Calendario de aplicación de la EU AI Act: lo que obliga hoy y lo que cambia con el Digital Omnibus


Regulatory Intelligence

Análisis práctico del Reglamento (UE) 2024/1689, sus obligaciones escalonadas y los aplazamientos aprobados por el Consejo el 29 de junio de 2026.

Publicado: Julio de 2026
Fuente normativa: EUR-Lex · PE-CONS 30/26
Actualización: Digital Omnibus aprobado el 29 jun. 2026
Análisis normativo EU AI Act

Hallazgos principales

  • El AI Act está en vigor desde agosto de 2024, pero su aplicación es escalonada: no todo obliga al mismo tiempo.
  • El 2 de agosto de 2026 es la fecha general de aplicación del Reglamento para lo que no tiene calendario específico, incluyendo el artículo 50 (transparencia y marcado de contenido sintético).
  • El Digital Omnibus ha desplazado las obligaciones de alto riesgo del Anexo III al 2 de diciembre de 2027, dando 16 meses adicionales respecto al calendario original.
  • La prohibición de contenido íntimo/sexual no consentido y CSAM generado por IA entra en vigor el 2 de diciembre de 2026, fecha nueva introducida por el Omnibus.
  • Las empresas que ya operan con IA tienen trabajo pendiente antes del 2 de agosto de 2026: inventario, clasificación de riesgos, documentación y políticas de supervisión humana.

Un reglamento en vigor, pero que se aplica por capas

El Reglamento (UE) 2024/1689, conocido como AI Act o Reglamento de Inteligencia Artificial, fue publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024. Sin embargo, «estar en vigor» no significa «aplicarse en su totalidad desde ese momento».

A diferencia de un reglamento ordinario que produce efectos al día siguiente de su publicación, el AI Act establece un régimen transitorio deliberadamente escalonado. El legislador europeo reconoció que la adaptación de las organizaciones, el desarrollo de estándares técnicos armonizados y la construcción de la infraestructura institucional de supervisión requerían tiempo. El resultado es un calendario de implantación que se extiende desde febrero de 2025 hasta 2031.

Este escalonamiento tiene una consecuencia directa para las empresas: no existe un único momento de «cumplimiento o no cumplimiento». Cada tipología de uso de IA tiene su propio plazo, sus propias obligaciones y su propia lógica de supervisión. Entender ese mapa es la primera tarea de cualquier responsable legal, técnico o directivo que quiera gestionar el riesgo regulatorio de forma informada.

Nota sobre fuentes

Este análisis se basa en el texto consolidado del Reglamento (UE) 2024/1689 (EUR-Lex, CELEX 02024R1689-20240712) y en los cambios aprobados por el Consejo de la UE en el Digital Omnibus sobre IA (PE-CONS 30/26), cuya aprobación final tuvo lugar el 29 de junio de 2026. Para uso jurídico formal, debe consultarse la versión consolidada en EUR-Lex en la fecha de utilización.

Las fechas clave del AI Act: del origen a 2031

La siguiente tabla recoge las fechas y hitos principales del Reglamento (UE) 2024/1689 en su versión base, antes de las modificaciones del Digital Omnibus. Se indica la base normativa y la lectura práctica para organizaciones que despliegan o utilizan IA.

Fecha Base normativa Obligación / hito Lectura práctica
13 jun. 2024 Reglamento (UE) 2024/1689 Fecha del acto legislativo del Parlamento Europeo y del Consejo. Texto base del AI Act. Referencia para cualquier interpretación legal.
12 jul. 2024 DOUE L 2024/1689 Publicación oficial en el Diario Oficial de la Unión Europea. Inicio del cómputo para la entrada en vigor (20 días después).
1 ago. 2024 Art. 113 Entrada en vigor del Reglamento. La norma existe y empieza su despliegue escalonado.
Desde ago. 2024, anual Art. 112.1 Comisión: evaluación anual de la necesidad de modificar el Anexo III y la lista de prácticas prohibidas. Relevante para supervisión institucional y posibles ampliaciones regulatorias.
Feb. 2025 Art. 113.a; arts. 1-5 Aplicación de capítulos I y II: disposiciones generales, definiciones, alfabetización en IA y prácticas prohibidas. Fecha clave: formación del personal (art. 4) y exclusión de prácticas prohibidas (art. 5). Ya en vigor.
2 may. 2025 Art. 56.9 Códigos de buenas prácticas sobre modelos de IA de uso general: fecha prevista de finalización. Apoyo para proveedores de modelos GPAI y cumplimiento voluntario.
2 ago. 2025 Arts. 113.b; arts. 70.2 y 70.6 Aplicación del capítulo III, sección 4; caps. V, VII, VIII, XII, art. 78. Comunicación de autoridades nacionales competentes. Modelos GPAI, gobernanza institucional, confidencialidad. Permite identificar supervisores y estructura de control.
2 feb. 2026 Arts. 6.5 y 72.3 Comisión: directrices sobre clasificación de sistemas de alto riesgo y modelo de plan de vigilancia poscomercialización. Soportes de interpretación. El art. 72.3 quedó afectado por el Omnibus.
2 ago. 2026 ★ Art. 113, regla general Fecha general de aplicación del Reglamento para lo no sujeto a calendario específico. Incluye art. 50 (transparencia y marcado de contenido sintético). Transparencia del art. 50 obliga desde hoy. El alto riesgo (Anexo III) ha sido aplazado por el Omnibus al 2 dic. 2027.
2 ago. 2027 Art. 113.c original; art. 111.3 Aplicación de arts. 6.1 y obligaciones de sistemas de alto riesgo introducidos antes del 2 ago. 2025. (Modificado por Omnibus: Anexo III → 2 dic. 2027.) Fecha desplazada. Ver Tabla 2 para detalle de aplazamientos.
2 ago. 2028 Art. 112.2; arts. 112.5-7 Primeras evaluaciones de la Comisión sobre GPAI, transparencia, gobernanza, Oficina de IA y eficiencia energética. Hito de revisión institucional; puede dar lugar a modificaciones.
2 ago. 2029 Art. 112.3 Primer informe general de evaluación y revisión del Reglamento. Seguimiento de ejecución y posible propuesta de modificación.
2 ago. 2030 Art. 111.2 Sistemas de IA de alto riesgo destinados a uso por autoridades públicas: medidas de cumplimiento obligatorias. Régimen transitorio específico para usos públicos preexistentes.
31 dic. 2030 Art. 111.1 Sistemas de IA componentes de sistemas informáticos de gran magnitud del Anexo X, puestos en el mercado antes del 2 ago. 2025. Fecha límite para grandes sistemas informáticos regulados.
2 ago. 2031 Art. 112.13 Evaluación de la ejecución del Reglamento tras los primeros años de aplicación. Posible apertura de revisión estructural del modelo de aplicación.

★ Fecha de referencia de este análisis. La fecha general incluye art. 50 pero excluye el alto riesgo del Anexo III, aplazado por el Digital Omnibus.

Los cambios del Digital Omnibus: qué se ha desplazado y por qué importa

El 29 de junio de 2026, el Consejo de la UE aprobó el Digital Omnibus sobre IA (PE-CONS 30/26), un paquete de modificaciones al AI Act que ajusta plazos, introduce nuevas prohibiciones y simplifica algunos requisitos. Su entrada en vigor se produce tres días después de su publicación en el DOUE.

El cambio más relevante para la mayoría de las empresas es el desplazamiento de las obligaciones del alto riesgo del Anexo III desde el 2 de agosto de 2026 al 2 de diciembre de 2027. Esto da 16 meses adicionales a proveedores e implementadores de sistemas que operan en categorías como biometría, infraestructuras críticas, empleo, educación, servicios esenciales, migración y administración de justicia.

Atención: el aplazamiento del Anexo III no es universal

El desplazamiento al 2 de diciembre de 2027 aplica al Anexo III en su conjunto, pero no afecta al artículo 50 (transparencia y marcado de contenido sintético), que mantiene su fecha de aplicación general del 2 de agosto de 2026. Tampoco se aplaza la prohibición de prácticas de manipulación o las obligaciones de alfabetización (art. 4) ya vigentes.

Materia Fecha inicial prevista Nueva fecha / cambio Base normativa Alcance práctico
Alto riesgo del Anexo III 2 ago. 2026 2 dic. 2027 Art. 113.c modificado; PE-CONS 30/26 Biometría, infraestructuras críticas, empleo, educación, servicios esenciales, migración, justicia, procesos democráticos.
Alto riesgo integrado en productos del Anexo I 2 ago. 2027 2 ago. 2028 Art. 113.c modificado; PE-CONS 30/26 Sistemas de IA en productos de seguridad (directivas sectoriales preexistentes).
Prácticas prohibidas nuevas: contenido íntimo/sexual no consentido y CSAM No previsto en texto inicial 2 dic. 2026 Art. 5 modificado; PE-CONS 30/26; PE 16/06/2026 Nueva prohibición específica para generación o manipulación de contenido íntimo/sexual no consentido y material de abuso sexual infantil.
Marcado de contenido sintético para sistemas ya comercializados 2 ago. 2026 2 dic. 2026 Art. 111.4 nuevo; art. 50.2; PE-CONS 30/26 Proveedores de sistemas, incluidos GPAI, que generaran audio, imagen, vídeo o texto sintético y ya estuvieran en el mercado antes del 2 ago. 2026 disponen de cuatro meses adicionales.
Sandbox regulatorio nacional de IA 2 ago. 2026 2 ago. 2027 Art. 57.1 modificado; Consejo 29/06/2026 Cada Estado miembro debe disponer de al menos un espacio controlado de pruebas; plazo ampliado un año.
Plan de vigilancia poscomercialización Obligatorio antes del 2 feb. 2026 Guía voluntaria antes del 2 sep. 2027 Art. 72.3 modificado; PE-CONS 30/26 Se sustituye el modelo obligatorio por orientación de la Comisión, más flexible para proveedores de alto riesgo.
Maquinaria y solapamiento normativo Régimen del Anexo I del AI Act Actos delegados aplicables antes del 2 ago. 2028 PE-CONS 30/26; Reglamento (UE) 2023/1230 Se reordena la interacción entre AI Act y Reglamento de Máquinas para evitar doble carga regulatoria.
«No se aprecia aplazamiento general de la alfabetización en IA: sigue aplicando desde el 2 de febrero de 2025. Tampoco se desplaza el bloque de modelos de IA de uso general, aplicable desde el 2 de agosto de 2025, sin perjuicio de regímenes transitorios específicos.» — Tabla 2 del informe Actiaris, Gobernanza de IA · Julio 2026

Qué deben controlar las organizaciones, y cuándo

El valor del calendario no está en memorizar fechas, sino en ordenar el cumplimiento por capas. Una organización que despliega IA tiene tres tareas distintas: saber qué usos de IA existen y quién los utiliza; decidir si cada uso encaja en alguna categoría regulada; y conservar evidencias suficientes para demostrar que opera con supervisión humana, controles adecuados y documentación trazable.

Desde feb. 2025 — ya obligatorio
Alfabetización en IA y prohibición de prácticas de manipulación
El art. 4 exige que proveedores, implementadores y operadores garanticen que su personal tenga un nivel adecuado de competencia en IA. El art. 5 prohíbe técnicas de manipulación del comportamiento humano, explotación de vulnerabilidades y sistemas de puntuación social por parte de autoridades públicas.
Desde ago. 2025 — ya obligatorio
Modelos de IA de uso general (GPAI): gobernanza y documentación
Proveedores de GPAI deben cumplir las obligaciones de transparencia, documentación técnica y derechos de autor. Los modelos con impacto sistémico (umbral 10²⁵ FLOP) tienen requisitos adicionales de evaluación de riesgos y notificación de incidentes.
2 agosto 2026 — aplicación general
Artículo 50: transparencia y marcado de contenido sintético
Los sistemas de IA que interactúan con personas físicas deben informar de esa condición de forma clara. Los sistemas que generan contenido sintético (imagen, audio, vídeo, texto) deben marcar ese contenido de forma detectable por máquina. Esta obligación aplica desde hoy para sistemas puestos en el mercado a partir de esta fecha; los ya comercializados tienen hasta el 2 de diciembre de 2026.
2 diciembre 2026
Nueva prohibición: contenido íntimo/sexual no consentido y CSAM
Introduce el Digital Omnibus. Cualquier sistema de IA utilizado para generar o manipular material de este tipo queda expresamente prohibido desde esta fecha.
2 diciembre 2027 — aplazado por Omnibus
Alto riesgo del Anexo III: obligaciones completas
Documentación técnica (Anexo IV), gestión de riesgos, calidad de datos, registros de actividad, supervisión humana, precisión y ciberseguridad, evaluación de conformidad y seguimiento poscomercialización. Aplica a biometría, empleo, educación, servicios esenciales, administración de justicia, migración e infraestructuras críticas.

Las cuatro obligaciones estructurales que no tienen aplazamiento

Más allá de las fechas, el Reglamento articula cuatro bloques de obligaciones que, en diferente medida, ya aplican o aplican sin prórroga desde agosto de 2026:

Art. 4 · En vigor desde feb. 2025

Alfabetización en IA

Los operadores e implementadores deben garantizar que el personal que trabaja con sistemas de IA tiene competencias adecuadas. No exige titulación, pero sí evidencia de formación y capacitación.

Ya obligatorio
Art. 50 · En vigor desde ago. 2026

Transparencia y marcado de contenido sintético

Obligación de informar al usuario cuando interactúa con una IA y de marcar de forma técnicamente detectable cualquier contenido generado artificialmente (imágenes, vídeo, audio, texto).

Desde 2 ago. 2026
Art. 14 · Alto riesgo · Dic. 2027

Supervisión humana efectiva

Los sistemas de alto riesgo deben diseñarse para permitir la supervisión por personas físicas. La intervención humana debe poder interrumpir, modificar o rechazar los outputs del sistema en tiempo real.

Aplazado a dic. 2027
Arts. 9-17 · Alto riesgo · Dic. 2027

Documentación técnica y gestión de riesgos

Sistema de gestión de riesgos, calidad de datos, documentación técnica del Anexo IV, registros de actividad automáticos, transparencia, precisión, solidez y ciberseguridad.

Aplazado a dic. 2027

Lo que las organizaciones no pueden ignorar antes de finales de 2026

El aplazamiento del Anexo III no elimina el riesgo; lo desplaza. Las empresas que esperan a diciembre de 2027 para empezar a construir trazabilidad, documentación y supervisión humana llegarán tarde. La experiencia del GDPR mostró que las organizaciones que comenzaron la adaptación con dos o tres años de antelación fueron las que pudieron demostrar cumplimiento real; las que esperaron al último mes optaron por soluciones formales que no resistieron una auditoría.

Hay tres acciones que cualquier organización debería tener completadas o en marcha antes de enero de 2027:

1 · Inventario de usos de IA

Identificar todos los sistemas de IA desplegados o en uso: proveedor, función, datos procesados, si toma o asiste decisiones, si afecta a personas físicas. Sin inventario, no hay clasificación posible.

2 · Clasificación de riesgo regulatorio

Para cada sistema del inventario: ¿es de uso general (GPAI)? ¿Encaja en alguna categoría del Anexo III? ¿Genera contenido sintético? ¿Toma decisiones sobre personas? La clasificación determina qué régimen aplica y en qué fecha.

3 · Documentación de supervisión humana y trazabilidad

Para los usos de mayor impacto, comenzar a documentar: quién supervisa el output de la IA, cómo se registran las intervenciones humanas, qué evidencia existe de que el proceso tiene control real. Esta documentación vale tanto para una auditoría del regulador como para una disputa contractual o un litigio.

Estas tres acciones no son obligaciones formales del AI Act para todos los sistemas, pero son la base mínima para poder responder ante cualquier autoridad supervisora o contraparte que exija acreditar la gobernanza del sistema de IA utilizado.

V-PROOF PROTOCOL · Referencia

La evidencia criptográfica como respuesta a las obligaciones del artículo 50

La obligación de transparencia del artículo 50 —marcado técnicamente detectable del contenido generado por IA— exige algo que los sistemas de gestión documental tradicionales no proporcionan: evidencia verificable e independiente de que un contenido tiene determinado origen, de que fue revisado por un humano, y de que esa evidencia no ha sido alterada.

V-PROOF Protocol opera como capa de evidencia criptográfica sobre los outputs de IA: genera un hash SHA-256 del documento o contenido, lo ancla a través de IPFS y lo registra en Base L2, creando un sello on-chain verificable por cualquier tercero sin necesidad de credenciales ni dependencia del proveedor. La evidencia no caduca. No requiere que el regulador confíe en el sistema de la empresa; puede verificarla de forma independiente.

Además del artículo 50, V-PROOF cubre la dimensión probatoria del artículo 14 (supervisión humana: registro inmutable de intervenciones y autorizaciones críticas) y del artículo 16 (trazabilidad e integridad de datos en sistemas de alto riesgo).

Más información en vproofprotocol.com →
V-PROOF PROTOCOL · Análisis de cobertura

¿Qué cubre V-PROOF en el marco del EU AI Act?

Fortalezas, limitaciones, oportunidades regulatorias y riesgos de adopción

F Fortalezas · Lo que cubre
  • Evidencia criptográfica inmutable de outputs de IA — hash SHA-256 + IPFS + Base L2, verificable por cualquier tercero sin credenciales ni dependencia del proveedor. Art. 50 · Marcado de contenido generado por IA
  • Registro inmutable de intervenciones y autorizaciones de supervisión humana sobre sistemas de IA. Art. 14 · Supervisión humana
  • Sello de integridad y trazabilidad de datos procesados por sistemas de alto riesgo, con timestamp on-chain. Art. 16 · Obligaciones proveedores alto riesgo
  • Documentación técnica verificable y audit trail de logs de eventos críticos del sistema. Art. 12 · Registro de logs · Art. 13 · Transparencia
  • Sin infraestructura adicional. Sin onboarding complejo. Integración sobre outputs existentes. Todos los artículos aplicables · Implementación transversal
O Oportunidades · Dónde actúa el mercado
  • El art. 50 está vigente desde el 2 ago. 2026: cualquier organización que genere contenido sintético necesita marcado técnico detectable. Art. 50 · Vigencia inmediata
  • Digital Omnibus: 16 meses adicionales para preparar la evidencia de alto riesgo. Ventana para implantación sin presión. Art. 113 modificado · PE-CONS 30/26
  • Sectores regulados —salud, finanzas, RRHH, educación— bajo Anexo III con obligaciones de trazabilidad demostrable ante supervisores. Anexo III · Sistemas de alto riesgo
  • Contratos B2B con cláusulas de audit trail de IA: los implementadores exigen evidencia a sus proveedores de modelos. Art. 25 · Responsabilidades en la cadena de valor
D Debilidades · Fuera de scope
  • No sustituye la evaluación de conformidad por organismo notificado para sistemas de alto riesgo. Art. 43 · Evaluación de conformidad
  • No cubre la auditoría de la arquitectura técnica del modelo ni la validación de datos de entrenamiento. Art. 10 · Gobernanza de datos
  • No aplica a sistemas que no generan outputs documentables o que operan sin outputs intermedios registrables. Sistemas embebidos o sin output estructurado
  • No realiza el inventario inicial de sistemas IA de la organización — es el punto de partida previo a V-PROOF. Art. 4 · Alfabetización · Paso cero de compliance
A Amenazas · Riesgos de mercado
  • Organizaciones que postergan el compliance hasta 2027 por el aplazamiento del Anexo III, sin considerar que el art. 50 ya obliga. Art. 50 vs. Art. 113 modificado · Riesgo de confusión
  • Confusión entre «evaluación de conformidad» y «evidencia probatoria»: las empresas creen que una auditoría puntual les cubre ante el regulador. Art. 43 vs. Art. 12-14-16 · Malentendido estructural
  • Plataformas GRC y documentales que ofrecen «compliance de IA» sin garantía criptográfica, creando falsa sensación de cobertura. Mercado · Competencia no equivalente
  • Incertidumbre sobre la fecha de publicación del Digital Omnibus en el DOUE puede generar parálisis en decisiones de inversión en compliance. PE-CONS 30/26 · Pendiente publicación DOUE
V-PROOF PROTOCOL · Próximo paso

¿Sabe su organización en qué punto está ante el AI Act?

Identificamos su exposición regulatoria, clasificamos sus sistemas de IA y generamos la evidencia criptográfica que exige el Reglamento. Sin inventario previo, sin infraestructura adicional.

Hablemos →

Fuentes oficiales y referencias

  1. Texto consolidado del Reglamento (UE) 2024/1689 — EUR-Lex · CELEX 02024R1689-20240712
  2. Publicación oficial del AI Act en DOUE — EUR-Lex · ELI / OJ
  3. Artículo 113 y calendario base — AI Act Service Desk · Comisión Europea
  4. Página oficial de implementación del AI Act — Comisión Europea · Shaping Europe's digital future
  5. Texto aprobado del Digital Omnibus sobre IA — Consejo de la UE · PE-CONS 30/26
  6. Aprobación final del Consejo, 29 de junio de 2026 — Consejo de la UE · comunicado oficial


Anterior
Anterior

Por qué su organización necesita V-PROOF y no una plataforma ajena a la Unión Europea

Siguiente
Siguiente

IPFS y Computación Cuántica: por qué la evidencia que sellas hoy con V-PROOF seguirá siendo válida en 2035