Digital Omnibus de IA 2026 de la UE: Nuevos Plazos de Cumplimiento Explicados

El Digital Omnibus de 2026 sobre IA amplió dos plazos críticos del Reglamento de IA: los sistemas independientes de alto riesgo del Anexo III al 2 de diciembre de 2027 y los sistemas integrados del Anexo I al 2 de agosto de 2028. Aquí se explica qué cambió, por qué y qué debe hacer ahora su programa de cumplimiento.

Qué cambia el Digital Omnibus de IA de 2026

El Digital Omnibus sobre IA modificó dos fechas centrales de aplicación del Reglamento (UE) 2024/1689 (el Reglamento de IA de la UE):

Obligación	Plazo original	Nuevo plazo	Cambio
IA de alto riesgo — Anexo III (sistemas independientes)	2 de agosto de 2026	2 de diciembre de 2027	+16 meses
IA de alto riesgo — Anexo I (integrado en productos regulados)	2 de agosto de 2026	2 de agosto de 2028	+24 meses

No se modificaron otros plazos importantes. Las prácticas prohibidas (2 de febrero de 2025), las reglas GPAI (2 de agosto de 2025) y las obligaciones de transparencia para el marcado de contenido GPAI (2 de agosto de 2025) siguen en vigor en sus fechas originales.

Por qué el ómnibus difirió los plazos de IA de alto riesgo

La Comisión Europea citó tres impulsores:

Alineación con los actos de ejecución — las normas técnicas y las normas armonizadas para la evaluación de IA de alto riesgo (programa de trabajo CEN/CENELEC) no se finalizaron a tiempo para agosto de 2026. Las evaluaciones de la conformidad requieren estas normas.
Brecha de infraestructura de cumplimiento — los organismos notificados, las autoridades nacionales competentes y la Oficina de IA de la UE necesitaron tiempo adicional de configuración. Sin infraestructura de aplicación operativa, un plazo de agosto de 2026 habría resultado inaplicable en la práctica.
Preparación de las pymes — los proveedores más pequeños, en particular en tecnología médica, tecnología de RRHH y servicios financieros, informaron de tiempo insuficiente para completar la implementación del SGC y la documentación técnica junto con las obligaciones paralelas de DORA y NIS2.

La ampliación es un período de gracia, no una reducción del ámbito de aplicación. Todas las obligaciones permanecen; solo su cronograma se desplaza.

Anexo III — IA de alto riesgo independiente (plazo: 2 de diciembre de 2027)

El Anexo III independiente cubre los sistemas de IA que se comercializan o ponen en servicio de forma independiente como sistemas de alto riesgo, sin ser un componente de seguridad de otro producto. Ejemplos:

IA de contratación y cribado de RRHH (clasificación de CV, análisis de entrevistas)
IA de puntuación crediticia y evaluación de la solvencia crediticia
Categorización biométrica (no identificación en tiempo real, que está prohibida)
IA utilizada en la gestión de infraestructuras críticas
IA en la evaluación de la educación y la formación profesional
IA utilizada por las autoridades policiales y de migración

Obligaciones del proveedor antes del 2 de diciembre de 2027:

Completar una evaluación de la conformidad en virtud del Art. 43
Implementar un sistema de gestión de calidad (Art. 17)
Compilar la documentación técnica (Art. 11 + Anexo IV)
Registrar el sistema en la base de datos de IA de la UE (Art. 71)
Colocar el marcado CE (Art. 48)
Designar un representante de la UE si está establecido fuera de la UE

Obligaciones del operador (también antes del 2 de diciembre de 2027):

Realizar una Evaluación de Impacto sobre los Derechos Fundamentales (FRIA) para operadores de organismos públicos
Implementar medidas de supervisión humana (Art. 26)
Documentar las entradas y salidas (Art. 26(6))
Informar a los empleados cuando las decisiones asistidas por IA les afecten

Anexo I — IA de alto riesgo integrada (plazo: 2 de agosto de 2028)

El Anexo I integrado cubre la IA que forma un componente de seguridad de un producto ya regulado en virtud de la legislación de seguridad de productos de la UE existente. El cumplimiento del Reglamento de IA se integra en el procedimiento de evaluación de la conformidad existente para ese producto. Ejemplos:

Componentes de IA en dispositivos médicos (MDR/IVDR)
IA en sistemas de automoción (marcos de homologación de tipo)
IA en maquinaria (Reglamento de Maquinaria)
IA en componentes de aviación
IA en juguetes y productos de consumo (baja tensión/EMC)

La ampliación adicional de dos años (frente a los 16 meses del Anexo III) refleja la complejidad estratificada de la evaluación de la conformidad en dos regímenes regulatorios simultáneamente.

Lo que cambió es el plazo, no las obligaciones

Una lectura errónea común del ómnibus: la ampliación del plazo significa que las obligaciones se suavizan. No es así.

Los requisitos de evaluación de la conformidad, SGC, documentación técnica, marcado CE y registro son idénticos a los que se exigían en agosto de 2026. El ómnibus no reduce el ámbito, no crea exenciones, ni añade derogaciones de transición. Mueve la línea de llegada.

Implicación práctica: las organizaciones que utilizan la ampliación como excusa para pausar los programas de cumplimiento se enfrentarán a una presión más intensa a finales de 2027. El uso más productivo del tiempo adicional es completar la implementación del SGC, poner a prueba la documentación técnica frente a las normas armonizadas en borrador y contactar con los organismos notificados con anticipación — su capacidad estará restringida a medida que se acerque el plazo de diciembre de 2027.

Prácticas prohibidas que ya están en vigor

Estas prohibiciones en virtud del Art. 5 se aplicaron desde el 2 de febrero de 2025 y no fueron tocadas por el ómnibus:

Manipulación subliminal — técnicas de IA que explotan vulnerabilidades subconscientes para alterar el comportamiento en contra de los intereses de los usuarios
Explotación de vulnerabilidades — dirigirse a niños, personas mayores o grupos desfavorecidos
Puntuación social — puntuación de uso general de personas físicas basada en IA por parte de autoridades públicas
Identificación biométrica remota en tiempo real en espacios de acceso público por parte de la aplicación de la ley (con excepciones limitadas)
Reconocimiento de emociones en el lugar de trabajo e instituciones educativas
Sistemas de categorización biométrica que infieren características sensibles (raza, opiniones políticas, afiliación sindical, orientación sexual, religión) — salvo para fines legítimos de aplicación de la ley con autorización judicial
IISE/CSAM — la generación o manipulación de imágenes íntimas no consensuales o material de abuso sexual infantil mediante IA está prohibida

El incumplimiento de las prohibiciones del Art. 5 desde el 2 de febrero de 2025 conlleva multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial, el que sea mayor.

Reglas de modelos GPAI: ya aplicables

Las obligaciones GPAI del Capítulo 5 se aplican desde el 2 de agosto de 2025:

Todos los proveedores de GPAI deben cumplir con las obligaciones de transparencia (Art. 53)
Los proveedores de modelos GPAI con riesgo sistémico (cómputo de entrenamiento superior a 10²⁵ FLOPs) se enfrentan a obligaciones adicionales, incluidas las pruebas adversariales y la notificación de incidentes
El marcado de contenido generado por IA (marca de agua) para medios sintéticos se aplica a los sistemas GPAI generativos

Convergencia con DORA y NIS2

Las organizaciones en el sector financiero se enfrentan a la triple carga de las obligaciones del Reglamento de IA, DORA y NIS2 con cronogramas superpuestos. Intersecciones clave:

La gestión de riesgos TIC en virtud de DORA (Art. 5–16) debe cubrir los sistemas TIC impulsados por IA — DORA no exime a las herramientas de IA de su marco de gestión de riesgos TIC
La notificación de incidentes en virtud de DORA (Art. 19–23) se aplica a los incidentes causados por o que involucren sistemas de IA
Las medidas de seguridad de NIS2 (Art. 21) incluyen los ciberriesgos relacionados con la IA en el ámbito de aplicación
La gestión de riesgos del Art. 9 del Reglamento de IA para IA de alto riesgo se solapa significativamente con la gestión de riesgos TIC de DORA — el doble mapeo es posible y recomendado para evitar la duplicación de documentación

Consulte nuestro análisis completo de convergencia → o nuestro sitio hermano regulation-dora.eu para una cobertura específica de DORA.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

¿Cuándo se aplican ahora las obligaciones de alto riesgo del Reglamento de IA en virtud del ómnibus?

Para los sistemas independientes del Anexo III (p. ej., IA de contratación, puntuación crediticia, categorización biométrica): 2 de diciembre de 2027. Para la IA integrada en productos regulados del Anexo I (p. ej., dispositivos médicos, maquinaria): 2 de agosto de 2028.

¿Qué es el Digital Omnibus de IA?

El Digital Omnibus sobre IA es una enmienda legislativa de la UE, formalmente adoptada a mediados de 2026, que revisó varios plazos y obligaciones del Reglamento (UE) 2024/1689 (el Reglamento de IA). Su propósito principal fue dar a los proveedores y operadores más tiempo para crear marcos de gobernanza de IA conformes, especialmente para las categorías de alto riesgo.

¿También difirió el ómnibus los plazos de las prácticas prohibidas (Art. 5)?

No. Las prohibiciones sobre IA de riesgo inaceptable — incluidas la manipulación subliminal, la puntuación social, la identificación biométrica en tiempo real en espacios públicos (con excepciones) y la generación de IISE/CSAM — se aplican desde el 2 de febrero de 2025 y no fueron modificadas por el ómnibus.

¿Cambian las reglas de los modelos GPAI con el ómnibus?

Las obligaciones GPAI (Capítulo 5 del Reglamento de IA) también permanecen en el 2 de agosto de 2025. El ómnibus solo tuvo como objetivo las obligaciones de alto riesgo del Anexo III y el Anexo I.

¿Qué deben hacer las organizaciones antes del 2 de diciembre de 2027 para la IA del Anexo III?

Los proveedores deben: completar una evaluación de la conformidad, implementar un sistema de gestión de calidad (SGC), registrarse en la base de datos de la UE, colocar el marcado CE y preparar la documentación técnica. Los operadores deben: realizar evaluaciones de impacto sobre los derechos fundamentales, implementar la supervisión humana y documentar todo uso de IA de alto riesgo.

¿Cambia la ampliación del plazo las obligaciones, o solo su cronograma?

La ampliación es puramente temporal: no se elimina ninguna obligación. Los mismos requisitos de evaluación de la conformidad, documentación técnica, SGC, marcado CE, registro y transparencia se aplican: simplemente deben cumplirse en las nuevas fechas.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.