Una norma con dos calendarios
El AI Act europeo vive estos días una rareza jurídica: tiene dos fechas para lo mismo, y solo una de ellas es derecho aplicable. La fecha que figura en el reglamento publicado en 2024 dice que las obligaciones para los sistemas de inteligencia artificial de alto riesgo empiezan a aplicarse el 2 de agosto de 2026. La otra fecha, la que circula en las salas de cumplimiento de medio continente, dice diciembre de 2027. La diferencia entre ambas son dieciséis meses, y de cuál acabe imponiéndose dependen miles de proyectos.
El origen de la segunda fecha está en el Digital Omnibus. La Comisión Europea presentó el 19 de noviembre de 2025 un paquete de simplificación que, entre otras medidas, propone aplazar la aplicación de las obligaciones de alto riesgo del AI Act. El 7 de mayo de 2026, tras una sesión de trílogo de nueve horas bajo la presidencia chipriota del Consejo, los negociadores del Parlamento Europeo y del Consejo alcanzaron un acuerdo político provisional sobre el texto. Ese acuerdo fija el nuevo calendario que tantas empresas ya dan por bueno.
Lo que se acordó
El cambio de fechas no es uniforme: distingue entre dos tipos de sistemas de alto riesgo. Para los sistemas autónomos del Anexo III —los que cubren áreas como contratación de personal, calificación crediticia, educación, biometría y herramientas policiales o de control de fronteras— la obligación de cumplir se traslada del 2 de agosto de 2026 al 2 de diciembre de 2027. Para la IA integrada en productos ya regulados por la legislación de seguridad de la UE —dispositivos médicos, maquinaria, equipos de radio— el plazo se mueve hasta el 2 de agosto de 2028.
El motivo del aplazamiento es técnico, no político, y los propios colegisladores lo reconocen. Las normas armonizadas que las empresas necesitan para implementar las reglas todavía no están listas; los organismos europeos de normalización como CEN-CENELEC trabajan en estándares que no se esperan antes del último trimestre de 2026. La lógica del retraso es secuencial: no sancionar a nadie por incumplir estándares que aún no existen.
El paquete trae además una pieza que no es un aplazamiento, sino una prohibición nueva. El acuerdo introduce en el artículo 5 del AI Act una prohibición de los sistemas de IA usados para generar imágenes íntimas no consentidas —las aplicaciones llamadas “nudifiers”— y material de abuso sexual infantil. Es el primer endurecimiento sustantivo del reglamento desde su adopción en 2024.
Por qué la fecha vieja sigue mandando
Aquí está el nudo que muchos pasan por alto. El acuerdo del 7 de mayo es provisional: un pacto político, no todavía una ley. Para que el nuevo calendario tenga efecto jurídico, el Parlamento Europeo y el Consejo deben votar formalmente el texto, que después se publica en el Diario Oficial de la Unión Europea y entra en vigor tres días más tarde. Hasta que eso ocurra, el reglamento vigente es el de 2024, y la fecha vigente es el 2 de agosto de 2026.
A comienzos de junio de 2026 ese voto aún no se ha producido. La adopción formal se espera entre junio y julio, con publicación prevista hacia finales de julio, justo antes del plazo original de agosto. Es una carrera contra el reloj: si el procedimiento se demora más de la cuenta, el 2 de agosto llegaría con las reglas de alto riesgo legalmente activas y el aplazamiento todavía sin publicar.
La consecuencia práctica la han resumido los despachos que asesoran a las empresas: planificar contra las dos fechas a la vez. El consejo recurrente es volver a anclar los programas de cumplimiento en el plazo original del 2 de agosto de 2026 mientras la postergación no esté formalmente adoptada, y reclasificar cualquier sistema que se hubiera descartado asumiendo un Anexo III más estrecho. Quien apueste solo por diciembre de 2027 corre el riesgo de llegar tarde si el Omnibus tropieza.
Lo que no se movió
Conviene separar lo que cambia de lo que sigue igual, porque la confusión sobre las fechas ha contagiado a partes del reglamento que no están en discusión. Las obligaciones para los modelos de IA de propósito general (GPAI) no formaron parte de la disputa y continúan en su calendario actual: entraron en aplicación en agosto de 2025. Las prácticas prohibidas son aplicables desde el 2 de febrero de 2025, con sanciones de hasta 35 millones de euros o el 7 por ciento de la facturación.
En paralelo, el Código de Buenas Prácticas para GPAI sigue sumando firmantes. A lo largo del primer trimestre de 2026 el código reunió alrededor de dos docenas de organizaciones, entre ellas Anthropic, Google, Microsoft, OpenAI, IBM, Mistral y Cohere; Meta no lo firmó y xAI suscribió solo el capítulo de seguridad. Ese reparto —quién firma y quién no— es un mapa temprano de cómo se alinean los grandes proveedores frente al modelo europeo.
El dato de fondo
Lo que este episodio revela no es un retraso más, sino la dificultad estructural de poner en marcha la regulación de IA más ambiciosa del mundo. El AI Act se diseñó con un calendario escalonado precisamente para dar tiempo; aun así, los estándares técnicos, la designación de las autoridades nacionales competentes y las herramientas de cumplimiento llegan con retraso. La designación de las autoridades nacionales sigue sin completarse en varios Estados miembros, lo que la comunidad de cumplimiento describe como una “brecha de aplicación” reconocida.
El resultado es un periodo en el que la regla existe sobre el papel pero su maquinaria de aplicación todavía se está montando. Para las empresas que operan sistemas de alto riesgo, la recomendación prudente no cambia con cada anuncio: construir la evidencia una sola vez y mapearla contra los dos calendarios posibles. La fecha legal manda hasta que otra fecha la sustituya en el Diario Oficial; mientras tanto, las dos conviven, y solo una obliga.