La Ley de IA de la UE tras el Digital Omnibus: lo que realmente se aplica en 2026

El titular que la mayoría de los directivos entendió mal

Cuando saltó la noticia de que la Ley de IA de la UE se había "retrasado", muchos equipos bajaron en silencio la gobernanza de la IA en su hoja de ruta. Esa fue la lectura equivocada. El Digital Omnibus, acordado de forma provisional el 7 de mayo de 2026, no puso en pausa la Ley de IA. Aplazó una capa específica, la más pesada, y dejó las partes que afectan a la mayoría de las empresas exactamente donde estaban.

Esto es un explicativo ejecutivo, no asesoramiento jurídico. Si construyes, compras o lanzas IA que toca el mercado de la UE, aquí tienes lo que es real, lo que cambió y lo que hay que hacer antes del próximo plazo.

Lo que es exigible desde el 2 de agosto de 2026

Esto no se movió. Planifica como si estuviera vigente, porque lo está.

• Aplicación de la IA de propósito general (GPAI). Desde el 2 de agosto de 2026, las competencias de aplicación para los modelos de IA de propósito general entran en vigor. Si haces fine tuning, alojas o distribuyes un modelo fundacional, o construyes sobre uno de forma que te conviertes en proveedor, las obligaciones se aplican.
• Deberes de transparencia del Artículo 50. Se aplican las obligaciones básicas de transparencia. A las personas se les debe informar cuando interactúan con un sistema de IA, y el uso de IA no debe ocultarse tras una fachada humana.
• Alfabetización en IA. La obligación de que las organizaciones aseguren que el personal que opera sistemas de IA tenga una alfabetización en IA adecuada ya está en vigor desde principios de 2025. El Omnibus no la tocó.
• Prácticas prohibidas. Los casos de uso vetados, como la puntuación social y cierta categorización biométrica, se aplican desde febrero de 2025 y siguen prohibidos.

El mensaje práctico para una empresa del Mittelstand alemán: si has lanzado un chatbot, una función generativa o un asistente de IA a clientes o empleados, las obligaciones de transparencia y alfabetización ya se te aplican. Eso no es un problema de 2027.

Lo que el Omnibus realmente aplazó

El aplazamiento es real, pero limitado. Apunta al régimen de alto riesgo, que es la parte más costosa y operativamente más pesada de la Ley.

• Sistemas de alto riesgo del Anexo III (sistemas independientes en áreas como empleo, crédito, educación, infraestructura crítica): el cumplimiento se pospone hasta el 2 de diciembre de 2027, un desplazamiento de unos dieciséis meses.
• IA de alto riesgo integrada en productos regulados del Anexo I: pospuesta hasta el 2 de agosto de 2028.
• Etiquetado y marca de agua del contenido generado por IA: el deber específico de marcar y etiquetar a nivel de máquina los medios sintéticos pasó del 2 de agosto de 2026 al 2 de diciembre de 2026, un desplazamiento de cuatro meses.
• Espacios controlados de pruebas (sandboxes regulatorios): el plazo para que los Estados miembros los pongan en marcha pasó al 2 de agosto de 2027.

Por qué "aplazado" es una trampa, no un respiro

Tres razones por las que el tiempo extra no es gratis.

1. El trabajo aplazado es el trabajo lento. Una evaluación de conformidad de alto riesgo, un sistema de gestión de riesgos, documentación técnica, registro, diseño de la supervisión humana y la vigilancia poscomercialización no son un sprint. Dieciséis meses son la pista de despegue, no el margen. Los equipos que traten diciembre de 2027 como "más tarde" harán la misma carrera contrarreloj, solo que más tarde.
2. Las obligaciones vigentes siguen mordiendo ahora. La transparencia, la alfabetización, GPAI y las prohibiciones son exigibles. Un plazo de alto riesgo aplazado no hace nada por una empresa que tiene hoy en producción una función de IA no revelada.
3. El plazo de etiquetado está cerca. Si lanzas cualquier función de IA generativa en la UE, necesitas etiquetado visible para el usuario, metadatos legibles por máquina en el contenido generado y una estrategia de detección operativa para el 2 de diciembre de 2026. Eso son meses, no años.

Qué hacer antes del próximo plazo

Una secuencia pragmática, por orden de prioridad.

1. Inventario. Enumera cada sistema de IA que construyes, integras o expones a usuarios o personal. No puedes gobernar lo que no has nombrado. La mayoría de las organizaciones subestiman esta lista a la mitad.
2. Clasifica. Para cada sistema, decide el nivel: prohibido, de alto riesgo, de riesgo limitado con deberes de transparencia, o mínimo. La clasificación determina todo lo demás.
3. Cierra primero las brechas vigentes. Las divulgaciones de transparencia, la alfabetización en IA para los operadores y el etiquetado de las funciones generativas. Estas vencen ahora o para diciembre de 2026, y son comparativamente baratas de resolver.
4. Inicia la pista de alto riesgo. Si algo cae en el Anexo III, empieza el trabajo de gestión de riesgos y documentación contra la fecha del 2 de diciembre de 2027. Trátalo como un programa, no como una casilla de verificación.
5. Documenta las decisiones. Tanto los reguladores como los compradores empresariales hacen la misma pregunta: muéstrame cómo se gobierna este sistema. Un registro de decisiones supera a un PDF de política.

Cómo lo entendemos nosotros

Construimos sistemas de IA que tienen que vivir dentro de empresas europeas reguladas, así que tratamos la gobernanza como parte de la arquitectura, no como un añadido de cumplimiento. Nuestra posición sobre la Ley es deliberadamente prudente: el régimen aún se está asentando, y cualquiera que te venda certeza sobre cada caso límite te está vendiendo algo. A lo que sí nos comprometemos es concreto: trazabilidad de las decisiones, supervisión humana en los puntos que importan, un tratamiento de datos que respeta el RGPD y un relato documentado de cómo se comporta cada sistema. Recogimos esa postura en nuestra página de gobernanza de IA, y los patrones de ingeniería que la sustentan en trazabilidad de decisiones de IA y IA con persona en el bucle.

Si quieres una lectura fundamentada de cuáles de tus sistemas de IA están afectados y cómo es la pista realista, empieza una conversación. Te diremos dónde la regulación realmente te toca, y dónde no.

Fuentes: el marco regulatorio oficial de la Ley de IA de la UE. Las fechas reflejan el acuerdo provisional del Digital Omnibus de mayo de 2026 y siguen sujetas a adopción formal.