Eres responsable del despliegue de IA: lo que el AI Act te exige antes del 2 de agosto

El 7 de mayo, el Consejo de la UE y el Parlamento Europeo cerraron el acuerdo político sobre el Digital Omnibus. El 16 de junio, el Pleno del Parlamento aprobó formalmente su parte del texto. Lo que queda pendiente en este momento es la adopción formal por el Consejo y la publicación en el Diario Oficial de la Unión Europea, tras la revisión jurídico-lingüística. Hasta que eso ocurra, el Reglamento (UE) 2024/1689 sigue siendo el texto con fuerza de ley.

El efecto práctico es el siguiente: el aplazamiento del Anexo III al 2 de diciembre de 2027 es ya la base de planificación razonable para cualquier programa de cumplimiento, pero no es todavía derecho positivo. Y hay partes del Reglamento que no se aplazan bajo ningún escenario.

Si tu empresa utiliza sistemas de inteligencia artificial en sus procesos, el análisis que importa no es si el Omnibus llega a tiempo antes del 2 de agosto. El análisis que importa es qué obligaciones del Reglamento ya vinculan a tu empresa hoy, cuáles se desplazan con el Omnibus y cuáles permanecen activas independientemente de lo que publique el DOUE.

Proveedor o responsable del despliegue: la distinción que más se malinterpreta

El Artículo 3 del Reglamento define al responsable del despliegue como el operador que utiliza un sistema de IA bajo su propia autoridad en el contexto de una actividad profesional. Si tu empresa contrata un SaaS con funcionalidades de IA integradas, conecta un modelo vía API o despliega una herramienta de IA en sus procesos internos, ese es tu rol.

El proveedor es quien desarrolla el sistema y lo introduce en el mercado. OpenAI, Microsoft, el fabricante de cualquier plataforma de RRHH con módulo de IA son proveedores. Tú, si los usas en tu operativa, eres responsable del despliegue.

La confusión más extendida es asumir que el marcado CE o la documentación de conformidad del proveedor te cubre a ti también. No lo hace. El Artículo 26 establece un catálogo de obligaciones propio para el responsable del despliegue, independiente de lo que haya hecho el proveedor. Ambos regímenes son acumulativos.

El Artículo 25 añade un supuesto relevante. Un responsable del despliegue asume las obligaciones del proveedor si pone su nombre o marca en el sistema, si realiza una modificación sustancial sobre él o si cambia su finalidad de manera que lo convierta en alto riesgo. Cuando se da alguna de esas condiciones, el régimen completo del Capítulo III del Reglamento se aplica sobre quien empezó siendo solo usuario.

Lo que el Artículo 26 exige al responsable del despliegue

El Artículo 26 es el núcleo de las obligaciones del responsable del despliegue para sistemas de alto riesgo. Antes de ver qué aplaza el Omnibus y qué no, conviene entender qué dice el texto.

Medidas técnicas y organizativas (apartado 1). El responsable del despliegue debe adoptar medidas técnicas y organizativas adecuadas para garantizar que usa el sistema conforme a las instrucciones del proveedor. En la práctica: documentar cómo se implementó el sistema, qué controles existen sobre su uso y quién es responsable operativamente. El contrato con el proveedor no sustituye esta documentación.

Supervisión humana delegada (apartado 2). La supervisión del sistema tiene que encomendarse a personas físicas con competencia, formación y autoridad suficientes para interpretar los resultados del sistema y actuar sobre ellos. El supervisor tiene que poder tomar decisiones propias cuando el sistema produce resultados cuestionables: no basta con que alguien valide el output sin capacidad real de cuestionarlo.

Calidad de los datos de entrada (apartado 4). El responsable del despliegue debe verificar que los datos que se introducen en el sistema sean pertinentes y suficientemente representativos para la finalidad del uso. Cuando el sistema es de terceros, esto significa evaluar activamente si los datos que se le pasan son adecuados para lo que se le pide.

Monitorización e incidentes (apartado 5). Si el responsable del despliegue tiene motivos para considerar que el uso del sistema puede generar un riesgo, debe notificarlo sin demora al proveedor y a la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), y suspender el uso del sistema. Los incidentes graves tienen un canal de notificación adicional con requisitos propios.

Información a los trabajadores (apartado 6). Cuando el sistema de IA de alto riesgo se despliega en el entorno laboral, el responsable del despliegue que sea empleador debe informar a los representantes de los trabajadores y a los trabajadores directamente afectados. Para una empresa que usa un sistema de evaluación de rendimiento con componente de IA, esto no es opcional.

Si tu empresa es una startup y todavía no tienes claro si eres proveedor o responsable del despliegue, el cuadro general de obligaciones lo analizamos en este artículo.

Información a las personas afectadas (apartado 7). Cuando el sistema se usa para tomar decisiones con efectos jurídicos o significativos sobre personas físicas, el responsable del despliegue debe informarles del uso de la IA. Esas personas tienen derecho a obtener una explicación de la decisión.

El Digital Omnibus: qué aplaza y qué no toca

El acuerdo provisional del 7 de mayo, aprobado ya por el Parlamento y pendiente del Consejo, aplaza la entrada en aplicación del régimen completo del Artículo 26 para los sistemas del Anexo III. La nueva fecha es el 2 de diciembre de 2027. Los sistemas del Anexo I, integrados en productos regulados por normativa sectorial de seguridad, tienen plazo hasta el 2 de agosto de 2028.

En términos precisos: las obligaciones de los apartados 1 a 7 del Artículo 26 para sistemas de RRHH, scoring crediticio, educación, biometría, infraestructuras críticas, migración y justicia tienen margen hasta diciembre de 2027, condicionado a que el Omnibus se publique en el DOUE antes del 2 de agosto.

Ahora la parte que muchas empresas están pasando por alto.

El Artículo 4 no es parte del Capítulo III. Está en el Capítulo I, el de disposiciones generales, y aplica a todos los proveedores y responsables del despliegue de sistemas de IA con independencia del nivel de riesgo. La obligación de garantizar un nivel suficiente de alfabetización en materia de IA para el personal que opera o usa sistemas de IA entró en vigor el 2 de febrero de 2025. Si tu empresa no tiene documentada esa formación, lleva más de un año en incumplimiento. El Omnibus no modifica esa fecha.

El Artículo 50 tampoco se aplaza. Las obligaciones de transparencia para chatbots, sistemas que generan contenido sintético y sistemas de reconocimiento de emociones entran en aplicación el 2 de agosto de 2026 conforme al texto original del Reglamento, y el Omnibus no las incluye en el aplazamiento. La obligación de marcar y etiquetar el contenido generado por IA tiene como referencia el 2 de diciembre de 2026 bajo el nuevo acuerdo.

El acuerdo todavía no es derecho positivo. El Parlamento votó el 16 de junio. El Consejo tiene que adoptarlo formalmente antes de que se publique en el DOUE. Hasta esa publicación, el texto vinculante es el Reglamento (UE) 2024/1689 en sus términos originales. Una empresa que el 2 de agosto no tenga cubierto el régimen de alto riesgo se expone, en el supuesto de que el Omnibus no llegue a tiempo, a estar en incumplimiento formal del Reglamento vigente.

Las tres piezas que necesitas tener en orden ahora mismo

Con independencia del resultado final del Omnibus, hay tres documentos que un responsable del despliegue tiene que poder mostrar hoy:

Evidencia de formación en IA. Un registro que acredite qué empleados han recibido formación sobre los sistemas de IA que usan, con qué contenidos y en qué fecha. El Artículo 4 no exige un programa elaborado, pero sí exige documentación. Esta obligación está activa desde febrero de 2025 y ninguna versión del Omnibus la toca.

Política interna de uso de IA. Un documento que establezca qué sistemas puede usar la empresa, para qué finalidades, bajo qué condiciones y quién es responsable operativamente de cada uno. Sirve para el cumplimiento interno y para responder a clientes e inversores que piden evidencia de gobernanza antes de firmar o renovar contratos.

Protocolo de incidencias. El procedimiento por el que la empresa detecta, documenta y notifica los problemas relacionados con sus sistemas de IA. Sin este protocolo, las obligaciones de notificación del Artículo 26.5 no tienen soporte operativo cuando lleguen a aplicarse, y el responsable del despliegue llega a ese momento sin infraestructura de respuesta.

El riesgo contractual que no espera a la AESIA

La AESIA, con sede en A Coruña, lleva ejerciendo competencias sancionadoras sobre las prácticas prohibidas del Artículo 5 desde agosto de 2025. A partir del 2 de agosto de 2026, en ausencia de publicación formal del Omnibus, su capacidad de actuar sobre el régimen de alto riesgo se activa.

Pero hay otro vector de riesgo que no depende del calendario regulatorio. Muchas empresas están recibiendo ya solicitudes de grandes clientes, entidades financieras y organismos públicos que exigen documentación acreditativa de cumplimiento con el AI Act como condición para mantener o renovar contratos. El acuerdo político del Digital Omnibus no tiene efecto sobre esas exigencias contractuales. El plazo regulatorio y el plazo de mercado son distintos, y en este momento el de mercado corre más rápido.

La pregunta relevante para esas empresas no es cuándo actúa la AESIA. Es qué pueden mostrar cuando un cliente lo pide.

Si tu empresa opera sistemas de IA en áreas de RRHH, scoring, atención al cliente automatizada o cualquier proceso con efecto sobre decisiones que afectan a personas, el servicio AI Act Alto Riesgo de PASSAS cubre el ciclo completo: clasificación, documentación técnica, delegación de supervisión, FRIA y actualización contractual, todo a precio cerrado.

El Digital Omnibus reordena el calendario de un reglamento cuya implementación llegó antes que los estándares técnicos que la hacen operativa. Es una corrección técnicamente razonada. Pero las obligaciones que ya están vigentes, el Artículo 4 desde febrero de 2025 y el Artículo 50 desde agosto de 2026, no son parte de ese reordenamiento. Y la presión contractual que ejercen clientes con exigencias de compliance existe con independencia de los plazos de la AESIA.

El margen adicional que da el Omnibus para las obligaciones del Anexo III no es un argumento para pausar. Es un argumento para construir la base de cumplimiento con menos urgencia y más precisión.