2 de agosto de 2026: La fecha límite de la Ley de IA de la UE para sistemas de alto riesgo que las empresas no pueden ignorar

NewsPals · Jun 12, 2026

Los artículos 9 al 17 son ejecutables en semanas, no en años. Esto es lo que las obligaciones de documentación realmente exigen y por qué la propuesta de demora de la Comisión no cambia nada.

La Comisión Europea presentó una propuesta en noviembre de 2025 para posponer ciertos plazos de la Ley de IA de la UE hacia finales de 2027. Esa propuesta no fue convertida en ley. Las empresas que la archivaron bajo "posible alivio regulatorio" deben recuperarla, marcarla como "no aprobada" y abrir el reglamento en su lugar. El 2 de agosto de 2026 sigue siendo la fecha de aplicación vinculante para las obligaciones relativas a sistemas de IA de alto riesgo, y la ventana de cumplimiento no se está reduciendo en un sentido abstracto y futuro: se está reduciendo ahora mismo.

Qué cubre realmente el plazo

La fecha del 2 de agosto de 2026 activa un conjunto escalonado de obligaciones, no una simple casilla de verificación. Según la nota de investigación de marzo de 2026 de la Iniciativa de Seguridad en IA de Cloud Security Alliance, esa fecha pone en vigor los Artículos 9 al 17 para los proveedores y el Artículo 26 para los implementadores. El Artículo 9 exige un sistema de gestión de riesgos que se mantenga durante todo el ciclo de vida del sistema de IA. Los Artículos 10 al 17 cubren, en secuencia: gobernanza de datos, documentación técnica, mantenimiento de registros, transparencia hacia los implementadores, mecanismos de supervisión humana, precisión, robustez y ciberseguridad. El Artículo 26 impone obligaciones equivalentes a las organizaciones que implementan estos sistemas en lugar de desarrollarlos.

La amplitud es precisamente el punto clave. Esto no es una casilla de divulgación ni un banner de cookies. Es un régimen de documentación que llega hasta la forma en que se obtuvieron, examinaron y gestionaron los datos de entrenamiento antes de que se realizara una sola inferencia. La clasificación como sistema de alto riesgo se deriva del Artículo 6 y del Anexo III de la Ley, tal como se establece en el texto oficial de la Ley de Inteligencia Artificial de la UE. Los sistemas que operan en los ámbitos del empleo, la calificación crediticia, el cumplimiento de la ley, la biometría y los servicios privados esenciales se enumeran como categorías dentro del alcance, según la investigación de Cloud Security Alliance. Baker Botts señaló en su actualización para clientes de marzo de 2026 que las sanciones por incumplimiento pueden llegar a 15 millones de euros o hasta el 3 por ciento de la facturación anual global, la cifra que sea mayor. Ese cálculo importa a cualquier empresa que utilice IA en un sector regulado, independientemente de si sus asesores legales han emitido o no una opinión formal al respecto.

El problema con la cadena de datos de entrenamiento

De todas las obligaciones contenidas en los Artículos 9 al 17, el Artículo 10 es el que sorprende a las empresas sin preparación con mayor frecuencia. Exige que los conjuntos de datos de entrenamiento, validación y prueba cumplan criterios de calidad definidos, sean examinados en busca de posibles sesgos, y sean relevantes, suficientemente representativos y libres de errores para el fin al que se destinan. McKenna Consultants, escribiendo específicamente sobre la preparación técnica para el plazo de agosto de 2026, plantea que esto exige a las empresas auditar no solo el modelo, sino también la cadena de datos de origen: de dónde provienen los datos, qué examen recibieron y si esa gobernanza fue documentada en tiempo real o reconstruida después del hecho.

La documentación reconstruida no es lo mismo que la documentación mantenida, y los auditores conocen la diferencia. La dificultad práctica radica en que muchas empresas adquirieron datos de entrenamiento a través de proveedores externos o heredaron cadenas de datos de versiones anteriores del producto. Ninguna de esas circunstancias exime al proveedor de las obligaciones del Artículo 10. McKenna Consultants señala que los proveedores deben poder demostrar las decisiones de gobernanza de datos en cada etapa de la cadena, lo que significa que la auditoría no es un evento puntual, sino un registro continuo que ya debería existir. Para las organizaciones que aún no han comenzado este trabajo, la evaluación honesta es que van atrasadas.

La obligación del implementador que pasa desapercibida

La mayoría de los comentarios sobre cumplimiento se centran en los proveedores: las organizaciones que desarrollan y comercializan sistemas de IA de alto riesgo. Las obligaciones del Artículo 26 para los implementadores reciben menos atención y son sistemáticamente subestimadas. La nota de investigación de Cloud Security Alliance es explícita en que el Artículo 26 vincula a las organizaciones que utilizan estos sistemas, no solo a los proveedores que los suministran. Los implementadores deben asegurarse de que los sistemas se utilicen conforme a las instrucciones del proveedor, asignar supervisión humana, monitorear riesgos no identificados en la documentación original y mantener registros de operación cuando sea técnicamente viable.

Una empresa que adquiere un sistema de IA de alto riesgo de un proveedor y se considera a sí misma como un consumidor pasivo de ese producto está interpretando mal el reglamento. La obligación del implementador es de carácter sustantivo y no puede transferirse al proveedor mediante un contrato estándar de software. Aquí es donde la revisión de los contratos con proveedores se vuelve urgente. Cualquier acuerdo que carezca de una asignación explícita de las responsabilidades del Artículo 26, compromisos de registro e obligaciones de notificación de incidentes deberá renegociarse o complementarse antes del 2 de agosto de 2026. Los equipos legales que han estado esperando orientación adicional por parte de las autoridades nacionales competentes antes de actuar están, a estas alturas, esperando algo que no llegará antes de que comience la aplicación.

Qué hacer con el tiempo que queda

La Iniciativa de Seguridad en IA de Cloud Security Alliance, en su investigación de marzo de 2026, caracteriza los programas de cumplimiento de muchas empresas como "incipientes", lo cual es una forma diplomática de decir que la mayoría de las organizaciones no están preparadas. Los pasos que quedan son concretos, no filosóficos. Los proveedores necesitan un sistema de gestión de riesgos completado conforme al Artículo 9, una gobernanza documentada de los datos de entrenamiento conforme al Artículo 10, y documentación técnica que satisfaga los Artículos 11 al 17. Los implementadores deben revisar cada sistema dentro del alcance frente a la lista de verificación del Artículo 26, actualizar los contratos con proveedores y designar por escrito las responsabilidades de supervisión humana.

Ninguno de los dos conjuntos de obligaciones se satisface con un documento de política que describe intenciones. La Ley exige evidencia operativa. Para quienes desarrollan o implementan IA en sectores regulados y leen esto como una señal para comenzar: la ventana es estrecha, pero no está cerrada. La propuesta de aplazamiento de la Comisión que no fue aprobada no es completamente irrelevante; señala que la postura de aplicación en los primeros meses podría permitir cierta flexibilidad para quienes estén en proceso de cumplimiento, aunque no se ha publicado ninguna orientación oficial al respecto. Planificar tomando el 2 de agosto de 2026 como fecha definitiva y tratar cualquier flexibilidad posterior como un beneficio adicional es la única postura defendible. Siga de cerca a la Oficina Europea de IA para obtener orientación sobre la aplicación a medida que se acerca la fecha, y a las autoridades nacionales competentes para conocer las interpretaciones sectoriales específicas, especialmente en los ámbitos del empleo y los servicios financieros, donde las preguntas sobre el alcance del Anexo III siguen abiertas.

Fuentes