El AI Act europeo entra en vigor el 2 de agosto de 2026: lo que toda empresa debe hacer antes de esa fecha
España aprueba su propia Ley de IA el 26 de mayo mientras la UE retrasa los sistemas de alto riesgo hasta diciembre de 2027, pero mantiene las obligaciones críticas para agosto
Un hito regulatorio sin precedentes: Europa legisla la IA antes que nadie
El 2 de agosto de 2026 marca un antes y un después en la historia de la regulación tecnológica global. Ese día, el Reglamento Europeo de Inteligencia Artificial —conocido internacionalmente como AI Act y oficialmente como Reglamento (UE) 2024/1689— se convierte en plenamente exigible para la mayoría de sus obligaciones, convirtiéndose en el primer marco legal integral sobre inteligencia artificial a nivel mundial. No estamos ante una declaración de intenciones ni ante una hoja de ruta: es una norma de aplicación directa en todos los Estados miembros de la Unión Europea, con sanciones que pueden alcanzar el 7 % de la facturación global anual de la empresa infractora. Para una empresa con 100 millones de euros de facturación, eso representa hasta 7 millones de euros de multa por incumplimiento. El tiempo de actuar es ahora, no en julio.
En España, el Gobierno aprobó el 26 de mayo de 2026 la Ley Española de IA, que complementa el marco europeo con disposiciones específicas para el mercado nacional, la designación de la autoridad supervisora (AESIA, Agencia Española de Supervisión de la Inteligencia Artificial) y los mecanismos de control y sanción aplicables en territorio español. Toda empresa que opere en España o que ofrezca servicios a ciudadanos europeos está sujeta a esta normativa, independientemente de dónde esté ubicada su sede.
El mapa de obligaciones: qué exige el AI Act desde agosto de 2026
La arquitectura regulatoria del AI Act se basa en un enfoque de cuatro niveles de riesgo que determina las obligaciones de cada sistema de IA. El nivel de riesgo inaceptable comprende prácticas totalmente prohibidas: los sistemas de puntuación social al estilo chino, la manipulación subliminal de personas, el reconocimiento de emociones en entornos laborales y educativos sin justificación, y determinados usos de identificación biométrica en espacios públicos. Estas prohibiciones ya están en vigor desde febrero de 2025. El acuerdo de mayo de 2026, enmarcado en el paquete Digital Omnibus, añade una prohibición inmediata y explícita para aplicaciones de generación de contenido íntimo no consentido (los llamados deepfakes de «nudificación»), una respuesta directa al alarmante crecimiento de este tipo de contenido generado por IA.
Las obligaciones que sí entran en vigor el 2 de agosto de 2026 son principalmente dos. La primera es la formación obligatoria: todas las empresas deben garantizar que su personal tiene la formación adecuada en IA para comprender sus riesgos y beneficios. No se trata de convertir a toda la plantilla en expertos técnicos, sino de asegurar que quien toma decisiones con sistemas de IA entiende qué está haciendo y cuáles son las implicaciones. La segunda es la transparencia obligatoria: los sistemas de IA de propósito general (como los chatbots y los asistentes virtuales) deben informar a los usuarios cuando están interactuando con una máquina, no con una persona. El usuario tiene derecho a saber.
El retraso para sistemas de alto riesgo: una ventana de oportunidad
La novedad regulatoria más relevante de mayo de 2026 es el acuerdo de la UE para aplazar las obligaciones más exigentes del AI Act —las referidas a sistemas de alto riesgo— hasta diciembre de 2027. Este retraso responde a presiones legítimas del tejido empresarial europeo, especialmente de las pymes, que señalaron la falta de guías técnicas oficiales como un obstáculo real para la preparación. Los sistemas de alto riesgo son aquellos utilizados en infraestructuras críticas, educación, recursos humanos, crédito financiero, justicia y aplicación de la ley. Si tu empresa utiliza IA para filtrar currículums, para decidir sobre concesiones de crédito o para evaluar el rendimiento de empleados, eres operador de un sistema de alto riesgo y tienes hasta diciembre de 2027 —pero no más.
El mensaje de los expertos regulatorios es unánime: el aplazamiento no es un indulto, es una ventana de oportunidad. Las empresas que aprovechen los próximos dieciséis meses para clasificar sus herramientas, auditar a sus proveedores tecnológicos y construir sus sistemas de gobernanza interna estarán en posición de ventaja competitiva cuando el cumplimiento sea exigible. Las que esperen hasta el último trimestre de 2027 afrontarán prisa, costes más elevados y riesgo real de sanción.
Qué debe hacer tu empresa antes del 2 de agosto de 2026
El plan de acción mínimo para cualquier empresa que opere en Europa y utilice algún sistema de IA —lo que incluye CRMs con funciones de IA, software logístico con recomendaciones automatizadas, chatbots de atención al cliente y herramientas de análisis de datos— tiene tres pasos fundamentales. El primero es el inventario de sistemas de IA: identificar todas las herramientas y sistemas que incorporan IA en la organización, incluyendo las que proceden de proveedores externos. El segundo es la clasificación por nivel de riesgo: para cada sistema identificado, determinar en qué categoría de la clasificación del AI Act se encuentra. El tercero es la verificación de cumplimiento de proveedores: toda empresa que utiliza un sistema de IA de un tercero tiene responsabilidad sobre ese sistema si impacta directamente en personas. El proveedor debe poder acreditar su conformidad.
El incumplimiento del AI Act tiene tres tipos de sanciones: hasta 35 millones de euros o el 7 % de la facturación global para infracciones relacionadas con prácticas prohibidas, hasta 15 millones o el 3 % de la facturación para el resto de incumplimientos de obligaciones, y hasta 7,5 millones o el 1 % para la facilitación de información incorrecta a las autoridades. Las empresas que comunican proactivamente su uso de IA, según los análisis del ecosistema regulatorio europeo, logran mayor confianza de sus usuarios y menor tasa de abandono. La transparencia bien ejecutada no solo mitiga riesgos legales: construye marca.
El modelo europeo frente al modelo americano y chino: una apuesta por la confianza
El AI Act no existe en el vacío: es la respuesta de Europa al dilema que define la geopolítica tecnológica de esta década. Mientras Estados Unidos avanza en IA con una aproximación principalmente de mercado libre, con poca regulación federal y máxima velocidad de innovación, y mientras China desarrolla IA con un enfoque de control estatal y aplicación masiva sin los condicionantes éticos europeos, la UE ha apostado por un tercer camino: regular primero, innovar dentro del marco regulado, y exportar el estándar al resto del mundo. La misma estrategia que funcionó con el RGPD de protección de datos —hoy adoptado como referencia en más de 130 países— es la que Europa intenta replicar con la IA. No competir en velocidad, sino en confianza y sostenibilidad a largo plazo. Si funciona, el AI Act no será solo una ley europea: será el estándar global de la IA responsable.
