En vivo
SociedadLos 7 nuevos supers de 'The Boys' T5, de menos a más poderSociedadEuphoria T3: fechas y episodios del final de la serieTecnologiaXiaomi lanza una freidora de aire 3 en 1 con vapor y hornoSociedadEl nuevo tráiler de 'Amanecer en la cosecha' desvela la conexión con KatnissInteligencia ArtificialJapón construye su propia IA con SoftBank, Sony y HondaEmpresasMuy Mucho se reorganiza y apunta a crecer un 30%EconomíaEspaña no puede contratar a quienes ya tieneSociedadHiperhidrosis: el sudor que arruina carreras y relacionesStartupsSolo 1 de cada 4 pymes tiene ciberseguridad realEmpresasSpannabis lleva a Bilbao 20.000 visitantes en abrilSociedadLos 7 nuevos supers de 'The Boys' T5, de menos a más poderSociedadEuphoria T3: fechas y episodios del final de la serieTecnologiaXiaomi lanza una freidora de aire 3 en 1 con vapor y hornoSociedadEl nuevo tráiler de 'Amanecer en la cosecha' desvela la conexión con KatnissInteligencia ArtificialJapón construye su propia IA con SoftBank, Sony y HondaEmpresasMuy Mucho se reorganiza y apunta a crecer un 30%EconomíaEspaña no puede contratar a quienes ya tieneSociedadHiperhidrosis: el sudor que arruina carreras y relacionesStartupsSolo 1 de cada 4 pymes tiene ciberseguridad realEmpresasSpannabis lleva a Bilbao 20.000 visitantes en abril
Buscar

La ley de IA europea llega en agosto: qué cambia

El 2 de agosto entra en vigor el EU AI Act para sistemas de alto riesgo, pero el Digital Omnibus podría retrasar las normas más exigentes.

Por Carlos García·lunes, 13 de abril de 2026Actualizado hace 2 h·6 min lectura
Ilustración: La ley de IA europea llega en agosto: qué cambia · El Diario Joven

<cite index="6-6">El Reglamento (UE) 2024/1689, conocido como EU AI Act, entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026</cite>, una fecha que ya no suena lejana y que afecta de forma directa a cualquier empresa española que desarrolle, distribuya o simplemente utilice sistemas de inteligencia artificial. No es una ley de futuro: es una norma activa que se ha ido desplegando por fases y cuyo capítulo más exigente arranca en pocas semanas.

<cite index="3-2">El EU AI Act clasifica los sistemas de IA en cuatro niveles de riesgo: inaceptable (prohibido), alto, limitado y mínimo. Las multas llegan hasta 35 millones de euros o el 7 % de la facturación mundial, y tiene alcance extraterritorial —como el RGPD— afectando a cualquier empresa que opere en la UE.</cite> Dicho de otra forma: da igual si la startup está en Madrid o en Miami; si su producto llega a usuarios europeos, el reglamento aplica.

Lo que ya está prohibido desde 2025

<cite index="1-31,1-32">Los sistemas de riesgo inaceptable —manipulación subliminal, puntuación social al estilo del scoring ciudadano, reconocimiento biométrico masivo en espacios públicos— no pueden operar en la UE bajo ninguna circunstancia, con excepciones muy limitadas para seguridad nacional.</cite> <cite index="5-15">Las multas por estas prácticas prohibidas ya son posibles desde febrero de 2025.</cite> Si tu empresa usa IA para filtrar candidatos basándose en emociones detectadas automáticamente, o emplea sistemas que condicionan el acceso a servicios según perfiles de comportamiento, ya está incumpliendo la norma.

También desde febrero de 2025 rige la obligación de alfabetización en IA recogida en el artículo 4 del reglamento. <cite index="9-22,9-23">Las empresas que utilicen sistemas de IA deben garantizar que su personal tenga un nivel suficiente de conocimiento sobre inteligencia artificial, proporcionado a sus funciones y al contexto de uso. Si el equipo usa ChatGPT pero nadie entiende sus limitaciones, sus sesgos o los riesgos de introducir datos de clientes en un modelo de lenguaje, ya se está incumpliendo el artículo 4.</cite>

Las obligaciones que llegan en agosto

<cite index="1-22">El 2 de agosto de 2026 entran en vigor las obligaciones completas para los sistemas de IA de alto riesgo.</cite> La lista de usos considerados de alto riesgo incluye, entre otros, <cite index="6-12,6-13">IA para biometría, infraestructuras críticas, educación, empleo y recursos humanos, servicios esenciales como banca o salud, y aplicación de la ley o administración de justicia.</cite>

¿Qué significa eso en la práctica? <cite index="6-14">Para estos sistemas se exige un sistema de gestión de riesgos, calidad de datos, documentación técnica, supervisión humana, ciberseguridad, monitorización poscomercialización, marcado CE y, para muchos casos, registro en la base de datos de la UE.</cite> Los proveedores y operadores de estos sistemas deberán además registrarlos en una base de datos pública europea antes de la fecha límite.

Para el resto de sistemas —los de riesgo limitado, como los chatbots de atención al cliente— las obligaciones son más sencillas pero igualmente exigibles. <cite index="7-18,7-19,7-20">La obligación principal es la transparencia: los clientes tienen que saber que están interactuando con una inteligencia artificial y no con una persona. En la práctica, el chatbot o el sistema de telefonía con IA debe indicar claramente su naturaleza al inicio de cada conversación.</cite>

En cuanto a las sanciones, <cite index="2-13,2-14">las multas están diseñadas para ser disuasorias: hasta 35 millones de euros o el 7 % de la facturación global, lo que sea mayor. Para una pyme, una sanción de 7,5 millones por información engañosa puede ser directamente el cierre.</cite> El régimen es acumulable con las multas del RGPD, lo que multiplica el riesgo para empresas que traten datos personales mediante IA.

El Digital Omnibus: ¿salvavidas o espejismo?

Aquí entra la variable que más está agitando al sector. <cite index="11-2,11-3">El 19 de noviembre de 2025, la Comisión Europea publicó su propuesta de paquete Digital Omnibus, con el objetivo de reforzar la competitividad de la UE reduciendo la carga regulatoria sobre las empresas.</cite> La propuesta incluye, de forma destacada, un aplazamiento de los plazos del AI Act para sistemas de alto riesgo.

<cite index="11-1">El Omnibus propone diferir las obligaciones del AI Act para sistemas de IA de alto riesgo desde agosto de 2026 hasta una fecha posterior en la que estén disponibles medidas de apoyo al cumplimiento, como estándares armonizados, especificaciones comunes y directrices de la Comisión.</cite> En concreto, <cite index="19-9">las nuevas fechas límite serían el 2 de diciembre de 2027 para sistemas del Anexo III y el 2 de agosto de 2028 para sistemas integrados en productos regulados.</cite>

El motivo es técnico: <cite index="17-4">la infraestructura necesaria para soportar el cumplimiento no ha llegado a tiempo.</cite> <cite index="11-15">Las comunicaciones del comité técnico CEN-CENELEC indican que los estándares completos podrían no estar disponibles antes de diciembre de 2026.</cite> Sin esos estándares, las empresas tendrían que cumplir literalmente a ciegas.

Sin embargo, y esto es clave, <cite index="12-11,12-12">el Consejo adoptó su mandato de negociación el 13 de marzo de 2026, y los comités IMCO y LIBE del Parlamento Europeo adoptaron su informe conjunto el 18 de marzo.</cite> El proceso legislativo ordinario sigue en marcha y <cite index="18-5">el Parlamento Europeo y el Consejo todavía deben acordar las enmiendas; dada la lentitud habitual del proceso legislativo en la UE, cualquier extensión podría llegar en el último momento, por lo que las empresas deberían continuar con sus programas de cumplimiento de cara al plazo actual del 2 de agosto.</cite>

Además, conviene no confundir lo que el Omnibus sí mantiene intacto: <cite index="2-35">las prohibiciones de riesgo inaceptable, las obligaciones de transparencia y la alfabetización en IA ya están en vigor y no se ven afectadas por la propuesta.</cite>

El papel de la AESIA y qué deben hacer las empresas españolas

España tiene una ventaja regulatoria frente a la mayoría de sus socios europeos. <cite index="21-20">El Gobierno español aprobó los estatutos de la AESIA en agosto de 2023, convirtiéndose en el primer país de la UE con un organismo destinado a la supervisión de la inteligencia artificial.</cite> <cite index="25-5">La AESIA cuenta con un cuerpo de inspección propio que inició sus operaciones de supervisión de prácticas prohibidas a partir del 2 de febrero de 2025 y asumió plena potestad sancionadora desde el 2 de agosto de 2025.</cite>

El enfoque de la agencia de cara a agosto parece pragmático: <cite index="5-17,5-18,5-19">en la práctica, la AESIA probablemente empezará con advertencias y recomendaciones antes de imponer multas severas, especialmente a pymes. No hay un periodo de gracia oficial, pero las autoridades europeas han indicado un enfoque gradual. La AESIA ha señalado que priorizará la formación y orientación sobre las sanciones en los primeros meses.</cite>

Pero eso no es una carta blanca. Para quienes no han empezado aún, los pasos son claros: inventariar todos los sistemas de IA que usa la empresa, clasificarlos por nivel de riesgo, formar al equipo, y revisar los contratos con proveedores externos. <cite index="9-34,9-35,9-36">Si se usa una herramienta de un tercero para algo de alto riesgo, la responsabilidad no recae solo sobre el proveedor. Es también del usuario final.</cite>

El EU AI Act no es una amenaza abstracta ni un ejercicio burocrático de Bruselas. Es la primera ley integral de IA del mundo y llegará al escritorio de cualquier empresa española que haya integrado inteligencia artificial en sus procesos. <cite index="4-24">Aunque implica obligaciones significativas, también ofrece oportunidades: las empresas que certifiquen su cumplimiento generarán mayor confianza y accederán sin restricciones a un mercado de 450 millones de consumidores.</cite> La pregunta no es si adaptarse, sino si hacerlo antes o después del aviso de la AESIA.

Compartir:XFacebookWhatsAppEmail
Etiquetasinteligencia artificialeu ai actregulacion iaaesiadigital omnibusempresas

Redactado por inteligencia artificial · Revisado por la redacción

También te puede interesar