El EU AI Act entra en fase de enforcement: lo que hay que saber

Llevamos años oyendo hablar del EU AI Act como algo que “ya llegará”. Pues bien, ya está aquí: el 2 de agosto de 2026 era la fecha marcada desde el principio como el día de plena aplicación del reglamento, y aunque el calendario ha cambiado en los últimos meses (lo veremos en el timeline), sigue siendo un punto de inflexión para cualquier empresa que use IA en Europa, o que ofrezca sus servicios a usuarios europeos.
He hablado con bastantes empresas estos meses y me encuentro dos extremos: las que creen que esto no va con ellas porque “no hacen IA”, y las que están paralizando iniciativas por miedo a la regulación. Opino que ambas posturas parten de no entender bien el reglamento, así que este post pretende ser una introducción con las ideas clave, sin entrar en el detalle jurídico.
Antes de nada, dos detalles que a menudo se pasan por alto. El AI Act (Reglamento UE 2024/1689) es un reglamento, no una directiva: aplica directamente en todos los Estados miembros sin esperar a leyes nacionales. Y tiene alcance extraterritorial: si tu empresa está fuera de la UE pero tus sistemas de IA se usan en territorio europeo, también te aplica. Es el mismo efecto Bruselas que ya vimos con el GDPR.
Cómo se despliega: el calendario actualizado
El reglamento no entra en vigor de golpe, se despliega por fases. Y aquí está la mayor fuente de confusión: en mayo de 2026, el acuerdo político sobre el “Digital Omnibus” aplazó las obligaciones de alto riesgo. Mucho contenido publicado antes de esa fecha dice que “todo el alto riesgo” entra en agosto de 2026, y ya no es correcto. Este es el calendario actualizado:
Los cuatro niveles de riesgo
Esto es lo primero que hay que interiorizar: el AI Act no regula “la IA” en abstracto, regula los usos que le damos. El mismo modelo puede no tener ninguna obligación o tener muchísimas según para qué lo utilices.
La tabla sigue la clasificación oficial de la Comisión Europea (nótese que la Comisión denomina al tercer nivel “riesgo de transparencia”, no “riesgo limitado”):
| Categoría | Riesgo inaceptable | Alto riesgo | Riesgo de transparencia | Riesgo mínimo o nulo |
|---|---|---|---|---|
| Estado | Prohibido | Obligaciones estrictas | Obligaciones de divulgación | Sin obligaciones |
| Qué es | Amenaza clara para la seguridad, los medios de vida o los derechos de las personas | Usos que pueden suponer riesgos serios para la salud, la seguridad o los derechos fundamentales | Usos donde las personas deben saber que hay IA de por medio para preservar la confianza | La gran mayoría de los sistemas de IA que se usan hoy en la UE |
| Ejemplos | El reglamento prohíbe 8 prácticas:
|
|
|
|
| Obligaciones | Ninguna: están directamente prohibidos |
|
| Ninguna. Códigos de conducta voluntarios |
| Aplica desde | Febrero de 2025 | Diciembre de 2027 (Anexo III) y agosto de 2028 (IA integrada en productos) | Agosto de 2026 | — |
Basado en la clasificación oficial de la Comisión Europea: digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
A esto se suma un régimen propio para los modelos de propósito general (GPAI). Si eres una empresa que usa estos modelos vía API, esas obligaciones no son tuyas, son del proveedor. Las tuyas dependen del uso que hagas.
Qué entra en vigor el 2 de agosto del 2026
Lo que entra en aplicación ahora, y no se ha aplazado, son las obligaciones de transparencia del Artículo 50:
- Interacción con IA: si tu sistema interactúa con personas (un chatbot, por ejemplo), deben saber que hablan con una IA, salvo que sea evidente por el contexto.
- Contenido sintético: si generas o manipulas con IA imágenes, vídeo o audio que puedan parecer auténticos (deepfakes), debes etiquetarlos como tales.
- Textos de interés público: los textos generados por IA que se publican para informar sobre asuntos de interés público deben identificarse, salvo que haya revisión y responsabilidad editorial humana.
- Marcado técnico: los proveedores de IA generativa deben marcar técnicamente sus salidas como generadas artificialmente, en formato legible por máquina.
Esto afecta a muchas más empresas de lo que parece. No hace falta entrenar modelos ni hacer scoring crediticio: basta con tener un chatbot de atención al cliente o publicar contenido generado con IA.
Sanciones
El régimen sancionador es de los más duros del derecho digital europeo. Las multas se calculan sobre la cifra fija o el porcentaje de la facturación global anual, la que sea mayor:
Preguntas frecuentes
¿Me aplica el AI Act si solo uso IA de terceros?
¿Qué cambia exactamente el 2 de agosto de 2026?
¿No se había aplazado todo con el Digital Omnibus?
¿Qué pasa si uso un chatbot de atención al cliente?
¿Se prohíbe el uso de modelos alojados fuera de la UE?
El AI Act ya va a entrar en su fase de enforcement, por lo que no es recomendable retrasar más empezar a trabajar en asegurarse de que cumplimos con el reglamento.
Para la mayoría de empresas, el primer paso es sencillo y no requiere abogados: hacer inventario de los sistemas de IA que se usan (propios y de terceros), clasificarlos por nivel de riesgo y, a partir de ahí, ver qué obligaciones aplican y cuándo.
–
Este post es una introducción divulgativa, no asesoramiento legal. Para clasificar tus sistemas y conocer tus obligaciones concretas, consulta con asesoría jurídica especializada.