AI Act 2026: Estado Actual, Digital Omnibus y Obligaciones para Empresas Españolas

Q: ¿Qué es el Digital Omnibus y cómo afecta al AI Act?

El Digital Omnibus es una propuesta legislativa de la Comisión Europea (noviembre 2025) que modifica el AI Act para aplazar las obligaciones de alto riesgo del Anexo III al 2 de diciembre de 2027 y las del Anexo I al 2 de agosto de 2028. El Parlamento Europeo aprobó su posición el 26 de marzo de 2026 con 569 votos a favor. Los trílogos con el Consejo comienzan en abril de 2026.

Q: ¿Debo preparar mi empresa para agosto de 2026 o esperar a diciembre de 2027?

La recomendación unánime de los expertos es prepararse como si agosto de 2026 fuera la fecha real, porque es el plazo legalmente vinculante hasta que el Digital Omnibus se adopte formalmente. Si se aprueba el aplazamiento, tendrás margen adicional. Si no se aprueba, estarás preparado.

Q: ¿Qué sistemas de IA se consideran de alto riesgo bajo el Anexo III?

Sistemas de IA utilizados en biometría, infraestructura crítica, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios esenciales (crédito, seguros), aplicación de la ley, migración y gestión de fronteras, y administración de justicia y procesos democráticos.

Q: ¿Qué ha hecho la AESIA para ayudar a las empresas españolas?

La AESIA ha publicado 16 guías de cumplimiento no vinculantes, organizadas en guías introductorias, guías técnicas sobre cada obligación de alto riesgo y manuales con checklists y plantillas. Fueron desarrolladas a través del sandbox regulatorio español.

Q: ¿Qué novedades introduce el Digital Omnibus además del aplazamiento?

Prohíbe la generación de deepfakes sexuales y contenido de abuso sexual infantil mediante IA (propuesta de España). Extiende las simplificaciones de pymes a small mid-caps (hasta 749 empleados). Suaviza la obligación de alfabetización de 'garantizar' a 'promover'. Permite que la DPIA del RGPD sustituya a la FRIA del AI Act cuando sea equivalente.

Por Juan Manuel Calderón Godoy Abogado Mercantil · ICAS Sevilla (nº 7291) 30 de marzo de 2026 Lectura: 15 minutos

El AI Act (Reglamento UE 2024/1689) establece el 2 de agosto de 2026 como fecha de aplicación de las obligaciones de alto riesgo del Anexo III. Sin embargo, el Digital Omnibus, aprobado por el Parlamento Europeo el 26 de marzo de 2026 con 569 votos a favor, propone aplazar esta fecha al 2 de diciembre de 2027. Los trílogos con el Consejo comienzan en abril de 2026. Mientras no se adopte formalmente, agosto de 2026 sigue siendo el plazo legalmente vinculante.

1. Lo que ya está en vigor: el AI Act no es futuro, es presente

El Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor el 1 de agosto de 2024. Aunque su aplicación plena se prevé para agosto de 2026, varias de sus obligaciones ya son legalmente exigibles en España y en toda la Unión Europea.

Desde el 2 de febrero de 2025

Están prohibidas las prácticas de IA de riesgo inaceptable. Esto incluye los sistemas de puntuación social (social scoring) que evalúan o clasifican a personas basándose en su comportamiento social; los sistemas de manipulación subliminal o engañosa que causen daño; los sistemas que explotan vulnerabilidades de personas por su edad, discapacidad o situación socioeconómica; y la identificación biométrica remota en tiempo real en espacios públicos por parte de las fuerzas de seguridad, salvo las excepciones tasadas (búsqueda de víctimas de secuestro, prevención de ataques terroristas inminentes o identificación de sospechosos de delitos graves).

También desde esta fecha es obligatoria la alfabetización en IA (AI literacy) para todos los proveedores y deployers: las organizaciones deben garantizar que su personal tenga el nivel de competencia adecuado para trabajar con sistemas de IA.

Desde el 2 de agosto de 2025

Están en vigor las obligaciones de gobernanza y las reglas para modelos de IA de propósito general (GPAI). Los proveedores de modelos GPAI deben mantener documentación técnica actualizada, políticas de cumplimiento de derechos de autor y resúmenes del contenido de entrenamiento. Los modelos GPAI con riesgo sistémico tienen obligaciones adicionales: evaluaciones de modelo, mitigación de riesgos sistémicos, reporte de incidentes graves y ciberseguridad adecuada.

2. El 2 de agosto de 2026: las obligaciones de alto riesgo

Esta es la fecha que preocupa a las empresas españolas. El 2 de agosto de 2026, según el calendario original del AI Act, entran en vigor las obligaciones completas para los sistemas de IA de alto riesgo del Anexo III.

¿Qué sistemas son de alto riesgo (Anexo III)?

El Anexo III del AI Act enumera los sistemas de IA que, por su impacto en derechos fundamentales, requieren las obligaciones más estrictas:

Biometría: identificación y categorización biométrica, reconocimiento de emociones.
Infraestructura crítica: gestión de tráfico, suministro de agua, gas, electricidad y calefacción.
Educación y formación profesional: admisión, evaluación, asignación de recursos educativos.
Empleo y gestión de trabajadores: selección de personal, publicación de ofertas, evaluación de candidatos, decisiones de promoción o despido, supervisión de rendimiento.
Acceso a servicios esenciales: credit scoring, evaluación de riesgo de seguros, servicios públicos esenciales.
Aplicación de la ley: polígrafos, evaluación de fiabilidad de pruebas, perfilado de personas.
Migración y gestión de fronteras: evaluación de solicitudes de asilo, detección de documentos falsos.
Administración de justicia y procesos democráticos: asistencia a jueces en investigación de hechos.

¿Qué obligaciones concretas se aplican?

Los proveedores (developers) de sistemas de IA de alto riesgo deben implementar:

📋

Sistema de gestión de riesgos (Art. 9): identificación, evaluación y mitigación de riesgos durante todo el ciclo de vida del sistema.

🗄️

Gobernanza de datos (Art. 10): los datos de entrenamiento, validación y prueba deben ser relevantes, suficientemente representativos y, en la medida de lo posible, libres de errores.

📄

Documentación técnica (Art. 11): documentación detallada que permita a las autoridades evaluar el cumplimiento, incluyendo diseño, propósito, capacidades y limitaciones del sistema.

📊

Registro automático (Art. 12): el sistema debe generar logs de su funcionamiento durante todo el periodo de uso, conservados mínimo 6 meses.

🔍

Transparencia (Art. 13): instrucciones de uso claras con información sobre capacidades, limitaciones, nivel de precisión y riesgos residuales conocidos.

👁️

Supervisión humana (Art. 14): el sistema debe estar diseñado para que una persona pueda supervisar su funcionamiento, interpretar los resultados, decidir no usarlo e intervenir o detenerlo en cualquier momento.

🎯

Precisión, robustez y ciberseguridad (Art. 15): nivel adecuado de exactitud, resiliencia ante errores o intentos de manipulación, y protección frente a ciberataques.

✅

Evaluación de conformidad y marcado CE (Art. 43): antes de comercializar el sistema, debe someterse a evaluación de conformidad (interna o externa según el caso) y obtener el marcado CE.

🌐

Registro en la base de datos de la UE (Art. 49): los sistemas de alto riesgo deben estar registrados en la base de datos pública de la UE antes de su comercialización.

Los deployers (empresas que utilizan sistemas de IA de alto riesgo sin desarrollarlos) también tienen obligaciones significativas: usar el sistema conforme a las instrucciones, asignar supervisión humana competente, garantizar que los datos de entrada sean relevantes, monitorizar el funcionamiento, informar a los trabajadores afectados, realizar evaluaciones de impacto en derechos fundamentales y conservar los logs generados durante al menos 6 meses.

Obligaciones de transparencia (Art. 50)

También el 2 de agosto de 2026 entran en vigor las obligaciones de transparencia para todos los sistemas de IA (no solo los de alto riesgo): los usuarios deben ser informados de que interactúan con un chatbot o sistema de IA, los contenidos sintéticos (deepfakes, texto generado, audio e imagen) deben estar etiquetados de forma clara, y los proveedores de IA generativa deben implementar mecanismos de marcado (watermarking) legibles por máquina.

3. El Digital Omnibus: ¿se aplazan las obligaciones de alto riesgo?

En noviembre de 2025, la Comisión Europea presentó el Digital Omnibus on AI (COM(2025) 836), una propuesta de modificación del AI Act que ajusta el calendario de aplicación y simplifica determinadas obligaciones. La Comisión lo justificó por tres razones concretas:

Las normas armonizadas no están listas. Los estándares técnicos que desarrolla el Comité Técnico CEN-CENELEC JTC 21 — que las empresas necesitan para saber si su documentación técnica es conforme — probablemente no estarán disponibles antes de finales de 2026.
Las autoridades nacionales no están preparadas. La designación de autoridades nacionales competentes y organismos de evaluación de la conformidad presenta retrasos estructurales en la mayoría de los Estados miembros.
Las empresas no pueden cumplir sin herramientas. Los primeros participantes del AI Pact confirmaron que las directrices y métodos de evaluación disponibles eran insuficientes para un cumplimiento efectivo.

Cronología legislativa del Digital Omnibus (actualizada a 30 de marzo de 2026)

Fecha	Hito	Detalle
19/11/2025	Propuesta de la Comisión	COM(2025) 836. Propone vincular las obligaciones de alto riesgo a la disponibilidad de normas armonizadas, con un mecanismo condicional y fechas límite de diciembre 2027 (Anexo III) y agosto 2028 (Anexo I).
05/02/2026	Informe de los ponentes	Los ponentes Arba Kokalari (PPE) y Michael McNamara (Renew Europe) proponen fijar fechas límite definitivas en vez del mecanismo condicional de la Comisión.
13/03/2026	Posición del Consejo	El Consejo adopta su mandato de negociación. Incorpora la prohibición de deepfakes sexuales y CSAM. Confirma las fechas de diciembre 2027 y agosto 2028.
18/03/2026	Voto comisiones IMCO + LIBE	Posición conjunta aprobada por 101 votos a favor, 9 en contra, 8 abstenciones. Simplifica el mecanismo fijando directamente las fechas límite.
26/03/2026	Pleno del Parlamento Europeo	Ratificación con 569 votos a favor, 45 en contra, 23 abstenciones. Se abre el mandato de negociación para los trílogos.
Abril 2026	Inicio de trílogos	Negociaciones entre Parlamento, Consejo y Comisión. Duración estimada: 2-4 meses.
Mediados 2026	Adopción final prevista	Si se alcanza acuerdo antes de agosto, las nuevas fechas se aplicarían. Si no, agosto 2026 se aplica por defecto.

Las nuevas fechas propuestas

Obligación	Fecha original	Fecha propuesta Digital Omnibus	Retraso
Sistemas alto riesgo Anexo III (biometría, empleo, crédito, servicios esenciales, justicia)	2 agosto 2026	2 diciembre 2027	16 meses
Sistemas alto riesgo Anexo I (integrados en productos regulados)	2 agosto 2027	2 agosto 2028	12 meses
Watermarking contenido IA (Art. 50§2: marcado legible por máquina)	2 agosto 2026	2 noviembre 2026	3 meses

Atención: El Digital Omnibus aún NO es ley. Mientras los trílogos no concluyan y el texto no se adopte formalmente, el 2 de agosto de 2026 sigue siendo la fecha legalmente vinculante. Si los trílogos se retrasan más allá de agosto de 2026, la UE entraría en un periodo de incertidumbre jurídica en el que las obligaciones se aplican técnicamente mientras los legisladores debaten si posponerlas. Las empresas no conformes no tendrán recurso alguno.

Novedades sustanciales del Digital Omnibus (más allá de los plazos)

El Digital Omnibus no solo ajusta el calendario. Introduce cambios sustanciales que afectan al contenido del AI Act:

Prohibición de deepfakes sexuales y CSAM. A proposición de España, se añade una nueva práctica prohibida: la generación mediante IA de contenido sexual e íntimo no consentido, así como material de abuso sexual infantil. Esta disposición nació a raíz de la polémica con la herramienta Grok (X/Twitter), que permitía generar desnudos no consentidos de cualquier persona, incluidos menores.

Extensión de simplificaciones a small mid-caps. Las empresas con menos de 749 empleados y 150 M€ de facturación se beneficiarán de requisitos de documentación técnica simplificados para sistemas de alto riesgo. Esto afecta a unas 8.250 empresas adicionales en la UE y puede suponer un ahorro de al menos 225 millones de euros.

Suavización de la obligación de AI literacy. La Comisión propuso eliminar la obligación directa de proveedores y deployers de garantizar la formación de su personal. El Parlamento la mantiene pero la suaviza: el verbo pasa de "garantizar" (ensure) a "promover" (promote).

Equivalencia DPIA-FRIA. Cuando la Evaluación de Impacto en Protección de Datos (DPIA) del RGPD sea sustancialmente equivalente, podrá sustituir a la Evaluación de Impacto en Derechos Fundamentales (FRIA) que exige el AI Act. Esto evita la duplicación de evaluaciones para las empresas.

Base jurídica ampliada para datos de sesgo. Se crea una base legal que permite tanto a proveedores como a deployers procesar categorías especiales de datos personales (datos sensibles) con el único fin de detectar y corregir sesgos en los sistemas de IA.

4. Régimen sancionador: las multas que ya son aplicables

Las sanciones del AI Act son superiores incluso a las del RGPD. Y no son futuras: las relativas a prácticas prohibidas ya son aplicables desde febrero de 2025.

Tipo de infracción	Sanción máxima	Aplicable desde
Prácticas prohibidas (Art. 5)	Hasta 35 M€ o 7% de la facturación global anual	2 febrero 2025
Incumplimiento obligaciones alto riesgo	Hasta 15 M€ o 3% de la facturación global anual	2 agosto 2026*
Información incorrecta o engañosa	Hasta 7,5 M€ o 1% de la facturación global anual	2 agosto 2026*

* Fecha sujeta a posible aplazamiento por el Digital Omnibus.

El AI Act tiene alcance extraterritorial: se aplica a cualquier organización, con independencia de dónde tenga su sede, si sus sistemas de IA se utilizan dentro de la UE o producen efectos sobre residentes de la UE. Una empresa estadounidense que use IA para aprobar préstamos a clientes europeos está dentro del ámbito de aplicación.

5. España: la AESIA y las 16 guías de cumplimiento

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, es la primera autoridad nacional de supervisión de IA en la Unión Europea. Tiene poderes sancionadores plenos desde agosto de 2025.

La AESIA ha publicado 16 guías de cumplimiento no vinculantes, desarrolladas a través del sandbox regulatorio español en colaboración con expertos técnicos. Estas guías están organizadas en tres categorías:

Guías introductorias: visión general del Reglamento con ejemplos prácticos de aplicación.
Guías técnicas: cubren cada obligación de alto riesgo individualmente — evaluación de conformidad, sistema de gestión de calidad, gestión de riesgos, supervisión humana, gobernanza de datos, transparencia, precisión, robustez y ciberseguridad.
Manuales con checklists y plantillas: documentos prácticos para implementar cada requisito paso a paso.

Estas guías son actualmente el recurso más completo disponible en español para preparar el cumplimiento del AI Act. Están disponibles en la web de la AESIA (aesia.gob.es).

6. Estrategia de cumplimiento: qué hacer ahora

La recomendación unánime de los expertos europeos —y la nuestra desde LexQuark— es inequívoca:

Prepararse como si agosto de 2026 fuera real. Planificar como si diciembre de 2027 fuera probable.

El Digital Omnibus puede aprobarse, modificarse o rechazarse. Planificar el cumplimiento sobre la esperanza de un retraso no confirmado es asumir un riesgo innecesario. Las prohibiciones y las obligaciones de transparencia ya están en vigor y no se ven afectadas por el Digital Omnibus.

Los 6 pasos para empresas españolas

1️⃣

Mapear todos los sistemas de IA que utiliza, desarrolla, importa o distribuye la organización. Incluir los sistemas de proveedores externos que se usan internamente.

2️⃣

Clasificar cada sistema por nivel de riesgo. Determinar si alguno es de riesgo inaceptable (debe cesar inmediatamente), alto riesgo (Anexo III), riesgo limitado (obligaciones de transparencia) o riesgo mínimo.

3️⃣

Identificar el rol de la organización en relación con cada sistema: proveedor, deployer, importador o distribuidor. Las obligaciones varían significativamente.

4️⃣

Implementar la documentación técnica para sistemas de alto riesgo: sistema de gestión de riesgos, gobernanza de datos, registro de logs, instrucciones de uso y protocolos de supervisión humana.

5️⃣

Revisar los contratos con proveedores de IA. Asegurar que incluyen cláusulas de cumplimiento del AI Act: acceso a documentación técnica, compromiso de conformidad, reparto de responsabilidades.

6️⃣

Establecer un marco de gobernanza de IA: políticas internas, formación del personal (obligación de AI literacy), grupo de trabajo multidisciplinar y alineación con las obligaciones existentes (RGPD, DORA, NIS2).

Para administraciones públicas (ayuntamientos, diputaciones, CCAA)

Las administraciones públicas que utilicen sistemas de IA para decisiones automatizadas — concesión de ayudas, sanciones, asignación de recursos, detección de fraude — son deployers sujetos al AI Act. A las 6 obligaciones anteriores se suma la necesidad de alinear el cumplimiento con la Ley 39/2015 (procedimiento administrativo electrónico), la Ley 40/2015 (régimen jurídico del sector público), el Esquema Nacional de Seguridad (ENS) y el RGPD.

LexQuark ofrece asesoramiento especializado para administraciones públicas en la implementación del AI Act. Más información en nuestra página de servicios para el sector público.

7. El AI Act no viene solo: intersección con RGPD, DORA y NIS2

Uno de los retos más complejos para las empresas españolas es que el AI Act no opera en solitario. Se superpone con al menos cuatro marcos regulatorios que ya están en vigor:

RGPD (Reglamento UE 2016/679): cualquier sistema de IA que procese datos personales debe cumplir simultáneamente ambos reglamentos. La evaluación de impacto del AI Act (FRIA) se suma a la DPIA del RGPD, aunque el Digital Omnibus propone permitir que una DPIA equivalente sustituya a la FRIA.
DORA (Reglamento UE 2022/2554): las entidades financieras (bancos, aseguradoras, gestoras de inversión) que usen IA deben cumplir también con la resiliencia operativa digital que exige DORA. Los sistemas de credit scoring con IA están sujetos a las obligaciones de alto riesgo del AI Act y a los requisitos de continuidad de negocio de DORA.
NIS2 (Directiva UE 2022/2555): las empresas consideradas esenciales o importantes por NIS2 que usen IA en sus operaciones tienen obligaciones de ciberseguridad que se solapan con las del Artículo 15 del AI Act (robustez y ciberseguridad). España aún no ha transpuesto NIS2.
Normativa sectorial existente: Solvencia II para seguros, MiFID II para mercados financieros, MDR para dispositivos médicos. Cada sector añade una capa adicional de obligaciones específicas.

Este solapamiento regulatorio es precisamente lo que hace necesario un asesoramiento jurídico que integre todas las normas aplicables, no solo el AI Act aisladamente. Nuestro análisis del AI Act por sectores económicos profundiza en estas intersecciones.

Preguntas frecuentes sobre el AI Act y el Digital Omnibus

¿El AI Act ya está en vigor en España?

Sí, parcialmente. Las prohibiciones de IA de riesgo inaceptable y la obligación de alfabetización en IA están en vigor desde el 2 de febrero de 2025. Las obligaciones para modelos GPAI se aplican desde el 2 de agosto de 2025. Las obligaciones de alto riesgo (Anexo III) entran en vigor el 2 de agosto de 2026, salvo que el Digital Omnibus las aplace a diciembre de 2027.

¿Qué es el Digital Omnibus y cómo afecta al AI Act?

Es una propuesta legislativa de la Comisión Europea (noviembre 2025) que modifica el AI Act para aplazar las obligaciones de alto riesgo del Anexo III al 2 de diciembre de 2027 y las del Anexo I al 2 de agosto de 2028. El Parlamento Europeo aprobó su posición el 26 de marzo de 2026 con 569 votos a favor. Los trílogos con el Consejo comienzan en abril de 2026. No es ley todavía.

¿Debo preparar mi empresa para agosto de 2026 o esperar a diciembre de 2027?

La recomendación es prepararse como si agosto de 2026 fuera la fecha real. Es el plazo legalmente vinculante hasta que el Digital Omnibus se adopte formalmente. Si se aprueba el aplazamiento, tendrás margen adicional. Si no se aprueba o se retrasan los trílogos, las obligaciones se aplican automáticamente y las empresas no conformes no tendrán recurso alguno.

¿Cuáles son las sanciones por incumplir el AI Act?

Hasta 35 millones de euros o el 7% de la facturación global anual para prácticas prohibidas. Hasta 15 millones o el 3% para incumplimiento de obligaciones de alto riesgo. Hasta 7,5 millones o el 1% para información incorrecta o engañosa. Las sanciones se aplican tanto a empresas de la UE como a empresas de fuera que ofrezcan sistemas de IA en la UE.

¿Qué sistemas de IA se consideran de alto riesgo bajo el Anexo III?

Sistemas utilizados en biometría, infraestructura crítica, educación, empleo y gestión de trabajadores (incluida la selección de personal con IA), acceso a servicios financieros esenciales (credit scoring, evaluación de riesgo de seguros), aplicación de la ley, migración y administración de justicia.

¿Qué ha hecho la AESIA para ayudar a las empresas españolas?

La Agencia Española de Supervisión de la IA (AESIA) ha publicado 16 guías de cumplimiento no vinculantes, organizadas en guías introductorias, guías técnicas por cada obligación de alto riesgo y manuales con checklists y plantillas prácticas. Fueron desarrolladas a través del sandbox regulatorio español.

¿Afecta el AI Act a las administraciones públicas españolas?

Sí. Los ayuntamientos, diputaciones y comunidades autónomas que utilicen sistemas de IA para decisiones automatizadas (concesión de ayudas, sanciones, asignación de recursos) son deployers sujetos al AI Act. Deben cumplir con supervisión humana, auditoría algorítmica y transparencia, además del RGPD, la Ley 39/2015, la Ley 40/2015 y el ENS.

¿Qué novedades introduce el Digital Omnibus además del aplazamiento?

Prohíbe la generación de deepfakes sexuales y material de abuso sexual infantil mediante IA (propuesta de España). Extiende las simplificaciones de pymes a empresas de hasta 749 empleados (small mid-caps). Suaviza la obligación de alfabetización de "garantizar" a "promover". Permite que la DPIA del RGPD sustituya a la FRIA del AI Act cuando sea sustancialmente equivalente. Crea base legal para procesar datos sensibles con el fin de corregir sesgos.

¿Necesita asesoramiento en cumplimiento del AI Act?

LexQuark ofrece asesoramiento especializado en regulación de IA adaptado al sector de actividad de su empresa o administración pública. Evaluación preliminar sin compromiso.

Consultar sin compromiso →

Nota: Este artículo se actualiza periódicamente conforme avanza la tramitación legislativa del Digital Omnibus. Última actualización: 30 de marzo de 2026. La información contenida es de carácter general y no constituye asesoramiento jurídico individualizado. Para un análisis de su situación concreta, contacte con un profesional.

Fuentes legislativas: Reglamento (UE) 2024/1689 — AI Act · Digital Omnibus — Comisión Europea · AESIA — Guías de cumplimiento