AI Act aplazado a 2027: por qué su empresa no debería relajarse
El 7 de mayo de 2026, después de meses de negociación, el Consejo y el Parlamento Europeo alcanzaron un acuerdo político sobre el Digital Omnibus de IA. El titular que circula por todas partes es el mismo: “AI Act aplazado a 2027”. Y la mayoría de empresas españolas está leyendo eso como “uf, me salvé”.
No se salvó. Una parte importante del Reglamento sigue plenamente vigente desde 2025, otra parte se va a aprobar en las próximas semanas con el calendario nuevo, y el aplazamiento no es buena noticia para todos. Este artículo explica con precisión qué se movió y qué no, qué tiene que hacer su empresa con los casi 19 meses de margen que acaba de ganar, y por qué el acuerdo sigue siendo provisional y eso importa más de lo que parece.
Qué cambió exactamente el 7 de mayo
El Digital Omnibus on AI era la propuesta de la Comisión Europea, publicada en noviembre de 2025, para retrasar las obligaciones más exigentes del Reglamento UE 2024/1689. El trílogo del 28 de abril cerró sin acuerdo, bloqueado por la arquitectura de la IA integrada en productos sectoriales. Nueve días después, el 7 de mayo, las tres instituciones (Comisión, Consejo y Parlamento) llegaron al acuerdo político.
El motivo formal del aplazamiento está documentado en el propio comunicado: los estándares armonizados que las empresas necesitan para cumplir todavía no están listos. El sistema de organismos notificados que debe certificar los sistemas de alto riesgo tampoco está completamente operativo en todos los Estados miembros. La Comisión consideró que penalizar incumplimientos sin herramientas de cumplimiento publicadas era jurídicamente débil.
El acuerdo recoge esa lógica y mueve dos fechas críticas, sin tocar el resto del Reglamento.
El nuevo calendario real
Lo que sí se movió:
| Bloque del Reglamento | Fecha original | Fecha nueva tras Omnibus |
|---|---|---|
| Alto riesgo Anexo III (RRHH, scoring, biometría, infraestructura crítica, educación, justicia) | 2 de agosto de 2026 | 2 de diciembre de 2027 |
| Alto riesgo Anexo I (IA integrada en productos regulados: sanitarios, maquinaria, juguetes) | 2 de agosto de 2027 | 2 de agosto de 2028 |
| Régimen sancionador del Art. 99 sobre obligaciones de alto riesgo | 2 de agosto de 2026 | Acompaña a las fechas anteriores |
Lo que no se movió, y aquí está el punto que la mayor parte de la cobertura mediática ha pasado por alto:
| Bloque del Reglamento | Estado actual |
|---|---|
| Art. 4 — Alfabetización en IA | Vigente desde 2 de febrero de 2025 |
| Art. 5 — Prácticas prohibidas | Vigente desde 2 de febrero de 2025 |
| GPAI — Modelos de uso general (Capítulo V) | Vigente desde 2 de agosto de 2025 |
| Art. 50 — Obligaciones de transparencia (chatbots, reconocimiento de emociones permitidos) | Vigente con el calendario original. El marcado de contenido generado por IA se acelera al 2 de diciembre de 2026 (ver más abajo) |
| Sanciones sobre Art. 5 | AESIA con potestad sancionadora desde 2 de agosto de 2025 |
El acuerdo además introduce dos plazos cortos que no forman parte del aplazamiento de alto riesgo y que conviene marcar en rojo en cualquier hoja de ruta. El primero, una nueva prohibición vinculada a sistemas que generan material de abuso sexual infantil o imágenes íntimas no consensuadas: aplica desde el 2 de diciembre de 2026 según el comunicado oficial del Parlamento Europeo. El segundo, las obligaciones de marcado de contenido generado por IA del Art. 50: el plazo de gracia para que los proveedores implementen las soluciones técnicas se redujo de 6 meses a 3 meses, con fecha también el 2 de diciembre de 2026. Es decir, en este punto el Omnibus no aflojó: aceleró.
Mapa rápido: ya vigente, próximo, aplazado
Si solo retiene una imagen de este artículo, que sea esta:
| Estado | Bloque del Reglamento |
|---|---|
| Ya vigente | Art. 4 (alfabetización en IA), Art. 5 (prácticas prohibidas), Capítulo V (modelos GPAI), competencia sancionadora de AESIA sobre Art. 5 |
| Aplicación 2 de diciembre de 2026 | Nueva prohibición sobre sistemas que generan material de abuso sexual infantil o imágenes íntimas no consensuadas (introducida por el Omnibus) + marcado de contenido generado por IA del Art. 50 (plazo de gracia reducido de 6 a 3 meses) |
| Aplazado por el Omnibus | Alto riesgo Anexo III → 2 de diciembre de 2027, Alto riesgo Anexo I → 2 de agosto de 2028, régimen sancionador del Art. 99 sobre alto riesgo, sandboxes regulatorios nacionales → 2 de agosto de 2027 |
La fila “Ya vigente” es la que afecta a la inmensa mayoría de empresas españolas hoy. La fila del 2 de diciembre de 2026 es la que pasa desapercibida y conviene tener marcada con tiempo. El aplazamiento solo toca la tercera fila.
Lo que NO se movió, y la mayoría desconoce
Aquí está el ángulo crítico. Una empresa española que use ChatGPT, Copilot, Claude, un chatbot propio, un generador de imágenes, una herramienta de transcripción, o cualquier sistema IA en sus operaciones, ya tiene obligaciones activas hoy que ningún aplazamiento toca.
Alfabetización en IA — Artículo 4
El Artículo 4 está en vigor desde febrero de 2025 y aplica a cualquier organización que utilice sistemas de IA, con independencia del tamaño y del nivel de riesgo de la herramienta. La obligación concreta es garantizar un nivel suficiente de alfabetización en IA entre el personal que maneja esos sistemas, documentar la formación y conservar evidencias.
No exige certificaciones externas ni nombrar responsables formales. Pero sí exige que haya algo escrito y que se aplique. En la práctica, las empresas que están preparadas tienen un plan de formación documentado, registros de quién ha recibido qué, y un procedimiento de actualización cuando incorporan nuevas herramientas.
Prácticas prohibidas — Artículo 5
El Artículo 5 prohíbe determinados usos de IA en cualquier circunstancia: manipulación subliminal, explotación de vulnerabilidades, scoring social generalizado, predicción de delitos basada en perfilado, reconocimiento de emociones en el trabajo o la educación con excepciones limitadas, categorización biométrica para inferir rasgos sensibles, y la nueva prohibición de nudifiers incorporada en el acuerdo de mayo.
Las sanciones por infringir el Art. 5 son las más altas del Reglamento: hasta 35 millones de euros o el 7% del volumen de negocio mundial, lo que sea mayor. AESIA tiene competencia sancionadora plena sobre este bloque desde agosto de 2025.
Modelos de uso general — Capítulo V
Si su empresa desarrolla, despliega o pone en el mercado un modelo de IA de uso general (GPAI), el bloque de obligaciones del Capítulo V está en vigor desde agosto de 2025: documentación técnica, política de cumplimiento de copyright, resumen de los datos de entrenamiento. La línea de modelos con riesgo sistémico (los más grandes) tiene además obligaciones adicionales de evaluación, mitigación de riesgos sistémicos y notificación a la Comisión.
Esto afecta a quien construye o ajusta modelos propios, no a quien simplemente los usa. Pero hay un punto frecuentemente mal entendido: una empresa que hace fine-tuning sustancial de un modelo de base puede convertirse en proveedor de un GPAI a efectos del Reglamento.
Obligaciones de transparencia — Artículo 50
Las obligaciones del Artículo 50 no se aplazan, y el Omnibus introduce un matiz que conviene leer despacio. Lo que se mantiene con el calendario general del Reglamento: si su empresa opera un chatbot conversacional, el usuario debe saber que está hablando con una IA. Si despliega sistemas de reconocimiento de emociones o categorización biométrica permitidos, debe informar a las personas afectadas.
Lo que el Omnibus aceleró, según el comunicado del Parlamento Europeo, es el marcado obligatorio de contenido generado por IA (deepfakes, contenido sintético, imágenes/audio/vídeo creados o manipulados con IA). La propuesta original de la Comisión preveía un plazo de gracia de 6 meses para que los proveedores implementaran las soluciones técnicas. El acuerdo lo redujo a 3 meses, fijando la fecha en el 2 de diciembre de 2026.
Este artículo es el que toca de lleno a las empresas que tienen agentes conversacionales en WhatsApp o web. El aplazamiento del alto riesgo no las exime: la transparencia se exige con el calendario original y el marcado de contenido sintético se exige antes de lo que la propuesta inicial planteaba.
Por qué el aplazamiento no es buena noticia para todos
La narrativa dominante presenta el aplazamiento como un alivio para las empresas. Hay tres perfiles para los que es exactamente lo contrario.
Las empresas que ya invirtieron en cumplimiento. Despachos, consultoras y proveedores que llevan un año adaptando arquitecturas, formando equipos y desarrollando documentación técnica para el deadline de agosto 2026 ven cómo sus competidores ganan 16 meses adicionales sin haber hecho ese trabajo. La ventaja competitiva esperada se diluye.
Los proveedores SaaS con clientes en sectores regulados. Una empresa que vende software a hospitales, bancos o administraciones públicas necesita poder demostrar conformidad bajo el AI Act cuando el cliente lo pide. Si el deadline se mueve a 2027, los clientes pueden posponer la exigencia, pero los que ya estaban en proceso de adaptación no van a tirar el trabajo: el mercado va a empezar a diferenciar entre proveedores “ya conformes” y “por conformar”. Si su empresa es lo segundo, va a quedar fuera de licitaciones.
Quienes construyen agentes IA empresariales hoy. Las obligaciones del Art. 50, la responsabilidad como deployer y el régimen general del Reglamento siguen aplicando. El aplazamiento del Anexo III no afecta a la mayoría de implementaciones reales de agentes IA en PYMEs, que se sitúan fuera del alto riesgo pero dentro de las obligaciones generales del Reglamento. Confundir un titular con una exención es un error caro.
El acuerdo sigue siendo provisional
Aquí hay un detalle técnico que conviene tener claro. El acuerdo del 7 de mayo es un acuerdo político, no es el texto definitivo del Reglamento modificado. Para que las nuevas fechas tengan validez legal, el proceso legislativo europeo debe completar:
- Revisión legal-lingüística del texto en todas las lenguas oficiales
- Voto formal del Parlamento Europeo en sesión plenaria
- Aprobación final del Consejo
- Publicación en el Diario Oficial de la UE
Hasta que el último paso se complete, el Reglamento UE 2024/1689 sigue formalmente en su versión original. La probabilidad de que el acuerdo se ratifique tal como está pactado es alta, pero no es cero el riesgo de modificaciones de última hora. Para empresas con sistemas de alto riesgo en pipeline, asumir que el aplazamiento ya está firmado y planificar sobre esa base puede salir caro si el calendario formal no se cierra a tiempo.
Qué hacer con los 19 meses que acaba de ganar
Si su empresa estaba con la cuenta atrás encima para agosto 2026, el aplazamiento le da margen. Lo que no le da es permiso para olvidarse del tema. Estas son las cinco cosas que cualquier empresa con exposición al AI Act debería hacer en las próximas semanas, no en 2027.
1. Inventario actualizado de sistemas IA
Lista exhaustiva de todo lo que toca IA en su empresa: modelos propios, herramientas SaaS, módulos de ERP/CRM con funcionalidad IA, integraciones externas, asistentes conversacionales, herramientas de productividad. Para cada uno: proveedor, finalidad, datos que procesa, decisiones que toma o influye, usuarios internos y externos.
Este inventario es la base de cualquier conversación con un asesor legal, con un auditor, o con un cliente que pregunte por conformidad. Hoy la mayoría de empresas no lo tiene en formato utilizable. Hacerlo ahora es trabajo barato. Hacerlo en 2027 con presión es caro.
2. Verificación de cumplimiento del Art. 4 y Art. 5
Los dos artículos que están vigentes con sanciones plenas. Para Art. 4: ¿hay un plan de alfabetización en IA? ¿Hay evidencias de formación? ¿Está adaptado al rol? Para Art. 5: ¿alguno de sus sistemas cae en una práctica prohibida? El test honesto, no el de cumplimiento decorativo.
3. Gobernanza de los agentes IA y chatbots vigentes
Las obligaciones del Art. 50 siguen el calendario original. Si tiene un agente conversacional en producción o en pipeline, el aviso de transparencia, el marcado de contenido generado, la trazabilidad y los logs son exigibles. El aplazamiento del Anexo III no cubre esta zona.
4. Contratos con proveedores SaaS de IA
Revisar cláusulas con sus proveedores externos: ¿quién es proveedor a efectos del Reglamento?, ¿qué soporte ofrece para conformidad?, ¿qué logs entrega y con qué retención?, ¿cómo notifican incidentes? La negociación de estas cláusulas, especialmente con multinacionales, lleva tiempo. Empezar ahora es razonable.
5. Plan plurianual hacia diciembre 2027
Si su empresa tiene sistemas que caerían en Anexo III, los 19 meses no son tiempo perdido: son tiempo de implementación bien hecha. Las obligaciones del régimen de alto riesgo (gestión de riesgos, gobernanza de datos, supervisión humana, documentación técnica, logs trazables) son buenas prácticas de ingeniería que rinden valor desde el día uno, independientemente del calendario regulatorio.
La dimensión española: AESIA en el nuevo escenario
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) mantiene sus competencias sobre los artículos ya vigentes. El aplazamiento del Anexo III mueve la fecha en la que AESIA podrá actuar sancionatoriamente sobre alto riesgo, pero no afecta a su capacidad actual sobre Art. 5 y, próximamente, sobre las obligaciones del Art. 50.
El Real Decreto 729/2023 por el que se creó AESIA, y el sandbox regulatorio del Real Decreto 817/2023, siguen vigentes y operativos. Para empresas que están construyendo sistemas que caerán en alto riesgo en 2027, el sandbox es una herramienta de validación previa razonable: permite probar la conformidad con acompañamiento técnico antes de que la sanción esté encima.
El cierre honesto
El AI Act no se ha aflojado: se ha reordenado. La parte exigente se desplaza 16 meses para que existan los estándares y los organismos que la hagan operativa, pero la parte cotidiana (formación del personal, prohibiciones absolutas, transparencia de chatbots, modelos generales) sigue plenamente activa. Y hay un bloque, el del 2 de diciembre de 2026 (nudifiers + marcado de contenido generado), que el Omnibus adelantó respecto a la propuesta inicial. Quien lea el aplazamiento como permiso para olvidarse del Reglamento va a tener un susto en algún momento del año.
Quien lo lea como tiempo extra para hacer las cosas bien, va a llegar a diciembre de 2027 con una arquitectura sólida en lugar de una corrida de cumplimiento decorativo. La diferencia entre los dos escenarios se decide en estas semanas, no en 2027.
La semana que viene profundizamos en uno de los temas que el aplazamiento dejó intacto y que está cambiando el mapa empresarial español a velocidad récord: agentes IA en empresas españolas, con datos de adopción del primer trimestre de 2026 y las decisiones de arquitectura que separan los proyectos que escalan de los que se quedan en piloto eterno.
Si su empresa tiene sistemas IA en producción y quiere entender en qué punto del Reglamento está hoy, qué obligaciones le aplican ya y cuáles puede planificar con tiempo, eso lo conversamos sin compromiso. Para el cuadro completo de obligaciones que ya estaban vigentes antes del aplazamiento, lo cubrimos en AI Act 2026: lo que su empresa ya debe cumplir. Y si está empezando desde cero con la implementación de IA en su empresa, la guía de implementación práctica le da el mapa completo.
Este artículo refleja el estado regulatorio a 19 de mayo de 2026, tras el acuerdo político del 7 de mayo sobre el Digital Omnibus de IA. No constituye asesoramiento legal. Para decisiones concretas sobre conformidad bajo el Reglamento UE 2024/1689, consulte con un asesor legal especializado.
¿Necesita ayuda con su proyecto?
Nuestro equipo de expertos está listo para asesorarle sobre la mejor tecnología y estrategia para su negocio.
Hablemos