Digital Omnibus y AI Act 2026: qué cambia para tu empresa, qué no y por qué actuar ahora

En noviembre de 2025, cuando la Comisión Europea publicó el Digital Omnibus on AI, la interpretación más extendida en los foros de compliance era que el deadline de agosto de 2026 quedaba descartado. En marzo llegaron los mandatos de negociación del Consejo y del Parlamento. Parecía que el aplazamiento era cuestión de semanas. Luego el trílogo del 28 de abril se rompió tras doce horas de negociación en Bruselas. El 7 de mayo hubo acuerdo provisional. Y hoy, con el 2 de agosto a dos meses, la pregunta más frecuente que llega a PASSAS sigue siendo la misma: ¿tengo que cumplir o no?

Respuesta corta: depende de qué obligación y de si el texto definitivo se publica en el Diario Oficial antes del 2 de agosto. Respuesta completa: la que sigue.

Qué es el Digital Omnibus on AI y por dónde va el proceso

El Digital Omnibus on AI es la propuesta legislativa COM(2025) 836 final, presentada por la Comisión Europea el 19 de noviembre de 2025. Su objetivo es modificar el Reglamento (UE) 2024/1689 para retrasar la entrada en aplicación de las obligaciones más exigentes del AI Act, reducir cargas administrativas para pymes y alinear los plazos de cumplimiento con la disponibilidad real de las normas técnicas armonizadas, que llevan meses de retraso.

El proceso legislativo fue el siguiente:

• 19 de noviembre de 2025: La Comisión publica el Digital Omnibus on AI.
• 13 de marzo de 2026: El Consejo de la UE adopta su mandato de negociación.
• 26 de marzo de 2026: El Parlamento Europeo aprueba su posición con 569 votos a favor, 45 en contra y 23 abstenciones.
• 28 de abril de 2026: Primer trílogo. Sin acuerdo. El punto de bloqueo fue la arquitectura del Anexo I y cómo se evalúa la conformidad de la IA integrada en productos sujetos a normativa sectorial (maquinaria industrial, productos sanitarios, diagnóstico in vitro).
• 7 de mayo de 2026: Segundo trílogo. Acuerdo político provisional entre el Consejo y el Parlamento Europeo.

El acuerdo del 7 de mayo es provisional porque todavía debe superar la revisión jurídico-lingüística de los servicios jurídicos de ambas instituciones, la votación formal del Parlamento, la aprobación del Consejo y la publicación en el Diario Oficial de la UE. Hasta ese momento, el Reglamento (UE) 2024/1689 sigue siendo derecho positivo con sus fechas originales. Si el proceso se demora y el texto definitivo no se publica antes del 2 de agosto, las obligaciones de alto riesgo del AI Act original aplican desde esa fecha sin excepciones.

Los plazos que cambian con el acuerdo provisional

El cambio más relevante afecta a los sistemas de IA de alto riesgo del Anexo III: biometría, infraestructuras críticas, educación, empleo, servicios esenciales, migración, asilo, fronteras, fuerzas de seguridad y justicia. Estas categorías concentran la mayor parte de los casos prácticos que afectan a empresas tecnológicas: herramientas de selección y evaluación de personal, modelos de scoring crediticio, plataformas de evaluación educativa y soluciones de análisis de riesgo en seguros.

Según el acuerdo del 7 de mayo:

• Sistemas de alto riesgo del Anexo III (autónomos): de agosto de 2026 a 2 de diciembre de 2027.
• Sistemas de alto riesgo del Anexo I (integrados en productos regulados como maquinaria industrial o dispositivos médicos): de agosto de 2026 a 2 de agosto de 2028.
• Marcado técnico de contenido generado por IA (watermarking, artículo 50.2) para sistemas ya comercializados antes del 2 de agosto: nueva fecha propuesta, 2 de diciembre de 2026.

El acuerdo introduce además una simplificación relevante para startups. Las empresas con menos de 749 empleados y menos de 150 millones de euros de facturación podrán acogerse a requisitos de documentación técnica simplificados para sistemas de alto riesgo. Eso amplía el paraguas de simplificación a unas 8.250 empresas adicionales en la UE.

Lo que no cambia bajo ningún escenario

Esta es la parte que los titulares de "el AI Act se retrasa" tienden a omitir, y es la más importante para tomar decisiones reales.

El Digital Omnibus no toca lo siguiente:

• Artículo 5: prohibiciones absolutas. En vigor desde el 2 de febrero de 2025. Clasificación biométrica encubierta, manipulación subliminal, scoring social generalizado y sistemas de reconocimiento de emociones en entornos laborales o educativos son ilegales ahora mismo. Ninguna versión del Omnibus los ha puesto sobre la mesa.
• Artículo 50: identificación como IA en interacciones directas. La obligación de informar a los usuarios cuando interactúan en tiempo real con un sistema de IA (chatbots, asistentes conversacionales) aplica desde el 2 de agosto de 2026. El aplazamiento del watermarking técnico al 2 de diciembre de 2026 es específico para el marcado automatizado de contenido sintético generado, no para esta obligación de identificación básica.
• Artículo 4: alfabetización en IA. La obligación de que el personal que trabaje con sistemas de IA tenga formación suficiente está en vigor desde febrero de 2025. El acuerdo provisional suaviza el verbo de "garantizar" a "promover", pero la obligación permanece.
• Obligaciones de los modelos GPAI. Los modelos de IA de propósito general llevan bajo el AI Act desde el 2 de agosto de 2025. Documentación técnica, cumplimiento de copyright y adhesión al Código de Conducta de la Oficina de IA siguen vigentes para todos los providers de GPAI.

Si usas IA en tu empresa, tienes obligaciones activas hoy con independencia de lo que ocurra con el Omnibus.

La equivalencia FRIA-DPIA: el cambio más relevante para deployers

Esta modificación pasa desapercibida en la mayoría de análisis sobre el Omnibus y es, probablemente, la que tiene mayor impacto práctico para empresas tecnológicas.

El AI Act original exige a ciertos deployers de alto riesgo completar una FRIA (Evaluación de Impacto en Derechos Fundamentales, artículo 27) antes del primer uso del sistema. El RGPD exige una DPIA (Evaluación de Impacto en Protección de Datos, artículo 35 RGPD) cuando el tratamiento de datos personales pueda suponer un riesgo elevado. Para un deployer de un sistema de alto riesgo que también procesa datos personales, que en la práctica es casi siempre, las dos evaluaciones han convivido como documentos separados con un solapamiento material considerable.

El acuerdo provisional introduce la posibilidad de que una DPIA del RGPD sustituya a la FRIA cuando su contenido sea "sustancialmente equivalente". El problema es que la equivalencia no es automática. La DPIA cubre exclusivamente la protección de datos personales. La FRIA cubre el impacto sobre todos los derechos fundamentales de la Carta de la UE: no discriminación, dignidad, acceso a la justicia, derechos laborales, libertad de expresión. Una DPIA estándar no llega allí. Para que la equivalencia opere, la evaluación tiene que ampliarse expresamente para cubrir ese espectro más amplio.

Lo que el acuerdo abre, en términos prácticos, es la posibilidad de un documento integrado que cumpla simultáneamente el artículo 35 del RGPD y el artículo 27 del AI Act. Para un deployer de RRHH con un sistema de evaluación o selección de candidatos, esa integración es la vía más eficiente de cumplimiento: se hace en un solo proceso, con un solo análisis jurídico real, y queda lista para el deadline sea cual sea la fecha final.

Por qué actuar ahora tiene más sentido que esperar

El aplazamiento al 2 de diciembre de 2027 puede parecer una invitación a dejar el cumplimiento para el año que viene. Hay tres razones concretas por las que ese razonamiento tiene un coste real.

La primera es que el acuerdo del 7 de mayo sigue siendo provisional. Que el texto definitivo se publique en el Diario Oficial antes del 2 de agosto requiere completar la revisión jurídico-lingüística, la votación formal y la aprobación del Consejo en menos de dos meses, en plena temporada de verano institucional europea. Si ese proceso se demora, el AI Act original aplica sin matices desde agosto.

La segunda es el coste del compliance bajo presión. La AESIA tiene 16 guías publicadas, un sandbox regulatorio operativo y coordinación activa con la AEPD. Empezar la clasificación de sistemas, el gap analysis y la documentación técnica ahora, con dieciocho meses de margen, cuesta menos que hacerlo con noventa días de plazo o en respuesta a un requerimiento de autoridad. Las autoridades de supervisión no están esperando al 2 de diciembre de 2027 para familiarizarse con los sistemas bajo su jurisdicción.

La tercera es la ventaja competitiva. En 2027, clientes empresariales, inversores y plataformas de distribución europeas van a exigir documentación de cumplimiento del AI Act. Quien empiece en 2026 tendrá esa documentación lista y habrá absorbido el coste a lo largo de dieciocho meses. Quien espere hasta finales de 2027 lo hará en un mercado con escasez de capacidad de cumplimiento, a precios que lo reflejan.

Desde PASSAS ofrecemos AI Act Compliance para deployers: clasificación de sistemas, documentación completa y FRIA integrada con DPIA cuando aplica. Si no tienes claro en qué situación está tu empresa, el primer paso útil es una videoconsulta (90€ IVA incluido, descontables del encargo si finalmente te proponemos uno): en una sesión determinamos exactamente qué tienes que resolver y en qué plazo.

Preguntas frecuentes

¿El acuerdo provisional del 7 de mayo ya tiene efecto legal?

No. El acuerdo anticipa con bastante precisión el contenido final de la reforma, pero el Reglamento (UE) 2024/1689 sigue siendo derecho positivo hasta que el texto definitivo complete la revisión jurídico-lingüística, la votación formal del Parlamento, la aprobación del Consejo y la publicación en el Diario Oficial de la UE. Ningún acuerdo provisional en trílogo modifica los plazos del Reglamento original.

¿Qué obligaciones siguen activas el 2 de agosto de 2026 aunque el Omnibus se adopte antes de esa fecha?

Las obligaciones de transparencia del artículo 50 para interacciones directas con usuarios (informar que se interactúa con un sistema de IA) aplican desde agosto de 2026. Las prohibiciones del artículo 5 llevan vigentes desde febrero de 2025. Las obligaciones GPAI, desde agosto de 2025. Lo que se posterga, si el Omnibus se adopta formalmente, son las obligaciones específicas de los sistemas de alto riesgo del Anexo III.

¿La equivalencia FRIA-DPIA elimina la necesidad de hacer la FRIA?

En ningún caso de forma automática. El acuerdo permite que una DPIA sustituya a la FRIA cuando sea "sustancialmente equivalente". Una DPIA estándar no cubre el espectro completo de derechos fundamentales que exige la FRIA. Para que la equivalencia opere, la evaluación tiene que ampliarse expresamente para cubrir no discriminación, dignidad, acceso a la justicia, derechos laborales y libertad de expresión, entre otros derechos de la Carta de la UE. Un documento integrado que cumpla simultáneamente el artículo 35 del RGPD y el artículo 27 del AI Act es la única vía que evita la duplicación sin sacrificar el ámbito de ninguna de las dos evaluaciones.

¿Qué pasa si mi empresa esperó al resultado del Omnibus y el texto definitivo no llega antes del 2 de agosto?

El escenario legal es que las obligaciones del AI Act original aplican desde agosto. La AESIA no tiene obligación de conceder un plazo de gracia mientras el Omnibus no está publicado. Lo más razonable es actuar ya sobre las obligaciones que no dependen del Omnibus (artículos 4, 5 y 50) y poner en marcha el proceso de clasificación y documentación para los sistemas de alto riesgo asumiendo que, con Omnibus o sin él, las obligaciones serán exigibles.

¿El aplazamiento al 2027 aplica también a deployers o solo a providers?

El retraso al 2 de diciembre de 2027 aplica tanto a providers como a deployers de sistemas de alto riesgo del Anexo III. La simplificación para empresas de menos de 749 empleados y menos de 150 millones de euros de facturación también aplica a ambos roles en materia de documentación técnica.

¿Qué ocurre con la FRIA si las obligaciones de alto riesgo quedan aplazadas al 2027?

La FRIA del artículo 27 forma parte del capítulo de obligaciones de alto riesgo. Si el Digital Omnibus se adopta formalmente, la FRIA queda también aplazada al 2 de diciembre de 2027 para los deployers del Anexo III. Para deployers que también estén sujetos al RGPD, integrar la FRIA con la DPIA antes de ese plazo sigue siendo la estrategia más eficiente: se hace en un solo proceso, con un solo análisis jurídico, y queda preparada para el deadline sea cual sea la fecha definitiva.

¿Cuándo conviene empezar el proceso de clasificación de sistemas de IA?

Ahora. La clasificación de sistemas no depende de ningún plazo del Omnibus: es el primer paso necesario para cualquier decisión de compliance. Saber si tus sistemas son de alto riesgo, de riesgo limitado o de riesgo mínimo determina qué tienes que hacer y en qué plazo. En el artículo sobre AI Act para startups encontrarás el marco completo de clasificación por roles y niveles de riesgo.