Faltan poco más de dos semanas para el 2 de agosto de 2026, la fecha en la que el Reglamento (UE) 2024/1689 de Inteligencia Artificial (el RIA o AI Act) debía activar el grueso de sus obligaciones para los sistemas de alto riesgo. Y las empresas europeas —sus asesores jurídicos y sus compliance officers, sobre todo— siguen sin saber a qué atenerse.

El motivo es una paradoja procedimental. El Parlamento Europeo respaldó el 16 de junio el acuerdo político alcanzado en mayo sobre el Reglamento Ómnibus Digital sobre la IA, y el Consejo le dio su luz verde definitiva el 29 de junio. El proceso legislativo está, a efectos prácticos, cerrado. Pero el texto todavía no se ha publicado en el Diario Oficial de la Unión Europea, y hasta que eso ocurra —y transcurran los tres días para su entrada en vigor— la norma jurídicamente vinculante sigue siendo el RIA en su redacción original.

Traducido: las obligaciones de alto riesgo «viven» el 2 de agosto. Y con ellas, un riesgo sancionador que alcanza el 7% de la facturación global anual o los 35 millones de euros.

Qué hay en juego el 2 de agosto

El RIA entró en vigor el 1 de agosto de 2024 con un calendario escalonado: las prácticas prohibidas se activaron en febrero de 2025; las obligaciones de los modelos de propósito general (GPAI), en agosto de 2025; y el bloque pesado —el Capítulo III, sobre sistemas de alto riesgo— estaba fijado para el 2 de agosto de 2026.

Ese bloque afecta sobre todo a los sistemas del Anexo III: contratación laboral, crédito, seguros, migración, justicia, educación o biometría. Su cumplimiento exige un paquete exigente: sistema de gestión de riesgos a lo largo del ciclo de vida, requisitos de calidad y representatividad de los datos de entrenamiento y validación, documentación técnica exhaustiva, transparencia y explicabilidad, supervisión humana efectiva, robustez, ciberseguridad y gestión de la calidad. A ello se suman, en muchos casos, el registro en la base de datos de la UE y una eventual evaluación de conformidad por organismo notificado.

El Ómnibus: un ejercicio de realismo regulatorio

La Comisión presentó la propuesta el 19 de noviembre de 2025, dentro de un paquete más amplio de simplificación digital. El diagnóstico era poco discutible: para agosto de 2026 no iban a estar listos todos los estándares armonizados necesarios, varias autoridades nacionales aún no eran plenamente operativas y la carga para las pymes resultaba desproporcionada. La normalización, sencillamente, iba más lenta de lo previsto.

De ahí un triple objetivo: garantizar una aplicación proporcionada del RIA, reducir cargas y costes —la Comisión estimó un ahorro de entre 297 y 433 millones de euros, con foco en pymes y small mid-caps— y vincular los plazos del alto riesgo a la disponibilidad real de estándares, especificaciones comunes y directrices.

El resultado más llamativo es el aplazamiento de las obligaciones del Capítulo III, que pasarían a aplicarse el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III y el 2 de agosto de 2028 para los integrados en productos sujetos a la legislación armonizada de seguridad (Anexo I).

Pero el paquete no se agota ahí. Extiende a las small mid-caps los regímenes simplificados previstos para pymes; simplifica la documentación técnica y el sistema de gestión de la calidad mediante formularios estandarizados; amplía la posibilidad de tratar categorías especiales de datos personales para detectar y corregir sesgos, con salvaguardas estrictas; extiende el real-world testing fuera de los sandbox; refuerza el papel de la AI Office sobre los modelos GPAI; y habilita actos de ejecución para resolver solapamientos con la legislación sectorial.

El acuerdo final añadió además elementos que no estaban en la propuesta inicial: la prohibición expresa de los sistemas diseñados para generar contenido sexual íntimo no consentido —las aplicaciones de nudificación— o material de abuso sexual infantil; la reinstauración del registro en la base de datos de la UE para ciertos sistemas exentos; el aplazamiento al 2 de agosto de 2027 del plazo para que los Estados tengan operativos sus sandbox; y la reducción de seis a tres meses del periodo de gracia para las soluciones de transparencia en contenido generado artificialmente, con nueva fecha el 2 de diciembre de 2026.

Lo que el Ómnibus no aplaza

Conviene deshacer un equívoco extendido. El titular «han retrasado el AI Act» es engañoso: lo que se mueve es el alto riesgo, no el resto.

Siguen intactas las prohibiciones del artículo 5, vigentes desde febrero de 2025; las obligaciones de gobernanza de los modelos GPAI, aplicables desde agosto de 2025; el régimen sancionador; y —dato crítico— las obligaciones de transparencia del artículo 50, que afectan a chatbots y a contenido generado por IA y que mantienen su cita el 2 de agosto de 2026. Ese mismo día empiezan a operar las autoridades de vigilancia del mercado.

Por qué la incertidumbre no es trivial

La secuencia es conocida —propuesta en noviembre de 2025, acuerdo político en mayo, Parlamento el 16 de junio, Consejo el 29 de junio— y solo resta la revisión jurídico-lingüística y la publicación. Las previsiones de las instituciones y de los despachos especializados apuntaban a «los próximos días o semanas» tras el 29 de junio. A mediados de julio, sigue sin producirse.

Los problemas prácticos son varios. El primero, jurídico: mientras el acto modificativo no entre en vigor, el calendario original es el único derecho aplicable, y planificar sobre fechas no publicadas es asumir un riesgo evitable. El segundo, operativo: aunque el texto aparezca el 20 o el 25 de julio, el margen para reajustar estrategias de cumplimiento maduradas durante meses es mínimo. Y el tercero, económico: quienes ya han invertido en auditorías, sistemas de gestión de riesgos o certificaciones se preguntan si el gasto era necesario, mientras quienes han esperado quedan expuestos si la publicación se demora más de la cuenta.

Para un sector con ciclos de desarrollo cortos e inversiones millonarias, esa ambigüedad tiene un coste real.

Qué hacer mientras tanto

La recomendación que se impone entre los especialistas es prudente pero no paralizante: preparar para el escenario original con flexibilidad incorporada.

En la práctica, eso pasa por vigilar de cerca el DOUE, la web de la AI Office y los comunicados de la Comisión, porque la publicación puede llegar cualquier día de julio; por hacer un análisis de brechas modular que separe lo ya exigible (prohibiciones, GPAI, transparencia) de lo que depende del Capítulo III, de modo que este último pueda activarse o pausarse; por introducir en los contratos con proveedores y clientes cláusulas de cambio regulatorio que permitan renegociar plazos o costes; y por participar en las consultas de la Comisión y en las asociaciones sectoriales para acelerar la llegada de estándares y directrices.

En España, además, conviene seguir la consolidación de la AESIA como autoridad competente —que gana un año adicional de margen para tener el sandbox operativo— y cualquier guía que emitan la AEPD o el Ministerio para la Transformación Digital.

Una norma pionera con un aterrizaje accidentado

El Ómnibus es una iniciativa necesaria. El RIA sitúa a Europa a la vanguardia de la regulación tecnológica, pero una norma excelente mal implementada se convierte en un lastre, y el paquete asume esa realidad: intenta mantener —e incluso reforzar en algunos puntos— el nivel de protección de derechos fundamentales, salud y seguridad, haciendo a la vez el marco aplicable y proporcionado.

El problema es el cómo. Que la tramitación se haya estirado hasta rozar la fecha límite original revela las tensiones de legislar sobre tecnologías que se mueven más rápido que los procedimientos. La publicación pendiente ha dejado de ser un trámite técnico para convertirse en una urgencia económica.

Y hay una lectura de fondo que sobrevive a cualquier calendario: quien haya avanzado en cumplimiento no ha perdido el tiempo. La calidad de los datos, la gestión de riesgos y la documentación son buenas prácticas de negocio con independencia del BOE o del DOUE. El aplazamiento, si llega, es una oportunidad para adelantarse, no una excusa para pausar.