplicaría a partir del 2 de diciembre de 2026 (un periodo de gracia de tres meses en lugar de los seis inicialmente barajados). Las demás obligaciones de transparencia del artículo 50, incluidas las de los responsables del despliegue, seguirían aplicándose a partir del 2 de agosto de 2026.
• Una nueva práctica prohibida. El acuerdo añade a las prohibiciones del artículo 5 la prohibición de las imágenes íntimas no consentidas generadas por IA (los llamados «nudifiers») y de la generación de material de abuso sexual infantil.

Dos cautelas. Primero, estas fechas son condicionales: hasta la adopción formal y la publicación, el calendario original podría seguir aplicándose si el procedimiento no se completa a tiempo. Segundo, la arquitectura básica del Reglamento —los niveles de riesgo, el régimen de evaluación de la conformidad, la vía GPAI y el papel de la Oficina de IA— no cambia. El aplazamiento da tiempo de preparación; no elimina las obligaciones.

El Reglamento entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada como sigue. Las fechas de 2027-2028 reflejan el acuerdo provisional sobre el Ómnibus Digital y están condicionadas a su adopción formal.

• 2 de febrero de 2025 — las prácticas de IA prohibidas pasaron a ser exigibles y comenzaron las obligaciones de alfabetización en IA.
• 2 de agosto de 2025 — pasaron a aplicarse las obligaciones para los modelos GPAI. Las estructuras de gobernanza, incluida la Oficina de IA, entraron en funcionamiento, y los Estados miembros debían tener listas sus normas sancionadoras.
• 2 de agosto de 2026 — fecha de aplicación principal según el Reglamento original (artículo 113). Las obligaciones de transparencia del artículo 50 siguen siendo importantes, comienzan las competencias de aplicación sobre los GPAI y el marco sancionador está activo para las normas ya en vigor. Las obligaciones de alto riesgo estaban previstas originalmente para esta fecha, pero el Ómnibus Digital las desplazaría.
• 2 de diciembre de 2026 — nueva fecha propuesta para la obligación de los proveedores del artículo 50, apartado 2, de marcar el contenido generado por IA y sintético, si se adopta el Ómnibus Digital.
• 2 de diciembre de 2027 — nueva fecha de aplicación propuesta para los sistemas independientes de alto riesgo del anexo III, si se adopta el Ómnibus Digital.
• 2 de agosto de 2028 — nueva fecha de aplicación propuesta para los sistemas de alto riesgo integrados en productos regulados (anexo I), si se adopta el Ómnibus Digital.

El Reglamento asigna obligaciones según el papel que desempeñas en la cadena de valor de la IA. Los principales roles son:

• Proveedor — la organización que desarrolla un sistema de IA, o que lo manda desarrollar, y lo introduce en el mercado o lo pone en servicio con su propio nombre. Los proveedores soportan las obligaciones más exigentes.
• Responsable del despliegue — la organización que utiliza un sistema de IA bajo su propia autoridad en un contexto profesional. Tiene sus propios deberes, especialmente en materia de supervisión humana y de uso conforme a las instrucciones.
• Importador y distribuidor — organizaciones que introducen sistemas de IA de fuera de la UE en el mercado o los comercializan, con deberes de verificación y mantenimiento de registros.

Es crucial que el Reglamento tiene alcance extraterritorial, y el Ómnibus Digital no lo cambia. Si tu sistema de IA, o su resultado, se utiliza en la Unión Europea, el Reglamento puede aplicarse a ti con independencia de dónde tenga su sede tu empresa. Un proveedor en Estados Unidos, el Reino Unido o cualquier otro lugar no queda fuera del ámbito solo por carecer de oficina en la UE. Lo que importa es si el sistema afecta a personas en la UE.

La categoría de alto riesgo es aquella cuyo plazo desplazaría el Ómnibus Digital, así que conviene ser precisos.

A grandes rasgos, dos vías llevan a la clasificación de alto riesgo. La primera es la IA utilizada como componente de seguridad de un producto ya regulado por la legislación de seguridad de los productos de la UE (anexo I) —vía ahora prevista para el 2 de agosto de 2028. La segunda es la lista de usos independientes de alto riesgo del anexo III —ahora prevista para el 2 de diciembre de 2027— que abarca ámbitos como:

• empleo, contratación y gestión de trabajadores (por ejemplo, herramientas de cribado de CV o de selección),
• acceso a servicios esenciales privados y públicos, incluida la solvencia y la puntuación crediticia,
• biometría y categorización biométrica,
• educación y formación profesional (por ejemplo, la calificación de exámenes o las decisiones de admisión),
• infraestructuras críticas, aplicación de la ley, migración y administración de justicia.

El aplazamiento refleja que las normas armonizadas y las herramientas de apoyo necesarias para cumplir estos requisitos aún se están finalizando. Es tiempo de preparación, no un indulto: las obligaciones de fondo no cambian.

El Reglamento utiliza una estructura sancionadora escalonada, y las cifras son deliberadamente elevadas.

El nivel más grave se aplica a las infracciones de las normas sobre prácticas prohibidas: multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial total, la cuantía que sea mayor.

Un segundo nivel cubre muchas otras infracciones —incluidas las obligaciones de proveedores, responsables del despliegue, importadores, distribuidores y organismos notificados, así como las obligaciones de transparencia del artículo 50: multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, la cuantía que sea mayor.

Facilitar a las autoridades información incorrecta, incompleta o engañosa tiene su propio nivel, inferior. A medida que las obligaciones de alto riesgo se trasladan a 2027-2028, las sanciones vinculadas específicamente a ellas se mueven con las obligaciones de fondo, pero las sanciones por prácticas prohibidas y GPAI ya están activas.

Por último, el Reglamento de IA no sustituye al RGPD. Cuando un sistema de IA trata datos personales, ambos regímenes se aplican a la vez, y las autoridades de protección de datos conservan su competencia sobre los aspectos relativos a los datos personales.

Pese al aplazamiento, las solicitudes formales se multiplican. Puedes recibir una de una autoridad nacional de vigilancia del mercado, de la Oficina de IA de la UE (para asuntos GPAI), de un cliente o proveedor posterior que realice diligencia debida, o como parte de una reclamación presentada contra ti. Una respuesta débil o tardía puede convertir una consulta rutinaria en una investigación.

Una carta de respuesta sólida es estructurada, factual y fácil de verificar. Usa esta estructura:

1. Identifica con precisión la solicitud

Indica con claridad a qué respondes: fecha de la solicitud, remitente, número de referencia si lo hay y exactamente qué se pregunta. Demuestra que la has leído con atención y crea un rastro documental limpio.

2. Indica tu papel según el Reglamento

Deja claro si respondes como proveedor, responsable del despliegue, importador o distribuidor del sistema en cuestión, e identifícalo con precisión. Tus obligaciones se derivan de ese papel.

3. Responde a las preguntas concretas, punto por punto

Aborda cada pregunta planteada, por orden, con hechos. Cuando el Reglamento exija documentación —documentación técnica, registros de gestión de riesgos, medidas de gobernanza de datos, mecanismos de supervisión humana— describe lo que tienes y remite a los documentos que adjuntas.

4. Sé franco sobre las carencias y la subsanación

Si algo no está aún en marcha, no lo ocultes. Di qué falta, qué estás haciendo y para cuándo. Las autoridades responden mucho mejor a un plan de subsanación documentado que al silencio o la negación.

5. Cierra con un contacto claro y un siguiente paso

Designa a una persona de contacto responsable, confirma tu disposición a facilitar más información y propón un siguiente paso o calendario concreto. Enumera tus anexos.

DocuGov.ai genera cartas de cumplimiento y de respuesta al Reglamento de IA adaptadas a la jurisdicción y basadas en esta estructura, convirtiendo una solicitud de la autoridad estresante en un documento claro y profesional en minutos. Empieza en nuestra página de cartas de cumplimiento del Reglamento de IA.

El Reglamento no trata solo de obligaciones empresariales. También refuerza la posición de las personas afectadas por sistemas de IA, y conviene conocer esos derechos.

Si crees que un sistema utiliza una práctica prohibida —por ejemplo, la puntuación social, ciertas formas de vigilancia de emociones o biométrica, o la nueva prohibición de las imágenes íntimas no consentidas generadas por IA— puedes denunciarlo. Consulta nuestra guía para presentar una reclamación por práctica de IA prohibida.

Por separado, en virtud del RGPD, tienes derechos cuando una decisión sobre ti se toma únicamente por medios automatizados. Puedes oponerte a dicha decisión y exigir intervención humana con una oposición conforme al artículo 22 del RGPD, y pedir una explicación significativa de cómo un algoritmo tomó una decisión que te afecta con una solicitud de explicación.

Estas cartas funcionan mejor cuando son concretas: identifica la decisión, el sistema (si se conoce), la fecha y exactamente qué pides a la organización.

Tratar el aplazamiento como una cancelación. El Ómnibus Digital gana tiempo; no elimina las obligaciones de alto riesgo. Las fechas se trasladaron al 2 de diciembre de 2027 y al 2 de agosto de 2028 —no desaparecieron.

Suponer que estás fuera del ámbito por estar fuera de la UE. El alcance extraterritorial significa que el criterio es si el sistema afecta a la UE, no dónde estás establecido.

Confiar en las nuevas fechas antes de que sean ley. El Ómnibus era un acuerdo provisional en el momento de redactar esto. Hasta su adopción formal y publicación, planifica teniendo en cuenta la posibilidad de que siga aplicándose el calendario original.

Confundir las normas GPAI con las de alto riesgo. Las obligaciones para los modelos GPAI se aplican desde agosto de 2025; el régimen de alto riesgo es una capa distinta con sus propias fechas (ahora aplazadas).

Ignorar una solicitud de la autoridad o responder de forma informal. Un correo sin estructura ni documentos invita a más preguntas. Una respuesta formal y documentada cierra el asunto.

Olvidar el RGPD. Si hay datos personales en juego, gestionas dos regímenes a la vez, no uno solo.

• 2 de agosto de 2026 sigue siendo la fecha de aplicación principal del Reglamento (artículo 113), con las obligaciones de transparencia del artículo 50, las competencias de aplicación sobre GPAI y un marco sancionador activo.
• El Ómnibus Digital sobre IA (acuerdo provisional del 7 de mayo de 2026) aplazaría las obligaciones de alto riesgo: 2 de diciembre de 2027 para los sistemas independientes del anexo III, 2 de agosto de 2028 para la IA integrada en productos regulados.
• La obligación de marcado de los proveedores del artículo 50, apartado 2, pasaría al 2 de diciembre de 2026; las demás obligaciones del artículo 50 se mantienen en el 2 de agosto de 2026.
• Las nuevas fechas están condicionadas a la adopción formal y la publicación del Ómnibus.
• El Reglamento se aplica con independencia de dónde tenga su sede tu empresa si el sistema de IA se utiliza en la UE.
• Las multas alcanzan 35 millones de euros o el 7 % del volumen de negocios mundial para las infracciones más graves, y 15 millones de euros o el 3 % para muchas otras.
• Si recibes una solicitud de cumplimiento, responde de forma formal, punto por punto, con documentación. DocuGov.ai puede generar esa carta por ti.