9 min
El 2 de agosto de 2026 el Reglamento de Inteligencia Artificial entra en aplicación general. Es la fecha que llevaba dos años marcada en rojo en todos los calendarios de compliance de Europa, y llega en el peor momento posible de confusión normativa: el Digital Omnibus —acuerdo político del 7 de mayo, aprobado por el Parlamento Europeo el 16 de junio, pendiente todavía de adopción formal por el Consejo y de publicación en el DOUE— aplaza una parte importante de las obligaciones, pero no todas. El resultado práctico es que hay empresas paralizando su cumplimiento “porque ya no hay deadline” y empresas documentando a toda prisa cosas que ya no son exigibles este año. Las dos se equivocan.
Este checklist separa las tres capas: lo que ya te era exigible antes de agosto, lo que se hace exigible el 2 de agosto de 2026, y lo que —si el Omnibus se publica en los términos acordados— puede esperar a diciembre de 2027. Al final tienes las doce preguntas que deberías poder responder hoy con un sí.
¿Prefieres hacerlo en modo interactivo? Haz el test de autoevaluación: las mismas doce preguntas, dos minutos y resultado inmediato.
Vigentes desde el 2 de febrero de 2025 y sin aplazamiento posible. Manipulación subliminal, explotación de vulnerabilidades, scoring social, identificación biométrica remota en tiempo real fuera de los supuestos tasados, reconocimiento de emociones en trabajo y educación. Si alguno de tus sistemas roza estas categorías, no tienes un problema de calendario: tienes un problema hoy, con sanciones de hasta 35 millones de euros o el 7% de la facturación global.
Vigente desde febrero de 2025 y sistemáticamente ignorada. Toda empresa que utiliza sistemas de IA debe garantizar que su personal tiene un nivel suficiente de alfabetización en IA, adaptado a su contexto de uso. No exige un máster: exige poder documentar qué formación, instrucciones o protocolos ha recibido quien opera tus sistemas. Es la obligación más barata de cumplir de todo el Reglamento y la primera que un inspector puede pedirte por escrito. Lo analizamos en detalle en la guía del responsable del despliegue.
Si desarrollas o comercializas modelos fundacionales, sus obligaciones corren desde agosto de 2025. Para la inmensa mayoría de empresas españolas esto no aplica directamente, pero sí indirectamente: tus proveedores de IA generativa deberían poder acreditarte su propio cumplimiento, y esa acreditación debería estar en tus contratos.
El Digital Omnibus no aplaza las obligaciones de transparencia. Desde el 2 de agosto:
Esto afecta a muchísimas más empresas que el Anexo III: cualquier web con un asistente conversacional, cualquier equipo de marketing que publica contenido generado, cualquier producto que sintetiza voz. Es la obligación con más superficie de incumplimiento visible —está literalmente a la vista de cualquiera que visite tu web— y por eso es la más fácil de denunciar.
El 2 de agosto el aparato sancionador queda plenamente operativo para todo lo aplicable. En España, la AESIA ya está constituida y puede requerir documentación. La diferencia entre responder a un requerimiento en una semana o improvisarlo en una noche es tener el expediente construido: inventario, clasificación, registro de decisiones, contratos. Las multas escalan por tramos: hasta 35M€/7% para prácticas prohibidas, hasta 15M€/3% para el grueso de obligaciones, hasta 7,5M€/1% por información engañosa a las autoridades.
Las obligaciones de los sistemas de alto riesgo del Anexo III —RRHH, scoring crediticio, seguros, educación, servicios esenciales— quedarían aplazadas al 2 de diciembre de 2027. Tres advertencias antes de archivar la carpeta:
Casi todo sistema de IA relevante trata datos personales, y ahí el calendario no da tregua porque el RGPD lleva vigente desde 2018. Preguntas que no pueden esperar a 2027: ¿qué base jurídica ampara el tratamiento que hace tu sistema?, ¿hay decisiones automatizadas con efectos significativos (art. 22 RGPD)?, ¿qué datos personales están saliendo en prompts hacia proveedores externos y con qué garantías?, ¿necesitas una DPIA? Cuando el sistema es de alto riesgo, la evaluación de impacto del AI Act y la DPIA se diseñan como un único ejercicio integrado —hacerlas por separado es pagar dos veces por el mismo trabajo.
La obligación silenciosa. Si usas IA de terceros —desde un LLM comercial hasta un SaaS con scoring integrado—, tu posición regulatoria depende de lo que puedas exigirles por contrato: acreditación de su cumplimiento, información técnica suficiente para tus propias obligaciones de transparencia, régimen de datos de los prompts, asignación de responsabilidad si su sistema causa el daño. Un DPA de 2019 no cubre nada de esto. Revisar esos contratos es de lo poco que se puede cerrar entero en julio.
Las mismas doce preguntas están disponibles en versión interactiva con resultado inmediato, si prefieres no llevar la cuenta.
Con doce respuestas afirmativas, no nos necesitas: mantén la documentación viva y revisa cuando el Omnibus llegue al DOUE. Con tres o cuatro noes concentrados en transparencia y contratos, un encargo acotado lo resuelve antes de agosto. Si los noes están en las preguntas 1 a 4 —no sabes qué sistemas tienes ni qué eres respecto a ellos—, el problema es de base y conviene resolverlo con método: es exactamente lo que cubre nuestro encargo de AI Act Compliance (clasificación, obligaciones y documentación completa, precio cerrado desde 4.900€ + IVA, tres semanas), con variantes para alto riesgo y para providers. Y si solo necesitas saber dónde estás, una videoconsulta de 60 minutos (90€, descontables del encargo) basta para salir con un diagnóstico honesto: a veces la respuesta es que no nos necesitas, y también te la daremos.
IVA incluido, descontables de los honorarios si hay encargo. Por adelantado.
minutos de sesión para hablar con un abogado en ejercicio. Tú eliges el día y la hora.
online. Sin coche, sin salas de espera, sin romperte la tarde. Para tu comodidad.