Ómnibus Digital de la Ley de IA de la UE: qué significa realmente el aplazamiento de 2027
El Ómnibus Digital de la Ley de IA de la UE (mayo de 2026) aplaza los plazos de alto riesgo a diciembre de 2027 y agosto de 2028. Las obligaciones del Artículo 5, de la GPAI y del Art. 50 no cambian.
El 19 de noviembre de 2025, la Comisión Europea presentó el Ómnibus Digital — un paquete legislativo que modifica simultáneamente varios reglamentos digitales de la UE para reducir las cargas de cumplimiento, en particular para las organizaciones más pequeñas. Para cualquiera con una hoja de ruta de cumplimiento de la Ley de IA de la UE, una modificación destaca por encima de todo lo demás: el plazo de alto riesgo se desplazó, y lo hizo de forma significativa.
Qué es el Ómnibus Digital
El Ómnibus Digital es una propuesta de la Comisión (COM(2025) 820) que modifica múltiples reglamentos de la economía digital de la UE en un único instrumento — entre ellos el Reglamento (UE) 2024/1689, la Ley de IA de la UE. Su justificación declarada es que las normas armonizadas y la orientación de supervisión para los sistemas de IA de alto riesgo no estaban listas a tiempo para que las organizaciones cumplieran con la fecha original de agosto de 2026. En lugar de exigir a las empresas el cumplimiento de obligaciones que no podían demostrar en la práctica, la Comisión propuso, y el Parlamento Europeo y el Consejo acordaron, aplazar los plazos de alto riesgo.
El acuerdo político entre el Parlamento y el Consejo se alcanzó el 7 de mayo de 2026. La adopción formal se espera antes del 2 de agosto de 2026. Trata estas fechas como firmes; el acuerdo político es vinculante a efectos de planificación incluso antes de la publicación en el Diario Oficial.
Los dos nuevos plazos de alto riesgo
El Ómnibus Digital convierte lo que originalmente eran disposiciones transitorias de seguridad en fechas de aplicación fijas y vinculantes:
2 de diciembre de 2027 — Sistemas de IA de alto riesgo autónomos. Son sistemas de IA que entran directamente en el Anexo III del Reglamento: sistemas utilizados para decisiones de selección de personal y de RR. HH. (Anexo III, punto 4), evaluación de la solvencia y calificación crediticia (punto 5, letra b)), identificación y categorización biométrica (punto 1), seguridad de las infraestructuras críticas (punto 2), educación y formación profesional (punto 3), acceso a servicios públicos y privados esenciales (punto 5), garantía del cumplimiento del Derecho (punto 6), migración y control fronterizo (punto 7) y administración de justicia y procesos democráticos (punto 8).
2 de agosto de 2028 — Sistemas de IA de alto riesgo que son componentes de seguridad de productos ya cubiertos por la legislación de la UE sobre seguridad de los productos enumerada en el Anexo I del Reglamento (productos sanitarios con arreglo al MDR/IVDR, máquinas, juguetes, ascensores y otros). Estos sistemas siguen la vía de integración en productos del Anexo I con arreglo al Artículo 6, apartado 1, con una evaluación de la conformidad integrada y el plazo más largo.
Ambas fechas sustituyen a la fecha original del 2 de agosto de 2026. Puedes referirte al 2 de agosto de 2026 únicamente como la fecha que ha quedado superada — nunca como un plazo de alto riesgo vigente.
Qué no cambió
El aplazamiento es preciso. Tres hitos anteriores permanecen intactos:
Prohibiciones del Artículo 5 — 2 de febrero de 2025 (ya en vigor). Las prácticas prohibidas del Reglamento llevan más de un año vigentes. Los sistemas que realizan puntuación social por parte de las autoridades públicas (Artículo 5, apartado 1, letra c)), manipulan a los usuarios mediante técnicas subliminales (apartado 1, letra a)), explotan las vulnerabilidades de grupos específicos (apartado 1, letra b)), realizan predicciones de comisión de delitos basándose únicamente en la elaboración de perfiles (apartado 1, letra d)), extraen imágenes faciales de internet o de CCTV a gran escala (apartado 1, letra e)), infieren emociones en el lugar de trabajo o en centros educativos (apartado 1, letra f)), clasifican a las personas por características sensibles a partir de datos biométricos (apartado 1, letra g)) o realizan identificación biométrica remota en tiempo real en espacios públicos para la garantía del cumplimiento del Derecho salvo en casos estrictamente permitidos (apartado 1, letra h)) — estos ya están prohibidos. Multa máxima: 35 000 000 EUR o el 7 % del volumen de negocios mundial, si esta última cifra es mayor (Artículo 99, apartado 3). El Ómnibus Digital no toca el Artículo 5.
Obligaciones de la GPAI — 2 de agosto de 2025 (ya en vigor). El Capítulo V del Reglamento, que cubre los modelos de IA de uso general, se aplica desde agosto de 2025. El Artículo 53 impone obligaciones de base a todos los proveedores de modelos GPAI: documentación técnica, información posterior para los responsables del despliegue, una política de derechos de autor y un resumen de los datos de entrenamiento. El Artículo 55 añade requisitos más pesados para los proveedores de modelos GPAI con riesgo sistémico — evaluación del modelo, pruebas adversariales, notificación de incidentes a la Oficina de IA, medidas de ciberseguridad. El aplazamiento de alto riesgo del Ómnibus Digital no afecta al Capítulo V. Si tu organización proporciona o integra un modelo GPAI, esas obligaciones están vigentes ya.
Transparencia de riesgo limitado del Artículo 50 — 2 de agosto de 2026 (sin cambios). Esta disposición exige la divulgación cuando los usuarios interactúan con sistemas de IA (chatbots, interfaces de voz), cuando la IA genera medios sintéticos (deepfakes, texto generado por IA en contextos de interés público) y cuando los sistemas utilizan reconocimiento de emociones o categorización biométrica. El Artículo 50 se aplica a partir del 2 de agosto de 2026. El Ómnibus Digital no lo aplazó.
Alfabetización en IA del Artículo 4 — 2 de febrero de 2025 (ya en vigor). Todas las organizaciones que despliegan IA deben garantizar que el personal tenga la suficiente alfabetización en IA para sus funciones. Sin umbral, sin exención por tamaño, sin prórroga.
El calendario revisado de un vistazo
| Fecha | Obligación | Estado |
|---|---|---|
| 2 de febrero de 2025 | Prácticas prohibidas (Artículo 5); alfabetización en IA (Artículo 4) | En vigor |
| 2 de agosto de 2025 | Obligaciones de la GPAI (Artículos 51 a 55); gobernanza/Oficina de IA; sanciones (Artículo 99) | En vigor |
| 2 de agosto de 2026 | Aplicación general del Reglamento; transparencia de riesgo limitado (Artículo 50) | Sin cambios |
| 2 de diciembre de 2027 | Sistemas autónomos de alto riesgo del Anexo III — obligaciones completas del Capítulo III | Aplazado (era agosto de 2026) |
| 2 de agosto de 2028 | IA de alto riesgo integrada en productos regulados del Anexo I | Aplazado (era agosto de 2026) |
Por qué se produjo el aplazamiento
El razonamiento oficial importa para entender lo que la Comisión espera ahora. Las normas técnicas armonizadas con arreglo al Reglamento no se adoptaron en el momento en que se necesitaban para que los proveedores realizaran las evaluaciones de la conformidad frente a ellas. La orientación de supervisión de la Oficina de IA y las plantillas para la documentación técnica con arreglo al Anexo IV también llegaron más tarde de lo previsto. Ampliar el plazo fue un reconocimiento de que la infraestructura regulatoria no estaba lista, no una señal de que las obligaciones subyacentes sean menos serias.
La Comisión fue explícita: esto es tiempo para prepararse, no tiempo para aplazar. El aplazamiento no reduce el paquete de documentación técnica del Artículo 11 / Anexo IV que debes producir, el sistema de gestión de riesgos del Artículo 9 que debes mantener, los mecanismos de supervisión humana del Artículo 14 que debes diseñar ni la evaluación de la conformidad del Artículo 43 que debes completar antes de que tu sistema salga al mercado. Te da más margen. No te da un recorrido más corto.
Qué significa en la práctica
La documentación lleva meses. Para un único sistema de IA de alto riesgo — por ejemplo, una herramienta de RR. HH. que criba candidaturas a un empleo (Anexo III, punto 4, letra a)) — la documentación técnica del Artículo 11 / Anexo IV por sí sola exige recoger la descripción general del sistema, las especificaciones de diseño, la metodología de desarrollo, la gobernanza de los datos de entrenamiento con arreglo al Artículo 10, los registros de gestión de riesgos con arreglo al Artículo 9, el plan de vigilancia poscomercialización con arreglo al Artículo 72 y una declaración UE de conformidad del Anexo V con arreglo al Artículo 47. Si tienes diez sistemas de IA que tocan casos de uso del Anexo III, el trabajo es paralelo, no secuencial.
El aplazamiento desplazó el 2 de diciembre de 2027 de «inminente» a «a dieciocho meses vista» — pero solo a finales de 2025. Hoy, a fecha de junio de 2026, está a dieciocho meses. Un programa realista de cumplimiento de alto riesgo para una organización de tamaño medio lleva de doce a dieciocho meses ejecutarlo: inventario y clasificación, diseño del sistema de gestión de riesgos, revisión de la gobernanza de datos, redacción del expediente técnico, evaluación de la conformidad interna, registro en la base de datos de IA de la UE con arreglo al Artículo 49. Eso no deja margen si empiezas a finales de 2026.
Las empresas que trataron agosto de 2026 como su plazo y ya habían comenzado la preparación están en una posición más sólida que las que trataron el aplazamiento como un permiso para reiniciar el reloj. Si estabas elaborando documentación y luego la pausaste cuando se anunció el Ómnibus, retómala.
La clasificación sigue siendo el primer paso
El Ómnibus no cambia cómo se clasifican los sistemas. El Artículo 6 y el Anexo III siguen siendo la puerta de clasificación. Un sistema que entra en un ámbito del Anexo III es de alto riesgo — sujeto al filtro del Artículo 6, apartado 3, que permite a los proveedores argumentar que un sistema no es de alto riesgo si no plantea un riesgo significativo de perjuicio y cumple una de cuatro condiciones definidas (tarea procedimental limitada; mejora de una actividad humana previamente realizada; detección de patrones sin sustituir la evaluación humana; trabajo preparatorio). Cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo, en cualquier caso.
Clasificar correctamente sigue siendo la primera tarea, y es la de mayor trascendencia. Un proveedor que clasifica erróneamente un sistema de alto riesgo como de riesgo limitado afronta la sanción completa por incumplimiento del Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor. El aplazamiento no reduce esa exposición — solo desplaza la fecha en la que debes cumplir.
Cómo ayuda Confir
El módulo de clasificación de Confir codifica el Artículo 6 y la lógica completa del Anexo III como reglas deterministas. Respondes a preguntas en lenguaje sencillo sobre la finalidad y el contexto de tu sistema; Confir deriva el nivel de riesgo y tu rol (proveedor con arreglo al Artículo 16 o responsable del despliegue con arreglo al Artículo 26) a partir de esas respuestas. La misma admisión produce siempre la misma conclusión — reproducible, legible para humanos, defendible ante auditoría.
Una vez que un sistema se clasifica como de alto riesgo, Confir impulsa el programa de documentación estructurada: los registros de gestión de riesgos del Artículo 9, el paquete de documentación técnica del Artículo 11 / Anexo IV, la evaluación de impacto relativa a los derechos fundamentales del Artículo 27 para los responsables del despliegue que reúnan los requisitos y la declaración UE de conformidad del Artículo 47 / Anexo V — todo en un único flujo de trabajo.
Preguntas frecuentes
¿Qué es el Ómnibus Digital y qué cambió para la Ley de IA de la UE? El Ómnibus Digital es una propuesta de la Comisión Europea (19 de noviembre de 2025) que modifica simultáneamente varios reglamentos digitales de la UE. Para la Ley de IA de la UE, desplazó el plazo de cumplimiento de alto riesgo del 2 de agosto de 2026 al 2 de diciembre de 2027 para los sistemas autónomos del Anexo III y al 2 de agosto de 2028 para la IA de alto riesgo integrada en productos regulados del Anexo I. El acuerdo político entre el Parlamento y el Consejo se alcanzó el 7 de mayo de 2026; la adopción formal se espera antes del 2 de agosto de 2026.
¿Se aplica el aplazamiento a las prácticas prohibidas del Artículo 5? No. Las prohibiciones del Artículo 5 están en vigor desde el 2 de febrero de 2025. El Ómnibus Digital no amplió ni modificó ese calendario. Si algún sistema de tu cartera toca las categorías prohibidas — puntuación social, manipulación subliminal, identificación biométrica remota en tiempo real en espacios públicos para la garantía del cumplimiento del Derecho fuera de las excepciones permitidas, y otras — requiere atención inmediata.
¿Cubre el plazo del 2 de diciembre de 2027 todos los sistemas de IA de alto riesgo? No. Cubre únicamente los sistemas autónomos del Anexo III. La IA de alto riesgo que es un componente de seguridad de un producto regulado con arreglo al Anexo I de la Ley de IA de la UE (productos sanitarios, máquinas, juguetes y otros) sigue la vía de producto del Anexo I con arreglo al Artículo 6, apartado 1, y tiene un plazo independiente del 2 de agosto de 2028.
¿El Ómnibus Digital amplió las obligaciones de la GPAI? No. Las obligaciones del Capítulo V — Artículos 51 a 55 — se aplican desde el 2 de agosto de 2025 y no se aplazaron. Los proveedores de modelos de IA de uso general con riesgo sistémico (clasificados con arreglo al Artículo 51, incluida la presunción de 10²⁵ FLOP) están sujetos a la pila completa del Artículo 55 ya. El aplazamiento se aplica únicamente al régimen de IA de alto riesgo.
¿Se ve afectada la obligación de transparencia del Artículo 50 para los chatbots y los deepfakes? No. El Artículo 50 se aplica a partir del 2 de agosto de 2026, sin cambios. Si operas un chatbot, un asistente de voz o cualquier sistema que genera audio, vídeo o texto sintéticos en contextos de interés público, los deberes de divulgación se aplican a partir de esa fecha, con independencia del aplazamiento del Ómnibus.
¿Significa la prórroga que deberíamos ralentizar la preparación? No. El cumplimiento del Capítulo III para un sistema de alto riesgo exige un sistema de gestión de riesgos del Artículo 9, la gobernanza de datos del Artículo 10, la documentación técnica del Artículo 11 / Anexo IV, los mecanismos de supervisión humana del Artículo 14, una evaluación de la conformidad del Artículo 43 y el registro del Artículo 49. Para una organización con múltiples sistemas del Anexo III, ese trabajo lleva al menos doce meses. Empezar más tarde comprime el margen, aumenta los costes y eleva el riesgo de errores en la documentación que una autoridad de vigilancia del mercado podría señalar.
Guías relacionadas
- requisitos de cumplimiento de los sistemas de IA de alto riesgo
- lista de comprobación de obligaciones de los Artículos 6 a 29
- plantilla de obligaciones del proveedor y del responsable del despliegue
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →