La UE ha retocado su Ley de la IA para introducir cambios de regulación y calendario: esto es lo que cambia
Cinco años después de su primera propuesta, la ley pionera de IA de Europa se da más tiempo para aplicarse a sí misma, entre elogios de la industria y avisos de quienes temen que el retraso deje sin efecto sus reglas más exigentes.
Cuando la Comisión Europea presentó su propuesta original de reglamento de inteligencia artificial en 2021, ChatGPT ni siquiera existía. Cinco años después, esa norma pionera —conocida como AI Act— ha tenido que reescribir parte de su propio calendario para no chocar con una tecnología que evoluciona más rápido que cualquier proceso legislativo.
Tras meses de negociación, el proceso que reajusta esas fechas ya se ha cerrado: el Parlamento Europeo lo aprobó el 16 de junio de 2026 y el Consejo de la UE dio su visto bueno definitivo el 29 de junio. Solo falta su publicación en el Diario Oficial de la UE, prevista antes del 2 de agosto de 2026, para que entre en vigor.
Una ley pionera que corre contrarreloj
El AI Act se aprobó hace más de dos años en el Parlamento Europeo con una mayoría contundente —523 votos a favor, 46 en contra y 49 abstenciones— y convirtió a la Unión Europea en la primera región del mundo en regular la inteligencia artificial de forma integral. Ese logro repetía, en cierto modo, el camino que ya había recorrido el Reglamento General de Protección de Datos (RGPD), que tardó solo dos años en aplicarse tras su aprobación.
Pero el despliegue del AI Act ha resultado mucho más complejo. La irrupción de la IA generativa obligó a incorporar sobre la marcha nuevos requisitos para los modelos de propósito general, publicar guías de aplicación y elaborar un Código de Buenas Prácticas dirigido a los grandes desarrolladores. Y ahora, con la aplicación de las obligaciones más exigentes a la vuelta de la esquina, Bruselas ha decidido dar más tiempo al mercado antes de que esas reglas entren en vigor.
Sin embargo, los cambios adoptados han resultado divisivos, y los números lo dejan bien claro si en marzo de este mismo año el mandato negociador reunió 569 votos a favor, en la votación final de junio el apoyo bajó a 423, con las abstenciones prácticamente cuadruplicándose. La aprobación salió adelante con holgura, sí, pero el consenso fue notablemente menor que al inicio del proceso.
Qué es exactamente lo que se retrasa
El paquete de reformas —bautizado como “Ómnibus Digital de IA”— no toca el núcleo de la ley: el sistema de clasificación por niveles de riesgo, las prácticas prohibidas y las obligaciones para los modelos de propósito general se mantienen intactos. Lo que cambia es el calendario de aplicación para los llamados sistemas de alto riesgo, es decir, aquellos usados en ámbitos especialmente sensibles como el empleo, la educación, las infraestructuras críticas, la sanidad, la administración de justicia o los servicios esenciales.
Con el calendario original, esas obligaciones debían empezar a aplicarse el 2 de agosto de 2026. Con el texto ya aprobado por Parlamento y Consejo, las nuevas fechas quedan así:
2 de diciembre de 2026: para la obligación de marcar de forma legible por máquina el contenido generado por IA (el llamado watermarking), aunque solo para los sistemas que ya estuvieran en el mercado antes de agosto de 2026.
2 de diciembre de 2027: para los sistemas de alto riesgo “independientes” recogidos en el Anexo III de la norma (evaluación crediticia, selección de personal, recursos humanos, triaje sanitario, biometría, migración o procesos democráticos, entre otros).
2 de agosto de 2028: para la IA integrada en productos ya regulados por otras normas, como dispositivos médicos, maquinaria o juguetes (Anexo I).
Un matiz importante, y que los propios juristas han querido subrayar para evitar confusiones: no es correcto decir que se ha aplazado el AI Act en su conjunto. Lo que se reescalona es una parte concreta —las obligaciones de alto riesgo—, mientras que el resto del calendario (prohibiciones, alfabetización en IA y buena parte de las obligaciones de transparencia) sigue su curso sin cambios.
De hecho, el 2 de agosto de 2026 sigue siendo una fecha de cumplimiento activa para las obligaciones de transparencia del artículo 50 de la norma, como la identificación de que un usuario está interactuando con un sistema de IA.
Un cambio de criterios
La propuesta inicial de la Comisión, presentada en noviembre de 2025, no planteaba fechas fijas, sino un mecanismo condicionado: las obligaciones de alto riesgo solo entrarían en vigor cuando la Comisión confirmara que existían los estándares técnicos necesarios, con 2027 y 2028 como fechas límite en caso de que esos estándares no estuvieran listos a tiempo. Durante la negociación final, Parlamento y Consejo optaron por sustituir ese sistema por fechas fijas y cerradas, precisamente para dar más previsibilidad a empresas y administraciones, que llevaban meses reclamando certidumbre antes que flexibilidad.
La prohibición de los “desnudificadores”
Más allá de los plazos, el Ómnibus ha incorporado una prohibición que no formaba parte del debate original sobre plazos y estándares: la prohibición expresa de los sistemas de IA diseñados para generar contenido sexual o íntimo sin consentimiento, así como material de abuso sexual infantil. La medida afecta tanto a quienes desarrollan estos sistemas como a quienes los utilizan con ese fin, y su cumplimiento será exigible a partir del 2 de diciembre de 2026.
Durante el debate parlamentario, una de las eurodiputadas que impulsó la medida defendió que este tipo de herramientas afecta a personas reales —mayoritariamente mujeres— con el objetivo de humillarlas y cosificarlas. Se trata de la adición sustantiva más relevante del paquete, y contrasta con el resto de cambios, que son en su mayoría ajustes de calendario y simplificación administrativa.
Otros ajustes menos visibles pero con impacto práctico
El paquete de reformas incluye además una serie de cambios técnicos que apenas han trascendido fuera de los círculos especializados, pero que tendrán consecuencias prácticas para las empresas:
Maquinaria fuera del doble cumplimiento. El Reglamento de Maquinaria pasa a un régimen distinto dentro del AI Act, de forma que los productos con IA embebida sujetos a esa normativa sectorial dejarán de tener que cumplir en paralelo el capítulo de alto riesgo de la norma. En su lugar, será la propia normativa de maquinaria la que incorpore, mediante actos delegados, los requisitos de seguridad relacionados con la IA.
Menos ambigüedad sobre qué es un “componente de seguridad”. Se aclara que un sistema de IA que simplemente asiste al usuario u optimiza el rendimiento, sin generar riesgos para la salud o la seguridad, no se considerará de alto riesgo. Esto reduce el número de productos que caerían bajo esa categoría por defecto.
Sandboxes regulatorios, un año más de margen. La obligación de que cada Estado miembro cuente con al menos un entorno de pruebas regulatorio para la IA se retrasa del 2 de agosto de 2026 al 2 de agosto de 2027.
Una nueva categoría de empresa beneficiada. Además de las pymes, se crea la categoría de “pequeña empresa de mediana capitalización” (SMC, por sus siglas en inglés), que podrá acceder a las mismas flexibilidades ya previstas para las pymes: documentación técnica simplificada, sanciones proporcionadas y sistemas de gestión de calidad menos exigentes.
El registro de sistemas exentos se mantiene. La Comisión había propuesto eliminar la obligación de registrar en la base de datos europea aquellos sistemas que un proveedor considera exentos de la categoría de alto riesgo. Esa propuesta se ha descartado: el registro sigue siendo obligatorio, aunque con menos requisitos de información.
Lo que opina la industria y quienes vigilan su cumplimiento
El reto que perciben empresas, despachos de abogados y organismos de supervisión ya no tiene que ver con el contenido de la norma, sino con su aplicación práctica: muchos de los problemas no vendrán de que un sistema falle, sino de que la organización no tenga procedimientos claros para usarlo. A eso se suma la necesidad de coordinar el AI Act con otras normas como el RGPD, la legislación de ciberseguridad o la normativa sectorial de sanidad, empleo o servicios financieros.
Desde el sector, distintas patronales han insistido en que su prioridad ahora no es tener menos regulación, sino disponer de un marco estable que permita planificar inversiones con antelación suficiente. Y aunque el nuevo calendario ha sido bien recibido como forma de evitar lo que algunas organizaciones han descrito como un “precipicio de cumplimiento” —el desfase entre la entrada en vigor de las obligaciones legales y la disponibilidad real de estándares técnicos—, no todo el mundo lo ve como una buena noticia sin matices.
La cara polémica del aplazamiento
No todas las voces han aplaudido el retraso. Algunas organizaciones de la sociedad civil (como LobbyControl) y ciertos eurodiputados (como Sergey Lagodinsky, vicepresidente de los Verdes Europeos) han advertido de un riesgo poco comentado: como la norma no es retroactiva, un sistema de alto riesgo que se lance al mercado antes de que las nuevas obligaciones entren en vigor podría quedar exento de cumplirlas salvo que sufra modificaciones sustanciales después.
Esto podría generar un incentivo perverso para que algunas empresas se apresuren a comercializar sistemas de IA de alto riesgo antes de diciembre de 2027, precisamente para evitarse los requisitos más exigentes.
A ese debate se suma un dato que también ha llamado la atención: una amplia mayoría de las reuniones mantenidas por la Comisión Europea durante el proceso de preparación de estos “paquetes ómnibus” de simplificación normativa se celebraron con grupos empresariales, frente a una proporción mucho menor con organizaciones no gubernamentales. Es un ángulo que añade ciertos matices a la narrativa institucional de “simplificación”...
Qué pasará ahora
Con el texto ya aprobado por ambas instituciones, decíamos que solo resta su publicación en el Diario Oficial de la Unión Europea, que se espera antes del 2 de agosto de 2026, fecha en la que el reglamento entrará en vigor formalmente. A partir de ahí, empieza el verdadero examen del AI Act: comprobar si, entre 2027 y 2028, la norma es capaz de aplicarse de manera homogénea en los 27 Estados miembros, con procedimientos claros y sin perjudicar la competitividad de una industria que no ha dejado de transformarse desde que Bruselas empezó a legislarla.
Si el nuevo calendario se cumple, desde el inicio del proceso en 2021 hasta la plena entrada en vigor de las obligaciones de alto riesgo habrán pasado siete años. Un plazo que será la verdadera prueba de si el AI Act puede convertirse en un estándar internacional —como ya lo hizo el RGPD— o si la velocidad de la inteligencia artificial acabará por desbordar, una vez más, a quienes intentan regularla.




