AI Act y sistemas de alto riesgo: por qué el 2 de agosto de 2026 sigue en pie tras el fracaso del Digital Omnibus
Actualización — 19 de mayo de 2026: El 7 de mayo se cerró el acuerdo político del Digital Omnibus. Las obligaciones de alto riesgo se aplazan al 2 de diciembre de 2027 (Anexo III) y al 2 de agosto de 2028 (Anexo I). El análisis que sigue refleja el estado al 4 de mayo, antes del acuerdo. Para el escenario actualizado y qué obligaciones siguen plenamente vigentes pese al aplazamiento, lea AI Act aplazado a 2027: por qué su empresa no debería relajarse.
El 28 de abril de 2026, tras doce horas de negociación en Bruselas, el trílogo sobre el Digital Omnibus de IA cerró sin acuerdo. Esto significa una sola cosa para las empresas españolas: el deadline del 2 de agosto de 2026 para las obligaciones de los sistemas de IA de alto riesgo sigue legalmente vigente. Las negociaciones se retomarán en las próximas semanas, pero hasta que no se publique un acuerdo formal en el Diario Oficial de la UE, las fechas del Reglamento UE 2024/1689 son las que mandan.
Este artículo explica qué hay realmente sobre la mesa, qué implica el 2 de agosto si nada cambia, y qué pasos prácticos puede tomar su empresa hoy mismo, sin esperar a que Bruselas decida. Sin alarmismo, sin atajos.
Qué pasó el 28 de abril (y por qué importa)
El 19 de noviembre de 2025, la Comisión Europea publicó el Digital Omnibus on AI, un paquete legislativo cuyo objetivo principal es retrasar la entrada en aplicación de las obligaciones de alto riesgo del 2 de agosto de 2026 al 2 de diciembre de 2027 para sistemas autónomos, y a agosto de 2028 para la IA integrada en productos regulados. El propio comunicado oficial habla de reglas digitales más sencillas para que las empresas europeas crezcan.
El trílogo del 28 de abril era el segundo intento de cerrar la propuesta entre Comisión, Consejo y Parlamento. Tras doce horas de negociación, no hubo acuerdo. El punto bloqueante fue la arquitectura del Anexo I, en concreto cómo se evalúa la conformidad de la IA integrada en productos ya regulados por normativa sectorial (maquinaria industrial, productos sanitarios, diagnóstico in vitro). Consejo y Parlamento mantuvieron posiciones distintas sobre si esos productos deben mantener una evaluación combinada bajo AI Act y normativa sectorial, o moverse a un régimen primariamente sectorial.
Las partes acordaron retomar las negociaciones a mediados de mayo. La presidencia chipriota del Consejo, que finaliza el 30 de junio de 2026, intentará cerrar el expediente antes de ceder el turno a la presidencia lituana. En cualquier caso, el calendario es ajustado: cualquier modificación al Reglamento debe completar el proceso legislativo ordinario europeo (acuerdo en trílogo, voto del Parlamento, aprobación del Consejo y publicación en el Diario Oficial de la UE) antes del 2 de agosto para tener efecto. Si no se llega a tiempo, el Reglamento UE 2024/1689 se aplica como está escrito.
Qué entra exactamente en vigor el 2 de agosto de 2026
Si el Omnibus no se aprueba a tiempo, ese día activa el bloque más exigente del Reglamento. Lo que pasa en concreto, según el Artículo 113 sobre entrada en vigor y aplicación:
- Aplicación de las obligaciones para sistemas de alto riesgo del Artículo 6 y del Anexo III
- Aplicación general del Reglamento según el calendario fijado en el Art. 113, incluyendo las obligaciones de transparencia del Artículo 50 (chatbots, contenido generado por IA, deepfakes)
- Régimen sancionador del Artículo 99 plenamente aplicable también sobre las obligaciones de alto riesgo
En España, la autoridad designada es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023 y con sede en A Coruña. AESIA ya asumió funciones de supervisión sobre las prácticas prohibidas del Artículo 5 desde el 2 de febrero de 2025, y desde el 2 de agosto de 2025 puede ejercer competencias sancionadoras sobre ese ámbito. El 2 de agosto de 2026 le suma la potestad de actuar sobre los sistemas de alto riesgo.
Quién es “alto riesgo” según el Reglamento
Aquí es donde hay que dejar de generalizar y mirar el texto. El Anexo III lista las ocho áreas que el Reglamento considera alto riesgo. Si su empresa usa IA en cualquiera de ellas, le aplica el régimen completo a partir del 2 de agosto.
| Área (Anexo III) | Casos prácticos típicos en España |
|---|---|
| 1. Biometría | Categorización biométrica, identificación remota, reconocimiento de emociones permitido |
| 2. Infraestructura crítica | IA para la gestión y operación de tráfico, agua, gas, electricidad, calefacción |
| 3. Educación y formación profesional | Acceso, admisión, evaluación de aprendizaje, detección de comportamiento prohibido en exámenes |
| 4. Empleo y gestión de trabajadores | Cribado de CV, decisiones de promoción/despido, asignación de tareas, evaluación de desempeño |
| 5. Servicios esenciales privados y públicos | Scoring crediticio, evaluación de solvencia, prestaciones públicas, priorización de urgencias sanitarias |
| 6. Aplicación de la ley | Evaluación de riesgo, polígrafo IA, evaluación de pruebas, perfilado |
| 7. Migración, asilo y control de fronteras | Polígrafo IA, evaluación de riesgo migratorio, examen de solicitudes |
| 8. Administración de justicia y procesos democráticos | Asistencia a jueces en investigación de hechos y aplicación del derecho |
El umbral concreto está en el Artículo 6: un sistema de IA es de alto riesgo si está dentro de uno de los productos del Anexo I sujetos a evaluación de conformidad por terceros, o si cae en uno de los casos del Anexo III y no cumple las excepciones del apartado 3.
Si su empresa hace cribado automático de CV, scoring crediticio, evaluación de candidatos a una prestación, o gestiona algún elemento de infraestructura crítica con IA, está dentro del Anexo III. Punto.
Qué obligaciones específicas activa esa categoría
Una vez clasificado como alto riesgo, el sistema debe cumplir el bloque exigente del Capítulo III del Reglamento. Los artículos clave que entran en vigor el 2 de agosto:
Artículo 9 — Sistema de gestión de riesgos
Proceso continuo y documentado durante todo el ciclo de vida del sistema: identificación, análisis, evaluación y mitigación de riesgos previsibles. No es un check de auditoría puntual, es un sistema vivo.
Artículo 10 — Datos y gobernanza de datos
Los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, suficientemente representativos, libres de errores en la medida de lo posible y completos para la finalidad prevista. Trazabilidad de los datos obligatoria.
Artículo 14 — Supervisión humana
El sistema debe diseñarse para que personas naturales puedan supervisarlo eficazmente. Para sistemas de alto riesgo, prohibir la automatización 100% es el principio rector. Siempre hay un humano en el bucle con capacidad real de intervenir, no decorativa.
Artículo 16 — Obligaciones de proveedores
Si su empresa desarrolla o vende un sistema de alto riesgo, el Artículo 16 enumera el bloque de obligaciones que se desarrolla en los artículos siguientes del Capítulo III, Sección 3 del Reglamento: documentación técnica (Art. 11 y Anexo IV), sistema de gestión de calidad (Art. 17), conservación de logs (Art. 19), marcado CE (Art. 48), declaración UE de conformidad (Art. 47) y registro en la base de datos europea (Art. 49).
Artículo 26 — Obligaciones de operadores (deployers)
Si su empresa usa un sistema de alto riesgo de un proveedor externo: aplicar las instrucciones del proveedor, asignar supervisión humana competente, asegurar que los datos de entrada son adecuados, conservar logs, cooperar con autoridades, informar a los trabajadores afectados.
Este último punto es el que más empresas pasan por alto. Usted no necesita haber construido el modelo para ser deployer de alto riesgo. Si compra una herramienta SaaS de cribado de CV o de scoring crediticio, las obligaciones del Artículo 26 le aplican directamente.
Sanciones reales bajo el Artículo 99
El régimen sancionador del Artículo 99 escala según el tipo de infracción:
- Hasta 35 millones de euros o el 7% del volumen de negocio mundial anual del ejercicio anterior, lo que sea mayor, por incumplimiento de las prácticas prohibidas del Artículo 5
- Hasta 15 millones de euros o el 3% por incumplimiento de obligaciones aplicables a operadores, proveedores, importadores, distribuidores y organismos notificados (incluye gran parte del régimen de alto riesgo)
- Hasta 7,5 millones de euros o el 1% por suministro de información incorrecta a las autoridades
Para PYMEs y startups, el Artículo 99(6) del Reglamento prevé un régimen de proporcionalidad explícito: la sanción aplicable será el importe menor entre la cifra fija y el porcentaje del volumen de negocio, no el mayor. AESIA es la autoridad que ejecuta esas sanciones en España.
Cómo afecta a sistemas que su empresa ya tiene funcionando
Aquí está el punto que muchos blogs no están tratando con suficiente precisión. El régimen de alto riesgo aplica al sistema en operación, no solo al sistema en venta. Si el 2 de agosto de 2026 su empresa tiene operativo un sistema que cae en Anexo III, las obligaciones se activan ese día.
Tres ejemplos típicos del mercado español:
- ERP con módulo de selección de personal con scoring automático: aunque el ERP sea anterior al Reglamento y la funcionalidad lleve años activa, el operador entra en el Artículo 26
- Plataforma de gestión municipal con IA para priorización de expedientes: si afecta a servicios esenciales, alto riesgo
- Sistema de gestión documental privado con clasificación automática para acceso a prestaciones: posible alto riesgo según el caso de uso final
La clave es el uso real, no la antigüedad del software. Por eso el primer paso siempre es un inventario.
Pasos prácticos hoy, sin esperar al desenlace del Omnibus
Independientemente de qué pase con la negociación, estos pasos son útiles ahora:
1. Inventario de sistemas IA
Lista exhaustiva de todo lo que toca IA en su empresa: modelos propios, herramientas SaaS de terceros, módulos de ERP/CRM con funcionalidad IA, integraciones externas. Para cada uno: proveedor, finalidad de uso, datos de entrada, decisiones que toma o influye.
2. Clasificación por riesgo
Cruce el inventario con el Anexo III. Lo que cae dentro va al carril rápido. Lo que no, queda en seguimiento.
3. Gobernanza mínima viable
Para cada sistema de alto riesgo: responsable interno designado, procedimiento de supervisión humana documentado, registro de logs activo, canal de reporte de incidentes. No hace falta una estructura corporativa enorme; sí hace falta que esté escrita y aplicada.
4. Documentación técnica
Si su empresa es proveedor de un sistema de alto riesgo (lo desarrolla y lo pone en el mercado), la documentación técnica del Artículo 11 y el Anexo IV son obligatorias. Si es operador, la documentación que recibe del proveedor debe estar archivada y accesible.
5. Contratos con proveedores SaaS
Revisar cláusulas con proveedores de IA externos: ¿quién es proveedor a efectos del Reglamento?, ¿qué soporte ofrece para conformidad?, ¿qué logs entrega?, ¿cómo se notifican incidentes? Esto debe estar resuelto antes del 2 de agosto.
La dimensión española: AESIA y el sandbox regulatorio
España tiene una particularidad: además de AESIA, opera un entorno controlado de pruebas establecido por el Real Decreto 817/2023, pensado precisamente para que proveedores y operadores ensayen el cumplimiento del Reglamento antes de que les caiga encima en producción. Para empresas que están construyendo o desplegando sistemas de alto riesgo, la entrada al sandbox puede ser una vía razonable de validación previa, especialmente en la ventana actual de incertidumbre regulatoria.
El cierre honesto
El estado a 4 de mayo de 2026 es el siguiente: el deadline del 2 de agosto sigue en pie. Es probable que la próxima ronda de trílogo termine retrasándolo, pero esa probabilidad no es certeza, y el calendario formal es muy ajustado. Para una empresa que tiene sistemas de alto riesgo en producción o en pipeline, jugar a esperar es la apuesta más cara: si el retraso no llega, el coste de cumplir a contrarreloj en julio es muy superior al coste de prepararse con tiempo.
Lo que sí podemos garantizar técnicamente: la mayoría de las obligaciones del régimen de alto riesgo (gobernanza de datos, logs, supervisión humana, gestión de riesgos) son buenas prácticas de ingeniería independientes de la regulación. Implementarlas hoy no es trabajo perdido si el deadline se retrasa: es deuda técnica resuelta antes de que se cobre intereses.
Preparemos técnicamente sus sistemas IA
No somos abogados, somos ingenieros. La interpretación jurídica del Reglamento la hace su asesor legal. Lo que hacemos nosotros es construir las piezas técnicas que el régimen de alto riesgo exige: logs trazables, supervisión humana operativa, gobernanza y trazabilidad de datos, arquitecturas auditables y on-premise cuando hace falta.
Un análisis serio de su arquitectura IA, con mapeo de controles existentes y plan de integración, no se resuelve en una llamada: requiere una consultoría dedicada, que típicamente lleva entre 3 y 4 semanas y arranca con presupuesto cerrado y métricas de éxito acordadas.
Pero sí podemos empezar por una conversación inicial de 30 minutos, sin compromiso ni coste, donde:
- Conocemos su sistema y su contexto operativo
- Identificamos por dónde podemos aportar técnicamente
- Le proponemos cómo sería la consultoría si decidimos avanzar juntos
Reservar diagnóstico inicial gratuito →
Este artículo tiene carácter divulgativo y refleja el estado regulatorio a 4 de mayo de 2026. No constituye asesoramiento legal. Para decisiones concretas sobre conformidad bajo el Reglamento UE 2024/1689, consulte con un asesor legal especializado.
¿Necesita ayuda con su proyecto?
Nuestro equipo de expertos está listo para asesorarle sobre la mejor tecnología y estrategia para su negocio.
Hablemos