Volver al blog
AI Regulation2026-03-3110 min read

El deadline de agosto de 2026 del EU AI Act está a 60 días — Esto es lo que las empresas deben hacer ahora

Desde el 2 de agosto de 2026, los sistemas de IA de alto riesgo enfrentan aplicación plena con multas de hasta el 7% de la facturación global. Si tu IA toca usuarios, contrapartes o mercados de la UE, estás sujeto a la normativa, tanto si tu empresa está en Berlín, Boston como en Bangalore. Aquí tienes la hoja de ruta de cumplimiento para los próximos 60 días.

Por Qué Esta Fecha Límite Es Distinta A Todas Las Demás

Los equipos de cumplimiento corporativo han desarrollado un sano escepticismo hacia los anuncios de fechas límite. El RGPD tuvo períodos de adaptación. La CCPA tuvo retrasos en la aplicación. Las fechas límite de SOC 2 tienen la costumbre de deslizarse. La fecha del 2 de agosto de 2026 del Reglamento de IA de la UE merece un tratamiento diferente, y la razón está en la estructura de sanciones.

Las multas por infracciones de sistemas de IA de alto riesgo alcanzan los 35 millones de euros o el 7% de la facturación anual global, la cantidad que sea mayor. Esta es la estructura de sanciones regulatorias más grande jamás escrita en una ley. No es un error de redondeo en un informe trimestral de resultados. Para una multinacional con 10.000 millones de euros en ingresos globales, el 7% son 700 millones. Los reguladores no tienen que demostrar intención. No tienen que demostrar daño. Tienen que demostrar que un sistema de IA de alto riesgo estaba operando sin la evaluación de conformidad, la documentación técnica y los registros de auditoría requeridos.

El 2 de agosto de 2026 no es el inicio de la conversación sobre cumplimiento. Es la fecha en la que el incumplimiento se convierte en legalmente trascendental. Las obligaciones de alto riesgo del Reglamento de IA de la UE han estado en vigor desde febrero de 2025 en forma modificada. Los 18 meses desde entonces han sido el período de implementación. Ese período termina en 60 días.

El alcance extraterritorial es la parte que más sorprende a las empresas estadounidenses y no europeas. El Reglamento de IA de la UE se aplica a cualquier organización que coloque sistemas de IA en el mercado de la UE o despliegue sistemas de IA que afecten a usuarios de la UE, independientemente de dónde esté constituida la organización. Un banco estadounidense que utiliza un sistema de IA para evaluar solicitudes de crédito de contrapartes residentes en la UE está sujeto a la normativa. Un sistema hospitalario estadounidense que despliegue una herramienta de triaje con IA que procese datos de pacientes de la UE está sujeto a la normativa. Un fintech del Reino Unido que utilice evaluación de riesgos con IA para transacciones con clientes de la UE está sujeto a la normativa.

La estructura de obligaciones tripartita añade complejidad. Cuando una empresa estadounidense utiliza un sistema de IA proporcionado por un modelo de OpenAI o Anthropic en un flujo de trabajo de alto riesgo que afecta a usuarios de la UE, el proveedor del modelo, el integrador del sistema y la organización desplegadora tienen cada uno obligaciones separadas bajo el Reglamento. El Reglamento de IA no es una única marca de verificación de cumplimiento. Es una cadena de obligaciones que atraviesa cada capa de la arquitectura de IA.

¿Sabes En Qué Nivel De Riesgo Están Tus Sistemas De IA?

El Reglamento de IA de la UE divide los sistemas de IA en cuatro niveles de riesgo. La mayoría de las empresas tienen sistemas de IA en al menos dos de ellos. El nivel de riesgo determina tus obligaciones y tus sanciones.

Riesgo inaceptable: prohibido completamente. Ciertas prácticas de IA están prohibidas en la UE independientemente de dónde esté constituida la organización desplegadora. Estas incluyen sistemas de IA que utilizan técnicas de manipulación subliminal para distorsionar el comportamiento, sistemas de puntuación social operados por autoridades públicas, e identificación biométrica remota en tiempo real en espacios públicos con fines de aplicación de la ley. Si cualquiera de tus sistemas de IA entra en estas categorías, la fecha límite de agosto es irrelevante: no deberían estar operando en contextos de la UE en absoluto.

Alto riesgo: cumplimiento completo requerido. El Anexo III del Reglamento de IA de la UE especifica las categorías de sistemas de IA de alto riesgo que activan el marco completo de cumplimiento. Estas son las categorías más relevantes para despliegues empresariales: sistemas de IA utilizados en decisiones de empleo: contratación, promoción, evaluación de desempeño y terminación. Sistemas de IA utilizados en decisiones de crédito y evaluaciones de instituciones financieras. Sistemas de IA desplegados en infraestructura crítica: energía, transporte, salud y sistemas de agua. Sistemas de IA utilizados por autoridades encargadas de la aplicación de la ley o judiciales. Sistemas de IA que administran servicios públicos esenciales, incluyendo seguridad social e inmigración.

Si tu organización despliega IA en cualquiera de estas categorías y esa IA afecta a usuarios o contrapartes de la UE, estás sujeto al marco completo de cumplimiento de alto riesgo. Este no es un análisis de riesgo que puedas posponer. Es una clasificación legal bajo la que ya estás operando.

Riesgo limitado: solo obligaciones de transparencia. Los sistemas de IA como los chatbots y los sistemas que generan medios sintéticos deben revelar que son IA a las personas que interactúan con ellos. Las obligaciones son más ligeras, pero la no divulgación sigue siendo una infracción.

Riesgo mínimo: sin obligaciones específicas. La gran mayoría de los sistemas de IA entran aquí. Pero "riesgo mínimo" no es una categoría que tú mismo seleccionas: si tu sistema de IA tiene usuarios de la UE o afecta a mercados de la UE y no entra en una categoría listada como prohibida o de alto riesgo, es riesgo mínimo. La mayoría de los motores de recomendación, filtros de spam y herramientas de análisis interno están aquí.

El problema práctico de cumplimiento: la mayoría de las empresas no han completado una clasificación sistemática de su cartera de IA contra las categorías del Anexo III. No saben cuántos de sus sistemas de IA son de alto riesgo. Eso es lo primero que cambia en 60 días.

La Lista de Verificación de Cumplimiento de Alto Riesgo: Lo Que La Ley Realmente Requiere

Para los sistemas de IA clasificados como de alto riesgo bajo el Artículo 6, el Reglamento de IA de la UE exige un marco específico de cumplimiento. Estas no son sugerencias. Estas son las condiciones bajo las cuales un sistema de IA de alto riesgo puede operar legalmente en la UE después del 2 de agosto de 2026.

Clasifica tus sistemas de IA. Traza un mapa de cada sistema de IA en tu cartera, incluyendo agentes de IA, modelos de ML y sistemas de toma de decisiones automatizada, contra las categorías de alto riesgo del Anexo III. Este es el prerrequisito para cada otro paso de cumplimiento. No puedes conformarte con requisitos que no has identificado.

Evaluación de conformidad. Los sistemas de IA de alto riesgo deben superar una evaluación de conformidad antes del despliegue. Dependiendo del tipo de sistema, esto lo realiza un organismo de evaluación de conformidad tercero acreditado o, para ciertos tipos de sistemas, una autoevaluación por parte de la organización desplegadora. La evaluación verifica si la documentación técnica del sistema, el sistema de gestión de riesgos y los controles de gobernanza cumplen con los requisitos del Reglamento. Las evaluaciones deben completarse y documentarse antes del 2 de agosto.

Documentación técnica. El Artículo 11 requiere documentación extensa para cada sistema de IA de alto riesgo. Esta documentación debe describir el propósito del sistema, su arquitectura, la gobernanza de los datos de entrenamiento, el sistema de gestión de riesgos implementado, los procedimientos de monitoreo para la operación post-despliegue, y las medidas tomadas para garantizar la precisión, robustez y ciberseguridad bajo el Artículo 15. Esta documentación debe mantenerse y actualizarse continuamente: no se redacta una vez y se archiva.

Sistema de gestión de calidad. Las organizaciones que despliegan sistemas de IA de alto riesgo deben tener un sistema de gestión de calidad documentado que cubra el ciclo de vida de los sistemas de IA. Esto incluye roles y responsabilidades definidos para la gobernanza de IA, procedimientos documentados para la operación y monitoreo de sistemas de IA, y un proceso para manejar incidentes y quejas.

Supervisión humana. El Artículo 14 requiere que los sistemas de IA de alto riesgo estén diseñados para permitir supervisión humana: mecanismos incorporados que permitan a los humanos monitorear, corregir y desactivar el sistema cuando sea necesario. El estándar no es que los humanos revisen cada decisión. Es que los humanos deben poder intervenir efectivamente cuando el sistema produce salidas que requieren juicio humano o cuando el sistema opera fuera de sus parámetros previstos.

Registro y rastros de auditoría. El Artículo 12 requiere el registro automático de la operación de sistemas de IA de alto riesgo, incluyendo entradas, salidas y el contexto en el que se tomaron las decisiones. Esta es la disposición que conecta directamente el cumplimiento del Reglamento de IA de la UE con la gobernanza del Shadow AI y la seguridad de MCP. Un agente de IA que opera sin registro estructurado, o un servidor MCP sin telemetría, está operando en violación del Artículo 12 a menos que califique para una exención de riesgo limitado.

Precisión, robustez y ciberseguridad. El Artículo 15 requiere que los sistemas de IA de alto riesgo estén diseñados para alcanzar niveles apropiados de precisión, robustez y ciberseguridad, y que rindan consistentemente en esos aspectos durante todo su ciclo de vida. Esto no es una certificación única. Es un requisito de desempeño continuo.

Registro en la base de datos de la UE. Bajo el Artículo 51, los sistemas de IA de alto riesgo deben registrarse en una base de datos de la UE de acceso público antes de ser desplegados. Este registro debe incluir el proveedor del sistema, su propósito previsto, la información de su evaluación de conformidad y su documentación técnica básica. El registro es una precondition para la operación legal, no una formalidad post-despliegue.

Representante Autorizado en la UE. Para organizaciones basadas fuera de la UE que colocan sistemas de IA de alto riesgo en el mercado de la UE o los despliegan para usuarios de la UE, el Reglamento de IA requiere el nombramiento de una persona física o jurídica establecida en la UE como representante autorizado. Este representante sirve como punto de contacto para las autoridades regulatorias de la UE y es la entidad sobre la cual se aplican formalmente las obligaciones de cumplimiento.

La Hoja de Ruta de Cumplimiento de 60 Días

Sesenta días no es suficiente tiempo para construir un programa de cumplimiento desde cero. Es suficiente tiempo para saber dónde estás, identificar tus brechas y estar en un proceso activo de remediación que demuestre buena fe antes de la fecha de aplicación. Aquí está cómo usarlos.

Días 1–15: Auditoría de tu cartera de IA. Traza un mapa de cada sistema de IA actualmente operando en tu organización contra las categorías de alto riesgo del Anexo III. Identifica cada sistema de IA que toca usuarios de la UE, contrapartes de la UE o mercados de la UE, incluyendo agentes de IA ejecutándose en dispositivos personales bajo políticas de Bring Your Own AI. Esta auditoría produce el inventario del que dependen todos los demás pasos.

La "victoria rápida" en esta ventana: la mayoría de las organizaciones encontrarán al menos un sistema de IA que no sabían que estaba en uso de alto riesgo. Encontrarlo en una auditoría durante los Días 1–15, con un plan de remediación, es significativamente mejor que encontrarlo en una acción de aplicación el 3 de agosto.

Días 16–30: Clasificación por nivel de riesgo y asignación de responsabilidad. Para cada sistema de IA en tu inventario, documenta su clasificación de nivel de riesgo bajo el Artículo 6 y el Anexo III. Para sistemas de alto riesgo, asigna un propietario interno: un individuo nombrado responsable del cumplimiento de ese sistema. Esta asignación de responsabilidad es lo que distingue un programa de cumplimiento de un ejercicio de documentación.

Días 31–45: Evaluación de brechas y planificación de evaluación de conformidad. Para cada sistema de alto riesgo, compara tu documentación técnica actual, procedimientos de gestión de calidad, mecanismos de supervisión humana e infraestructura de registro contra los requisitos del Artículo. Identifica qué sistemas necesitan evaluaciones de conformidad de terceros versus autoevaluaciones. Comienza a contactar organismos de evaluación de conformidad si tienes sistemas de alto riesgo que requieren revisión de terceros: estos organismos probablemente están reservando citas antes de la fecha límite de agosto.

Esta también es la ventana para abordar la brecha de rastro de auditoría. Los requisitos de registro del Artículo 12 son donde el cumplimiento del Reglamento de IA de la UE se cruza directamente con la gobernanza del Shadow AI: los agentes de IA que operan sin registro estructurado no cumplen con el Artículo 12. El trabajo requerido para cerrar esa brecha, inventario, telemetría, monitoreo de comportamiento, se superpone con el marco de remediación del Shadow AI.

Días 46–60: Contratación legal y preparación para el registro. Contrata asesoría legal con experiencia en el Reglamento de IA de la UE para una revisión de cumplimiento de tus sistemas de alto riesgo. Esto no es opcional para organizaciones con exposición material de ingresos en la UE: las sanciones hacen que el costo de la revisión legal sea un error de redondeo comparado con las multas potenciales. Nombra a tu Representante Autorizado de la UE si eres una organización no europea. Prepara las presentaciones de registro para la base de datos de la UE. Para sistemas donde las evaluaciones de conformidad aún no están completas, documenta la línea de tiempo de remediación como evidencia de progreso activo en el cumplimiento.

Reglamento de IA de la UE, NIS2, RGPD: Esto Es Un Solo Sistema Ahora

El Reglamento de IA de la UE no opera en aislamiento. Para empresas que ya gestionan obligaciones NIS2 para infraestructura crítica, requisitos de gobernanza de datos del RGPD y marcos de seguridad de la información ISO 27001, el Reglamento de IA de la UE es una capa adicional, pero se superpone significativamente con marcos que posiblemente ya tengas implementados.

El punto de convergencia son los rastros de auditoría. Los requisitos de registro del Artículo 12 para sistemas de IA de alto riesgo son estructuralmente similares a las obligaciones de registro de incidentes de NIS2. Los requisitos de registros de tratamiento de datos del RGPD se superponen con los requisitos de documentación técnica del Artículo 11. El marco de gestión de riesgos de ISO 27001 se mapea directamente a los requisitos del sistema de gestión de riesgos del Artículo 9.

Para organizaciones que despliegan agentes de IA, particularmente aquellos conectados a través de servidores MCP, los requisitos de rastro de auditoría del Reglamento de IA de la UE crean un impulsor regulatorio adicional para el trabajo de remediación del Shadow AI. Un agente de IA que carece de registro estructurado viola el Artículo 12. Un servidor MCP sin telemetría viola los requisitos de precisión y robustez del Artículo 15. Estos no son preocupaciones de gobernanza separadas: son componentes del cumplimiento del Reglamento de IA de la UE para cualquier organización con exposición material a IA en mercados de la UE.

La consecuencia del incumplimiento se compound a través de los marcos. Una violación del Reglamento de IA de la UE genera la multa principal. También genera evidencia de gobernanza inadecuada que los reguladores de NIS2 notarán. Crea brechas de documentación que las autoridades de supervisión del RGPD referenciarán. La multa es el número del titular. El escrutinio regulatorio que sigue es la consecuencia duradera.

El 2 de agosto de 2026 está a 60 días. Las organizaciones que están preparadas conocen su cartera de IA, han clasificado sus sistemas de alto riesgo y están en remediación activa. Las organizaciones que no están preparadas están corriendo el reloj no contra una fecha límite, sino contra la estructura de sanciones regulatorias más grande jamás escrita en una ley.

Lista de Verificación de Cumplimiento del Reglamento de IA de la UE (para sistemas de IA con exposición al mercado de la UE)

Clasificación

  • [ ] Cada sistema de IA mapeado al nivel de riesgo del Artículo 6/Anexo III
  • [ ] Puntos de contacto con mercado/counterpartes/usuarios de la UE identificados para cada sistema
  • [ ] Sistemas de alto riesgo asignados a propietarios internos

Documentación

  • [ ] Documentación técnica para cada sistema de alto riesgo (Artículo 11)
  • [ ] Sistema de gestión de calidad documentado y con recursos asignados
  • [ ] Evaluación de conformidad completada o en curso
  • [ ] Mecanismos de supervisión humana documentados para cada sistema de alto riesgo

Registro y Rastros de Auditoría

  • [ ] Registro automático operativo para sistemas de alto riesgo (Artículo 12)
  • [ ] Los registros incluyen entradas, salidas y contexto de decisión
  • [ ] Infraestructura de registro cubre agentes de IA y servidores MCP

Registro y Representación

  • [ ] Sistemas de alto riesgo registrados en base de datos de la UE (Artículo 51)
  • [ ] Representante Autorizado de la UE nombrado (organizaciones no europeas)

Verificación

  • [ ] Asesoría legal contratada para revisión de cumplimiento
  • [ ] Línea de tiempo de remediación documentada para brechas restantes

Synthèse de recherche por Agencie. Fuentes: Comisión Europea — Reglamento de IA de la UE (artificialintelligenceact.eu), Artículo 6 (Clasificación), Artículo 9 (Gestión de Riesgos), Artículo 11 (Documentación Técnica), Artículo 12 (Registro y Rastros de Auditoría), Artículo 14 (Supervisión Humana), Artículo 15 (Precisión, Robustez y Ciberseguridad), Artículo 51 (Registro en Base de Datos de la UE), Anexo III (Categorías de Sistemas de IA de Alto Riesgo). Todas las fuentes citadas son texto legislativo oficial de la UE.

Ready to let AI handle your busywork?

Book a free 20-minute assessment. We'll review your workflows, identify automation opportunities, and show you exactly how your AI corps would work.

Book Free AssessmentView pricing

From $199/month ongoing, cancel anytime. Initial setup is quoted based on your requirements.