Ley de IA europea: aplicación plena y lecciones del primer ciclo
Actualizado: 2026-07-07
La Ley de IA europea iba a entrar en aplicación plena para sistemas de alto riesgo en agosto de 2026. El Digital Omnibus, aprobado por el Parlamento y el Consejo en junio de 2026, retrasa esa fecha 17 meses, hasta diciembre de 2027. Qué obligaciones rigen ya y qué cambia de verdad.
La Ley de IA europea entró en vigor el 1 de agosto de 2024, con un calendario escalonado: las prohibiciones absolutas y las obligaciones básicas de transparencia empezaron a aplicarse el 2 de febrero de 2025, y las obligaciones para modelos de propósito general llegaron el 2 de agosto de 2025. El calendario original preveía que los sistemas de alto riesgo del anexo III (selección de personal, scoring de crédito, educación, seguridad fronteriza) entrasen en aplicación plena el 2 de agosto de 2026. Eso ya no va a pasar en esa fecha. En las últimas semanas el Parlamento Europeo y el Consejo han cerrado el llamado Digital Omnibus, que retrasa esa aplicación plena 17 meses, hasta el 2 de diciembre de 2027. Este artículo recoge qué sigue vigente este año, qué ha cambiado exactamente y qué significa en la práctica para quien tiene que cumplir la ley.
Puntos clave
-
El grueso de las obligaciones de alto riesgo del anexo III (selección de personal, crédito, educación, sistemas fronterizos) se retrasa 17 meses: de agosto de 2026 a diciembre de 2027.
-
Los sistemas embebidos en productos regulados del anexo I (dispositivos médicos, maquinaria, vehículos) pasan de agosto de 2027 a agosto de 2028.
-
La transparencia sobre contenido generado con IA (artículo 50) sigue entrando en vigor el 2 de agosto de 2026; los sistemas que ya estaban en el mercado antes de esa fecha tienen hasta el 2 de diciembre de 2026 para incorporar el marcado técnico.
-
El Parlamento Europeo aprobó el paquete el 16 de junio de 2026 con 423 votos a favor, 57 en contra y 174 abstenciones; el Consejo dio la luz verde definitiva el 29 de junio.
-
Organizaciones de derechos digitales como EDRi consideran que el paquete vacía de contenido una parte central de la ley, sobre todo por eliminar el registro obligatorio de sistemas de alto riesgo en la base de datos pública de la UE.
Qué sigue vigente este año
El titular es el retraso, pero no todo se ha movido. Las prohibiciones absolutas (scoring social generalizado, identificación biométrica en espacios públicos sin autorización judicial) llevan en vigor desde febrero de 2025 y el Digital Omnibus no las toca. Las obligaciones para modelos de propósito general (documentación técnica, gestión de derechos de autor, evaluación de riesgo sistémico para los modelos más grandes) siguen vigentes desde agosto de 2025.
La transparencia sobre contenido generado con IA tampoco desaparece: el artículo 50 entra en vigor el 2 de agosto de 2026 como estaba previsto. Lo único que se relaja es el plazo técnico para el marcado (watermarking) en sistemas que ya estuvieran en el mercado antes de esa fecha, que ahora tienen hasta el 2 de diciembre de 2026. El paquete añade además una prohibición nueva: la generación de imágenes íntimas sin consentimiento (los llamados "nudificadores"), con obligación de retirarlos del mercado antes del 2 de diciembre de 2026.
Para el contexto técnico de todo esto, ya cubrimos con detalle qué implica el reglamento para equipos que despliegan sistemas en producción en nuestra checklist para CTOs españoles.
El giro: qué cambia el Digital Omnibus
Esto es lo que estaba en el calendario original y ya no se aplica en su fecha inicial:
-
Anexo III (sistemas de alto riesgo autónomos): la aplicación plena pasa del 2 de agosto de 2026 al 2 de diciembre de 2027. Son 17 meses adicionales para clasificar sistemas, montar gestión de riesgos, supervisión humana y registro de incidentes.
-
Anexo I (IA embebida en productos regulados): pasa de agosto de 2027 a agosto de 2028.
-
Registro obligatorio en la base de datos pública de la UE: el acuerdo elimina, para ciertos casos, la obligación de registrar el sistema si el propio proveedor concluye que no es de alto riesgo. Es el punto que más ha encendido a las organizaciones de derechos digitales, porque traslada la decisión de clasificación al propio proveedor sin verificación externa previa.
La razón oficial del retraso es técnica: faltan los estándares armonizados que traducen el texto legal en requisitos verificables, y sin ellos ninguna empresa puede auditar de verdad si cumple. La vicepresidenta ejecutiva de la Comisión, Henna Virkkunen, lo resumió así durante la negociación: "Our businesses and citizens want two things from AI rules. They want to be able to innovate and feel safe" (nuestras empresas y ciudadanos quieren dos cosas de las normas de IA: poder innovar y sentirse seguros).
Lo que dicen los críticos
No todo el mundo lo lee como una simplificación técnica razonable. EDRi (European Digital Rights), la principal red europea de organizaciones de derechos digitales, ha descrito la eliminación del registro obligatorio de sistemas de alto riesgo como una medida que amenaza con "vaciar un pilar central de la Ley de IA y convertirla en un marco opcional, de cumplimiento ligero". Su argumento, compartido en una carta firmada por sesenta organizaciones y entidades independientes, es que el ahorro real para las empresas es marginal frente al coste en supervisión y protección de derechos.
Mi lectura, sin ser parte interesada en ningún lado: el argumento técnico del retraso (no hay estándares armonizados listos) es real y verificable, no es una excusa inventada. Pero el argumento de EDRi también es razonable: dejar que el propio proveedor decida si su sistema es de alto riesgo, sin registro previo verificable, cambia el equilibrio de quién vigila a quién. Las dos cosas pueden ser ciertas a la vez, y creo que lo son.
Qué deberían hacer las empresas ahora
Diciembre de 2027 suena lejano, pero clasificar sistemas, montar supervisión humana efectiva y levantar infraestructura de registro de incidentes no se improvisa en un trimestre. Las empresas que ya estaban trabajando en esto con vistas a agosto de 2026 deberían seguir al mismo ritmo: el retraso da margen, no elimina la obligación futura, y los estándares armonizados que faltan hoy llegarán bastante antes de diciembre de 2027, no el último mes.
Para quien todavía no ha empezado a mapear qué sistemas propios encajarían en el anexo III, el ejercicio de clasificación sigue siendo el primer paso práctico, retraso o no. Y para equipos que están evaluando dónde alojar y entrenar estos sistemas dentro de la Unión, conviene revisar también las implicaciones que cubrimos en nuestro análisis sobre la IA soberana en Europa.
Mi lectura
El titular que iba a escribir sobre este ciclo era otro: un balance de sanciones y lecciones de un año de aplicación plena que, sencillamente, no ha ocurrido todavía. La Ley de IA sigue siendo, dieciocho meses después de su entrada en vigor, una obra en construcción cuyo calendario más exigente se sigue moviendo hacia delante.
Para las empresas, la lectura práctica no cambia mucho por el retraso: tratar el cumplimiento como proceso continuo integrado con gestión de riesgos sigue siendo más barato que tratarlo como proyecto de última hora. Lo que sí cambia es la fecha límite para pagar ese error, y quien tenga la tentación de relajarse otros diecisiete meses debería recordar que la última vez que el calendario se movió fue hace pocas semanas, no hace años.
Este artículo también está disponible en inglés: European AI Act: full application slips to 2027.
Fuentes
- AI Act Service Desk (Comisión Europea): cronología oficial de implementación
- Consejo de la UE: Artificial Intelligence, Council gives final green light to simplify and streamline rules (29 de junio de 2026)
- Gibson Dunn: EU AI Act Omnibus Agreement, postponed high-risk deadlines and other key changes
- Dastra: Digital Omnibus on AI, Parliament votes, deadlines redrawn
- EDRi: reject the proposals to undermine transparency in the AI Act