TechLaw
3/7/26

Checklist AI Act: lo que tu empresa debe tener resuelto el 2 de agosto (y lo que puede esperar a 2027)

9 min

Guillermo Passas Varo

El 2 de agosto de 2026 el Reglamento de Inteligencia Artificial entra en aplicación general. Es la fecha que llevaba dos años marcada en rojo en todos los calendarios de compliance de Europa, y llega en el peor momento posible de confusión normativa: el Digital Omnibus —acuerdo político del 7 de mayo, aprobado por el Parlamento Europeo el 16 de junio, pendiente todavía de adopción formal por el Consejo y de publicación en el DOUE— aplaza una parte importante de las obligaciones, pero no todas. El resultado práctico es que hay empresas paralizando su cumplimiento “porque ya no hay deadline” y empresas documentando a toda prisa cosas que ya no son exigibles este año. Las dos se equivocan.

Este checklist separa las tres capas: lo que ya te era exigible antes de agosto, lo que se hace exigible el 2 de agosto de 2026, y lo que —si el Omnibus se publica en los términos acordados— puede esperar a diciembre de 2027. Al final tienes las doce preguntas que deberías poder responder hoy con un sí.

¿Prefieres hacerlo en modo interactivo? Haz el test de autoevaluación: las mismas doce preguntas, dos minutos y resultado inmediato.

Capa 1 — Lo que ya te es exigible (y no depende de agosto)

Prácticas prohibidas (art. 5)

Vigentes desde el 2 de febrero de 2025 y sin aplazamiento posible. Manipulación subliminal, explotación de vulnerabilidades, scoring social, identificación biométrica remota en tiempo real fuera de los supuestos tasados, reconocimiento de emociones en trabajo y educación. Si alguno de tus sistemas roza estas categorías, no tienes un problema de calendario: tienes un problema hoy, con sanciones de hasta 35 millones de euros o el 7% de la facturación global.

Alfabetización en IA (art. 4)

Vigente desde febrero de 2025 y sistemáticamente ignorada. Toda empresa que utiliza sistemas de IA debe garantizar que su personal tiene un nivel suficiente de alfabetización en IA, adaptado a su contexto de uso. No exige un máster: exige poder documentar qué formación, instrucciones o protocolos ha recibido quien opera tus sistemas. Es la obligación más barata de cumplir de todo el Reglamento y la primera que un inspector puede pedirte por escrito. Lo analizamos en detalle en la guía del responsable del despliegue.

Modelos de propósito general (GPAI)

Si desarrollas o comercializas modelos fundacionales, sus obligaciones corren desde agosto de 2025. Para la inmensa mayoría de empresas españolas esto no aplica directamente, pero sí indirectamente: tus proveedores de IA generativa deberían poder acreditarte su propio cumplimiento, y esa acreditación debería estar en tus contratos.

Capa 2 — Lo que se hace exigible el 2 de agosto de 2026

Transparencia (art. 50): la gran olvidada

El Digital Omnibus no aplaza las obligaciones de transparencia. Desde el 2 de agosto:

  • Si un cliente o usuario interactúa con un chatbot o sistema conversacional tuyo, debe saber que habla con una máquina.
  • Si generas contenido sintético —texto, imagen, audio, vídeo—, debe estar marcado como tal en formato legible por máquina.
  • Si publicas deepfakes o texto generado por IA sobre asuntos de interés público, debes revelarlo explícitamente.
  • Si usas reconocimiento de emociones o categorización biométrica en supuestos permitidos, debes informar a las personas expuestas.

Esto afecta a muchísimas más empresas que el Anexo III: cualquier web con un asistente conversacional, cualquier equipo de marketing que publica contenido generado, cualquier producto que sintetiza voz. Es la obligación con más superficie de incumplimiento visible —está literalmente a la vista de cualquiera que visite tu web— y por eso es la más fácil de denunciar.

Régimen sancionador y supervisión efectiva

El 2 de agosto el aparato sancionador queda plenamente operativo para todo lo aplicable. En España, la AESIA ya está constituida y puede requerir documentación. La diferencia entre responder a un requerimiento en una semana o improvisarlo en una noche es tener el expediente construido: inventario, clasificación, registro de decisiones, contratos. Las multas escalan por tramos: hasta 35M€/7% para prácticas prohibidas, hasta 15M€/3% para el grueso de obligaciones, hasta 7,5M€/1% por información engañosa a las autoridades.

Capa 3 — Lo que el Omnibus aplaza (si se publica): el Anexo III

Las obligaciones de los sistemas de alto riesgo del Anexo III —RRHH, scoring crediticio, seguros, educación, servicios esenciales— quedarían aplazadas al 2 de diciembre de 2027. Tres advertencias antes de archivar la carpeta:

  • El aplazamiento no está en vigor hasta que salga en el DOUE. Hoy, el texto vigente sigue diciendo 2 de agosto de 2026. Trabajar sobre un aplazamiento que aún no es Derecho positivo es una apuesta, no una estrategia.
  • Clasificar no se aplaza. Para saber si te beneficia el aplazamiento necesitas haber hecho el trabajo previo: inventario de sistemas y análisis de encaje en el Anexo III. Esa clasificación es además lo primero que te pedirá un inversor en due diligence, un cliente corporativo en homologación de proveedores o una aseguradora al cotizar tu póliza.
  • El mercado va por delante del calendario. Los contratos B2B ya incorporan cláusulas de cumplimiento AI Act sin esperar a 2027. Si vendes a gran empresa, tu deadline real lo fija su departamento de compras, no el DOUE.

El solapamiento con el RGPD: un solo ejercicio, no dos

Casi todo sistema de IA relevante trata datos personales, y ahí el calendario no da tregua porque el RGPD lleva vigente desde 2018. Preguntas que no pueden esperar a 2027: ¿qué base jurídica ampara el tratamiento que hace tu sistema?, ¿hay decisiones automatizadas con efectos significativos (art. 22 RGPD)?, ¿qué datos personales están saliendo en prompts hacia proveedores externos y con qué garantías?, ¿necesitas una DPIA? Cuando el sistema es de alto riesgo, la evaluación de impacto del AI Act y la DPIA se diseñan como un único ejercicio integrado —hacerlas por separado es pagar dos veces por el mismo trabajo.

Los contratos con tus proveedores de IA

La obligación silenciosa. Si usas IA de terceros —desde un LLM comercial hasta un SaaS con scoring integrado—, tu posición regulatoria depende de lo que puedas exigirles por contrato: acreditación de su cumplimiento, información técnica suficiente para tus propias obligaciones de transparencia, régimen de datos de los prompts, asignación de responsabilidad si su sistema causa el daño. Un DPA de 2019 no cubre nada de esto. Revisar esos contratos es de lo poco que se puede cerrar entero en julio.

El checklist: doce preguntas que deberías responder con un sí

Las mismas doce preguntas están disponibles en versión interactiva con resultado inmediato, si prefieres no llevar la cuenta.

  1. ¿Tienes un inventario completo de los sistemas de IA que usas o comercializas, incluidos los integrados en herramientas de terceros?
  2. ¿Cada sistema está clasificado por nivel de riesgo, con el razonamiento documentado por escrito?
  3. ¿Has verificado que ninguno encaja en las prácticas prohibidas del art. 5?
  4. ¿Sabes en qué sistemas eres proveedor, en cuáles responsable del despliegue, y dónde podrías estar convirtiéndote en proveedor sin saberlo (marca blanca, modificación sustancial, cambio de finalidad)?
  5. ¿Puedes documentar la alfabetización en IA de tu personal (art. 4)?
  6. ¿Tus chatbots y asistentes se identifican como IA ante el usuario?
  7. ¿Tu contenido generado por IA está marcado conforme al art. 50?
  8. ¿Tienes revisados los contratos con tus proveedores de IA (cumplimiento, datos, responsabilidad)?
  9. ¿Has resuelto el encaje RGPD: base jurídica, art. 22, DPIA cuando procede?
  10. ¿Existe un responsable interno identificable de todo lo anterior?
  11. ¿Tu documentación aguantaría un requerimiento de la AESIA con dos semanas de plazo?
  12. Si el Omnibus se publica mañana, ¿sabes exactamente qué obligaciones tuyas se aplazan y cuáles no?

Si has respondido que no más de tres veces

Con doce respuestas afirmativas, no nos necesitas: mantén la documentación viva y revisa cuando el Omnibus llegue al DOUE. Con tres o cuatro noes concentrados en transparencia y contratos, un encargo acotado lo resuelve antes de agosto. Si los noes están en las preguntas 1 a 4 —no sabes qué sistemas tienes ni qué eres respecto a ellos—, el problema es de base y conviene resolverlo con método: es exactamente lo que cubre nuestro encargo de AI Act Compliance (clasificación, obligaciones y documentación completa, precio cerrado desde 4.900€ + IVA, tres semanas), con variantes para alto riesgo y para providers. Y si solo necesitas saber dónde estás, una videoconsulta de 60 minutos (90€, descontables del encargo) basta para salir con un diagnóstico honesto: a veces la respuesta es que no nos necesitas, y también te la daremos.

VIDEOCONSULTA · 60 MIN

Si crees que nos necesitas,
cuéntanoslo.

90
60
100
%
{"@context":"https://schema.org","@type":"Article","headline":"Checklist AI Act: lo que tu empresa debe tener resuelto el 2 de agosto (y lo que puede esperar a 2027)","author":{"@type":"Person","name":"Guillermo Passas Varo","url":"https://passas.io/team/guillermo-passas-varo"},"publisher":{"@type":"Organization","name":"PASSAS","url":"https://passas.io"},"datePublished":"2026-07-03","dateModified":"2026-07-03","description":"Checklist por bloques para saber qué exige el AI Act a tu empresa el 2 de agosto de 2026, qué lleva vigente desde 2025 y qué aplaza el Digital Omnibus a 2027.","url":"https://passas.io/blog/checklist-ai-act-cumplimiento-empresas","inLanguage":"es-ES"}