AI Act: qué cambia realmente el 2 de agosto de 2026

En menos de cinco meses, el panorama regulatorio europeo cambia de manera decisiva. El 2 de agosto de 2026, el AI Act (Reglamento UE 2024/1689) alcanza su hito más estructural: las obligaciones para los sistemas de IA de alto riesgo entran en vigor y las reglas de transparencia se vuelven plenamente exigibles. Para millones de organizaciones europeas, esto ya no es una cuestión de preparación — es una cuestión de cumplimiento.

Una aclaración esencial antes de comenzar: el Digital Omnibus actualmente en proceso de adopción en el Parlamento Europeo podría retrasar algunas de estas obligaciones hasta diciembre de 2027. Pero hasta que no sea adoptado formalmente, el 2 de agosto de 2026 sigue siendo la fecha legalmente vinculante. Este artículo describe lo que la ley exige hoy.

Lo que el AI Act ya ha impuesto antes de agosto de 2026

Para entender qué cambia en agosto, conviene recordar qué ya se aplica. El AI Act no entró en vigor de golpe — se ha desplegado progresivamente desde agosto de 2024:

• 2 de febrero de 2025: prohibición de prácticas de riesgo inaceptable (Artículo 5) — puntuación social, manipulación subliminal, ciertos usos biométricos en tiempo real. Estas reglas ya están en vigor y son exigibles.
• 2 de febrero de 2025: obligación de alfabetización en IA (Artículo 4) — proveedores y desplegadores deben garantizar que su personal disponga de un nivel suficiente de competencia en IA.
• 2 de agosto de 2025: obligaciones para los modelos de IA de uso general (GPAI, Artículos 51–56) — ya aplicables a los proveedores de modelos como los LLM.

Este calendario progresivo es deliberado: da a las organizaciones tiempo para adaptarse a las obligaciones más complejas. Pero el tiempo restante antes de agosto de 2026 se mide ahora en semanas.

Qué entra en vigor el 2 de agosto de 2026

Sistemas de IA de alto riesgo (Anexo III)

Este es el núcleo del cambio de agosto de 2026. El Anexo III enumera ocho ámbitos en los que los sistemas de IA se clasifican automáticamente como de alto riesgo:

• Biometría: identificación biométrica remota, categorización biométrica, reconocimiento de emociones
• Infraestructuras críticas: gestión de redes eléctricas, de agua, de gas y de transporte
• Educación y formación: sistemas que determinan el acceso a instituciones educativas, evaluación del alumnado
• Empleo y recursos humanos: herramientas de selección de personal, gestión del desempeño, evaluación de candidatos
• Servicios esenciales: scoring crediticio, seguros, evaluación de solicitudes de prestaciones sociales
• Aplicación de la ley: elaboración de perfiles delictivos, evaluación de la fiabilidad de las pruebas, evaluación del riesgo de reincidencia
• Justicia y procesos democráticos: apoyo a la toma de decisiones judiciales
• Gestión de fronteras: evaluación de riesgos de personas en fronteras, verificación de documentos

Si su organización desarrolla o utiliza un sistema de IA en alguno de estos ámbitos, las obligaciones del Capítulo III del AI Act se aplican a usted desde el 2 de agosto de 2026 — ya sea una herramienta desarrollada internamente o un SaaS de terceros.

Obligaciones de transparencia para todos (Artículo 50)

El Artículo 50 no concierne únicamente a los sistemas de alto riesgo — se aplica a todos los sistemas de IA que interactúan con personas o generan contenido sintético:

• Chatbots y agentes conversacionales (Art. 50§1): cualquier sistema que interactúe con un ser humano debe informarle claramente de que está hablando con una IA.
• Deepfakes y contenidos manipulados (Art. 50§4): los contenidos de audio o visuales manipulados para parecerse a personas reales deben identificarse claramente como tales.
• Reconocimiento de emociones (Art. 50§3): cualquier persona sometida a un sistema de reconocimiento emocional debe ser informada de ello.

Nota importante: el Artículo 50§2 (marcado legible por máquina de los contenidos generados por IA) es el único elemento potencialmente aplazado — al 2 de noviembre de 2026 según la posición del Parlamento sobre el Digital Omnibus. Las demás obligaciones del Artículo 50 permanecen en agosto de 2026.

Qué implica esto para los proveedores

Si desarrolla y comercializa un sistema de IA de alto riesgo, es proveedor en el sentido del Artículo 3. Sus obligaciones a partir de agosto de 2026 son sustanciales:

• Documentación técnica (Art. 11 + Anexo IV): un expediente completo en 9 secciones que cubre la descripción del sistema, arquitectura, gobernanza de datos, gestión de riesgos, métricas de rendimiento, instrucciones de uso, vigilancia post-comercialización, sistema de gestión de la calidad y declaración de conformidad.
• Sistema de gestión de riesgos (Art. 9): un proceso continuo de identificación, evaluación y mitigación de riesgos durante todo el ciclo de vida del sistema.
• Gobernanza de datos (Art. 10): los conjuntos de datos de entrenamiento deben estar documentados, ser representativos y someterse a un análisis de sesgos.
• Supervisión humana (Art. 14): el sistema debe diseñarse para permitir que un ser humano supervise, comprenda e intervenga en su funcionamiento.
• Marcado CE + declaración de conformidad (Art. 47–49): attestación formal del cumplimiento antes de la comercialización.
• Registro en la base de datos de la UE (Art. 71): registro obligatorio antes de la puesta en servicio para la mayoría de los sistemas de alto riesgo.

La elaboración de esta documentación se estima entre 40 y 80 horas para un sistema complejo. AiActo estructura este proceso sección por sección con un asistente de IA contextual, reduciendo significativamente ese tiempo de preparación.

Qué implica esto para los desplegadores

Si utiliza un sistema de IA de alto riesgo desarrollado por un tercero, es desplegador en el sentido del Artículo 3. Sus obligaciones son distintas pero igualmente reales:

• Supervisión humana efectiva (Art. 26§2): debe establecer procedimientos que permitan a una persona cualificada supervisar el sistema, interpretar sus resultados e intervenir o detenerlo si es necesario.
• Conservación de registros (Art. 26§6): los registros generados automáticamente deben conservarse durante al menos seis meses.
• Información a las personas afectadas (Art. 26§6 + Art. 50): toda persona sujeta a una decisión influenciada por un sistema de alto riesgo debe ser informada.
• Uso conforme a las instrucciones del proveedor (Art. 26§1): no puede desviar el sistema de su uso previsto sin asumir la responsabilidad de proveedor.
• Evaluación de impacto sobre los derechos fundamentales — FRIA (Art. 27): obligatoria para los organismos públicos y ciertos operadores de servicios esenciales antes de la implantación.

Las sanciones que entran en juego

El AI Act establece un régimen de sanciones progresivo y disuasorio, exigible a partir de agosto de 2026:

• Hasta 35 millones € o el 7 % de la facturación mundial por prácticas prohibidas (Artículo 5) — ya exigibles desde febrero de 2025
• Hasta 15 millones € o el 3 % de la facturación mundial por incumplimiento de las obligaciones de alto riesgo
• Hasta 7,5 millones € o el 1 % de la facturación mundial por proporcionar información inexacta a las autoridades

Qué debe haber hecho antes del 2 de agosto de 2026

1. Clasificar sus sistemas de IA — identifique cuáles entran en el Anexo III, cuáles están sujetos al Artículo 50 y cuáles tienen un riesgo mínimo.
2. Determinar su rol — ¿proveedor, desplegador o ambos? Este rol determina la totalidad de sus obligaciones.
3. Auditar a sus proveedores SaaS — pregunte a sus proveedores de IA si son conformes, si disponen de documentación técnica y si están registrados en la base de datos de la UE.
4. Construir su expediente documental — incluso como desplegador, debe poder demostrar sus procesos de supervisión humana.
5. Informar a sus usuarios — actualice sus avisos legales, interfaces y comunicaciones para cumplir con las obligaciones de transparencia del Artículo 50.

El diagnóstico gratuito de AiActo le permite completar los pasos 1 y 2 en menos de 3 minutos — y obtener un resumen personalizado de sus obligaciones antes del plazo.

Preguntas frecuentes

¿Qué ocurre si el Digital Omnibus se adopta antes de agosto de 2026?

Si el Digital Omnibus se adopta antes del 2 de agosto de 2026 — que es el objetivo declarado de las instituciones europeas — las obligaciones para los sistemas de alto riesgo del Anexo III se aplazarían al 2 de diciembre de 2027. La posición del Parlamento Europeo adoptada el 18 de marzo de 2026 apoya este aplazamiento. Pero hasta que el texto no sea publicado formalmente en el Diario Oficial de la UE, el 2 de agosto de 2026 sigue siendo el plazo legal.

Mi sistema de IA ya estaba en servicio antes de agosto de 2026 — ¿estoy exento?

Parcialmente. El Artículo 111 prevé que los sistemas ya en el mercado antes de la entrada en vigor de las obligaciones se beneficien de un período de transición — siempre que no sufran ninguna modificación significativa. Si su sistema evoluciona, se aplican las nuevas obligaciones.

¿Cómo sé si mi sistema es de alto riesgo?

La clasificación se basa en dos criterios: el ámbito de aplicación (Anexo III) y la naturaleza del sistema. Una herramienta de selección de CVs por IA es de alto riesgo por definición. Un generador de texto de marketing generalmente no lo es. En caso de duda, el diagnóstico de AiActo aplica la lógica del Anexo III a su caso específico en pocas preguntas.

¿Se aplican las obligaciones a las herramientas de IA utilizadas únicamente de forma interna?

Sí, siempre que el sistema entre en el Anexo III y las personas afectadas por sus decisiones sean individuos — empleados, candidatos, clientes. Una herramienta de gestión del desempeño de empleados basada en IA entra en el ámbito del AI Act aunque nunca se comercialice.

¿Cuál es la diferencia entre agosto de 2026 y agosto de 2027?

Agosto de 2026: sistemas de alto riesgo del Anexo III y obligaciones de transparencia (Art. 50). Agosto de 2027: sistemas de alto riesgo integrados en productos regulados por otras legislaciones europeas (Anexo I — productos sanitarios, maquinaria, equipos de radio). Estos últimos se benefician de tiempo adicional porque su cumplimiento implica procedimientos de certificación sectorial más complejos.

El 2 de agosto de 2026 no es una amenaza abstracta — es una fecha inscrita en un texto publicado en el Diario Oficial de la Unión Europea. Independientemente del resultado del Digital Omnibus, las organizaciones que hayan estructurado su cumplimiento antes de esa fecha estarán mejor protegidas, mejor documentadas y mejor posicionadas. Consulte el calendario completo del AI Act en AiActo para visualizar todas las etapas del calendario regulatorio.