Calendario de aplicación de la EU AI Act: lo que obliga hoy y lo que cambia con el Digital Omnibus
Análisis práctico del Reglamento (UE) 2024/1689, sus obligaciones escalonadas y los aplazamientos aprobados por el Consejo el 29 de junio de 2026.
Hallazgos principales
- El AI Act está en vigor desde agosto de 2024, pero su aplicación es escalonada: no todo obliga al mismo tiempo.
- El 2 de agosto de 2026 es la fecha general de aplicación del Reglamento para lo que no tiene calendario específico, incluyendo el artículo 50 (transparencia y marcado de contenido sintético).
- El Digital Omnibus ha desplazado las obligaciones de alto riesgo del Anexo III al 2 de diciembre de 2027, dando 16 meses adicionales respecto al calendario original.
- La prohibición de contenido íntimo/sexual no consentido y CSAM generado por IA entra en vigor el 2 de diciembre de 2026, fecha nueva introducida por el Omnibus.
- Las empresas que ya operan con IA tienen trabajo pendiente antes del 2 de agosto de 2026: inventario, clasificación de riesgos, documentación y políticas de supervisión humana.
Un reglamento en vigor, pero que se aplica por capas
El Reglamento (UE) 2024/1689, conocido como AI Act o Reglamento de Inteligencia Artificial, fue publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024. Sin embargo, «estar en vigor» no significa «aplicarse en su totalidad desde ese momento».
A diferencia de un reglamento ordinario que produce efectos al día siguiente de su publicación, el AI Act establece un régimen transitorio deliberadamente escalonado. El legislador europeo reconoció que la adaptación de las organizaciones, el desarrollo de estándares técnicos armonizados y la construcción de la infraestructura institucional de supervisión requerían tiempo. El resultado es un calendario de implantación que se extiende desde febrero de 2025 hasta 2031.
Este escalonamiento tiene una consecuencia directa para las empresas: no existe un único momento de «cumplimiento o no cumplimiento». Cada tipología de uso de IA tiene su propio plazo, sus propias obligaciones y su propia lógica de supervisión. Entender ese mapa es la primera tarea de cualquier responsable legal, técnico o directivo que quiera gestionar el riesgo regulatorio de forma informada.
Este análisis se basa en el texto consolidado del Reglamento (UE) 2024/1689 (EUR-Lex, CELEX 02024R1689-20240712) y en los cambios aprobados por el Consejo de la UE en el Digital Omnibus sobre IA (PE-CONS 30/26), cuya aprobación final tuvo lugar el 29 de junio de 2026. Para uso jurídico formal, debe consultarse la versión consolidada en EUR-Lex en la fecha de utilización.
Las fechas clave del AI Act: del origen a 2031
La siguiente tabla recoge las fechas y hitos principales del Reglamento (UE) 2024/1689 en su versión base, antes de las modificaciones del Digital Omnibus. Se indica la base normativa y la lectura práctica para organizaciones que despliegan o utilizan IA.
| Fecha | Base normativa | Obligación / hito | Lectura práctica |
|---|---|---|---|
| 13 jun. 2024 | Reglamento (UE) 2024/1689 | Fecha del acto legislativo del Parlamento Europeo y del Consejo. | Texto base del AI Act. Referencia para cualquier interpretación legal. |
| 12 jul. 2024 | DOUE L 2024/1689 | Publicación oficial en el Diario Oficial de la Unión Europea. | Inicio del cómputo para la entrada en vigor (20 días después). |
| 1 ago. 2024 | Art. 113 | Entrada en vigor del Reglamento. | La norma existe y empieza su despliegue escalonado. |
| Desde ago. 2024, anual | Art. 112.1 | Comisión: evaluación anual de la necesidad de modificar el Anexo III y la lista de prácticas prohibidas. | Relevante para supervisión institucional y posibles ampliaciones regulatorias. |
| Feb. 2025 | Art. 113.a; arts. 1-5 | Aplicación de capítulos I y II: disposiciones generales, definiciones, alfabetización en IA y prácticas prohibidas. | Fecha clave: formación del personal (art. 4) y exclusión de prácticas prohibidas (art. 5). Ya en vigor. |
| 2 may. 2025 | Art. 56.9 | Códigos de buenas prácticas sobre modelos de IA de uso general: fecha prevista de finalización. | Apoyo para proveedores de modelos GPAI y cumplimiento voluntario. |
| 2 ago. 2025 | Arts. 113.b; arts. 70.2 y 70.6 | Aplicación del capítulo III, sección 4; caps. V, VII, VIII, XII, art. 78. Comunicación de autoridades nacionales competentes. | Modelos GPAI, gobernanza institucional, confidencialidad. Permite identificar supervisores y estructura de control. |
| 2 feb. 2026 | Arts. 6.5 y 72.3 | Comisión: directrices sobre clasificación de sistemas de alto riesgo y modelo de plan de vigilancia poscomercialización. | Soportes de interpretación. El art. 72.3 quedó afectado por el Omnibus. |
| 2 ago. 2026 ★ | Art. 113, regla general | Fecha general de aplicación del Reglamento para lo no sujeto a calendario específico. Incluye art. 50 (transparencia y marcado de contenido sintético). | Transparencia del art. 50 obliga desde hoy. El alto riesgo (Anexo III) ha sido aplazado por el Omnibus al 2 dic. 2027. |
| 2 ago. 2027 | Art. 113.c original; art. 111.3 | Aplicación de arts. 6.1 y obligaciones de sistemas de alto riesgo introducidos antes del 2 ago. 2025. (Modificado por Omnibus: Anexo III → 2 dic. 2027.) | Fecha desplazada. Ver Tabla 2 para detalle de aplazamientos. |
| 2 ago. 2028 | Art. 112.2; arts. 112.5-7 | Primeras evaluaciones de la Comisión sobre GPAI, transparencia, gobernanza, Oficina de IA y eficiencia energética. | Hito de revisión institucional; puede dar lugar a modificaciones. |
| 2 ago. 2029 | Art. 112.3 | Primer informe general de evaluación y revisión del Reglamento. | Seguimiento de ejecución y posible propuesta de modificación. |
| 2 ago. 2030 | Art. 111.2 | Sistemas de IA de alto riesgo destinados a uso por autoridades públicas: medidas de cumplimiento obligatorias. | Régimen transitorio específico para usos públicos preexistentes. |
| 31 dic. 2030 | Art. 111.1 | Sistemas de IA componentes de sistemas informáticos de gran magnitud del Anexo X, puestos en el mercado antes del 2 ago. 2025. | Fecha límite para grandes sistemas informáticos regulados. |
| 2 ago. 2031 | Art. 112.13 | Evaluación de la ejecución del Reglamento tras los primeros años de aplicación. | Posible apertura de revisión estructural del modelo de aplicación. |
★ Fecha de referencia de este análisis. La fecha general incluye art. 50 pero excluye el alto riesgo del Anexo III, aplazado por el Digital Omnibus.
Los cambios del Digital Omnibus: qué se ha desplazado y por qué importa
El 29 de junio de 2026, el Consejo de la UE aprobó el Digital Omnibus sobre IA (PE-CONS 30/26), un paquete de modificaciones al AI Act que ajusta plazos, introduce nuevas prohibiciones y simplifica algunos requisitos. Su entrada en vigor se produce tres días después de su publicación en el DOUE.
El cambio más relevante para la mayoría de las empresas es el desplazamiento de las obligaciones del alto riesgo del Anexo III desde el 2 de agosto de 2026 al 2 de diciembre de 2027. Esto da 16 meses adicionales a proveedores e implementadores de sistemas que operan en categorías como biometría, infraestructuras críticas, empleo, educación, servicios esenciales, migración y administración de justicia.
El desplazamiento al 2 de diciembre de 2027 aplica al Anexo III en su conjunto, pero no afecta al artículo 50 (transparencia y marcado de contenido sintético), que mantiene su fecha de aplicación general del 2 de agosto de 2026. Tampoco se aplaza la prohibición de prácticas de manipulación o las obligaciones de alfabetización (art. 4) ya vigentes.
| Materia | Fecha inicial prevista | Nueva fecha / cambio | Base normativa | Alcance práctico | |
|---|---|---|---|---|---|
| Alto riesgo del Anexo III | 2 ago. 2026 | → | 2 dic. 2027 | Art. 113.c modificado; PE-CONS 30/26 | Biometría, infraestructuras críticas, empleo, educación, servicios esenciales, migración, justicia, procesos democráticos. |
| Alto riesgo integrado en productos del Anexo I | 2 ago. 2027 | → | 2 ago. 2028 | Art. 113.c modificado; PE-CONS 30/26 | Sistemas de IA en productos de seguridad (directivas sectoriales preexistentes). |
| Prácticas prohibidas nuevas: contenido íntimo/sexual no consentido y CSAM | No previsto en texto inicial | → | 2 dic. 2026 | Art. 5 modificado; PE-CONS 30/26; PE 16/06/2026 | Nueva prohibición específica para generación o manipulación de contenido íntimo/sexual no consentido y material de abuso sexual infantil. |
| Marcado de contenido sintético para sistemas ya comercializados | 2 ago. 2026 | → | 2 dic. 2026 | Art. 111.4 nuevo; art. 50.2; PE-CONS 30/26 | Proveedores de sistemas, incluidos GPAI, que generaran audio, imagen, vídeo o texto sintético y ya estuvieran en el mercado antes del 2 ago. 2026 disponen de cuatro meses adicionales. |
| Sandbox regulatorio nacional de IA | 2 ago. 2026 | → | 2 ago. 2027 | Art. 57.1 modificado; Consejo 29/06/2026 | Cada Estado miembro debe disponer de al menos un espacio controlado de pruebas; plazo ampliado un año. |
| Plan de vigilancia poscomercialización | Obligatorio antes del 2 feb. 2026 | → | Guía voluntaria antes del 2 sep. 2027 | Art. 72.3 modificado; PE-CONS 30/26 | Se sustituye el modelo obligatorio por orientación de la Comisión, más flexible para proveedores de alto riesgo. |
| Maquinaria y solapamiento normativo | Régimen del Anexo I del AI Act | → | Actos delegados aplicables antes del 2 ago. 2028 | PE-CONS 30/26; Reglamento (UE) 2023/1230 | Se reordena la interacción entre AI Act y Reglamento de Máquinas para evitar doble carga regulatoria. |
«No se aprecia aplazamiento general de la alfabetización en IA: sigue aplicando desde el 2 de febrero de 2025. Tampoco se desplaza el bloque de modelos de IA de uso general, aplicable desde el 2 de agosto de 2025, sin perjuicio de regímenes transitorios específicos.» — Tabla 2 del informe Actiaris, Gobernanza de IA · Julio 2026
Qué deben controlar las organizaciones, y cuándo
El valor del calendario no está en memorizar fechas, sino en ordenar el cumplimiento por capas. Una organización que despliega IA tiene tres tareas distintas: saber qué usos de IA existen y quién los utiliza; decidir si cada uso encaja en alguna categoría regulada; y conservar evidencias suficientes para demostrar que opera con supervisión humana, controles adecuados y documentación trazable.
Las cuatro obligaciones estructurales que no tienen aplazamiento
Más allá de las fechas, el Reglamento articula cuatro bloques de obligaciones que, en diferente medida, ya aplican o aplican sin prórroga desde agosto de 2026:
Alfabetización en IA
Los operadores e implementadores deben garantizar que el personal que trabaja con sistemas de IA tiene competencias adecuadas. No exige titulación, pero sí evidencia de formación y capacitación.
Ya obligatorioTransparencia y marcado de contenido sintético
Obligación de informar al usuario cuando interactúa con una IA y de marcar de forma técnicamente detectable cualquier contenido generado artificialmente (imágenes, vídeo, audio, texto).
Desde 2 ago. 2026Supervisión humana efectiva
Los sistemas de alto riesgo deben diseñarse para permitir la supervisión por personas físicas. La intervención humana debe poder interrumpir, modificar o rechazar los outputs del sistema en tiempo real.
Aplazado a dic. 2027Documentación técnica y gestión de riesgos
Sistema de gestión de riesgos, calidad de datos, documentación técnica del Anexo IV, registros de actividad automáticos, transparencia, precisión, solidez y ciberseguridad.
Aplazado a dic. 2027Lo que las organizaciones no pueden ignorar antes de finales de 2026
El aplazamiento del Anexo III no elimina el riesgo; lo desplaza. Las empresas que esperan a diciembre de 2027 para empezar a construir trazabilidad, documentación y supervisión humana llegarán tarde. La experiencia del GDPR mostró que las organizaciones que comenzaron la adaptación con dos o tres años de antelación fueron las que pudieron demostrar cumplimiento real; las que esperaron al último mes optaron por soluciones formales que no resistieron una auditoría.
Hay tres acciones que cualquier organización debería tener completadas o en marcha antes de enero de 2027:
Identificar todos los sistemas de IA desplegados o en uso: proveedor, función, datos procesados, si toma o asiste decisiones, si afecta a personas físicas. Sin inventario, no hay clasificación posible.
Para cada sistema del inventario: ¿es de uso general (GPAI)? ¿Encaja en alguna categoría del Anexo III? ¿Genera contenido sintético? ¿Toma decisiones sobre personas? La clasificación determina qué régimen aplica y en qué fecha.
Para los usos de mayor impacto, comenzar a documentar: quién supervisa el output de la IA, cómo se registran las intervenciones humanas, qué evidencia existe de que el proceso tiene control real. Esta documentación vale tanto para una auditoría del regulador como para una disputa contractual o un litigio.
Estas tres acciones no son obligaciones formales del AI Act para todos los sistemas, pero son la base mínima para poder responder ante cualquier autoridad supervisora o contraparte que exija acreditar la gobernanza del sistema de IA utilizado.
La evidencia criptográfica como respuesta a las obligaciones del artículo 50
La obligación de transparencia del artículo 50 —marcado técnicamente detectable del contenido generado por IA— exige algo que los sistemas de gestión documental tradicionales no proporcionan: evidencia verificable e independiente de que un contenido tiene determinado origen, de que fue revisado por un humano, y de que esa evidencia no ha sido alterada.
V-PROOF Protocol opera como capa de evidencia criptográfica sobre los outputs de IA: genera un hash SHA-256 del documento o contenido, lo ancla a través de IPFS y lo registra en Base L2, creando un sello on-chain verificable por cualquier tercero sin necesidad de credenciales ni dependencia del proveedor. La evidencia no caduca. No requiere que el regulador confíe en el sistema de la empresa; puede verificarla de forma independiente.
Además del artículo 50, V-PROOF cubre la dimensión probatoria del artículo 14 (supervisión humana: registro inmutable de intervenciones y autorizaciones críticas) y del artículo 16 (trazabilidad e integridad de datos en sistemas de alto riesgo).
Más información en vproofprotocol.com →¿Qué cubre V-PROOF en el marco del EU AI Act?
Fortalezas, limitaciones, oportunidades regulatorias y riesgos de adopción
- Evidencia criptográfica inmutable de outputs de IA — hash SHA-256 + IPFS + Base L2, verificable por cualquier tercero sin credenciales ni dependencia del proveedor. Art. 50 · Marcado de contenido generado por IA
- Registro inmutable de intervenciones y autorizaciones de supervisión humana sobre sistemas de IA. Art. 14 · Supervisión humana
- Sello de integridad y trazabilidad de datos procesados por sistemas de alto riesgo, con timestamp on-chain. Art. 16 · Obligaciones proveedores alto riesgo
- Documentación técnica verificable y audit trail de logs de eventos críticos del sistema. Art. 12 · Registro de logs · Art. 13 · Transparencia
- Sin infraestructura adicional. Sin onboarding complejo. Integración sobre outputs existentes. Todos los artículos aplicables · Implementación transversal
- El art. 50 está vigente desde el 2 ago. 2026: cualquier organización que genere contenido sintético necesita marcado técnico detectable. Art. 50 · Vigencia inmediata
- Digital Omnibus: 16 meses adicionales para preparar la evidencia de alto riesgo. Ventana para implantación sin presión. Art. 113 modificado · PE-CONS 30/26
- Sectores regulados —salud, finanzas, RRHH, educación— bajo Anexo III con obligaciones de trazabilidad demostrable ante supervisores. Anexo III · Sistemas de alto riesgo
- Contratos B2B con cláusulas de audit trail de IA: los implementadores exigen evidencia a sus proveedores de modelos. Art. 25 · Responsabilidades en la cadena de valor
- No sustituye la evaluación de conformidad por organismo notificado para sistemas de alto riesgo. Art. 43 · Evaluación de conformidad
- No cubre la auditoría de la arquitectura técnica del modelo ni la validación de datos de entrenamiento. Art. 10 · Gobernanza de datos
- No aplica a sistemas que no generan outputs documentables o que operan sin outputs intermedios registrables. Sistemas embebidos o sin output estructurado
- No realiza el inventario inicial de sistemas IA de la organización — es el punto de partida previo a V-PROOF. Art. 4 · Alfabetización · Paso cero de compliance
- Organizaciones que postergan el compliance hasta 2027 por el aplazamiento del Anexo III, sin considerar que el art. 50 ya obliga. Art. 50 vs. Art. 113 modificado · Riesgo de confusión
- Confusión entre «evaluación de conformidad» y «evidencia probatoria»: las empresas creen que una auditoría puntual les cubre ante el regulador. Art. 43 vs. Art. 12-14-16 · Malentendido estructural
- Plataformas GRC y documentales que ofrecen «compliance de IA» sin garantía criptográfica, creando falsa sensación de cobertura. Mercado · Competencia no equivalente
- Incertidumbre sobre la fecha de publicación del Digital Omnibus en el DOUE puede generar parálisis en decisiones de inversión en compliance. PE-CONS 30/26 · Pendiente publicación DOUE
¿Sabe su organización en qué punto está ante el AI Act?
Identificamos su exposición regulatoria, clasificamos sus sistemas de IA y generamos la evidencia criptográfica que exige el Reglamento. Sin inventario previo, sin infraestructura adicional.
Hablemos →Fuentes oficiales y referencias
- Texto consolidado del Reglamento (UE) 2024/1689 — EUR-Lex · CELEX 02024R1689-20240712
- Publicación oficial del AI Act en DOUE — EUR-Lex · ELI / OJ
- Artículo 113 y calendario base — AI Act Service Desk · Comisión Europea
- Página oficial de implementación del AI Act — Comisión Europea · Shaping Europe's digital future
- Texto aprobado del Digital Omnibus sobre IA — Consejo de la UE · PE-CONS 30/26
- Aprobación final del Consejo, 29 de junio de 2026 — Consejo de la UE · comunicado oficial
