La Unión Europea ha pactado una modificación relevante del calendario y de algunas obligaciones de la Ley de Inteligencia Artificial. El acuerdo provisional alcanzado entre la presidencia del Consejo y los negociadores del Parlamento Europeo forma parte del paquete Omnibus VII, una iniciativa de simplificación normativa que busca reducir cargas administrativas y aclarar la aplicación del marco digital europeo sin desmontar la arquitectura básica del AI Act.
Para despachos, asesorías jurídicas, departamentos de compliance y equipos de protección de datos, el mensaje es claro: no se elimina el cumplimiento, se reorganiza. La novedad más visible es el retraso de las obligaciones para sistemas de IA de alto riesgo, pero el acuerdo también introduce una nueva prohibición sobre contenido sexual o íntimo no consentido generado con IA, ajusta registros, matiza el tratamiento de datos sensibles para detectar sesgos y aborda solapamientos con normativa sectorial en productos como maquinaria, dispositivos médicos, juguetes, ascensores o embarcaciones.
Nuevas fechas para los sistemas de alto riesgo
El cambio central está en el calendario. Las obligaciones para sistemas de IA de alto riesgo ya no se aplicarían de forma general desde el 2 de agosto de 2026. El acuerdo provisional fija dos nuevas fechas: 2 de diciembre de 2027 para sistemas de alto riesgo independientes y 2 de agosto de 2028 para sistemas de alto riesgo integrados en productos. El Consejo explica que esta solución busca dar tiempo a que estén disponibles estándares, herramientas y orientaciones necesarias para aplicar la norma de forma más armonizada.
Para el sector legal, este retraso cambia la planificación de cumplimiento, pero no debería interpretarse como una pausa total. Las empresas que desarrollan, compran o integran IA deberán seguir trabajando en inventarios, clasificación de sistemas, contratos con proveedores, documentación técnica, evaluación de riesgos, trazabilidad, supervisión humana y gobernanza de datos. La ventaja es que ahora existe más margen para hacerlo con estándares más definidos y menos riesgo de rediseños posteriores.
| Materia | Situación tras el acuerdo provisional |
|---|---|
| Sistemas IA de alto riesgo independientes | Nueva fecha prevista: 2 de diciembre de 2027 |
| Sistemas IA de alto riesgo integrados en productos | Nueva fecha prevista: 2 de agosto de 2028 |
| Sandboxes regulatorios nacionales | Plazo aplazado hasta el 2 de agosto de 2027 |
| Transparencia para contenido generado artificialmente | Nuevo plazo: 2 de diciembre de 2026 |
| Registro en base de datos europea | Se restablece para determinados sistemas que aleguen exención de alto riesgo |
| Contenido íntimo no consentido y CSAM | Nueva práctica prohibida incorporada al AI Act |
El aplazamiento también reduce una presión práctica: muchas compañías todavía no tienen claro si determinados sistemas entran o no en la categoría de alto riesgo, sobre todo cuando la IA se integra en productos regulados o en procesos internos de decisión. Los asesores legales tendrán que acompañar esa clasificación con criterios documentados, porque el hecho de que una obligación se retrase no elimina la necesidad de dejar constancia de por qué se considera que un sistema está dentro o fuera de una categoría determinada.
La nueva prohibición: contenido íntimo no consentido y menores
El acuerdo añade una prohibición expresa de prácticas de IA relacionadas con la generación de contenido sexual o íntimo no consentido y material de abuso sexual infantil. La Comisión Europea presentó este punto como una respuesta a riesgos ya visibles en herramientas capaces de crear o manipular imágenes mediante IA generativa, incluidas las conocidas aplicaciones de “nudificación”.
Desde la perspectiva jurídica, esta incorporación refuerza un frente que ya combinaba derecho penal, protección de datos, derechos fundamentales, responsabilidad civil, protección de menores y regulación de plataformas. La novedad es que el AI Act incorpora el riesgo dentro de su catálogo de prácticas prohibidas, lo que puede facilitar acciones regulatorias específicas contra proveedores o distribuidores de sistemas diseñados para esos usos.
El reto estará en definir bien el alcance. Algunos análisis jurídicos ya señalan que harán falta guías de la Comisión para delimitar qué sistemas quedan cubiertos, cómo se tratan herramientas de generación o edición de imagen con usos legítimos y cuándo una capacidad general se convierte en una práctica prohibida por su diseño, comercialización o uso previsto.
Para abogados especializados en tecnología, penal económico o derechos digitales, este punto puede abrir una nueva línea de asesoramiento: términos de uso de plataformas generativas, mecanismos de denuncia, moderación, trazabilidad de contenidos, conservación de pruebas, deberes de retirada, responsabilidad de desarrolladores y coordinación con normas nacionales sobre violencia digital y protección de menores.
Datos sensibles, sesgos y registro: más trabajo para compliance
El acuerdo también restablece el estándar de “estricta necesidad” para el tratamiento de categorías especiales de datos personales cuando se usen para detectar y corregir sesgos. Es un punto delicado porque muchas organizaciones necesitan analizar variables sensibles para comprobar si un sistema discrimina, pero al mismo tiempo deben respetar límites estrictos del RGPD.
La cuestión práctica será cómo justificar ese tratamiento. Los equipos jurídicos tendrán que revisar bases legales, minimización de datos, controles de acceso, seudonimización, conservación, evaluación de impacto y documentación interna. En sectores como empleo, crédito, educación, seguros o servicios públicos, el equilibrio entre corregir sesgos y no ampliar de forma indebida el tratamiento de datos sensibles será especialmente exigente.
Otro punto relevante es la obligación de registro en la base de datos europea para sistemas en los que el proveedor considere aplicable una exención de la clasificación de alto riesgo. Esto reduce el margen para decisiones opacas. Si una compañía sostiene que su sistema no debe tratarse como alto riesgo, probablemente tendrá que documentar mejor su razonamiento y asumir que esa decisión puede ser revisada.
Para los despachos, esta obligación abre un trabajo muy concreto: matrices de clasificación, memorandos justificativos, políticas internas de revisión, cláusulas contractuales con proveedores y procedimientos de actualización cuando cambie el uso del sistema o se incorpore una nueva funcionalidad.
Normativa sectorial y maquinaria: el problema del solapamiento
El acuerdo provisional aborda uno de los asuntos más complejos del AI Act: su interacción con legislación sectorial armonizada. En productos regulados, como dispositivos médicos, juguetes, ascensores, maquinaria o embarcaciones, existía el riesgo de duplicar requisitos de seguridad y conformidad.
La solución pactada introduce un mecanismo para limitar la aplicación directa de determinadas exigencias del AI Act cuando la normativa sectorial ya incluya requisitos específicos equivalentes. En maquinaria, se opta por excluir la aplicabilidad directa del AI Act y permitir que la Comisión adopte actos delegados bajo el Reglamento de Máquinas para añadir requisitos de salud y seguridad relativos a sistemas de IA de alto riesgo. El Consejo presenta esta solución como una forma de evitar solapamientos y reducir carga de cumplimiento.
Este punto será especialmente relevante para fabricantes industriales, importadores, distribuidores y organismos notificados. La pregunta ya no será solo si un sistema es de alto riesgo, sino bajo qué régimen debe demostrarse la conformidad y qué autoridad resulta competente. En la práctica, muchas compañías necesitarán mapas normativos que conecten AI Act, RGPD, ciberseguridad, seguridad de producto, responsabilidad por productos defectuosos y regulación sectorial.
Un respiro, no una exención
El acuerdo todavía debe ser respaldado formalmente por el Consejo y el Parlamento Europeo y pasar por revisión jurídico-lingüística antes de su adopción definitiva. Por tanto, los equipos legales deben tratarlo como una base de planificación muy relevante, pero no como texto final plenamente cerrado.
Aun así, la dirección política es clara. Bruselas quiere rebajar complejidad administrativa, ofrecer más seguridad jurídica y evitar que la falta de estándares convierta el cumplimiento en una carrera incierta. Al mismo tiempo, refuerza prohibiciones frente a abusos concretos de la IA generativa y mantiene elementos de trazabilidad y supervisión.
Para los abogados, el trabajo no se reduce; cambia de ritmo. Habrá más tiempo para preparar a los clientes, pero también más expectativa de que esa preparación sea seria. Las empresas que esperen al último semestre antes de la entrada en vigor de las obligaciones de alto riesgo se encontrarán con inventarios incompletos, contratos desactualizados y sistemas ya desplegados sin documentación suficiente.
El AI Act entra así en una fase más jurídica que política. La pregunta deja de ser si Europa regulará la IA. Ya lo ha hecho. La cuestión ahora es cómo se traduce esa regulación en contratos, evaluaciones de impacto, matrices de riesgo, políticas internas, auditorías, expedientes técnicos, cláusulas de compra, responsabilidad de proveedores y mecanismos de supervisión.
Preguntas frecuentes
¿El acuerdo retrasa toda la Ley de IA europea?
No. El retraso afecta principalmente a determinadas obligaciones sobre sistemas de IA de alto riesgo. Otras partes del AI Act siguen su propio calendario de aplicación.
¿Cuáles son las nuevas fechas clave para sistemas de alto riesgo?
El acuerdo provisional fija el 2 de diciembre de 2027 para sistemas de alto riesgo independientes y el 2 de agosto de 2028 para sistemas de alto riesgo integrados en productos.
¿Qué cambia para los abogados de empresa?
Deberán revisar clasificación de sistemas, contratos con proveedores, documentación técnica, protección de datos, registros, tratamiento de sesgos y posibles solapamientos con normativa sectorial.
¿La nueva prohibición sobre contenido íntimo afecta solo a plataformas grandes?
No necesariamente. Puede afectar a desarrolladores, proveedores, distribuidores o integradores de sistemas de IA capaces de generar o facilitar contenido sexual o íntimo no consentido o material de abuso sexual infantil.
