El AI Act en 2026: timeline, obligaciones y cuándo empieza la aplicación real
El 2 de agosto de 2026 marca el hito decisivo del Reglamento europeo de IA. A partir de esa fecha, la mayoría de obligaciones del AI Act pasan de "preparación" a "aplicación efectiva". Si todavía no has hecho el inventario de sistemas de IA de tu organización, este es el último trimestre razonable para arrancar.
Qué cambia exactamente el 2 de agosto de 2026
El AI Act entró en vigor el 1 de agosto de 2024, pero su aplicación se ha escalonado. Algunos bloques ya están en vigor desde 2025 (prohibiciones, alfabetización en IA, obligaciones de modelos de propósito general). Lo que cambia el 2 de agosto de 2026 es el corazón del Reglamento: el régimen completo para sistemas de alto riesgo del Anexo III, las obligaciones de transparencia del artículo 50, y la entrada en aplicación de los poderes sancionadores nacionales.
La Comisión Europea y el AI Act Service Desk lo dicen con claridad: 2026 es el año en que el Reglamento pasa de preparación escalonada a aplicación amplia y exigible. La frase oficial es que "agosto de 2026 es la fecha en la que la mayoría de normas pasan a ser exigibles, y la aplicación comienza a nivel nacional y de la UE ese mismo día".
Timeline definitivo del AI Act
Estas son las fechas clave que debes conocer y comunicar internamente:
| Fecha | Qué entra en aplicación |
|---|---|
| 2 feb 2025 | Prohibiciones del art. 5 (sistemas de IA de riesgo inaceptable) + obligaciones de alfabetización en IA del art. 4. |
| 2 ago 2025 | Obligaciones para proveedores de modelos GPAI (Cap. V), gobernanza institucional (AI Office operativo), y régimen sancionador a nivel de Estados miembros. |
| 2 ago 2026 | Aplicación general: alto riesgo del Anexo III (arts. 8–15), transparencia del art. 50, sandboxes regulatorios obligatorios y poderes sancionadores plenos. |
| 2 ago 2027 | Aplicación a sistemas de alto riesgo embebidos en productos regulados por la legislación armonizada de la UE (Anexo I) y a modelos GPAI puestos en el mercado antes del 2 de agosto de 2025. |
Las cuatro categorías de riesgo, en una frase cada una
El Reglamento ordena los sistemas de IA en cuatro niveles de riesgo, y de ahí cuelga todo lo demás:
- Riesgo inaceptable: directamente prohibidos. Manipulación subliminal, social scoring de las administraciones, identificación biométrica en tiempo real en espacios públicos (con excepciones tasadas), entre otros. Aplicable desde febrero de 2025.
- Alto riesgo: sistemas que pueden afectar derechos fundamentales o seguridad. Educación, empleo, servicios esenciales, justicia, control de fronteras, infraestructuras críticas. Aquí está el grueso del compliance: arts. 8 a 15 y todo el ciclo de vida del sistema (gestión de riesgos, gobierno de datos, documentación técnica, registros automáticos, transparencia, supervisión humana, robustez y precisión).
- Riesgo limitado: obligaciones de transparencia del art. 50. Chatbots y deepfakes deben informar al usuario de que está interactuando con IA o de que el contenido ha sido generado/manipulado.
- Riesgo mínimo: sin obligaciones específicas, aunque se anima a la adopción voluntaria de códigos de conducta.
GPAI: el caso especial
Los modelos de propósito general (GPAI) tienen un calendario propio. Sus obligaciones (Cap. V) entraron en aplicación en agosto de 2025, pero los poderes sancionadores de la Comisión sobre proveedores de GPAI no se activan hasta el 2 de agosto de 2026. Es decir: durante este primer año los proveedores de modelos como GPT, Claude, Gemini o Llama han estado obligados, pero la Comisión no podía multar; a partir de agosto sí.
Para modelos GPAI puestos en el mercado antes del 2 de agosto de 2025, el plazo se extiende hasta el 2 de agosto de 2027. Es la cláusula que da margen para adaptar modelos preexistentes.
Las multas son disuasorias: hasta 35 millones de euros o el 7% de la facturación global (el importe que sea mayor) para infracciones graves del régimen de prohibiciones. Para incumplimientos de obligaciones de proveedor o de usuarios, hasta 15 millones o el 3% de la facturación global.
Quién aplica el Reglamento en España
La supervisión es a dos niveles. A nivel europeo, la Comisión actúa a través del AI Office, plenamente operativo desde agosto de 2025, con competencias exclusivas sobre GPAI. A nivel nacional, cada Estado miembro designa una o varias autoridades de mercado. España fue pionera: en 2024 creó la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña.
La AEPD mantiene su rol como autoridad de protección de datos personales y, por extensión, sobre cualquier sistema de IA que trate datos personales. En julio de 2025 publicó una guía aclarando que ya puede actuar contra sistemas de IA prohibidos que traten datos personales, incluso antes de la aplicación plena del AI Act. Es decir: para muchos casos prácticos en España no tendrás una autoridad sino dos, y ambas deben estar coordinadas en tu plan de compliance.
Qué hacer ahora si no te has preparado todavía
Tres meses largos hasta agosto de 2026. No es tiempo para diseñar un programa de compliance desde cero, pero sí para arrancar las cuatro tareas que cualquier auditor querrá ver el primer día:
1. Inventario completo de sistemas de IA
Listado exhaustivo de todos los sistemas con componente de IA que tu organización desarrolla, despliega o utiliza. Incluye no solo modelos propios: cuenta también plataformas SaaS con IA embebida (CRM, RRHH, marketing, atención al cliente). Una empresa típica descubre el doble de sistemas de los que pensaba al hacer este inventario.
2. Clasificación por nivel de riesgo
Cada sistema del inventario se mapea contra las cuatro categorías. El Anexo III del Reglamento es la referencia: ocho áreas que automáticamente clasifican un sistema como de alto riesgo (biometría, infraestructuras críticas, educación, empleo, servicios privados/públicos esenciales, aplicación de la ley, fronteras, justicia y procesos democráticos).
3. Programa de alfabetización en IA
Obligatorio desde febrero de 2025 (art. 4). Si tienes empleados o terceros que usan sistemas de IA, debes garantizar que tengan un nivel "suficiente" de alfabetización en IA. No hay definición tasada de "suficiente", pero la AEPD y la Comisión consideran insuficiente el simple envío de un PDF: se espera formación documentada, adaptada al rol y registrable.
4. Gobernanza interna
Designar responsables claros. En organizaciones pequeñas suele recaer en el DPO ampliando funciones o en un comité ad hoc. En organizaciones medianas y grandes, lo razonable es un AI Governance Officer o un comité multidisciplinar (legal + IT + negocio + seguridad). Si vas a perseguir certificación ISO 42001, esta gobernanza es la base sobre la que se construye todo el AIMS (AI Management System).
Lo que viene después de agosto de 2026
A partir de la aplicación plena, espera tres movimientos de mercado: (a) los primeros expedientes sancionadores nacionales, probablemente sobre transparencia del art. 50 antes que sobre alto riesgo —porque son más fáciles de detectar—; (b) una cascada de actualizaciones contractuales en la cadena de suministro de IA (cada cliente exigirá a sus proveedores garantías formales de cumplimiento); y (c) la consolidación de ISO/IEC 42001 como el "ISO 27001 de la IA", con auditorías ya disponibles bajo BS ISO/IEC 42006:2025.
El AI Act no es perfecto y todavía habrá clarificaciones en su aplicación práctica durante 2026 y 2027. Pero la dirección es clara: en Europa, hacer IA sin pensar en governance ha dejado de ser una opción.