El 2 de agosto de 2026 es la fecha que más empresas tienen marcada en rojo cuando hablan del AI Act (Reglamento UE 2024/1689). Y con razón: ese día entran en aplicación las obligaciones de transparencia hacia los usuarios (artículo 50), la supervisión del mercado por parte de la AESIA —la Agencia Española de Supervisión de la Inteligencia Artificial— y el régimen completo para los modelos de IA de propósito general (GPAI). Sin embargo, hay un dato que muchas guías todavía no incorporan: el acuerdo provisional del Digital Omnibus de mayo de 2026 aplazó las obligaciones más exigentes de los sistemas de alto riesgo del Anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027. Eso no significa que puedas respirar tranquilo y no hacer nada. Significa que tienes que distinguir qué te afecta ahora y qué tienes hasta diciembre de 2027 para resolver.
En Summum llevamos desde 2007 ayudando a pymes a navegar marcos regulatorios complejos. Este artículo recoge el estado normativo exacto a junio de 2026 y un checklist técnico ordenado por urgencia para que puedas actuar, no solo leer.
El mapa de fechas del AI Act: qué está en vigor y qué espera
El AI Act entró en vigor el 1 de agosto de 2024, pero su aplicación es escalonada. Antes de hacer cualquier checklist, es imprescindible saber qué obligación cae en qué momento:
| Fecha | Qué entra en aplicación | A quién afecta principalmente |
|---|---|---|
| 2 feb. 2025 | Prohibición de prácticas de IA inaceptables (art. 5) + obligación de alfabetización en IA (art. 4) | Todas las empresas que usen IA |
| 2 ago. 2025 | Reglas para modelos GPAI: documentación técnica, política de derechos de autor, resumen de datos de entrenamiento | Proveedores de modelos fundacionales (OpenAI, Mistral, etc.) |
| 2 ago. 2026 | Transparencia con usuarios (art. 50), supervisión de mercado AESIA, obligaciones de deployers GPAI | Toda empresa que despliegue chatbots, generadores de contenido, deepfakes o sistemas de interacción directa con personas |
| 2 dic. 2027 (antes ago. 2026, aplazado por Digital Omnibus) | Sistemas de alto riesgo Anexo III: documentación técnica completa, gestión de riesgos, supervisión humana, evaluación de conformidad | Empresas que usen IA en RRHH, crédito, seguros, educación, infraestructura crítica, servicios públicos |
| 2 ago. 2027 | Modelos GPAI en servicio antes de agosto 2025: deben cumplir el reglamento | Proveedores de modelos fundacionales legacy |
Conclusión práctica: si tu empresa usa IA pero no la desarrolla, y no cae en los sectores de alto riesgo del Anexo III, tu obligación crítica para agosto de 2026 se concentra en transparencia, alfabetización y gestión de proveedores GPAI. Dicho esto, la mayoría de las pymes tienen al menos uno o dos puntos que resolver antes de esa fecha.
Qué prohíbe el AI Act desde febrero de 2025 (ya en vigor)
Antes de mirar agosto de 2026, recuerda que estas prácticas están prohibidas desde el 2 de febrero de 2025 y la AESIA puede actuar desde ya:
- Manipulación subliminal o técnicas subliminales para influir en decisiones de las personas sin que sean conscientes.
- Explotación de vulnerabilidades de grupos específicos (menores, personas con discapacidades, situaciones de precariedad económica) para distorsionar su comportamiento.
- Sistemas de puntuación social generalizados por parte de actores públicos o privados que evalúen la «confiabilidad» de personas en múltiples contextos no relacionados.
- Categorización biométrica para inferir raza, opinión política, creencias religiosas o filosóficas, orientación sexual o afiliación sindical.
- Identificación biométrica remota en tiempo real en espacios públicos por fuerzas de seguridad, salvo excepciones muy tasadas.
- Scraping masivo de imágenes faciales de internet o de cámaras para construir bases de datos de reconocimiento facial.
- Inferencia de emociones en entornos laborales o educativos.
Si alguno de tus proveedores tecnológicos usa alguna de estas técnicas, eres tú —como deployer— quien asume parte de la responsabilidad. Revisa tus contratos.
El checklist técnico para agosto de 2026
Lo que sigue es un checklist ordenado de mayor a menor urgencia para una pyme española típica que usa herramientas de IA de terceros (copilots, chatbots, generadores de texto/imagen, asistentes de RRHH). Si desarrollas tu propio modelo, los requisitos son más exigentes: contacta con nuestro equipo de cumplimiento técnico del AI Act para una hoja de ruta personalizada.
1. Inventario de sistemas de IA (ya deberías tenerlo)
Sin un inventario no puedes clasificar, y sin clasificar no puedes cumplir. Para cada herramienta de IA que uses en tu empresa, documenta:
- Nombre del sistema y proveedor (incluyendo el modelo GPAI subyacente si lo sabes).
- Función que realiza: ¿interactúa directamente con clientes o empleados? ¿toma o apoya decisiones que afectan a personas?
- Categoría de riesgo provisional: inaceptable / alto riesgo / riesgo limitado / riesgo mínimo.
- Datos que procesa: ¿personales? ¿de categoría especial (salud, etnia, ideología)?
2. Programa de alfabetización en IA (art. 4 — obligatorio desde feb. 2025)
El artículo 4 exige que proveedores y deployers de IA garanticen un nivel suficiente de alfabetización en IA para todo el personal que diseñe, opere o supervise sistemas de IA. Esto no es un curso de moda, es una obligación legal. El programa debe ser proporcional al nivel de exposición de cada persona y quedar documentado. En la práctica, para una pyme de 20-50 personas, esto suele traducirse en:
- Formación básica de 2-4 horas para el conjunto de la plantilla sobre qué es la IA, qué riesgos plantea y qué está prohibido.
- Formación específica de 8-16 horas para los roles que usen IA en procesos críticos (selección de personal, atención al cliente, análisis de crédito, etc.).
- Registro firmado de asistencia y superación, con fecha.
3. Transparencia hacia usuarios finales (art. 50 — 2 agosto 2026)
Este es el punto que más empresas tienen pendiente. Desde el 2 de agosto de 2026, si tu empresa usa un sistema de IA que interactúa directamente con personas, estás obligada a informarles. Las situaciones más comunes en pymes son:
- Chatbot de atención al cliente: el usuario debe saber que habla con una IA, en el primer contacto, de forma clara. No basta una mención en los términos y condiciones.
- Asistente de voz automatizado: lo mismo que el chatbot, pero adaptado al canal de voz.
- Generación de imágenes, vídeos o audios sintéticos: el contenido debe etiquetarse como generado por IA. Si publicas vídeos generados, necesitas un sistema de marcado técnico o visual explícito.
- Deepfakes con fines legítimos (arte, sátira): deben etiquetarse igualmente, salvo que resulte obvio por el contexto.
La sanción por incumplir el artículo 50 puede alcanzar los 7,5 millones de euros o el 1% de la facturación anual global, el importe mayor de los dos (artículo 99.4 del Reglamento).
4. Revisión de contratos con proveedores de modelos GPAI
Si usas herramientas basadas en modelos de propósito general —ChatGPT, Claude, Gemini, Copilot, Mistral, LLaMA y cualquier derivado— eres un deployer de GPAI. El AI Act establece que los proveedores de estos modelos deben entregarte:
- Documentación técnica suficiente para que puedas cumplir tus obligaciones como deployer.
- Información sobre las capacidades, limitaciones y usos previstos del modelo.
- Resumen de los datos de entrenamiento (a un nivel agregado, no datos en bruto).
Comprueba que tus contratos actuales con estos proveedores incluyen estas garantías o que los proveedores las han publicado públicamente en sus páginas de cumplimiento. Si hay huecos, documenta el intento de obtener la información: demuestra diligencia.
5. Política interna de uso de IA
Muchas pymes usan IA sin ningún documento interno que regule cómo, quién y para qué. Esto es un riesgo legal y operativo. Una política de uso de IA no tiene por qué ser un documento de 50 páginas: con 3-5 páginas que cubran los puntos siguientes es suficiente para una pyme:
- Qué herramientas de IA están autorizadas y para qué funciones.
- Qué tipos de datos no pueden introducirse en sistemas de IA externos (datos personales sensibles, secretos comerciales, contratos confidenciales).
- Quién es el responsable interno de supervisar el uso de IA y escalar incidencias.
- Procedimiento de comunicación transparente a clientes cuando la IA intervenga en la relación con ellos.
- Reglas sobre revisión humana de decisiones con impacto significativo en personas.
6. Evaluación de riesgo para el 2 de diciembre de 2027
Aunque el plazo se ha ampliado, conviene empezar ahora. El Digital Omnibus aplazó las obligaciones de los sistemas de alto riesgo del Anexo III, pero no las eliminó. Si tu empresa usa IA en alguno de estos ámbitos, tendrás que cumplir requisitos mucho más exigentes antes de diciembre de 2027:
- Procesos de selección, gestión o evaluación del desempeño de trabajadores.
- Aprobación o denegación de créditos, seguros o productos financieros.
- Admisión, evaluación o clasificación de estudiantes en centros educativos.
- Priorización de servicios de emergencia o gestión de infraestructura crítica.
- Toma de decisiones en procedimientos migratorios o de asilo.
- Evaluaciones en el ámbito de la justicia o la administración de justicia.
Para estos casos, la hoja de ruta técnica es significativamente más compleja e incluye un sistema de gestión de riesgos formal, gobernanza de datos, registros de eventos, supervisión humana estructurada y, en algunos casos, evaluación de conformidad por un tercero notificado. Nuestro equipo de cumplimiento técnico del AI Act para pymes puede ayudarte a determinar exactamente en qué categoría cae cada sistema y qué documentación necesitas.
Tabla resumen: obligaciones de agosto 2026 por perfil de empresa
| Perfil de empresa | Obligación clave antes de ago. 2026 | Esfuerzo estimado |
|---|---|---|
| Pyme que usa chatbot de atención al cliente | Aviso de interacción con IA en primer contacto (art. 50) | Bajo (1-2 días de implementación) |
| Empresa que publica contenido generado con IA | Etiquetado de contenido sintético visible (art. 50) | Bajo-medio (requiere revisión de procesos de publicación) |
| Cualquier empresa con empleados que usen IA | Programa de alfabetización documentado (art. 4) | Medio (formación + registro) |
| Empresa que usa herramientas GPAI (Copilot, ChatGPT, etc.) | Revisión contractual con proveedores + inventario | Medio (2-5 días de auditoría) |
| Empresa con IA en selección de personal, crédito o educación | Evaluación de alto riesgo + hoja de ruta hasta dic. 2027 | Alto (proyecto de 3-9 meses) |
El papel de la AESIA y el marco sancionador en España
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña y creada por Real Decreto 729/2023, es la autoridad nacional de control del AI Act en España. A partir del 2 de agosto de 2026, asume plenas funciones de supervisión del mercado y puede iniciar procedimientos sancionadores. Las multas del AI Act son de tres niveles:
- Infracciones leves (incumplimientos de obligaciones de transparencia o documentación): hasta 7,5 millones de euros o el 1% de la facturación anual global.
- Infracciones graves (sistemas de alto riesgo no conformes): hasta 15 millones de euros o el 3% de la facturación anual global.
- Infracciones muy graves (prácticas prohibidas del artículo 5): hasta 35 millones de euros o el 7% de la facturación anual global.
Para microempresas y pymes, el AI Act prevé multas reducidas y acceso prioritario a sandboxes regulatorios, pero no exención completa. La diligencia documentada —aunque no se haya completado el cumplimiento total— es un factor atenuante reconocido explícitamente en el reglamento.
Qué tiene que ver la ISO 42001 con el AI Act
Muchas empresas preguntan si certificarse en ISO 42001 (el sistema de gestión de IA publicado en 2023) les sirve para cumplir el AI Act. La respuesta corta es: no es equivalente, pero ayuda. La ISO 42001 es un marco voluntario que estructura la gobernanza de IA en la organización; el AI Act es regulación con fuerza de ley. Sin embargo, implantar ISO 42001 genera buena parte de la documentación que exige el AI Act (política de IA, evaluación de impacto, registros de incidencias, revisión por dirección), lo que acelera el proceso de cumplimiento regulatorio. Si tu empresa tiene o planea tener la ISO 42001, el equipo de Summum Calidad puede ayudarte a mapear qué controles cubren los requisitos del AI Act y qué huecos quedan.
Preguntas frecuentes
¿El AI Act me obliga aunque solo use IA de terceros (no la desarrollo yo)?
Sí. El AI Act distingue entre proveedores (quienes desarrollan o ponen el sistema en el mercado) y deployers (quienes usan el sistema en un contexto profesional). Si usas un chatbot, un copilot o cualquier herramienta de IA en tu actividad empresarial, eres un deployer y tienes obligaciones propias: garantizar la alfabetización de tu equipo, informar a los usuarios cuando interactúen con IA y no usar la herramienta para fines prohibidos. La responsabilidad no recae solo en el proveedor tecnológico.
El Digital Omnibus aplazó el alto riesgo: ¿puedo esperar hasta 2027 para hacer algo?
No. El aplazamiento del Digital Omnibus afecta exclusivamente a los sistemas de alto riesgo del Anexo III. Las obligaciones de prácticas prohibidas (ya en vigor desde febrero 2025), alfabetización (febrero 2025), modelos GPAI (agosto 2025) y transparencia (agosto 2026) no han cambiado. Esperar hasta 2027 sin actuar en estos frentes es una decisión de riesgo regulatorio significativo.
¿Cuánto tiempo lleva prepararse para agosto de 2026?
Para una pyme que no sea de alto riesgo, el proceso de cumplimiento básico para agosto de 2026 suele llevar entre 4 y 10 semanas: inventario de sistemas (1-2 semanas), revisión contractual (1-2 semanas), diseño y ejecución del programa de alfabetización (2-4 semanas) y ajuste de los avisos de transparencia en los canales digitales (1-2 semanas). Muchos de estos pasos pueden solaparse. En Summum hemos acompañado este proceso a empresas de distintos sectores y tenemos metodología probada para acortar plazos sin dejar huecos.
¿Qué pasa si mi proveedor de IA no me facilita la documentación técnica que pide el AI Act?
Documenta el intento. Envía una solicitud formal por escrito al proveedor pidiendo la información requerida por el artículo 13 (sistemas de alto riesgo) o los artículos correspondientes a GPAI. Si el proveedor no responde o no facilita la documentación, tienes dos opciones: buscar un proveedor alternativo que cumpla, o valorar si el riesgo de continuar con ese proveedor es asumible. La AESIA puede requerir esta documentación en una inspección; no tenerla por causa del proveedor puede ser atenuante, pero documentar la diligencia es imprescindible.