La UE endurece el marco regulatorio de la IA

El Reglamento Europeo de Inteligencia Artificial entra en su fase de mayor exigencia el 2 de agosto de 2026. Las obligaciones de transparencia, supervisión humana y gestión de riesgos afectan a cualquier organización que use IA en sus procesos, independientemente de que la haya desarrollado o contratado a terceros.

El Reglamento Europeo de Inteligencia Artificial lleva dos años desplegándose de forma progresiva, pero lo que queda por delante es lo más exigente. El 2 de agosto de 2026 entran en vigor las obligaciones completas para los sistemas de IA de alto riesgo: gestión de riesgos, gobernanza de datos, documentación técnica, registro de eventos, supervisión humana y transparencia obligatoria hacia los usuarios. A menos de cien días de esa fecha, el panorama en España y Europa es preocupante: la mayoría de las organizaciones que ya usan IA no han iniciado siquiera el proceso de adaptación.

El 9 de abril de 2026, la Comisión Europea publicó el balance del primer año de su Plan de Acción "Continente de IA", confirmando su compromiso con una aplicación del reglamento clara y favorable a la innovación, pero sin retrasos en el calendario.¹ El mensaje es nítido: la regulación no se aplaza, y los mecanismos de supervisión ya están operativos.

Qué obliga el AI Act y desde cuándo

El reglamento no es una norma nueva. Entró en vigor el 1 de agosto de 2024, pero su aplicación ha seguido un calendario escalonado que muchas organizaciones han infraestimado. Las prohibiciones más graves ya son exigibles desde febrero de 2025, y las obligaciones para proveedores de modelos de propósito general como GPT, Claude o Gemini entraron en vigor en agosto de 2025. Lo que llega en agosto de 2026 es el núcleo más amplio: las obligaciones para los sistemas clasificados como de alto riesgo.²

Feb. 2025 Prácticas prohibidas en vigor (manipulación subliminal, scoring social, vigilancia biométrica masiva) y obligación de alfabetización en IA para toda la plantilla

Ago. 2025 Obligaciones para modelos de IA de propósito general (GPAI): transparencia, documentación técnica y respeto de derechos de autor

Ago. 2026 Aplicación plena: sistemas de IA de alto riesgo (salud, educación, RR.HH., banca, justicia) deben cumplir con gestión de riesgos, supervisión humana, documentación y registro en la base de datos de la UE

Ago. 2027 Extensión para sistemas de alto riesgo integrados en productos regulados con marcado CE

Quién está afectado y por qué no hay atajos

Una de las confusiones más frecuentes entre las organizaciones es creer que el AI Act solo afecta a quienes desarrollan tecnología. No es así. Cualquier empresa que use un sistema de IA en sus procesos tiene la condición de "responsable del despliegue" bajo el reglamento, con obligaciones propias que no pueden delegarse al proveedor.³ Si una empresa utiliza un software de selección de currículums, un chatbot de atención al cliente, un sistema de análisis de datos financieros o cualquier herramienta de IA generativa en contextos profesionales, el AI Act le aplica.

Esto incluye, de forma especialmente relevante, los sectores de educación, sanidad, banca y recursos humanos, todos clasificados como de alto riesgo en el Anexo III del reglamento. Para estos sistemas, las obligaciones incluyen un sistema de gestión de riesgos continuo, garantías de calidad sobre los datos de entrenamiento, documentación técnica detallada, registro automático de eventos con trazabilidad completa, y mecanismos efectivos de supervisión humana antes de que la IA tome o influya en decisiones relevantes.²

"A fecha de 13 de abril de 2026, la Comisión ha confirmado que los agentes de IA quedan cubiertos por el AI Act sin crear una categoría jurídica separada. Toda empresa que desarrolle o despliegue agentes de IA en Europa debe auditar si sus sistemas podrían incurrir en las prohibiciones del artículo 5, ya en vigor."
Economist & Jurist, análisis del AI Act Service Desk, 13 de abril de 2026

Las obligaciones de transparencia que ya aplican

El Artículo 50 del reglamento establece obligaciones de transparencia que afectan a prácticamente todas las empresas que usen IA de cara al usuario. Desde agosto de 2025, cualquier organización que despliegue un chatbot, un asistente virtual o un sistema que genere contenido sintético debe informar claramente al usuario de que está interactuando con una IA. Los contenidos generados artificialmente, como imágenes o textos creados por modelos generativos, deben etiquetarse como tales.⁴

En diciembre de 2025 la Comisión publicó el primer borrador del Código de Buenas Prácticas sobre marcado y etiquetado de contenidos generados por IA, que va más allá del simple aviso: introduce estándares técnicos como marcas de agua digitales detectables por navegadores. Las guías definitivas sobre transparencia se publicarán en el segundo trimestre de 2026.⁵

El AI Act obliga también a formar a toda la plantilla en alfabetización en IA desde febrero de 2025 (Artículo 4). No es una recomendación: es una obligación legal vigente, con sanciones millonarias por incumplimiento, que la mayoría de empresas españolas aún no ha implementado.³

La situación en España: mucho por hacer y poco tiempo

España fue el primer país de la UE en crear su agencia de supervisión de IA, la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña y operativa desde 2024. A marzo de 2026, la agencia ya había abierto 23 investigaciones preliminares y la AEPD registraba un 340% más de investigaciones relacionadas con IA que en 2024.³ El aparato supervisor está en marcha.

Sin embargo, solo el 32% de las empresas españolas que usan IA ha iniciado procesos de adaptación al AI Act, frente al 46% en Francia o el 54% en Alemania, según datos del Observatorio Nacional de IA de enero de 2026.³ El 68% restante se enfrenta a un plazo que se acorta cada semana, con obligaciones que van desde el inventario de sistemas hasta la evaluación de impacto, pasando por la revisión de contratos con proveedores externos para garantizar el cumplimiento de la cadena de suministro tecnológica.

Lo que esto significa para organizaciones educativas

Para las instituciones y organizaciones del ámbito educativo, el AI Act tiene implicaciones directas y urgentes. La educación está clasificada explícitamente como sector de alto riesgo, lo que significa que cualquier sistema de IA que influya en el acceso a la formación, en la evaluación o en la toma de decisiones sobre estudiantes queda sujeto a las obligaciones más exigentes del reglamento a partir de agosto de 2026.

En Lurnova acompañamos a organizaciones educativas en la adaptación a este nuevo marco, con un enfoque que integra el cumplimiento normativo desde el diseño de los sistemas de IA, no como un trámite posterior. La regulación no frena la innovación: establece las condiciones bajo las que esa innovación puede construirse con confianza.

Referencias:

1 Comisión Europea, El Plan de Acción para el Continente de la IA ofrece hitos importantes, 9 de abril de 2026. digital-strategy.ec.europa.eu

2 Delbion, EU AI Act: fechas clave y obligaciones para empresas y pymes (2025-2027), marzo 2026. delbion.com

3 Javadex, Reglamento IA europeo entra en vigor en España: multas de hasta 35M€ para empresas, marzo 2026. javadex.es

4 Itequia, Lo que exige el Artículo 50 del AI Act. itequia.com

5 Cosmomedia, Fechas clave del AI Act, 2026. cosmomedia.es

6 Economist & Jurist, El EU AI Act Q2 2026: la Comisión aclara el encaje legal de los agentes de IA, 13 de abril de 2026. economistjurist.es