EU AI Act omnibus: qué cambió el 7 de mayo de 2026 y qué hacer al respecto

El 7 de mayo de 2026, el Consejo y el Parlamento Europeo alcanzaron un acuerdo político provisional sobre el Digital Omnibus on AI. Las obligaciones de alto riesgo bajo el Anexo III se aplican ahora desde el 2 de diciembre de 2027, y la IA de alto riesgo integrada en productos regulados del Anexo I desde el 2 de agosto de 2028. La adopción formal sigue pendiente, pero la AI Office, la nota de prensa del Consejo y los principales despachos que cubren el acuerdo trabajan ya con estas fechas. Trátalas como tu línea base de planificación.

Aquí está lo que se movió, lo que no, y dónde sigue estando el trabajo de este trimestre.

El nuevo calendario

La arquitectura general del Acto no se movió. Clasificación basada en riesgos, los 4 niveles, el régimen de evaluación de la conformidad, la vía GPAI, el rol de supervisión de la AI Office. Todo eso se queda. Lo que cambió son las fechas de aplicación para las obligaciones de alto riesgo, más el periodo de gracia para la transparencia del Artículo 50(2).

Dos cosas sobre estas fechas que no se ven directamente en la tabla.

Las fechas se aplican independientemente de que las normas armonizadas y la guía de la Comisión estén listas para entonces. El argumento original para el retraso era que las empresas necesitaban acceso a las normas técnicas que la Comisión sigue redactando. El compromiso político fue fijar nuevas fechas igualmente. Si las normas llegan tarde, las fechas no se mueven con ellas.

Y la fecha del watermarking es la obligación viva más cercana. Si entregas cualquier funcionalidad generativa al mercado de la UE, necesitas tener el etiquetado en la UI, la incrustación de metadatos legibles por máquina y la capacidad de detección operativas para el 2 de diciembre de 2026. Eso son unos 7 meses de ingeniería. Planifica en consecuencia.

Se añadió una nueva prohibición al Artículo 5

El acuerdo añade una nueva práctica prohibida bajo el Artículo 5: sistemas de IA que generan imágenes íntimas no consentidas (NCII) o material de abuso sexual infantil (CSAM), incluidas las llamadas apps «nudifier». Existe un safe harbour para sistemas con salvaguardas preventivas efectivas.

Esto no estaba en la propuesta original de la Comisión. Tanto el Consejo como el Parlamento lo impulsaron durante el trílogo. Dos implicaciones prácticas:

• Si proporcionas un modelo de generación de imágenes de propósito general, el diseño del safe harbour debe formar parte de tu documentación de gestión de riesgos. No hay vía de «lo añadiremos después».
• Si construyes apps en cascada sobre el modelo generativo de otra persona, la prohibición igualmente te aplica. Eres el proveedor del sistema de IA que produce la salida, así que las salvaguardas tienen que vivir en algún punto de tu stack también.

Derecho sectorial y el compromiso del Anexo I

La parte más difícil de la negociación fue cómo el AI Act debería interactuar con la legislación existente sobre seguridad de producto. Donde el derecho sectorial ya impone requisitos relevantes para la IA (Reglamento de Máquinas, MDR/IVDR para productos sanitarios, juguetes, ascensores, embarcaciones y otros), la aplicabilidad paralela del AI Act genera doble regulación. Nadie quería eso.

El compromiso tiene 2 partes.

Las máquinas obtienen una exclusión completa de la aplicabilidad directa del AI Act. Los requisitos de salud y seguridad para IA de alto riesgo en productos de maquinaria se añaden mediante actos delegados bajo el propio Reglamento de Máquinas. Los fabricantes de máquinas afrontan un único régimen de evaluación de la conformidad, con requisitos específicos de IA añadidos encima.

Otros sectores del Anexo I obtienen una exclusión condicional mediante actos de ejecución. La Comisión puede limitar la aplicación del AI Act donde el derecho sectorial ya cubre requisitos específicos de IA comparables. La Comisión también asume una nueva obligación: publicar guía que ayude a los operadores de sistemas de IA de alto riesgo en sectores regulados a cumplir sin hacer el trabajo dos veces. Las decisiones reales sobre alcance se difieren a los actos de ejecución de 2027.

Si produces productos regulados con IA fuera del reglamento de máquinas, tu vía exacta de cumplimiento sigue redactándose. Planifica por defecto la aplicabilidad del AI Act. Vigila la senda de los actos de ejecución de 2027 por si hay reducciones de alcance específicas de sector.

Lo que no cambió (las piezas operativamente importantes)

3 puntos sobrevivieron a la ronda de simplificación que la cobertura de titulares mayoritariamente pasará por alto.

Se mantuvo el registro del Artículo 6(3). La Comisión propuso eliminar la obligación de registrar, en la base de datos de la UE, los sistemas de IA que operan en contextos del Anexo III y que los proveedores autoevalúan como no de alto riesgo. Tanto el Consejo como el Parlamento rechazaron la eliminación. La obligación sobrevive en forma simplificada bajo el Anexo VIII Sección B.

La autoevaluación solía ser un memo interno. Ahora es un depósito público. Si decides que tu herramienta de RR. HH., de crédito o biométrica no es de alto riesgo, esa decisión tiene que ir a la base de datos de la UE. Las autoridades nacionales competentes y la AI Office obtienen una lista buscable de decisiones de clasificación al límite, exactamente el tipo de insumo que dispara olas de aplicación temática. El enfoque «clasifico fuera de alcance y espero que nadie se entere» siempre fue arriesgado. Ahora exige una defensa pública de la posición.

Se preservó la estricta necesidad para la corrección de sesgo. La Comisión había propuesto suavizar el estándar de tratamiento de categorías especiales de datos personales para detección de sesgo de «estrictamente necesario» a «necesario». El Parlamento se negó. El estándar de estricta necesidad se queda. Los programas de auditoría de sesgo que procesan datos de raza, salud u orientación sexual siguen necesitando una justificación documentada de estricta necesidad.

Las obligaciones GPAI siguen aplicándose. Los Artículos 51–55 llevan en vigor desde agosto de 2025 y el omnibus no los toca. Los proveedores de modelos de fundación deben seguir trabajando con el GPAI Code of Practice y los umbrales de riesgo sistémico como hasta ahora.

Qué mantener en el plan de trabajo 2026

La tentación, con un retraso de 16 meses, es aflojar en inventario y clasificación. Sería un error, por 2 razones.

El trabajo en sí no se vuelve más fácil con el tiempo. Lo difícil del cumplimiento del AI Act no es la plantilla de documentación. Es encontrar cada sistema de IA en tu organización, decidir en qué categoría del Anexo III cae cada uno y conseguir que producto e ingeniería mantengan el inventario a medida que se entregan nuevos sistemas. Nada de eso depende de que las normas sean finales. Empieza ahora y tienes alrededor de 18 meses para refinar. Empieza a finales de 2027 y tienes semanas, no meses.

El riesgo subyacente tampoco se mueve con las fechas del AI Act. El daño causado por IA en 2026 sigue sometido al derecho sectorial existente: responsabilidad del producto, GDPR, MDR, leyes antidiscriminación, reguladores sectoriales como FCA o BaFin. El omnibus retrasa el reporte formal de incidentes del Artículo 73 y la evaluación de la conformidad. No retrasa la ley de negligencia ni el GDPR.

Tres piezas de trabajo a mantener en marcha este año:

• Inventaria y clasifica cada sistema de IA. Autónomo, embebido, construido internamente, comprado. Todo lo demás depende del inventario. El omnibus no cambia eso.
• Pon en marcha el watermarking y la divulgación de contenido sintético. En vivo para el 2 de diciembre de 2026 si entregas cualquier funcionalidad generativa en la UE. Son 7 meses de ingeniería.
• Decide tu posición del Artículo 5 sobre NCII/CSAM. Generación de imágenes, multimodal, cualquier app aguas abajo que produzca salida. O estás claramente fuera de alcance, o tienes un diseño safe harbour documentado, o dejas de ofrecer la funcionalidad en la UE.

Y tres en los que puedes aflojar:

• Compromiso con organismos notificados para sistemas del Anexo III. Diciembre de 2027 está suficientemente lejos como para que las colas sean reales pero aún no críticas. Mantén el diálogo, retrasa los compromisos de evaluación completa.
• Documentación final de conformidad para sistemas de alto riesgo. Esboza la estructura, rellena el detalle cuando las normas estén más cerca de finales. La Comisión aún tiene que publicar normas armonizadas bajo el Artículo 40.
• Flujos de marcado CE para productos con IA integrada. Espera a los actos de ejecución de 2027 antes de decidir si tu vía sectorial absorbe los requisitos del AI Act o necesitas una vía paralela.

No apuestes por un segundo retraso

¿Podría retrasarse el AI Act otra vez? Probablemente no, y planificar alrededor de la posibilidad no es sensato.

El argumento político del primer aplazamiento se apoyó en la disponibilidad de normas armonizadas y en la presión competitiva del plan Digital Networks de la Comisión. Ambos argumentos están gastados. Las instituciones han mantenido la línea en arquitectura y fechas. Reabrir el expediente otra vez supondría reconocer que el buque insignia de la simplificación ha fracasado.

Una regulación que se retrasa cada vez que se acerca la aplicación pierde su credibilidad como regulación. El Brussels Effect depende de que el AI Act sea un texto vinculante. Las instituciones lo saben, y el encuadre de competitividad del acuerdo actual es el encuadre que defenderán si alguien propone un segundo aplazamiento.

Así que planifica para diciembre de 2027 y agosto de 2028. El trabajo que tiene que pasar antes es el trabajo de este trimestre.

Fuentes

• Nota de prensa del Consejo de la UE, 7 de mayo de 2026
• Hogan Lovells: EU legislators agree to delay for high-risk AI rules
• Travers Smith: EU agrees to delay key AI Act compliance deadlines
• Lewis Silkin: Council and Parliament agree to slim down and delay parts of the EU AI Act

Para ver cómo VerifyWise mapea a cada obligación del AI Act, visita nuestra página de solución de cumplimiento del EU AI Act.