Una ley que se enciende por fases
El Reglamento de Inteligencia Artificial de la Unión Europea —el AI Act, Reglamento (UE) 2024/1689— no entró en vigor de golpe. Como la mayoría de la gran legislación europea, se enciende por fases, y cada fase tiene una fecha. El 1 de agosto de 2024 arrancó el reloj. El 2 de febrero de 2025 se activaron las prohibiciones. El 2 de agosto de 2025 entraron las obligaciones de los modelos de propósito general. Y el 2 de agosto de 2026 —dentro de pocas semanas— se activa la fase más exigente: las obligaciones para los sistemas de IA de alto riesgo.
Este rastreo no narra el debate político del AI Act. Mide su calendario: qué obligaciones están vivas hoy, cuáles llegan, y la brecha entre la fecha que dice la ley y la fecha en que la maquinaria de aplicación estará realmente lista. Esa brecha es el dato que importa a cualquiera que construya, despliegue o compre IA con destino al mercado europeo —que, por el efecto Bruselas, es casi cualquiera—.
El calendario, en una tabla
| Hito | Fecha | Estado a mayo 2026 |
|---|---|---|
| Entrada en vigor del Reglamento | 1 ago 2024 | Cumplido |
| Prohibiciones del artículo 5 | 2 feb 2025 | En vigor y sancionable |
| Obligaciones de modelos GPAI | 2 ago 2025 | En vigor |
| Designación de autoridades nacionales | 2 ago 2025 | Plazo vencido, cumplimiento desigual |
| Obligaciones de alto riesgo (Anexo III) | 2 ago 2026 | En disputa (Digital Omnibus) |
| Aplicación plena (IA en productos regulados) | 2 ago 2027 | Pendiente |
| Sistemas heredados del sector público | 2 ago 2030 | Pendiente |
El patrón es deliberado: Bruselas activa primero lo que considera intolerable (las prácticas prohibidas), luego lo transversal (los modelos de propósito general), y deja para el final lo más complejo operativamente (los sistemas de alto riesgo embebidos en productos). La fecha del 2 de agosto de 2026 es, según los analistas regulatorios, el plazo más exigente desde el punto de vista operativo de toda la norma.
Lo que ya muerde: las multas no son simbólicas
A diferencia del GDPR, que tuvo un arranque lento, el régimen de sanciones del AI Act se diseñó para ser disuasorio desde el primer día. La estructura tiene tres escalones, y la cifra superior es la que, según los analistas, quita el sueño a los directores financieros.
| Tipo de infracción | Multa máxima | Base de cálculo |
|---|---|---|
| Prácticas prohibidas (art. 5) | 35 M€ o 7% facturación global | La mayor de las dos |
| Incumplimiento de obligaciones (datos, transparencia) | 15 M€ o 3% facturación global | La mayor de las dos |
| Información incorrecta a las autoridades | 7,5 M€ o 1,5% facturación global | La mayor de las dos |
El 7% de la facturación global supera el techo del 4% del GDPR. Aplica a las prácticas prohibidas —puntuación social, identificación biométrica en tiempo real, reconocimiento de emociones en el trabajo—, que ya son sancionables desde febrero de 2025. Según los rastreos públicos, hay investigaciones en curso sobre reconocimiento de emociones en entornos laborales y sobre servicios de IA generativa insuficientemente transparentes, aunque al cierre de esta pieza no se han hecho públicas sanciones firmes.
El giro: el Digital Omnibus puede retrasarlo todo 16 meses
Aquí aparece la brecha más interesante entre lo que la ley dice y lo que va a ocurrir. El 19 de noviembre de 2025, la Comisión Europea propuso el llamado Digital Omnibus, un paquete de simplificación que —entre otras medidas— plantea retrasar la aplicación de las obligaciones de alto riesgo del Anexo III desde agosto de 2026 hasta el 2 de diciembre de 2027, un aplazamiento de hasta dieciséis meses.
La razón del frenazo es reveladora: los organismos notificados —las entidades que deben certificar los sistemas de alto riesgo— son hoy un cuello de botella, y los estándares técnicos todavía no están listos. Es decir, la infraestructura de aplicación no llega a tiempo a la fecha que fijó la propia ley. El Omnibus está en trílogo entre el Parlamento, el Consejo y la Comisión. Si no se adopta a tiempo, la fecha original de agosto de 2026 sigue en pie.
Importa subrayar qué no se mueve, según el texto propuesto: las prohibiciones del artículo 5 y las obligaciones de transparencia de los modelos GPAI siguen vivas y no se aplazan. La discusión es exclusivamente sobre el escalón de alto riesgo.
La señal del mercado: quién firmó y quién no
Un indicador adelantado de cómo se está posicionando la industria es el Código de Buenas Prácticas para modelos de propósito general, publicado por la Oficina Europea de IA en julio de 2025. Aunque es formalmente voluntario, la lista de firmantes funciona como un mapa de quién acepta cooperar con el regulador.
| Posición ante el Código GPAI | Actores | Lectura |
|---|---|---|
| Firmantes (agosto 2025) | Microsoft, Google, Amazon, OpenAI, Anthropic y otros (26 proveedores) | Cooperación con la Oficina de IA |
| No firmante | Meta | Mayor escrutinio regulatorio anunciado |
La negativa de Meta a firmar, frente a la adhesión de la mayoría de los grandes proveedores, es el tipo de señal que los equipos de compliance leen con atención: marca quién está dispuesto a alinearse con la interpretación del regulador antes de que lleguen las sanciones.
Por qué esto es una infraestructura de datos, no una noticia
El valor de seguir el AI Act como un rastreo estructurado —y no como una sucesión de noticias— está en las preguntas que permite responder de forma comparable y verificable. ¿Qué obligaciones son exigibles hoy y cuáles llegan? ¿Qué Estados miembros han designado ya su autoridad nacional y cuáles incumplen el plazo? ¿Se ha aplazado el alto riesgo o sigue en agosto de 2026? Cada respuesta tiene una fecha de corte y una fuente oficial.
Para un equipo de compliance, una legaltech, una consultora regulatoria o una empresa que despliega IA en Europa, la diferencia entre “el AI Act entra en 2026” y “el alto riesgo está en trílogo y puede irse a diciembre de 2027, pero las prohibiciones y el GPAI ya son sancionables” es la diferencia entre planificar a ciegas y planificar con datos. El mercado de IA europeo que esta norma regula se estima en 524.000 millones de euros, y su alcance es extraterritorial: una startup de San Francisco que sirva a usuarios europeos queda sujeta igual que una de Múnich.
Nota metodológica
Las fechas y umbrales proceden del Reglamento (UE) 2024/1689 publicado en el Diario Oficial de la UE, complementados con la propuesta de Digital Omnibus de noviembre de 2025 y el seguimiento de analistas regulatorios especializados. Se distingue entre obligación en vigor, obligación sancionable y obligación en disputa legislativa. Las cifras de sanciones son los máximos del Reglamento, no multas impuestas; al cierre de esta pieza no constan sanciones firmes bajo el AI Act. El estado del Digital Omnibus se actualiza conforme avanza el trílogo. Diálogo Ciudadano no presta asesoría jurídica; este rastreo es infraestructura informativa.