Saltar al contenido
Todos los insights

El Reglamento de IA entra en aplicación plena el 2 de agosto de 2026

4 min de lecturaAI ComplianceEU AI ActGovernance
Línea de tiempo del Reglamento de IA de la UE con el hito del 2 de agosto de 2026 resaltado: entrada en vigor 2024, prácticas prohibidas 2025, GPAI, alto riesgo y sanciones 2026, Anexo I 2027

El Reglamento de IA de la UE lleva desde agosto de 2024 en vigor, pero hasta ahora la mayoría de sus obligaciones eran futuro. El 2 de agosto de 2026 eso cambia: se aplica el grueso del texto (todo salvo el artículo 6.1), con las obligaciones de alto riesgo, las reglas de transparencia y el régimen sancionador ya exigibles. Deja de ser una fecha en una presentación y pasa a ser algo que una autoridad puede comprobar.

Los hitos anteriores del calendario ya han pasado. En febrero de 2025 entraron las prácticas prohibidas (puntuación social, manipulación, ciertos usos de biometría) y la obligación de alfabetización en IA de las plantillas. En agosto de 2025 llegaron las obligaciones de los modelos de propósito general y el marco de gobernanza. Lo de 2026 es la parte que toca a la mayoría de las empresas que despliegan IA, no solo a quien entrena modelos.

Qué se vuelve exigible el 2 de agosto de 2026

Tres bloques, en orden de impacto.

Sistemas de alto riesgo (Anexo III). Si tu sistema de IA se usa para cribar currículums, decidir sobre crédito, gestionar trabajadores, apoyar decisiones en sanidad o educación, o en varios contextos más del Anexo III, entra en la categoría de alto riesgo. Eso significa gestión de riesgos documentada, gobierno del dato, registro de eventos, supervisión humana, transparencia hacia el usuario y una evaluación de conformidad antes de ponerlo en el mercado. No es una casilla; es un sistema de gestión que alguien de tu equipo tiene que mantener vivo.

Transparencia (artículo 50). Aunque tu sistema no sea de alto riesgo, si un usuario habla con un chatbot tiene que saber que es una IA, y el contenido generado o manipulado (incluidos los deepfakes) tiene que ir etiquetado. Esto afecta a marketing, atención al cliente y a cualquier agente que interactúe con personas.

Sanciones. A partir de esta fecha, incumplir tiene precio. Y no es simbólico.

Los tres tramos de sanción del Reglamento de IA: 7% o 35 M€, 3% o 15 M€, 1% o 7,5 M€

La cifra que se aplica es la mayor entre el porcentaje del volumen de negocio mundial anual y el importe fijo, así que para una empresa grande el porcentaje manda y para una pyme manda el importe. En cualquier caso, es una cantidad que un comité directivo mira dos veces.

¿A ti te aplica?

La pregunta no es «¿tenemos IA?», sino «¿en qué categoría cae cada sistema?». El Reglamento distingue cuatro niveles (prohibido, alto riesgo, riesgo limitado con obligaciones de transparencia, y mínimo), y un mismo producto puede tener partes en niveles distintos. La mayoría de las empresas descubren que tienen menos alto riesgo del que temían y más obligaciones de transparencia de las que creían.

Para no clasificar a ojo, montamos una calculadora del EU AI Act: respondes unas pocas preguntas y te devuelve la categoría, los artículos aplicables y el calendario que te toca. Gratis y sin dejar el email. Una herramienta de cribado de currículums, operada por el responsable del despliegue, sale así:

Sistema: cribado de currículums · rol: responsable del despliegue
Categoría:     ALTO RIESGO
Base legal:    Art. 6(2) · Anexo III, punto 4 · Art. 113 §3
Fecha límite:  2 de agosto de 2026
Obligaciones:  gestión de riesgos (Art. 9) · gobernanza de datos (Art. 10) ·
               documentación y registro (Art. 11-12) · supervisión humana (Art. 14) ·
               exactitud, robustez y ciberseguridad (Art. 15) ·
               evaluación de conformidad y marcado CE (Art. 43, 48)

Ese sistema entra justo el 2 de agosto de 2026, y las obligaciones de arriba son las que tu equipo tiene que tener documentadas para entonces.

Por dónde empezar ahora

Queda menos de un año, y una evaluación de conformidad de alto riesgo no se improvisa en agosto. Lo sensato es empezar por el mapa:

  1. Inventaria los sistemas de IA que tienes en producción o a punto de lanzar, incluidos los que compraste a un tercero. La responsabilidad de despliegue es tuya aunque el modelo sea de otro.
  2. Clasifica cada uno por nivel de riesgo. Aquí es donde la mayoría necesita ayuda, porque el Anexo III tiene matices.
  3. Analiza el hueco entre lo que exige tu categoría y lo que tienes documentado hoy.
  4. Prioriza por fecha y por exposición: primero lo que sea alto riesgo y esté en producción.

Hay un punto que suele pasar desapercibido: la ciberseguridad ya no es opcional en compliance. El Reglamento exige que los sistemas de alto riesgo sean seguros por diseño, y ENISA lo interpreta como robustez frente a ataques adversarios. Para un sistema de IA eso incluye cosas como la inyección de prompts o el envenenamiento de RAG, que escapan a los controles de seguridad tradicionales. Compliance y seguridad se tocan más de lo que parece, y conviene planificarlas juntas.

En KAIX LAB clasificamos, documentamos y auditamos sistemas de IA para que lleguen a agosto de 2026 en regla, y lo hacemos junto con la parte de seguridad, no en silos. Si quieres una lectura rápida de dónde estás, empieza por la calculadora; si prefieres hablarlo, reserva un diagnóstico.

Este artículo es orientativo y no constituye asesoramiento legal. Las fechas y obligaciones se basan en el Reglamento (UE) 2024/1689 y el calendario oficial de aplicación.