Plazo del 2 de agosto de 2026 del AI Act: qué tener listo en tu empresa

El 2 de agosto de 2026 es la fecha de aplicación general del AI Act. No es una fecha indicativa ni una recomendación: a partir de ese día, una inspección de la AESIA o una denuncia de un empleado pueden abrir expediente sancionador contra cualquier empresa española que use un sistema de IA sin las medidas que exige el Reglamento (UE) 2024/1689.

Hoy es 18 de mayo de 2026. Quedan menos de once semanas. Este artículo explica qué se vuelve exigible exactamente ese día, las cinco entregas mínimas que toda PYME debe tener listas y un calendario realista para no llegar tarde.

Qué se vuelve exigible exactamente el 2 de agosto de 2026

El Reglamento (UE) 2024/1689 escalona sus obligaciones en cuatro fechas. El 2 de agosto de 2026 es la más importante porque activa el cuerpo principal del texto.

A partir de ese día son directamente aplicables y sancionables:

• El Capítulo II y III del Reglamento: los requisitos para sistemas de IA de alto riesgo (los listados en el Anexo III) y las obligaciones del Artículo 26 para sus desplegadores.
• El Capítulo IV (Artículo 50): las obligaciones de transparencia para chatbots, contenido generado por IA y deepfakes.
• El Capítulo V: el régimen de gobernanza nacional, lo que en España significa la AESIA con competencias plenas de inspección y sanción.
• Casi todo el Capítulo XII: el régimen sancionador. Las multas por incumplir el Artículo 26 o el Artículo 50 (hasta 15 millones de euros o el 3% de la facturación global) son aplicables.
• Las sandboxes regulatorias nacionales deben estar operativas (Artículo 57).

Lo que no se activa todavía el 2 de agosto de 2026:

• La aplicación a sistemas de alto riesgo regulados por el Anexo I (productos sujetos a marcado CE: dispositivos médicos, juguetes, maquinaria…) se retrasa al 2 de agosto de 2027 vía Artículo 6(1).
• Los sistemas legacy ya puestos en el mercado antes de 2026 tienen reglas de transición específicas en el Artículo 111.

Para la inmensa mayoría de PYMEs españolas, el 2 de agosto de 2026 es la fecha real de cumplimiento. Las del Anexo I (fabricantes de productos físicos con IA) tienen un año extra.

Lo que ya está en vigor desde antes (recordatorio)

Antes de entrar en lo que falta, conviene recordar lo que ya es exigible desde fechas anteriores:

• 2 de febrero de 2025: prohibiciones del Artículo 5 (manipulación subliminal, scoring social, reconocimiento de emociones en el trabajo o la educación, biometría remota en tiempo real…) y obligación de alfabetización en IA del personal (Artículo 4).
• 2 de agosto de 2025: obligaciones específicas para proveedores de modelos de IA de uso general (GPAI) como GPT, Claude o Gemini, y el régimen de gobernanza europeo (AI Office, Comité Europeo de IA).

Si en mayo de 2026 tu empresa todavía no ha formado a su equipo en uso de IA, ya estás incumpliendo el Artículo 4 desde hace 15 meses. Esa es la primera deuda técnica que conviene saldar antes de añadir el resto del Reglamento.

Las cinco entregas mínimas que debe tener listas una PYME

No hay un "kit oficial" que la AESIA mire en una inspección. Pero el contenido del Artículo 26 y de los criterios europeos de cumplimiento se traducen en cinco documentos o evidencias mínimas que cualquier desplegador debería poder enseñar. Sin estos cinco bloques, el cumplimiento es indefendible.

1. Inventario completo de sistemas de IA

Una hoja con una fila por cada herramienta con IA que usa la empresa, con seis campos como mínimo: nombre comercial, proveedor, departamento que la usa, caso de uso concreto, persona responsable interna y si trata datos personales.

Tiene que incluir las herramientas "no oficiales": ChatGPT, Claude, Copilot, Midjourney o cualquier app que alguien use por su cuenta. La mayoría de incumplimientos detectados durante el primer año del Reglamento vendrán de uso no controlado, no de sistemas formalmente contratados.

Plazo realista: 1 a 2 semanas de trabajo interno serio.

2. Clasificación de riesgo de cada sistema

Para cada herramienta del inventario, decidir su nivel:

• Inaceptable (prohibido por Art. 5): si lo tienes, retíralo.
• Alto riesgo: si su caso de uso entra en alguno de los ocho dominios del Anexo III (biometría, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración, justicia).
• Riesgo limitado: chatbots, IA generativa de contenido. Aplica el Art. 50.
• Riesgo mínimo: solo Art. 4 (alfabetización).

Lo importante: el riesgo lo determina el caso de uso, no la herramienta. ChatGPT en sí es riesgo limitado, pero usado para puntuar candidatos entra en alto riesgo (Anexo III dominio 4, empleo). Esto cambia las obligaciones por completo.

Si dudas, asume que sí es alto riesgo hasta poder demostrar lo contrario. La carga de la prueba es del desplegador.

3. Política interna de uso de IA

Un documento de 4 a 8 páginas, aprobado por la dirección y comunicado a toda la plantilla, que defina:

• Qué herramientas están aprobadas y para qué casos.
• Qué datos se pueden y no se pueden introducir en herramientas de IA (datos personales sensibles, información confidencial de clientes, código propietario crítico).
• Quién supervisa cada sistema de alto riesgo.
• Cómo se reporta un incidente.
• Procedimiento de revisión de proveedores antes de incorporar nuevas herramientas.

Sin política interna, la dirección no puede demostrar control. Sin control, la responsabilidad por mal uso recae directamente sobre la empresa, no sobre el empleado que usó la herramienta.

4. Plan de formación documentado (Artículo 4)

El Artículo 4 ya es exigible desde febrero de 2025, pero a partir del 2 de agosto de 2026 una inspección puede pedir evidencias concretas. Lo mínimo es tener documentado:

• Lista de asistentes a la formación, con departamentos y roles.
• Contenidos impartidos (mínimo: qué es la IA, herramientas usadas en la empresa, limitaciones, riesgos legales, política interna).
• Fechas y duración.
• Plan de refresco para nuevas incorporaciones y al menos una vez al año.

Para una PYME estándar, 6-10 horas distribuidas en sesiones cortas son suficientes. FUNDAE cubre el 100% del coste si se contrata una formación externa bonificada. Sin plan de formación, no hay defensa frente al Art. 4.

5. Documentación de proveedores y supervisión humana asignada

Para cada sistema clasificado como alto riesgo, hay que tener encima de la mesa:

• La declaración UE de conformidad (Art. 47) del proveedor.
• Las instrucciones de uso del Art. 13.
• Información sobre datos de entrenamiento, mecanismos de transparencia y supervisión humana integrados.
• Política de gestión de incidentes del proveedor.

Y, por parte tuya como desplegador, una persona designada por escrito como supervisora del sistema, con formación adecuada, autoridad para suspender el uso si es necesario y tiempo asignado para hacer revisiones periódicas.

Si en mayo de 2026 tu proveedor de software de selección o de scoring no puede entregarte la declaración UE de conformidad, plantéate seriamente migrar. El riesgo legal es tuyo, no suyo.

Checklist resumida por tipo de empresa

No todas las PYMEs tienen el mismo trabajo por delante. Esta tabla resume las obligaciones según el perfil más común:

| Perfil de empresa | Sistemas típicos | Obligaciones aplicables | Tiempo estimado de preparación | |---|---|---|---| | Solo usa IA generativa genérica (ChatGPT, Copilot) sin tareas críticas | ChatGPT, Copilot en marketing y administración | Art. 4 (formación) + Art. 50 (transparencia si publican contenido generado) | 3-4 semanas | | Usa IA en RRHH (cribas de CV, ranking de candidatos) | Workday, Factorial AI, Greenhouse con módulo IA | Bloque completo Art. 26 + Art. 4 + Art. 50 + información a trabajadores | 8-10 semanas | | Banca, seguros, financiero, gestor de crédito | Scoring crediticio, detección de fraude con IA | Bloque completo Art. 26 + FRIA (Art. 27) + Art. 4 | 10-12 semanas | | Ecommerce / retail con recomendadores y chatbot | Algolia Recommend, Tidio AI, Klaviyo IA | Art. 50 (chatbot) + Art. 4 + revisión de Art. 26 si el recomendador afecta a precios o crédito | 4-6 semanas | | Sanidad privada con herramientas IA | Triaje, diagnóstico asistido | Bloque completo Art. 26 + FRIA + interacción con Reglamento de Productos Sanitarios | 12+ semanas |

La columna de tiempo asume dedicación parcial (no a tiempo completo). Si la empresa ya tiene RGPD ordenado, los plazos se reducen entre un 20% y un 30%, porque la mitad del trabajo de inventario, supervisión y documentación se solapa.

Calendario realista de 11 semanas (mayo-agosto 2026)

Quedan 77 días entre hoy y el 2 de agosto de 2026. Este es un calendario factible para una PYME estándar que empiece esta semana:

• Semanas 1-2 (19 mayo - 1 junio): inventario y clasificación de riesgo. Reuniones cortas con cada departamento. Salida: tabla de sistemas con su nivel de riesgo.
• Semanas 3-4 (2 - 15 junio): formación del equipo. Sesiones de 2 horas en grupos pequeños. Documentar asistencia y contenidos. Aprovechar FUNDAE.
• Semana 5 (16 - 22 junio): redacción de la política interna de uso de IA. Borrador + revisión legal + aprobación de dirección.
• Semanas 6-7 (23 junio - 6 julio): comunicación de la política a toda la plantilla. Reunión obligatoria. Firma de toma de conocimiento.
• Semanas 8-9 (7 - 20 julio): solicitud de documentación a proveedores. Asignación por escrito de supervisores humanos para sistemas de alto riesgo. Configuración de logs.
• Semana 10 (21 - 27 julio): comprobación final. Auditoría interna de los cinco bloques. Cierre de huecos.
• Semana 11 (28 julio - 2 agosto): margen de seguridad para imprevistos y para acciones derivadas de proveedores que no respondieron a tiempo.

Si la empresa empieza después del 1 de junio, el calendario se vuelve muy ajustado: la formación y la comunicación de la política son las dos fases que más se pueden comprimir, pero la respuesta de proveedores externos no depende de ti y tarda lo que tarda.

Qué pasa si llegas al 2 de agosto sin nada

El escenario realista no es "la AESIA aparece el día 3 de agosto". Es uno de estos cuatro:

1. Una denuncia interna o externa abre expediente. Un candidato rechazado, un empleado afectado por una decisión automatizada, un cliente que se queja del chatbot. La autoridad investiga y pide documentación. Sin inventario, política y formación, el expediente avanza.
2. Una inspección rutinaria. La AESIA priorizará sectores de alto riesgo: banca, seguros, RRHH, plataformas que operan con consumidores. Las multas del Art. 99 por incumplir obligaciones del desplegador llegan hasta 15 millones de euros o el 3% de la facturación global (detalle en este artículo).
3. Una pérdida de cliente B2B. Empresas medianas y grandes ya están exigiendo a sus proveedores cláusulas de cumplimiento AI Act en los contratos. Sin documentación, hay clientes que se caen.
4. Acumulación con expediente RGPD. El AI Act no sustituye al RGPD: se suma. Un mismo incidente puede activar expediente paralelo de la AEPD y de la AESIA. Las multas se acumulan.

Aunque la AESIA tenga al inicio un enfoque pedagógico —como tuvo la AEPD en 2018 con el RGPD—, la empresa que se quede sin inventario, política y formación queda expuesta a los tres escenarios siguientes desde el primer día.

¿Se va a retrasar el AI Act a 2027?

En 2025 la Comisión Europea planteó dentro del paquete legislativo Digital Omnibus un posible aplazamiento parcial del calendario del AI Act, hasta diciembre de 2027 para algunas obligaciones de alto riesgo. La propuesta sigue en negociación entre Parlamento, Consejo y Comisión.

A día de hoy no hay acuerdo formal y la fecha legalmente vigente sigue siendo el 2 de agosto de 2026. Confiar en el aplazamiento es una apuesta arriesgada: aunque finalmente se apruebe, el texto podría limitar el retraso a ciertos sub-supuestos (típicamente la documentación técnica de proveedores) y mantener intactas las obligaciones del desplegador.

La recomendación práctica:

• Planificar con la fecha de 2 de agosto de 2026.
• Tener listo el inventario, la formación y la política interna independientemente de lo que pase con el Digital Omnibus. Esos tres bloques no se retrasan en ninguna propuesta sobre la mesa.
• Si el retraso se aprueba, simplemente ganarás margen para refinar.

Apostar por el retraso y no tener nada listo el 2 de agosto es la peor combinación posible.

Cómo saber qué te falta exactamente

Cada empresa tiene una combinación distinta de herramientas, casos de uso y proveedores. El test gratuito de CumpleConIA analiza las herramientas y procesos de IA de tu empresa, los clasifica según el Anexo III del Reglamento y te entrega la lista exacta de obligaciones que te aplican y los documentos que necesitas tener listos antes del 2 de agosto.

→ Hacer el test gratuito de exposición al AI Act

Sin registro ni tarjeta. Diez preguntas y un plan de acción priorizado. Si el resultado indica que tu empresa tiene exposición real, el informe completo de cumplimiento (con los siete documentos, política interna, FRIA cuando aplica y plan de implementación) lo entregamos en 24 horas por 299€ — pago único, sin suscripción.

Para profundizar en aspectos concretos, te recomendamos las guías sobre las obligaciones del AI Act para PYMEs, qué es la AESIA y cómo afecta a tu empresa y la obligación de informar a empleados sobre el uso de IA. El texto completo del Reglamento está disponible en EUR-Lex y la base de datos oficial de seguimiento en artificialintelligenceact.eu.

Lo importante

El 2 de agosto de 2026 no es una recomendación: es la fecha de exigibilidad plena del cuerpo principal del AI Act. Llegar con el inventario hecho, la formación documentada, la política interna comunicada y la documentación de proveedores en mano coloca a una PYME en una posición defendible incluso si recibe inspección o denuncia.

Llegar sin nada, en cambio, no genera una multa automática, pero deja a la empresa sin defensa frente al primer expediente que se abra. Y en una economía donde cada vez más contratos B2B incorporan cláusulas de cumplimiento AI Act, ese segundo escenario tiene costes silenciosos mucho antes de que aparezca cualquier sanción administrativa.

Once semanas son suficientes para llegar bien si se empieza esta semana. Cada semana que pasa, el calendario se vuelve más rígido.

---

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación concreta.