La UE retrasa hasta diciembre de 2027 las obligaciones más exigentes del AI Act y prohíbe las apps de «nudificación» con IA
El acuerdo del 7 de mayo amplía los plazos para sistemas de alto riesgo, pero mantiene el calendario de transparencia para agosto de 2026. Las multas pueden alcanzar los 35 millones de euros o el 7% de la facturación global.
Europa reajusta su ambiciosa hoja de ruta regulatoria
El 7 de mayo de 2026, las instituciones europeas alcanzaron un acuerdo político que redefine el calendario de aplicación de la Ley de Inteligencia Artificial (AI Act). Las obligaciones más exigentes para sistemas de IA clasificados como "alto riesgo" —aquellos usados en infraestructuras críticas, educación, recursos humanos o justicia— pasan de agosto de 2026 a diciembre de 2027, y en algunos sectores incluso a agosto de 2028.
El aplazamiento, enmarcado en el paquete Digital Omnibus, responde a una realidad que los propios reguladores reconocen: la capacidad técnica y administrativa para aplicar el reglamento no avanzaba al mismo ritmo que la regulación. Faltaban estándares técnicos definitivos, había dudas sobre los procesos de auditoría y los organismos supervisores no estaban plenamente preparados en la mayoría de los países.
Lo que sí entra en vigor en agosto de 2026
El retraso no significa parálisis. Las normas de transparencia del AI Act entrarán en vigor en agosto de 2026 según lo previsto. Esto obliga a cualquier empresa que use sistemas de IA en sus operaciones a informar a los usuarios cuando están interactuando con un sistema automatizado, a etiquetar los contenidos generados por IA (deepfakes, textos, imágenes) y a publicar políticas de transparencia sobre el uso de IA antes de esa fecha.
Prohibición de apps de «nudificación»
En el mismo acuerdo del 7 de mayo, la UE acordó prohibir explícitamente las aplicaciones de "nudificación" —herramientas que generan imágenes falsas de personas desnudas a partir de fotos reales— para proteger a los ciudadanos, especialmente a mujeres y menores. Esta prohibición entra en la categoría de usos de IA de "riesgo inaceptable" y su incumplimiento puede acarrear las sanciones máximas del AI Act.
El régimen sancionador: multas que superan al RGPD
El AI Act establece un sistema sancionador más severo que el propio RGPD. Las multas pueden llegar hasta 35 millones de euros o el 7% de la facturación global anual (lo que sea mayor) por el uso de prácticas prohibidas. Para incumplimientos relacionados con la transparencia o la gestión de datos, las multas rondarían los 15 millones de euros o el 3% de la facturación. Y crucialmente, las sanciones del AI Act y del RGPD son independientes: una empresa puede ser sancionada por ambas normativas simultáneamente.
¿Qué deben hacer las empresas españolas ahora?
Solo tres países de los veintisiete estados miembros han formalizado oficialmente sus autoridades supervisoras: Francia (CNIL), España (AEPD) y Alemania (BfDI). Esto convierte a España en uno de los países mejor posicionados para la aplicación efectiva del AI Act. Los expertos recomiendan a las empresas actuar ya en tres frentes: auditar qué sistemas de IA usan y clasificarlos por nivel de riesgo, iniciar procesos de certificación ISO/IEC 42001, y publicar políticas de transparencia sobre IA antes de agosto de 2026.
