La pregunta que más se repite en nuestros diagnósticos iniciales no es "¿qué tengo que documentar?" ni "¿cuánto cuesta cumplir el AI Act?". La pregunta que más se repite es, simplemente: ¿cuándo?
Y es comprensible. El AI Act estableció un sistema de aplicación progresiva que se ha visto modificado por el acuerdo provisional del Digital Omnibus en mayo de 2026. Hay fechas que no han cambiado, fechas que se han aplazado y fechas que todavía dependen de una publicación oficial pendiente. Este artículo responde a esa pregunta con precisión, obligación por obligación.
Por qué el calendario del AI Act genera tanta confusión
El AI Act (Reglamento UE 2024/1689) no entró en vigor con una sola fecha de cumplimiento. Desde su publicación en agosto de 2024, el Reglamento estableció un despliegue en cuatro fases con distintas fechas para distintas obligaciones. Esto ya era complejo de comunicar.
A esa complejidad se añadió el acuerdo provisional del Digital Omnibus del 6 de mayo de 2026, que propone aplazar algunos de esos plazos. La noticia se propagó rápidamente con un mensaje simplificado —"han retrasado el AI Act"— que genera una interpretación incorrecta: que todo se ha aplazado. No es así.
Para entender el calendario correctamente, hay que distinguir tres cosas:
- Qué obligaciones ya están en vigor (y no han cambiado con el Digital Omnibus)
- Qué obligaciones aplican en agosto de 2026 (y tampoco se han aplazado)
- Qué obligaciones se han aplazado provisionalmente (y para cuándo)
Lo que ya aplica hoy: prohibiciones y sanciones
Dos bloques de obligaciones del AI Act llevan ya meses en vigor. No hay aplazamiento sobre ellos y el Digital Omnibus no los modifica.
Desde febrero de 2025: las prohibiciones absolutas
El artículo 5 del AI Act prohíbe ciertos usos de la IA sin excepciones. Estos usos ya son ilegales en toda la UE desde el 2 de febrero de 2025:
- Sistemas de puntuación social de ciudadanos por parte de autoridades públicas
- Sistemas de identificación biométrica remota en tiempo real en espacios públicos (con excepciones muy limitadas para fuerzas de seguridad)
- Sistemas que manipulan subliminalmente el comportamiento de las personas
- Sistemas que explotan vulnerabilidades de grupos específicos (edad, discapacidad…)
- Predicción de delitos basada en perfiles de personalidad sin comportamiento objetivo previo
- Sistemas de reconocimiento de emociones en contextos laborales y educativos (salvo excepciones médicas y de seguridad)
- Generación de bases de datos de reconocimiento facial mediante scraping no selectivo
- Generación de contenido íntimo sintético no consentido (deepfakes sexuales): prohibición reforzada con el Digital Omnibus
Si su empresa usa alguna de estas tecnologías, el incumplimiento ya es sancionable. La multa máxima para infracciones de los usos prohibidos es de 35 millones de euros o el 7% de la facturación global anual, lo que resulte mayor.
Junto con las prohibiciones, desde febrero de 2025 también es obligatorio garantizar un nivel suficiente de alfabetización en IA (AI Literacy) para todos los empleados que trabajen con sistemas de IA. Esto implica formación básica que permita a las personas entender qué es la IA, cómo funciona y cuáles son sus limitaciones.
Desde agosto de 2025: el régimen de sanciones y los modelos GPAI
Desde el 2 de agosto de 2025, la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) tiene plena capacidad legal para:
- Abrir investigaciones por presunto incumplimiento del AI Act
- Requerir documentación a cualquier empresa
- Ordenar inspecciones, con o sin previo aviso
- Imponer medidas provisionales y correctoras
- Emitir sanciones económicas según los tres tramos del Reglamento
Desde esa misma fecha también aplican las obligaciones para los proveedores de modelos de IA de propósito general (GPAI): los grandes modelos de lenguaje y otros modelos de gran escala. Esto afecta principalmente a las empresas que desarrollan estos modelos, no a las que simplemente los usan a través de APIs.
Punto crítico para su empresa: aunque su empresa no desarrolle IA, si usa herramientas con IA y no tiene documentado cómo las supervisa, una inspección de la AESIA puede derivar en requerimientos de información que hoy no podría responder. La ausencia de documentación ya es, en sí misma, un riesgo auditable.
Agosto de 2026: lo que sigue en pie
El 2 de agosto de 2026 es la fecha que más confusión genera en este momento. Mucha gente asume que el Digital Omnibus la ha eliminado del calendario. No es así.
Lo que aplica en agosto de 2026 es el artículo 50 del AI Act sobre transparencia de la IA. Esta obligación no se aplazó. Las empresas que en esa fecha no cumplan con ella estarán incumpliendo el AI Act vigente.
Concretamente, el artículo 50 obliga a:
- Chatbots y sistemas conversacionales: los sistemas de IA que interactúan con personas deben revelar de forma clara que son sistemas de IA, salvo cuando resulte evidente por el contexto. Esto aplica a cualquier chatbot de atención al cliente, asistente virtual o sistema de respuesta automatizada que opere en modo conversacional.
- Contenido generado por IA: los textos, imágenes, audio y vídeo generados o manipulados por IA deben marcarse de forma que sean detectables como contenido sintético. Para vídeos y audio, se exige marcado con marca de agua (watermarking). Para sistemas ya existentes en agosto de 2026, hay una prórroga de cuatro meses para implementar el watermarking, hasta diciembre de 2026.
- Deepfakes: la IA que genere o manipule imágenes, audio o vídeo de personas reales para crear contenido falso debe informar de ello de forma clara. Las excepciones son limitadas (sátira, parodia, arte con divulgación explícita).
Para empresas con chatbots: si su empresa tiene un asistente virtual de atención al cliente, una plataforma de e-commerce con chat automático o cualquier sistema conversacional con IA, tiene hasta el 2 de agosto de 2026 para asegurarse de que el sistema se identifica como IA. Es una obligación técnicamente sencilla pero legalmente exigible.
Diciembre de 2027: el nuevo plazo del alto riesgo
Este es el cambio más relevante del Digital Omnibus para la mayoría de empresas. Las obligaciones para sistemas de IA clasificados como de alto riesgo del Anexo III —las más exigentes del Reglamento— se aplazarían del 2 de agosto de 2026 al 2 de diciembre de 2027.
Decimos "se aplazarían" y no "se aplazaron" porque el Digital Omnibus, a fecha de publicación de este artículo (junio de 2026), todavía no se ha publicado en el Diario Oficial de la UE. Es un acuerdo político provisional, no ley vigente. La publicación formal se prevé para julio de 2026.
Los sistemas afectados por este aplazamiento son los del Anexo III del AI Act, que incluye:
- Sistemas de IA usados en la selección, evaluación y gestión de candidatos y empleados (ATS, scoring de RRHH, gestión del rendimiento)
- Sistemas de scoring crediticio, evaluación de solvencia y acceso a productos financieros
- Sistemas de evaluación de riesgo en seguros de vida y salud
- Herramientas de acceso y gestión de prestaciones sociales y servicios públicos
- Sistemas biométricos de identificación y categorización de personas
- Herramientas de IA en entornos educativos para evaluación de estudiantes o control de exámenes
- IA usada en infraestructuras críticas (energía, agua, transporte)
Para estos sistemas, las obligaciones aplazadas incluyen el expediente técnico completo (Anexo IV), el registro en la base de datos de la UE, el sistema de gestión de riesgos, la documentación de supervisión humana y los logs de monitorización.
También hay un segundo grupo que se aplazaría más lejos: los sistemas de alto riesgo del Anexo I —IA integrada como componente de seguridad en productos ya regulados como dispositivos médicos, maquinaria industrial o vehículos— pasarían de agosto de 2027 a agosto de 2028.
Cuándo aplica según el sector y el sistema de IA
Para facilitar la lectura, esta tabla recoge los plazos relevantes según el tipo de empresa y el sistema de IA utilizado:
| Fecha | Obligación | A quién afecta | Estado |
|---|---|---|---|
| Feb 2025 | Prohibiciones absolutas de uso de IA (Art. 5) + formación AI Literacy para empleados | Todas las empresas que usan IA | Vigente |
| Ago 2025 | Sanciones activas (AESIA puede multar) + obligaciones para modelos GPAI | Todas las empresas; especialmente proveedores de modelos IA | Vigente |
| 2 ago 2026 | Transparencia (Art. 50): identificación de chatbots como IA, marcado de contenido generado por IA | Empresas con chatbots, asistentes virtuales, generación de contenido con IA | 40 días |
| 2 dic 2026 | Prórroga del watermarking (Art. 50.2): sistemas ya existentes en agosto 2026 tienen hasta diciembre para implementar marca de agua | Empresas con sistemas de generación de imagen, audio o vídeo existentes | Prórroga |
| 2 dic 2027* | Alto riesgo Anexo III: expediente técnico, registro UE, supervisión humana, gestión de riesgos, logs | RRHH/ATS, finanzas/scoring, seguros, educación, gestión de trabajadores, biometría | Provisional |
| 2 ago 2028* | Alto riesgo Anexo I: IA en productos regulados | Dispositivos médicos, maquinaria industrial, vehículos, ascensores con IA | Provisional |
* Fechas provisionales según el acuerdo del Digital Omnibus, pendiente de publicación en el Diario Oficial de la UE.
Para tener una referencia más visual, estos son los plazos aproximados por sector de actividad:
El error más común: confundir el aplazamiento con una exención
El aplazamiento del Digital Omnibus es una de las noticias más mal interpretadas del panorama regulatorio europeo reciente. El mensaje que circula —"han retrasado el AI Act"— lleva a muchas empresas a tomar una decisión que puede resultarles cara: esperar.
El aplazamiento no es una exención. Estas son las diferencias clave:
- Una exención significa que la obligación desaparece o que una empresa queda fuera de su alcance.
- Un aplazamiento significa que la obligación existe igual pero el plazo se mueve.
Las obligaciones de alto riesgo del AI Act —expediente técnico, gestión de riesgos, supervisión humana, logs de monitorización, registro en la base de datos de la UE— no han desaparecido. Siguen siendo exigibles. Lo único que ha cambiado es que el plazo para tenerlas implementadas se ha movido de agosto de 2026 a diciembre de 2027.
Y aquí está el problema de matemática simple que muchas empresas están ignorando: preparar un sistema de IA de alto riesgo para cumplir el AI Act lleva entre 12 y 18 meses en una organización mediana. Eso incluye:
- Hacer el inventario completo de sistemas de IA de la empresa (1-2 meses)
- Clasificar el riesgo de cada sistema con criterios jurídicos y técnicos (1 mes)
- Desarrollar el expediente técnico (Anexo IV) para cada sistema de alto riesgo (2-4 meses por sistema)
- Implementar el sistema de gestión de riesgos como proceso continuo (2-3 meses)
- Establecer y documentar los procedimientos de supervisión humana (1-2 meses)
- Configurar los logs de monitorización y trazabilidad (1-2 meses)
- Registrar los sistemas en la base de datos de la UE (1 mes)
- Formar a los equipos responsables (paralelo a las fases anteriores)
Una empresa que decida esperar a 2027 para iniciar su programa de adecuación llegará a diciembre de 2027 sin haber terminado. Y en ese momento, la AESIA ya estará plenamente operativa y con capacidad sancionadora.
El ángulo correcto: el aplazamiento a diciembre de 2027 convierte el proceso de adecuación en algo que se puede hacer bien en lugar de con urgencia. Las empresas que empiecen ahora llegarán a esa fecha con documentación sólida, procesos establecidos y equipos formados. Las que esperen llegarán corriendo.
Cómo calcular su plazo real de preparación
El plazo legal (diciembre de 2027 para el alto riesgo) no es el plazo de preparación. El plazo de preparación depende de cuántos sistemas de IA tiene su empresa, cuántos de ellos son de alto riesgo y qué recursos puede dedicar al programa de adecuación.
Una forma sencilla de calcular su horizonte de trabajo:
- Si su empresa tiene 1-3 sistemas de alto riesgo y puede asignar un responsable de compliance a tiempo parcial: calcule 12-15 meses de trabajo. Iniciar en el segundo semestre de 2026 le permite llegar a diciembre de 2027 con margen.
- Si tiene 4-10 sistemas de alto riesgo o si sus sistemas tienen arquitecturas complejas: calcule 15-18 meses y un equipo mixto (compliance + técnico). Iniciar en el primer semestre de 2026 es lo prudente.
- Si tiene más de 10 sistemas o opera en múltiples sectores de alto riesgo: un programa de adecuación Enterprise requiere planificación desde ahora, con fases y entregables periódicos.
El punto de partida en todos los casos es el mismo: el inventario de sistemas de IA. Sin saber qué tecnologías con IA opera su empresa, en qué departamentos y para qué decisiones, no hay clasificación posible ni programa de adecuación que arranque correctamente.
En Trust AI hacemos ese inventario inicial y la clasificación de riesgo en una sesión de diagnóstico de 60 minutos. Con ese mapa sobre la mesa, podemos decirle exactamente en qué fase está y cuánto tiempo necesita para llegar preparada a diciembre de 2027.
Preguntas frecuentes sobre los plazos del AI Act
El AI Act entró en vigor en agosto de 2024, pero sus obligaciones se despliegan en fases. Las prohibiciones aplican desde febrero de 2025, las sanciones desde agosto de 2025, la transparencia en agosto de 2026, y las obligaciones de alto riesgo en diciembre de 2027 (Anexo III) y agosto de 2028 (Anexo I) según el acuerdo provisional del Digital Omnibus.
No. El Digital Omnibus solo aplaza las obligaciones para sistemas de alto riesgo. Las prohibiciones, las sanciones (la AESIA ya puede multar), la obligación de transparencia (agosto 2026) y la formación AI Literacy mantienen sus fechas originales. Además, el Digital Omnibus todavía no es ley definitiva: está pendiente de publicación en el Diario Oficial de la UE.
Sí. Desde el 2 de agosto de 2025, la AESIA tiene capacidad legal para investigar, requerir documentación y emitir sanciones. Las multas van desde 7,5 millones de euros (información inexacta) hasta 35 millones de euros o el 7% de la facturación global (usos prohibidos), lo que resulte mayor en cada caso.
Si el Digital Omnibus no se publica en el Diario Oficial de la UE antes del 2 de agosto de 2026, las fechas originales del AI Act seguirían siendo las legalmente vigentes: las obligaciones de alto riesgo del Anexo III aplicarían en agosto de 2026. Esta es una posibilidad real que hace imprudente asumir el aplazamiento como definitivo hasta que la publicación se produzca.
El punto de partida es el inventario de sistemas de IA: identificar todas las herramientas con componentes de IA que opera su empresa, en qué departamentos y para qué decisiones. A partir de ese inventario se hace la clasificación de riesgo, que determina qué obligaciones aplican y en qué plazos. Sin inventario, no hay programa de adecuación posible.
Probablemente sí. Los sistemas de seguimiento y evaluación de candidatos que filtran, ordenan o puntúan automáticamente a las personas antes de la revisión humana entran en la categoría de alto riesgo según el Anexo III del AI Act. El hecho de que el software sea de un proveedor externo no exime a su empresa de las obligaciones como responsable de despliegue.
En cuanto a transparencia (agosto 2026), sí: cualquier chatbot conversacional debe identificarse como IA. En cuanto a las obligaciones de alto riesgo, depende de lo que haga el chatbot. Si solo responde preguntas frecuentes, probablemente sea de riesgo limitado o mínimo. Si tiene capacidad de tomar decisiones sobre el acceso a servicios esenciales, podría ser de alto riesgo. La clasificación debe hacerse caso por caso.