¿Cuándo se aplica ahora el alto riesgo del EU AI Act?

Según el acuerdo provisional del Digital Omnibus (mayo de 2026), las obligaciones de alto riesgo del Anexo III pasan del 2 de agosto de 2026 al 2 de diciembre de 2027, y las de los sistemas integrados en productos regulados al 2 de agosto de 2028. El acuerdo es provisional: depende de la adopción formal del Consejo y de su publicación en el Diario Oficial de la UE.

Insights

17 de junio de 20267 min de lectura

El calendario móvil del EU AI Act: la evolución, el aplazamiento a 2027 y lo que no cambia para tu consejo

El calendario del EU AI Act ha sido, desde el principio, un blanco móvil — y en 2026 se ha movido otra vez: el «Digital Omnibus» aplaza el alto riesgo de 2026 a finales de 2027. La historia de esa evolución y la lección de gobierno: el plazo se mueve; el deber, no.

Temas:
EU AI Act
Digital Omnibus
Gobierno corporativo
Regulación

Cuando se aprobó el Reglamento (UE) 2024/1689, se vendió a los consejos como una cuenta atrás con fechas grabadas en piedra. La realidad es más interesante: el calendario de una norma tan ambiciosa nunca aterriza en línea recta. Conviene contar la evolución completa, porque la lección para un consejo no está en ninguna fecha concreta, sino en el patrón.

Una cronología que no dejó de moverse

Agosto de 2024 — el punto de partida. El AI Act entra en vigor con un calendario escalonado deliberado: lo más peligroso primero, lo más complejo después.

Febrero de 2025 — lo inaceptable. Llegan las prácticas prohibidas (Art. 5): manipulación subliminal, social scoring, reconocimiento de emociones en el puesto de trabajo. Sin prórroga.

Agosto de 2025 — los modelos y las sanciones. Se activan las obligaciones de los modelos de propósito general (GPAI), la gobernanza institucional y el régimen sancionador.

El plan original — agosto de 2026 y 2027. Lo más exigente quedaba para el final: los sistemas de alto riesgo del Anexo III —selección de personal, scoring crediticio, biometría— debían cumplir el 2 de agosto de 2026; los integrados como componentes de seguridad en productos regulados, un año después.

Noviembre de 2025 — el giro. Aquí cambia la historia. Con la competitividad europea en el centro del debate —tras el informe Draghi— y con los estándares técnicos y la infraestructura de cumplimiento aún sin estar listos a tiempo, la Comisión propone el «Digital Omnibus» (COM(2025) 836): simplificar cargas y, sobre todo, aplazar la entrada en vigor del alto riesgo.

Mayo–junio de 2026 — el acuerdo. El 7 de mayo, Parlamento y Consejo cierran un acuerdo político provisional. El 16 de junio, el Parlamento lo aprueba en pleno (423 votos a favor, 57 en contra, 174 abstenciones). El nuevo calendario: alto riesgo independiente (Anexo III) → 2 de diciembre de 2027; integrado en productos → 2 de agosto de 2028.

No es solo un aplazamiento

Conviene leer la letra pequeña. Según el acuerdo provisional, el paquete también simplifica obligaciones de documentación y registro del alto riesgo y añade una nueva práctica prohibida (sistemas que generan material de abuso sexual infantil o imágenes íntimas no consentidas). Son cambios sustantivos —aún sujetos a la adopción formal—, no solo un cambio de fecha.

Hoy: el limbo, y por qué importa

A fecha de este artículo, el acuerdo es provisional: falta la adopción formal del Consejo y la publicación en el Diario Oficial de la UE. Hasta que eso ocurra, el 2 de agosto de 2026 sigue siendo, legalmente, la fecha vigente del Anexo III. El aplazamiento es casi seguro, pero todavía no es ley — y un consejo serio planifica con esa precisión, no con el titular.

Qué enseña esta evolución a un consejo

El calendario regulatorio es un blanco móvil. Gobernar a golpe de titular —correr en 2025, frenar en 2026— es agotador y errático. La disciplina está en gobernar por fundamentos, no por fechas.
Mire lo que no se ha movido ni un día: las prohibiciones, los modelos GPAI y —fuera del AI Act— DORA, NIS2, el RGPD y, en España, el artículo 22 de la LOPDGDD (decisiones individuales automatizadas) y el artículo 64.4.d del Estatuto de los Trabajadores (Ley Rider), que obliga a informar a la representación de los trabajadores sobre los algoritmos que afectan a decisiones laborales. Todo eso le obliga hoy.
La prórroga no es permiso para desmontar: es margen para gobernar bien. El riesgo operativo y reputacional —un scoring que discrimina, una decisión automatizada sin supervisión— nunca tuvo calendario.

Cómo usar los dieciséis meses

No como una pausa, sino como la oportunidad de hacerlo con orden:

Completar el inventario de sistemas de IA sin la prisa de última hora.
Asignar responsable y un protocolo de supervisión humana documentado.
Revisar los contratos con proveedores: la responsabilidad del deployer no se transfiere al proveedor.
Cumplir ya lo que no se aplaza (ET 64.4.d, RGPD, DORA y NIS2 según sector).
Y, si procede, estructurar la supervisión en el consejo — la conversación sobre la comisión de tecnología.

La decisión que toca tomar

Mantenga la materia en la agenda y aproveche la prórroga para gobernar, no para aplazar. El plazo del AI Act es ahora más largo; su responsabilidad sigue donde estaba.

Fuentes oficiales: Reglamento (UE) 2024/1689 · Digital Omnibus on AI — COM(2025) 836 · Consejo de la UE — nota de prensa de 7 de mayo de 2026 · Comisión Europea — marco regulatorio de la IA.

Última actualización: 17 de junio de 2026. El acuerdo es provisional; este análisis se basa en las fuentes disponibles a esa fecha y podría variar con la adopción formal del Consejo.