Qué cambia y qué no cambia con el Digital Omnibus, y a quién beneficia el nuevo calendario
El pasado 29 de junio, el Consejo de la Unión Europea dio la aprobación final al Digital Omnibus on AI, consolidando la primera gran reforma del Reglamento de Inteligencia Artificial (Reglamento UE 2024/1689) antes de que sus obligaciones más estrictas lleguen a aplicarse.
Con este paso, el Reglamento de Inteligencia Artificial (Reglamento UE 2024/1689) la parte más exigente de su contenido, las obligaciones para los sistemas de alto riesgo, no van a llegar a aplicarse un solo día. El Parlamento Europeo había dado ya su visto bueno el 16 de junio. Queda un trámite: la publicación en el Diario Oficial de la Unión Europea, prevista para las próximas semanas y, en cualquier caso, antes del 2 de agosto de 2026. Tres días después de esa publicación, el texto reformado entra en vigor.
Ahora mismo, la ley vigente sigue siendo, en sentido estricto, el AI Act tal como se aprobó en 2024. La precisión importa porque buena parte de lo que se ha escrito sobre este cambio da por aplazadas obligaciones que, mientras el Diario Oficial no publique el texto, siguen siendo exigibles según el calendario original. Quien planifique el cumplimiento de su organización sobre una fecha todavía no publicada asume un riesgo evitable.
El recorrido legislativo explica por qué ha costado tanto cerrarlo. La Comisión Europea presentó la propuesta el 19 de noviembre de 2025, dentro del paquete más amplio de simplificación digital conocido como Ómnibus VII.
El Consejo fijó su posición negociadora el 13 de marzo de 2026 y el Parlamento aprobó su mandato el 26 de marzo. El segundo trílogo, celebrado el 28 de abril, terminó sin acuerdo: las instituciones no lograron cerrar la fórmula exacta del aplazamiento. El pacto llegó nueve días después, en la madrugada del 7 de mayo, con fechas fijas que sustituyeron el mecanismo condicional propuesto inicialmente por la Comisión, que vinculaba la entrada en vigor del alto riesgo a la confirmación de que los estándares técnicos estaban listos. La sustitución no es un detalle menor: da certeza sobre cuándo empieza a regir el alto riesgo, en lugar de dejarlo abierto a que la propia Comisión decida cuándo están preparadas las piezas que faltan.
El cambio con mayor recorrido práctico afecta al calendario de los sistemas de alto riesgo del Anexo III: selección y evaluación de personal, scoring crediticio, acceso a prestaciones sociales, evaluación de riesgo en seguros de vida y salud, identificación biométrica, evaluación educativa y determinadas herramientas usadas por autoridades judiciales, policiales y de control de fronteras. Esas obligaciones debían empezar a aplicarse el 2 de agosto de 2026. El Digital Omnibus las traslada al 2 de diciembre de 2027, dieciséis meses después. Los sistemas de alto riesgo integrados en productos ya regulados (dispositivos médicos, maquinaria, juguetes, ascensores), del Anexo I, pasan del 2 de agosto de 2027 al 2 de agosto de 2028.
Lo que no se mueve es tan revelador como lo que se mueve. Las prácticas prohibidas del artículo 5 llevan en vigor desde febrero de 2025. La obligación de alfabetización en IA del personal, vigente desde la misma fecha, se reformula: pasa de exigir un nivel elevado de capacitación a exigir que la empresa adopte medidas apropiadas, una obligación de medios y no de resultado.
El cambio con mayor recorrido práctico afecta al calendario de los sistemas de alto riesgo del Anexo III: selección y evaluación de personal, scoring crediticio, acceso a prestaciones sociales, evaluación de riesgo en seguros de vida y salud, identificación biométrica, evaluación educativa y determinadas herramientas usadas por autoridades judiciales, policiales y de control de fronteras. Esas obligaciones debían empezar a aplicarse el 2 de agosto de 2026. El Digital Omnibus las traslada al 2 de diciembre de 2027, dieciséis meses después. Los sistemas de alto riesgo integrados en productos ya regulados (dispositivos médicos, maquinaria, juguetes, ascensores), del Anexo I, pasan del 2 de agosto de 2027 al 2 de agosto de 2028.
Lo que no se mueve
Lo que no se mueve es tan revelador como lo que se mueve. Las prácticas prohibidas del artículo 5 llevan en vigor desde febrero de 2025. La obligación de alfabetización en IA del personal, vigente desde la misma fecha, se reformula: pasa de exigir un nivel elevado de capacitación a exigir que la empresa adopte medidas apropiadas, una obligación de medios y no de resultado.
El régimen de gobernanza de los modelos de propósito general y el sistema sancionador se aplican desde agosto de 2025; en España, la AESIA ya puede investigar y sancionar incumplimientos. Y la mayoría de las obligaciones de transparencia del artículo 50 (avisar de que se interactúa con un chatbot, identificar el contenido generado por IA, informar sobre sistemas de reconocimiento de emociones o de categorización biométrica) siguen fijadas en el 2 de agosto de 2026, sin cambios.
Solo el marcado técnico del contenido sintético, el artículo 50.2, tiene un matiz temporal: los sistemas ya presentes en el mercado antes de agosto de 2026 disponen de un período de gracia hasta el 2 de diciembre de 2026, tres meses menos de lo que la Comisión había propuesto en un primer momento.
Solo el marcado técnico del contenido sintético, el artículo 50.2, tiene un matiz temporal: los sistemas ya presentes en el mercado antes de agosto de 2026 disponen de un período de gracia hasta el 2 de diciembre de 2026, tres meses menos de lo que la Comisión había propuesto en un primer momento.
El Omnibus añade además una prohibición que no existía: quedan vetados los sistemas diseñados para generar contenido sexual o íntimo de personas identificables sin su consentimiento, incluidas las llamadas aplicaciones de nudificación, y los que generen material de abuso sexual infantil. Esa prohibición entra en vigor el 2 de diciembre de 2026 y alcanza tanto a quien coloca esos sistemas en el mercado como a quien los usa con ese fin. Es la medida más concreta de todo el paquete, y llega en el momento en que debía llegar.
El resto del paquete tiene menos que ver con proteger a las personas y más con aliviar a las empresas. Amplía las exenciones administrativas para las pequeñas empresas de mediana capitalización, permite un uso más amplio de datos personales sensibles para detectar y corregir sesgos algorítmicos, y retira la IA integrada en maquinaria del ámbito directo del Reglamento para regularla mediante actos delegados bajo la normativa de maquinaria.
El resto del paquete tiene menos que ver con proteger a las personas y más con aliviar a las empresas. Amplía las exenciones administrativas para las pequeñas empresas de mediana capitalización, permite un uso más amplio de datos personales sensibles para detectar y corregir sesgos algorítmicos, y retira la IA integrada en maquinaria del ámbito directo del Reglamento para regularla mediante actos delegados bajo la normativa de maquinaria.
La Oficina Europea de IA, hasta ahora limitada a supervisar los modelos de propósito general y los sistemas construidos por el mismo proveedor que desarrolló el modelo, gana competencia sobre cualquier sistema basado en esos modelos, con excepciones para las autoridades de seguridad, control de fronteras, justicia y entidades financieras, que mantienen su propio régimen de supervisión nacional. También se aplaza un año, hasta agosto de 2027, la obligación de los Estados miembros de tener operativo al menos un espacio controlado de pruebas.
Conviene detenerse en qué tipo de sistemas quedan dentro de ese aplazamiento de dieciséis meses. No son juguetes ni ascensores. Son las herramientas que deciden si una persona supera el primer filtro de un proceso de selección, qué puntuación de rendimiento recibe, si un banco le concede un préstamo, si una aseguradora la clasifica como riesgo alto, si accede a una prestación social o si un sistema biométrico la identifica correctamente. Son los mismos usos de la IA que este blog analizó hace unos meses al revisar la gestión algorítmica del trabajo.
Aquellas obligaciones (transparencia sustantiva sobre el funcionamiento del sistema, supervisión humana de las decisiones relevantes, auditorías periódicas, mecanismos de recurso para la persona afectada) no se exigirán hasta diciembre de 2027. Durante los próximos diecisiete meses, la gestión algorítmica del empleo, del crédito y del acceso a prestaciones sociales sigue operando, en la práctica, con las mismas reglas laxas de antes del Reglamento.
A quién protege el calendario original
Conviene detenerse en qué tipo de sistemas quedan dentro de ese aplazamiento de dieciséis meses. No son juguetes ni ascensores. Son las herramientas que deciden si una persona supera el primer filtro de un proceso de selección, qué puntuación de rendimiento recibe, si un banco le concede un préstamo, si una aseguradora la clasifica como riesgo alto, si accede a una prestación social o si un sistema biométrico la identifica correctamente. Son los mismos usos de la IA que este blog analizó hace unos meses al revisar la gestión algorítmica del trabajo.
Aquellas obligaciones (transparencia sustantiva sobre el funcionamiento del sistema, supervisión humana de las decisiones relevantes, auditorías periódicas, mecanismos de recurso para la persona afectada) no se exigirán hasta diciembre de 2027. Durante los próximos diecisiete meses, la gestión algorítmica del empleo, del crédito y del acceso a prestaciones sociales sigue operando, en la práctica, con las mismas reglas laxas de antes del Reglamento.
El patrón no es nuevo para quien ha seguido este espacio. La Comisión Europea ha presentado desde febrero de 2025 diez paquetes Ómnibus de supuesta simplificación normativa: sostenibilidad, inversión, agricultura, pequeñas empresas, digitalización, defensa, productos químicos, medio ambiente, automoción y seguridad alimentaria. El de sostenibilidad, ya analizado en este blog, redujo el número de empresas obligadas a reportar bajo la CSRD y suavizó el calendario de la CSDDD. El de IA repite la misma lógica con un argumento distinto: no faltaba voluntad política, faltaban estándares armonizados, organismos notificados y autoridades nacionales operativas. Ese argumento tiene una parte cierta. Exigir a las empresas obligaciones de alto riesgo sin normas técnicas que definan cómo cumplirlas genera inseguridad jurídica real, y varias piezas de esa infraestructura llevaban meses de retraso.
Pero el argumento técnico no explica por qué la respuesta ha sido aplazar la exigencia y no acelerar la infraestructura. La Unión Europea ha dispuesto de dos años, desde agosto de 2024, para preparar las normas armonizadas, designar autoridades competentes, habilitar organismos notificados y poner en marcha las bases de datos necesarias.
El retraso en esa preparación es un fallo de ejecución de las propias instituciones europeas. La respuesta que han dado traslada el coste de ese fallo a quienes debían beneficiarse de la protección, no a quienes debían construir el andamiaje que la hace posible. Dieciséis meses es mucho tiempo para una persona que hoy es evaluada, contratada o descartada por un sistema que, cuando el aplazamiento entre en vigor, no tendrá que rendir cuentas ante nadie hasta finales de 2027.
Cronograma de la Ley de Inteligencia Artificial: Cambios y Obligaciones Vigentes
Ámbito de aplicación Fecha de efecto Detalles clave Nuevas fechas (Aplazamientos) Sistemas del Anexo III 2 de diciem. de 2027 Sistemas de alto riesgo (selección de personal, scoring crediticio, biometría y educación). Retraso de dieciséis meses respecto a la previsión inicial. Sistemas del Anexo I 2 de agosto de 2028 IA integrada en productos específicos (dispositivos médicos y maquinaria industrial). Espacios controlados de pruebas Agosto de 2027 Plazo límite para que los Estados miembros tengan operativos estos entornos operativos. Aplazamiento de un año. Disposiciones que mantienen el cronograma Prohibiciones generales (Art. 5) Febrero de 2025 Restricciones ya aplicables a prácticas de IA consideradas inaceptables. Alfabetización en IA Febrero de 2025 Obligación en vigor. El Omnibus suaviza la exigencia de capacitación elevada y requiere la adopción de medidas apropiadas. Modelos de propósito general y sanciones Agosto de 2025 Régimen de control y penalizaciones plenamente aplicable. Obligaciones de transparencia (Art. 50) 2 de agosto de 2026 Obligación de identificar chatbots y contenidos generados mediante inteligencia artificial. Nueva prohibición específica 2 de diciembre de 2026 Entrada en vigor de la prohibición contra sistemas diseñados para generar material de abuso sexual infantil o contenido sexual íntimo no consentido (nudificación).
Impacto social y judicial
Este aplazamiento implica que herramientas críticas que deciden sobre procesos de contratación o acceso a prestaciones sociales operarán bajo reglas laxas durante diecisiete meses adicionales. Esta situación es especialmente relevante en España, donde la sentencia del Tribunal Superior de Justicia de Castilla y León de febrero de 2026 (que avaló un despido por sustitución de IA ante la falta de un marco regulador específico) seguirá marcando el estado de la cuestión hasta finales de 2027.
Este patrón de simplificación normativa ya se viene observando en otros paquetes Ómnibus de la Comisión presentados desde 2025, como los de sostenibilidad (CSRD/CSDDD), donde los ajustes tienden a aliviar la carga de cumplimiento de las empresas a costa de aplazar la protección efectiva de las personas.#InteligenciaArtificial #AIAct #DerechosDigitales #RegulaciónIA #UniónEuropea #DigitalOmnibus #AIRegulation #TechPolicy #DerechosHumanos #IA
