Una fecha que el sector tenía marcada en rojo
El 2 de agosto de 2026 es, desde hace dos años, la fecha grande en el calendario de la regulación digital europea. Es el momento en que la ley de inteligencia artificial de la Unión Europea —el Reglamento 2024/1689, conocido como AI Act— alcanza su aplicación general. La ley entró en vigor el 1 de agosto de 2024 y será plenamente aplicable dos años después, el 2 de agosto de 2026, con algunas excepciones. Para miles de empresas dentro y fuera de Europa, esa fecha marca el paso de la preparación a la obligación.
El diseño de la ley nunca fue de aplicación instantánea, sino escalonada. La norma reparte sus obligaciones en fases para dar tiempo a empresas, organismos de normalización y reguladores a adaptarse. Las prácticas de IA prohibidas y las obligaciones de alfabetización en IA entraron en aplicación desde el 2 de febrero de 2025, las reglas de gobernanza y las obligaciones para los modelos de propósito general (GPAI) pasaron a ser aplicables el 2 de agosto de 2025, y las reglas para los sistemas de alto riesgo integrados en productos regulados tienen un periodo de transición ampliado hasta el 2 de agosto de 2028. Ese reloj de varias velocidades es la clave para entender qué cambia exactamente este verano y qué no.
La importancia del 2 de agosto de 2026 no está solo en lo que activa, sino en lo que lo acompaña: las multas. A partir de esa fecha entran en vigor los poderes sancionadores plenos de la norma, y su cuantía es la que ha llamado la atención del sector. La ley se ha convertido en la primera regulación vinculante y completa del mundo sobre inteligencia artificial, con un régimen de sanciones que supera, en sus tramos más altos, al del propio Reglamento de Protección de Datos.
Qué entra en vigor el 2 de agosto: transparencia y sanciones
Lo primero que cambia el 2 de agosto de 2026 son las obligaciones de transparencia, recogidas en el artículo 50 de la ley. Su lógica es que las personas deben saber cuándo interactúan con una máquina o consumen contenido generado por ella. Las obligaciones de transparencia exigen que los sistemas de IA que interactúan directamente con personas lo revelen, y que el contenido sintético de audio, imagen, vídeo y texto se etiquete en un formato legible por máquina. Esto significa que un chatbot deberá identificarse como tal y que las imágenes o vídeos generados por IA tendrán que llevar una marca técnica que permita reconocer su origen artificial. Los sistemas de reconocimiento de emociones y de categorización biométrica también activan requisitos de divulgación.
El segundo cambio, más estructural, es la activación de las multas. La cuantía está diseñada para ser disuasoria incluso para las mayores empresas del mundo. Las multas de hasta 35 millones de euros o el 7 por ciento de la facturación anual mundial se aplican a las infracciones del artículo 5, que incluye la puntuación social, la IA manipuladora y la categorización biométrica basada en atributos sensibles. Para infracciones menos graves, el régimen contempla sanciones de hasta 15 millones de euros o el 3 por ciento de la facturación. La comparación que hacen los juristas es elocuente: estas cifras hacen que las multas del Reglamento de Protección de Datos parezcan modestas.
El tercer elemento que se activa son los poderes de los reguladores. A partir del 2 de agosto, las autoridades de vigilancia del mercado adquieren plena capacidad de investigación. El AI Office europeo puede solicitar documentación, realizar evaluaciones, exigir acceso al código fuente de los modelos de propósito general e imponer medidas correctivas; las autoridades nacionales pueden investigar el despliegue de sistemas de alto riesgo, ordenar retiradas y aplicar multas. No es solo que existan obligaciones nuevas: es que, desde esa fecha, hay quien puede investigarlas y sancionarlas con autoridad legal plena.
El giro del Omnibus: el alto riesgo se aplaza a 2027
Aquí está el matiz que cambia la lectura de la fecha. Durante meses se asumió que el 2 de agosto de 2026 también activaría las obligaciones más pesadas, las de los sistemas de alto riesgo. Pero un acuerdo político reciente las desplazó. Tras el ‘AI Act Omnibus’ (acuerdo político provisional del 7 de mayo de 2026), el principal plazo de alto riesgo se ha aplazado: los sistemas del Anexo III (contratación, puntuación crediticia, aplicación de la ley) deben cumplir para el 2 de diciembre de 2027, y los sistemas del Anexo I integrados en productos regulados, para el 2 de agosto de 2028. El Omnibus forma parte de un paquete más amplio de simplificación de la regulación digital europea que busca, según la Comisión, mantener las reglas claras y favorables a la innovación.
El contenido de ese aplazamiento es sustancial para las empresas que despliegan IA en decisiones consecuentes. El acuerdo aclara los requisitos existentes, extiende los plazos de cumplimiento para los sistemas de alto riesgo e introduce nuevas reglas sobre el contenido íntimo generado por IA. Para una empresa que use IA en la contratación de personal o en la concesión de crédito, el aplazamiento significa más de un año adicional de margen respecto del calendario original. No es una exención: las obligaciones llegan igual, pero más tarde.
Conviene, sin embargo, leer este aplazamiento con cautela jurídica, porque no es definitivo. El acuerdo del Omnibus es político, no ley en vigor. El aplazamiento del Omnibus es un acuerdo político provisional alcanzado el 6 y 7 de mayo de 2026, pero pendiente de adopción formal; hasta que el Omnibus se adopte, el plazo original del 2 de agosto de 2026 sigue siendo el objetivo prudente para los programas en curso. Esto crea una situación incómoda para los departamentos de cumplimiento: deben prepararse para la fecha original aunque se espere que se aplace, porque el proceso de adopción formal aún no ha concluido y revertir el trabajo de cumplimiento si la fecha se mantiene no es posible a última hora.
Por qué la ley alcanza a empresas fuera de Europa
Uno de los rasgos que hace de esta norma un asunto global, y no solo europeo, es su alcance extraterritorial. La ley no se aplica únicamente a las empresas con sede en la UE. La ley es extraterritorial: las organizaciones que colocan sistemas de IA en el mercado de la UE, o cuyas salidas de IA afectan a usuarios de la UE, están dentro de su ámbito, con independencia de dónde tengan su sede. Una empresa de América Latina, Estados Unidos o Asia que ofrezca un servicio de IA a usuarios europeos, o cuyos resultados afecten a personas en la UE, queda sujeta a la norma igual que una empresa europea.
Esa extraterritorialidad convierte al AI Act en un estándar de referencia más allá de las fronteras de la Unión, un fenómeno que los analistas comparan con lo que ocurrió con la protección de datos. Igual que el Reglamento de Protección de Datos se volvió un modelo que muchas empresas adoptaron globalmente para no fragmentar sus operaciones, el AI Act tiene potencial para fijar de facto las reglas del juego de la IA en mercados que no votaron esa ley. Para América Latina, donde buena parte del tejido empresarial consume y revende tecnología desarrollada fuera, esto significa que el marco europeo puede convertirse en una exigencia práctica aunque la región no participe en su diseño.
El coste de cumplir no es trivial, y es otro motivo por el que el calendario importa tanto. Las evaluaciones de conformidad a través de organismos notificados suelen tardar entre 3 y 12 meses y costar entre 10.000 y 100.000 euros, y el flujo de trabajo no puede comprimirse de forma retroactiva si el Omnibus retrasa la fecha. Esa es la razón de fondo por la que los juristas aconsejan planificar para el plazo original: el trabajo de conformidad lleva meses, y empezar tarde no se arregla con un aplazamiento de última hora.
Lo que ya está en vigor: prohibiciones y modelos de propósito general
Conviene recordar que la ley no empieza el 2 de agosto: buena parte ya opera. Las prácticas consideradas inaceptables están prohibidas desde hace más de un año. Las prácticas de IA prohibidas son exigibles desde el 2 de febrero de 2025, con penalizaciones de hasta 35 millones de euros o el 7 por ciento de la facturación. Estas prohibiciones afectan a usos como la puntuación social de tipo estatal, los sistemas manipuladores que explotan vulnerabilidades y ciertas formas de categorización biométrica. No son futuro: son derecho vigente desde principios de 2025.
El otro bloque que ya está activo es el de los modelos de propósito general, los grandes modelos que sirven de base a muchas aplicaciones. Las obligaciones para los modelos de propósito general están en vigor desde el 2 de agosto de 2025; los nuevos modelos colocados en el mercado después de esa fecha deben cumplir de inmediato, mientras que los que ya estaban en el mercado antes tienen hasta el 2 de agosto de 2027. Estas obligaciones cubren transparencia, derechos de autor y requisitos de seguridad. Para los modelos con capacidades de alto impacto —los que superan ciertos umbrales de cómputo y plantean riesgos sistémicos por su alcance— las obligaciones son reforzadas.
En ese terreno apareció una herramienta intermedia que conviene entender: el Código de Buenas Prácticas. El Código de Buenas Prácticas para GPAI es un marco voluntario publicado por el AI Office de la UE; firmarlo crea una ‘presunción de conformidad’, lo que significa que los reguladores asumirán que la empresa cumple salvo que haya evidencia en contra. Aunque técnicamente opcional, firmarlo es lo más parecido a un puerto seguro. En agosto de 2025, 26 grandes proveedores de IA firmaron el Código de Buenas Prácticas para GPAI, incluidos Microsoft, Google, Amazon, OpenAI y Anthropic; Meta se negó y afronta un escrutinio reforzado. La adhesión o el rechazo a ese código se convirtió, así, en una primera línea divisoria entre los grandes actores del sector.
Lo que el calendario de dos velocidades enseña sobre regular la IA
Más allá de las fechas concretas, el AI Act ofrece una lección sobre la dificultad de regular una tecnología que avanza más rápido que la ley. El diseño escalonado y los aplazamientos no son señales de improvisación, sino el reflejo de una tensión real: las obligaciones más exigentes dependen de que existan estándares técnicos armonizados y guías que aún se están elaborando. El paquete de simplificación ‘Digital Omnibus’ de la Comisión Europea vincula la aplicación del 2 de agosto de 2026 a la disponibilidad de estándares armonizados, especificaciones comunes y directrices de la Comisión. Es decir: la ley reconoce que no se puede exigir cumplir un estándar que todavía no existe.
Ese mecanismo tiene una virtud y un riesgo, y ambos merecen exponerse. La virtud es el realismo: aplazar lo que no se puede cumplir evita imponer obligaciones imposibles y da tiempo a construir la infraestructura técnica necesaria. El riesgo es la incertidumbre: cada aplazamiento, cada acuerdo político pendiente de adopción formal, deja a las empresas sin una fecha firme sobre la cual planificar, lo que paradójicamente puede aumentar el coste de cumplir en lugar de reducirlo. Una empresa que no sabe si la fecha es agosto de 2026 o diciembre de 2027 debe prepararse para la más temprana, lo que anula buena parte del alivio que el aplazamiento pretendía dar.
Hay también un dato que matiza el alcance real de la norma y que conviene tener presente para no exagerar su impacto. El AI Act no introduce reglas para la IA considerada de riesgo mínimo o nulo, y la gran mayoría de los sistemas de IA usados actualmente en la UE entran en esa categoría. La ley está calibrada por riesgo: concentra sus exigencias en los usos potencialmente más dañinos —biometría, contratación, crédito, aplicación de la ley— y deja prácticamente libres a la mayoría de las aplicaciones cotidianas. Entender esa gradación es clave para no leer la norma como una regulación uniforme de toda la IA, cuando en realidad es un sistema de obligaciones proporcionales al riesgo de cada uso.
Quién vigila: el mapa desigual de las autoridades nacionales
Una ley solo es tan fuerte como quien la aplica, y ahí el AI Act enfrenta un reto de implementación que conviene conocer. La norma reparte la vigilancia entre un órgano central europeo y las autoridades de cada Estado miembro, lo que crea un mapa heterogéneo. El AI Office coordina la supervisión de los modelos de propósito general y la coherencia de la aplicación, mientras que cada país debe designar a las autoridades nacionales encargadas de vigilar el mercado y los despliegues de alto riesgo en su territorio. Esa designación avanza a ritmos distintos según el país, lo que significa que la capacidad real de fiscalizar no será uniforme en toda la Unión desde el primer día.
A esa desigualdad interna se suma una presión externa que ha marcado el contexto político de la norma. La regulación digital europea, incluido el AI Act, se ha convertido en objeto de fricción con Estados Unidos. La administración estadounidense ha cuestionado la aplicabilidad de estas reglas a sus empresas y ha respondido con amenazas de aranceles y otras medidas, en un pulso sobre quién fija los estándares de la tecnología global. La comisaria europea responsable ha defendido una aplicación sostenida de las reglas digitales pese a esa presión, lo que sitúa al AI Act en el centro de una disputa geopolítica que excede lo estrictamente regulatorio.
Para las empresas, ese cruce de presiones se traduce en una incertidumbre añadida sobre cómo y con qué intensidad se aplicará la norma. Una cosa es el texto legal y otra la práctica de fiscalización, que dependerá de los recursos de cada autoridad nacional, de la madurez de los estándares técnicos y del clima político. La consigna que repiten los asesores es prepararse para el escenario más exigente —cumplimiento pleno en la fecha original, con autoridades plenamente operativas— porque planificar sobre el supuesto de una aplicación laxa es la estrategia de mayor riesgo si ese supuesto falla.
El balance de los datos
El 2 de agosto de 2026 es una fecha real y consecuente, pero más matizada de lo que sugiere el titular. Ese día entran en vigor las obligaciones de transparencia —identificar a los chatbots, etiquetar el contenido sintético— y, sobre todo, los poderes sancionadores plenos, con multas de hasta 35 millones de euros o el 7 por ciento de la facturación global y un alcance extraterritorial que afecta a empresas de todo el mundo. Lo que no entra en vigor ese día son las obligaciones de alto riesgo del Anexo III, aplazadas por el acuerdo del Omnibus al 2 de diciembre de 2027, aunque ese aplazamiento sigue pendiente de adopción formal.
El veredicto que dejan los datos es el de una regulación que avanza por tramos, con un núcleo ya operativo —prácticas prohibidas desde 2025, modelos de propósito general desde agosto de 2025— y un horizonte de exigencias que se extiende hasta 2028. Para las empresas, la consigna de los juristas es planificar para el plazo más temprano mientras el aplazamiento no sea ley, porque las evaluaciones de conformidad tardan meses y no admiten compresión de última hora. Y para el resto del mundo, incluida América Latina, el mensaje de fondo es que el marco europeo de la IA, por su alcance extraterritorial, se está convirtiendo en un estándar que muchos tendrán que cumplir sin haberlo votado. La fecha del 2 de agosto no es el final de nada: es el siguiente escalón de un calendario que seguirá marcando el ritmo de la IA en Europa y, por extensión, mucho más allá.