El 2 de agosto de 2026 entra en aplicación la mayor parte del Reglamento Europeo de Inteligencia Artificial (AI Act). Si tu app o tu producto usa IA —generativa, recomendación, biometría, lo que sea— esa fecha te afecta. La buena noticia: el acuerdo provisional del Digital Omnibus (mayo de 2026, pendiente de adopción formal) ha aplazado las obligaciones más pesadas, las de los sistemas de alto riesgo del Anexo III, hasta el 2 de diciembre de 2027. Esta guía separa lo que ya te aplica de lo que puedes planificar con más calma, sin alarmismo y sin restar importancia a lo que toca.
Aviso: las fechas del Digital Omnibus son provisionales hasta su adopción formal. Trátalas como planificación, no como certeza jurídica, y contrasta siempre con asesoría legal.
Las fechas que importan
| Fecha | Qué entra en aplicación |
|---|---|
| 2 feb 2025 | Prácticas de IA prohibidas y obligaciones de alfabetización en IA (ya en vigor) |
| 2 ago 2025 | Obligaciones para modelos de propósito general (GPAI) y reglas de gobernanza (ya en vigor) |
| 2 ago 2026 | Aplicación general del Reglamento y obligaciones de transparencia (art. 50) |
| 2 dic 2026 | Marcado machine-readable de contenido sintético para sistemas ya en el mercado (aplazado desde agosto) |
| 2 ago 2027 | Modelos GPAI puestos en el mercado antes de ago 2025 deben cumplir |
| 2 dic 2027 | Sistemas de alto riesgo del Anexo III (aplazado desde ago 2026 vía Digital Omnibus) |
| 2 ago 2028 | IA embebida en productos regulados del Anexo I (sanitarios, maquinaria, vehículos) |
Primero: qué nivel de riesgo tiene tu sistema
El AI Act no regula "la IA" en bloque, regula por riesgo. Antes de preocuparte por nada, clasifica:
- Riesgo inaceptable (prohibido): manipulación subliminal, social scoring, ciertos usos de biometría. Si caes aquí, no es cuestión de cumplir, es que no puedes lanzarlo.
- Alto riesgo (Anexo III): IA en biometría, infraestructuras críticas, educación, empleo, servicios esenciales o públicos. Aquí están las obligaciones fuertes (documentación técnica, gestión de riesgos, supervisión humana, registros).
- Riesgo limitado: sistemas que interactúan con personas o generan contenido. Obligaciones de transparencia principalmente.
- Riesgo mínimo: la mayoría de las apps. Sin obligaciones específicas más allá de buenas prácticas.
La mayoría de las apps de consumo caen en riesgo limitado o mínimo. Eso cambia por completo el esfuerzo que tienes por delante.
Lo que sí te aplica en agosto de 2026: transparencia
Las obligaciones de transparencia del artículo 50 son las que más equipos de producto tendrán que atender de forma inmediata. En la práctica:
- Si tu sistema interactúa con personas (un chatbot, un asistente), el usuario debe saber que habla con una IA.
- Si tu sistema genera o manipula contenido (texto, imagen, audio, vídeo sintéticos), debes marcarlo como generado artificialmente, en formato machine-readable cuando aplique. Para sistemas que ya estaban en el mercado, ese marcado se aplaza al 2 de diciembre de 2026.
- Deepfakes y contenido que parezca real requieren etiquetado claro.
Son requisitos de producto y de UX tanto como legales: dónde colocas el aviso, cómo marcas la salida, cómo lo registras.
Alto riesgo: por qué ahora tienes más margen
Si tu producto cae en el Anexo III (por ejemplo, una app de RRHH que filtra candidatos, o un sistema usado en educación), las obligaciones son serias: sistema de gestión de riesgos, gobernanza de datos, documentación técnica, transparencia hacia el usuario, supervisión humana y robustez. La novedad de 2026 es el aplazamiento al 2 de diciembre de 2027 vía Digital Omnibus. Eso te da tiempo, pero no excusa: la documentación técnica y la trazabilidad se construyen mejor durante el desarrollo que a posteriori.
Si solo consumes una API de IA (GPAI)
Mucha gente respira aquí: "yo solo llamo a una API de un proveedor". En ese caso eres desplegador (deployer), no proveedor del modelo. El grueso de las obligaciones GPAI recae en quien produce el modelo. Pero ojo: sigues siendo responsable de cómo lo usas, de la transparencia hacia tus usuarios y de no construir un caso de uso prohibido o de alto riesgo sobre esa API.
Qué hacer hoy si construyes apps con IA
Un checklist pragmático, sin consultoras de por medio:
- Inventaría dónde usas IA en tu producto y con qué finalidad.
- Clasifica cada uso por nivel de riesgo. La mayoría será mínimo o limitado.
- Resuelve la transparencia ya: avisos de "esto es IA" y marcado de contenido sintético.
- Documenta qué modelos usas, de quién y para qué. Si algún día escalas a alto riesgo, lo agradecerás.
- Registra las decisiones de la IA que afecten a personas (observabilidad y trazas).
- Forma a tu equipo: la alfabetización en IA ya es obligatoria desde febrero de 2025.
Cuándo NO necesitas obsesionarte con esto
Coherentes con cómo trabajamos, lo decimos sin rodeos: si tu app usa IA de forma mínima —una búsqueda semántica, una recomendación de contenido sin impacto significativo en derechos— no necesitas montar un programa de cumplimiento de alto riesgo. Clasifica bien, cumple transparencia y sigue construyendo. El error caro es el contrario al que la gente teme: no es "me he pasado de cauto", es paralizarse o, peor, asumir que no aplica nada y descubrir tarde que el chatbot necesitaba un aviso.
Cómo lo vemos en Dribba
En Dribba construimos producto digital desde 2011 con equipo senior in-house, y cuando integramos IA en una app lo hacemos con la trazabilidad y la transparencia incorporadas en la arquitectura, no pegadas al final. Eso significa registrar qué modelo decidió qué, exponer al usuario que está ante una IA y diseñar el marcado de contenido sintético como parte del producto. Si estás integrando IA generativa, nuestra guía de RAG y LLMs en apps empresariales y la de observabilidad cubren buena parte de los cimientos que el AI Act acaba exigiendo.
Conclusión
El AI Act no es un muro, es un calendario. La mayoría de las apps caen en riesgo limitado o mínimo y su trabajo real es transparencia: decir cuándo hay una IA detrás y marcar lo que genera. Las obligaciones pesadas de alto riesgo se han aplazado a diciembre de 2027, lo que da margen para hacerlo bien en vez de deprisa. Clasifica tu uso, resuelve la transparencia antes de agosto de 2026 y documenta sobre la marcha.
¿No tienes claro en qué nivel de riesgo cae tu producto o cómo incorporar la trazabilidad sin frenar el desarrollo? Habla con nuestro equipo.
