Qué constituye ley vigente hoy, qué son solo propuestas y qué deben hacer los equipos operativos mientras las fechas pueden modificarse o mantenerse.

Reglamento de IA de la UE: ley vigente frente a cambios propuestos – Qué aplica ahora (mayo de 2026)

La ley vigente sigue en vigor hasta que el acto modificatorio se adopte y publique formalmente. Las fechas originales de aplicación del Reglamento de IA de la UE siguen gobernando la planificación, incluso después del acuerdo político del 7 de mayo de 2026. Las disposiciones generales, incluida la alfabetización en IA del Artículo 4 y las prohibiciones, se aplican desde febrero de 2025. Las obligaciones para modelos GPAI y las estructuras de gobernanza se aplican desde agosto de 2025. La mayoría de las normas —incluidos los sistemas de alto riesgo del Anexo III, las obligaciones de transparencia del Artículo 50 y la ejecución nacional— siguen programadas para el 2 de agosto de 2026 según la ley actual. La propuesta Digital Omnibus y las posiciones posteriores del Consejo y el Parlamento sugieren posibles retrasos en ciertas normas de alto riesgo y simplificaciones adicionales, pero estas enmiendas no se han adoptado. Hasta que se publique formalmente un nuevo reglamento y entre en vigor, los equipos deben planificar conforme a la cronología vigente.

Caja de estado de la ley (8 de mayo de 2026)

• Ley aplicable actual: Reglamento (UE) 2024/1689 con fechas escalonadas fijadas en el Artículo 113. Las obligaciones de alto riesgo del Anexo III y las normas de transparencia del Artículo 50 siguen previstas para el 2 de agosto de 2026.
• Fase de propuesta: Propuesta Digital Omnibus de la Comisión (noviembre de 2025), posición del Consejo (13 de marzo de 2026) y posición del Parlamento (26 de marzo de 2026). Estos textos proponen vincular las fechas de aplicación de alto riesgo a la disponibilidad de estándares y herramientas de apoyo, fechas posteriores fijas en algunas versiones, la extensión de medidas para PYMES a pequeñas mid-caps y otras aclaraciones.
• Estado: El 7 de mayo de 2026 se anunció un acuerdo político, pero todavía no se ha adoptado ni publicado formalmente ningún acto de modificación. Los equipos operativos deben, por tanto, considerar las fechas originales como la línea base vinculante mientras siguen las negociaciones.

El Reglamento de IA de la UE no está retrasado. No se han finalizado enmiendas que alteren la cronología legal actual. La mayoría de las obligaciones sustantivas siguen apuntando al 2 de agosto de 2026. La iniciativa Digital Omnibus de la Comisión, el acuerdo del Consejo y la votación del Parlamento de marzo de 2026 reflejan un deseo compartido de mejorar la aplicabilidad mediante cambios focalizados —principalmente vinculando las normas de alto riesgo a la disponibilidad de estándares armonizados y orientaciones, ampliando ciertas facilitaciones para PYMES y aportando certeza jurídica sobre la interacción con la legislación sectorial—. Se trata solo de propuestas.

Implicación práctica: las organizaciones que detienen toda la preparación porque “han oído que la ley se ha pospuesto” corren el riesgo de encontrarse desprevenidas si las fechas originales se mantienen o si las negociaciones concluyen con ajustes moderados. Por el contrario, lanzarse a evaluaciones de conformidad excesivamente detalladas para cada posible caso de uso de alto riesgo antes de que se finalicen los estándares puede generar reelaboraciones. El camino más seguro consiste en avanzar ya en los trabajos de base sin arrepentimiento y mantener flexible la documentación técnica de alto riesgo.

Esta página separa ley vigente, estado de las propuestas y negociaciones y acciones operativas recomendadas para que los equipos de cumplimiento, jurídicos y de producto tomen decisiones con confianza, sin mezclar lo obligatorio hoy con lo que podría cambiar.

El Reglamento de IA original se publicó en el Diario Oficial en julio de 2024 y entró en vigor el 1 de agosto de 2024. Su cronología escalonada está establecida en el Artículo 113 y continúa siendo la ley aplicable.

Posiciones institucionales actuales (a 8 de mayo de 2026):

• Comisión Europea (propuesta de 19 de noviembre de 2025): Introdujo el paquete Digital Omnibus para simplificar las normas digitales. Para el Reglamento de IA propuso vincular la aplicación de las normas de alto riesgo a la disponibilidad de herramientas de apoyo (especialmente estándares armonizados y guías). Sugirió una ventana máxima de ajuste de 16 meses una vez listas las herramientas y amplió ciertas simplificaciones para PYMES. La propuesta busca explícitamente evitar precipicios de implementación sin renunciar al enfoque basado en el riesgo.

• Consejo de la UE (13 de marzo de 2026): Alcanzó una posición común que respalda medidas de simplificación. Los detalles se centran en hacer viables las normas para las empresas sin mermar las protecciones. El texto del Consejo se alinea con el objetivo de vincular las obligaciones de alto riesgo a la preparación práctica.

• Parlamento Europeo (26 de marzo de 2026): Adoptó su posición con fechas concretas propuestas: 2 de diciembre de 2027 para la mayoría de los sistemas de IA de alto riesgo del Anexo III y 2 de agosto de 2028 para los cubiertos por legislación europea existente de seguridad de productos. También propuso retrasar al 2 de noviembre de 2026 el plazo de cumplimiento de ciertas medidas de transparencia y marcado de agua del Artículo 50, introdujo una nueva prohibición de sistemas de IA “nudificadores” no consentidos (con excepciones de seguridad), extendió las facilitaciones para PYMES a pequeñas mid-caps (SMC), y aclaró la reducción de solapamientos con la legislación sectorial.

Por qué los equipos operativos no deben reescribir todavía sus hojas de ruta: Ninguno de estos textos es ley definitiva. Incluso tras un acuerdo político, la adopción formal, la publicación y las disposiciones transitorias llevarán meses. La transposición nacional y la preparación de las autoridades también requieren tiempo. Tomar cualquier posición institucional aislada como nueva línea base genera vaivenes innecesarios. El enfoque prudente es mantener un plan basado en la ley vigente y un seguimiento estrecho (“monitorizar y adaptar”) de los elementos de alto riesgo y transparencia más susceptibles de modificación de plazos.

Consulta la cronología oficial más reciente en el Service Desk del Reglamento de IA y nuestra guía Cronograma del Reglamento de IA de la UE para 2026: ley vigente, acuerdo político de mayo y próximos pasos.

Si el reglamento de modificación final sigue de cerca los textos de marzo de 2026, los siguientes cambios serían posibles (todos etiquetados claramente como propuestos):

Cambios de plazos (los más relevantes)

• Los sistemas de alto riesgo del Anexo III podrían pasar del 2 de agosto de 2026 a finales de 2027 (el acuerdo político del 7 de mayo apunta al 2 de diciembre de 2027).
• La IA de alto riesgo integrada en productos ya cubiertos por legislación sectorial de la UE podría aplicarse aún más tarde (propuesta: 2 de agosto de 2028).
• La Comisión podría adelantar estas fechas si los estándares y guías estuvieran listos antes.
• Las obligaciones de transparencia del Artículo 50 para proveedores y desplegadores de ciertos sistemas de IA probablemente permanecerían en torno a mediados o finales de 2026, aunque los plazos específicos de marcado de agua y etiquetado podrían ampliarse ligeramente.

Efectos sobre el ámbito y las simplificaciones

• Extensión de la documentación técnica simplificada y otras facilitaciones desde PYMES a pequeñas mid-caps.
• Reglas más claras sobre la interacción con la legislación de seguridad de productos existente, lo que podría reducir requisitos duplicados.
• Nueva prohibición expresa de ciertos sistemas de generación de imágenes íntimas no consentidas (“nudificadores”), con excepciones técnicas de seguridad.

Partes que más importan según el actor

• PYMES y SMC: El mayor alivio potencial gracias a modalidades simplificadas ampliadas y plazos de alto riesgo posteriores.
• Desplegadores: Se benefician de orientaciones más claras sobre obligaciones y de la disponibilidad más tardía de sistemas de alto riesgo, lo que da más tiempo para preparar evaluaciones de impacto en derechos fundamentales (FRIA) y procesos de supervisión humana.
• Proveedores de GPAI o de modelos no UE: Las obligaciones principales (desde agosto de 2025) parecen prácticamente intactas en el Omnibus. Los requisitos de representante autorizado del Artículo 54 siguen siendo relevantes para muchos proveedores no UE.
• Editores y operadores de chatbots: El trabajo de transparencia del Artículo 50 (divulgación de que el contenido es generado por IA) seguirá siendo probablemente exigible desde 2026 y es una acción sin arrepentimiento que conviene preparar ya.

Estos cambios siguen siendo propuestos hasta que se adopte un reglamento definitivo. Las cronologías de la ley vigente continúan rigiendo la planificación.

Céntrate en los trabajos que aportan valor tanto con la ley vigente como con cualquier versión modificada probable.

Acciones sin arrepentimiento (hazlas ya)

• Mantener actualizado el inventario de sistemas de IA con una asignación clara de roles (proveedor, desplegador o distribuidor).
• Impartir formación de alfabetización en IA adaptada a cada rol —obligatoria desde febrero de 2025—.
• Desarrollar procesos de transparencia del Artículo 50: divulgaciones claras para chatbots, deepfakes y contenido generado por IA. Crear plantillas reutilizables.
• Recopilar evidencias de proveedores y fichas de modelos de proveedores GPAI. Los proveedores no UE deben evaluar la necesidad de representante autorizado según el Artículo 54.
• Clasificar los sistemas según los criterios actuales del Anexo III y documentar el razonamiento.
• Establecer hábitos básicos de evaluación de riesgos y supervisión humana.
• Mapear las políticas existentes (gobernanza de datos, respuesta a incidentes, gestión de calidad) con los conceptos del Reglamento de IA para poder ampliarlas posteriormente.

Trabajos que pueden esperar al texto definitivo

• Expedientes finales de evaluación de conformidad y marcado CE para sistemas de alto riesgo (si cambian las fechas, gran parte de este trabajo requerirá actualización).
• Planes detallados de monitorización poscomercialización que dependan de guías definitivas.
• Esfuerzos completos de certificación del sistema de gestión de calidad (QMS) antes de que los estándares armonizados se publiquen en el Diario Oficial.

Qué monitorizar

• Resultado de las negociaciones de trílogo y el texto final adoptado.
• Publicación de estándares armonizados por CEN/CENELEC y su referencia en el Diario Oficial.
• Guías de la Oficina de IA sobre clasificación de alto riesgo, transparencia y plantillas de FRIA (previstas a lo largo de 2026).
• Designación de autoridades nacionales y disponibilidad de espacios controlados de pruebas en los países donde operas.

Ejemplos reales

1. Una startup escuchó rumores de aplazamiento y retrasó todo el trabajo del Artículo 50. Cuando los contratos con clientes empezaron a exigir compromisos de transparencia en el primer trimestre de 2026, carecían de lenguaje de divulgación reutilizable y perdieron velocidad en los acuerdos.
2. Un proveedor GPAI no UE pospuso el nombramiento de representante autorizado pensando que el Omnibus reescribiría todo el capítulo de GPAI. Las obligaciones principales de GPAI desde agosto de 2025 permanecieron intactas, generando brechas de cumplimiento con clientes europeos.
3. Un gran desplegador aprovechó el período de incertidumbre para construir un registro interno de evidencias de IA y una matriz de alfabetización. Cuando los proveedores pidieron información de due diligence, pudieron responder con rapidez: un trabajo que conserva todo su valor independientemente de la fecha final de alto riesgo.

¿Está ya retrasado el Reglamento de IA? No. El reglamento principal no ha sido modificado. Los plazos legales actuales, incluido el 2 de agosto de 2026 para la mayoría de las normas de alto riesgo y transparencia, siguen vigentes.

¿Debemos esperar al resultado del Omnibus? Solo para los trabajos técnicos más detallados de conformidad de alto riesgo. Las tareas fundamentales (inventario, alfabetización, procesos de transparencia y razonamiento de clasificación) aportan valor hoy y bajo cualquier cronología enmendada plausible. Esperarlo todo genera riesgos innecesarios.

¿Puede haber enforcement antes de que finalice la propuesta? Sí. Las prohibiciones son aplicables desde febrero de 2025. Se están designando las autoridades nacionales. La infraestructura de vigilancia de mercado y ejecución se está construyendo sobre el marco legal actual.

¿Cómo deben planificar las empresas no UE ante esta incertidumbre? Tomar la ley vigente como línea base. Los proveedores no UE de modelos GPAI deben cumplir las obligaciones ya aplicables y preparar la documentación que los desplegadores europeos downstream solicitarán. Seguir de cerca los requisitos de representante autorizado del Artículo 54 y los posibles cambios de plazos de alto riesgo.

• Considerar cualquier comunicado de prensa o posición institucional como la nueva realidad legal.
• Detener todo el trabajo de gobernanza de IA porque “la ley está cambiando”.
• Sobreinvertir en expedientes técnicos muy detallados para sistemas que pueden ver retrasada su aplicación o actualizada su orientación.
• No distinguir claramente las obligaciones de proveedor y desplegador, especialmente en organizaciones que tanto desarrollan como utilizan IA.
• Dar por hecho que las obligaciones de transparencia del Artículo 50 se retrasarán sustancialmente: siguen siendo uno de los requisitos a corto plazo más estables.

• [ ] Verificar que el inventario actual de sistemas de IA está actualizado y que los roles están claramente asignados.
• [ ] Implantar formación de alfabetización en IA adaptada a roles (obligatoria desde 2025).
• [ ] Crear y probar plantillas de divulgación del Artículo 50 para chatbots, generadores de contenido y deepfakes.
• [ ] Clasificar los sistemas según los criterios actuales del Anexo III y documentar el análisis.
• [ ] Solicitar documentación de modelos y evidencias de cumplimiento a todos los proveedores GPAI.
• [ ] Suscribirse a las actualizaciones oficiales del Service Desk del Reglamento de IA y establecer una revisión trimestral de los resultados de las negociaciones.
• [ ] Identificar la autoridad competente nacional y guardar los programas relevantes de espacios controlados de pruebas o apoyo.
• [ ] Realizar una evaluación ligera de brechas frente a las obligaciones actuales (no las propuestas).

Mantente preparado independientemente de las fechas definitivas. Suscríbete a las actualizaciones de seguimiento de la ley vigente y prueba el nivel de preparación de evidencias de tu organización con el Escáner de Evidencia. Genera artefactos concretos que puedes utilizar hoy mismo con proveedores, clientes y partes interesadas internas.

Escáner de Evidencia →

Lecturas adicionales

• Cronograma del Reglamento de IA de la UE para 2026: ley vigente, acuerdo político de mayo y próximos pasos
• Reglamento de IA de la UE: ley vigente frente a cambios propuestos – Abril 2026
• Artículo 4 del Reglamento de IA: Requisitos de alfabetización en IA
• Obligaciones de transparencia del Artículo 50 del Reglamento de IA de la UE

Fuentes primarias

• Service Desk del Reglamento de IA Timeline and FAQ
• eur-lex.europa.eu/eli/reg/2024/1689/oj/eng (Reglamento original)
• Propuesta Digital Omnibus y anexos (Comisión Europea, noviembre 2025)
• Nota de prensa del Consejo (13 de marzo de 2026)
• Posición del Parlamento Europeo (26 de marzo de 2026)
• Anuncios de guías de la Oficina de IA (2025-2026)

Esta página refleja la posición oficial a 8 de mayo de 2026. La actualizaremos con prontitud cuando se adopten nuevos textos.