Reglamento de IA
El Reglamento de IA europeo para pymes: calendario real de 2026 (con el retraso de junio)
Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto.
Respuesta directa: si tu negocio usa un chatbot, un asistente de voz o cualquier IA que genere textos, imágenes o audio para tus clientes, el Reglamento de IA europeo (Reglamento (UE) 2024/1689) te obliga a avisar de que están hablando con una IA desde el 2 de agosto de 2026 (art. 50). Las obligaciones más pesadas — los sistemas de «riesgo alto» del anexo III, como los que seleccionan currículums o evalúan empleados — ya no entran en agosto de 2026: el Consejo de la Unión Europea aprobó el 29 de junio de 2026 un paquete de reforma (el «Digital Omnibus») que las retrasa hasta el 2 de diciembre de 2027. Esta guía, revisada el 16 de julio de 2026, separa lo que ya es obligatorio de lo que se ha movido, con la fuente oficial de cada fecha.
Este artículo es información general sobre el Reglamento de IA. No sustituye el asesoramiento de un abogado ni el análisis concreto de tu negocio: úsalo como mapa, no como dictamen jurídico.
Índice
- ¿Qué es el Reglamento de IA y por qué te afecta aunque no "hagas" IA?
- ¿Qué obligaciones ya están en vigor hoy?
- ¿Qué cambia exactamente el 2 de agosto de 2026?
- ¿Es verdad que se ha retrasado el calendario? El «Digital Omnibus», explicado
- ¿Quién vigila esto en España: la AEPD, AESIA o las dos?
- Calendario completo, de un vistazo
- ¿Qué tiene que hacer tu pyme antes de agosto de 2026? (15 minutos)
- ¿Qué pasa si no cumples?
- Preguntas frecuentes
¿Qué es el Reglamento de IA y por qué te afecta aunque no "hagas" IA?
El Reglamento (UE) 2024/1689, conocido como «Reglamento de IA» o «AI Act», es la norma europea que regula el uso de la inteligencia artificial. Se publicó en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024, pero sus obligaciones no llegan todas a la vez: se aplican por fases, y cada fase tiene su propia fecha (art. 113 del Reglamento).
No hace falta que desarrolles inteligencia artificial para que te afecte. Te afecta si la usas: un chatbot de atención al cliente, un asistente de voz, ChatGPT u otra IA para redactar textos, un generador de imágenes para tu web, un programa que filtra currículums o que evalúa el rendimiento de tu equipo. La ley distingue entre quien crea un sistema de IA (proveedor) y quien lo usa en su negocio (responsable del despliegue), y a las pymes casi siempre les toca esta segunda categoría — con obligaciones más ligeras, pero reales.
¿Qué obligaciones ya están en vigor hoy?
Dos cosas son obligatorias desde hace más de un año, y no han cambiado con nada de lo ocurrido en 2026:
- Desde el 2 de febrero de 2025: las prácticas de IA prohibidas (art. 5) — por ejemplo, sistemas que manipulan a las personas sin que se den cuenta, que puntúan socialmente a la gente o que reconocen emociones en el trabajo o en la educación — y la obligación de que quien usa IA en su negocio forme mínimamente a su equipo («alfabetización en IA», art. 4).
- Desde el 2 de agosto de 2025: el régimen de gobernanza y sanciones del Reglamento (capítulo relativo a las autoridades de control y a las multas) y las obligaciones para quienes desarrollan modelos de IA de uso general, como los modelos detrás de ChatGPT o similares.
La propia Agencia Española de Protección de Datos (AEPD) lo confirmó en una nota de prensa del 15 de julio de 2025: puede actuar contra un sistema de IA prohibido si ese sistema trata datos personales, con independencia de que España tuviera entonces —y siga teniendo a fecha de esta revisión— pendiente de aprobar su ley nacional de adaptación.
¿Qué cambia exactamente el 2 de agosto de 2026?
Para la mayoría de pymes, el 2 de agosto de 2026 tiene un nombre y un artículo: transparencia, artículo 50. A partir de esa fecha:
- Si un cliente habla con un chatbot, un asistente de voz o cualquier sistema que interactúe como si fuera una persona, tienes que decírselo de forma clara desde el principio — salvo que sea evidente por el contexto. Una frase visible del tipo «este chat usa inteligencia artificial» cumple.
- Si generas imágenes, audio, vídeo o texto con IA y los publicas de forma que puedan confundirse con contenido real, tienes que marcarlos como generados o manipulados por IA.
- Si usas reconocimiento de emociones o categorización biométrica, tienes que informar a las personas expuestas, además de cumplir el RGPD.
Esta es la obligación que más pymes van a notar, porque no depende de tu sector: depende de si tu negocio usa una IA que habla con clientes o que genera contenido. El 2 de agosto de 2026 es también, con carácter general, la fecha en la que se aplica el resto del Reglamento que no tiene una fecha propia — pero, como se explica en el siguiente apartado, esa fecha general ha dejado de ser la que importa para las obligaciones más exigentes.
¿Es verdad que se ha retrasado el calendario? El «Digital Omnibus», explicado
Sí, y es la novedad más importante de este artículo frente a cualquier guía escrita antes de junio de 2026. A finales de 2025 quedó claro que ni los organismos de normalización técnica ni buena parte de los Estados miembros iban a llegar a tiempo al 2 de agosto de 2026 con las herramientas necesarias para aplicar las obligaciones de «riesgo alto». La Comisión Europea propuso entonces un paquete de simplificación, el «Digital Omnibus on AI», que el Parlamento Europeo respaldó el 16 de junio de 2026 y que el Consejo de la Unión Europea aprobó definitivamente el 29 de junio de 2026.
Qué cambia, con fecha oficial de origen y de destino:
- Las obligaciones de los sistemas de IA de «riesgo alto» independientes (anexo III — por ejemplo, selección de personal, evaluación crediticia, educación o ciertos usos de biometría) pasan del 2 de agosto de 2026 al 2 de diciembre de 2027.
- Las obligaciones de IA de riesgo alto integrada en productos regulados (anexo I — dispositivos médicos, juguetes, maquinaria) pasan del 2 de agosto de 2026 al 2 de agosto de 2028.
- El plazo para que cada país cree sus «sandboxes» regulatorios (espacios controlados para probar sistemas de IA con supervisión) se retrasa al 2 de agosto de 2027, con acceso prioritario para pymes.
- Se añade una nueva práctica prohibida, no incluida antes: generar con IA contenido sexual no consentido de personas reales (por ejemplo, desnudos falsos) o material de abuso sexual infantil. Esta prohibición nueva se suma al calendario en diciembre de 2026.
Lo que no cambia con este paquete, según la documentación disponible hasta la fecha de esta revisión: las prohibiciones del art. 5 (desde febrero de 2025), la obligación de alfabetización en IA (art. 4, desde febrero de 2025), el régimen de gobernanza (desde agosto de 2025) y, sobre todo, la obligación de transparencia del art. 50 sigue teniendo como referencia el 2 de agosto de 2026 para lo que más afecta a una pyme: avisar de que se habla con una IA.
⚠️ Nota honesta: a fecha de esta revisión (16 de julio de 2026), el Consejo ya ha dado su aprobación final, pero el texto reformado del Reglamento todavía no se ha publicado en el Diario Oficial de la Unión Europea; la publicación se espera antes del 2 de agosto de 2026, y el texto entra en vigor tres días después de publicarse. Hasta que eso ocurra, estas fechas son las que constan en las notas de prensa oficiales del Consejo, no todavía en el texto legal consolidado. Si tomas una decisión importante a partir de este calendario, confírmalo con tu gestoría o con un jurista antes de agosto de 2026.
¿Quién vigila esto en España: la AEPD, AESIA o las dos?
España fue el primer país de la Unión Europea en crear una agencia estatal pensada para esto: la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), con sede en A Coruña, cuyo estatuto se aprobó por el Real Decreto 729/2023, de 22 de agosto (BOE-A-2023-18911) — antes incluso de que el Reglamento de IA existiera como norma definitiva.
Aun así, tener la agencia creada no es lo mismo que tenerla formalmente designada como autoridad del Reglamento de IA: eso exige una ley nacional que reparta las competencias. Esa ley, el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, fue aprobada por el Gobierno y remitida al Congreso el 12 de junio de 2026, y a fecha de esta revisión sigue en tramitación parlamentaria — todavía no es una ley en vigor. El proyecto prevé que AESIA sea la autoridad de vigilancia de mercado para la mayoría de sistemas de riesgo alto y para las obligaciones de transparencia del art. 50, y que la AEPD (junto con las autoridades autonómicas de protección de datos) se ocupe de los sistemas de biometría, migración y control de fronteras.
Mientras esa ley no esté aprobada, la AEPD ya ha dejado claro por escrito, en la nota de prensa citada, que puede actuar como autoridad de protección de datos frente a cualquier sistema de IA que trate datos personales de forma indebida, use o no una empresa el nombre «IA» para describirlo.
Calendario completo, de un vistazo
| Fecha | Qué se aplica | Fuente |
|---|---|---|
| 2 de febrero de 2025 | Prácticas de IA prohibidas (art. 5) y alfabetización en IA del personal (art. 4) | Reglamento (UE) 2024/1689, art. 113 |
| 2 de agosto de 2025 | Gobernanza, autoridades nacionales y régimen sancionador; obligaciones de modelos de IA de uso general | Reglamento (UE) 2024/1689, art. 113; AEPD, nota de prensa 15/07/2025 |
| 2 de agosto de 2026 | Transparencia con quien usa tu IA y con el contenido generado por IA (art. 50); aplicación general del resto del Reglamento sin fecha propia | Reglamento (UE) 2024/1689, art. 50 y 113 |
| 2 de diciembre de 2026 | Nueva prohibición: contenido sexual no consentido / material de abuso sexual infantil generado con IA | Consejo de la UE, nota de prensa 29/06/2026 |
| 2 de agosto de 2027 | Plazo para que los países creen sus sandboxes regulatorios de IA, con prioridad para pymes | Consejo de la UE, nota de prensa 29/06/2026 |
| 2 de diciembre de 2027 | Obligaciones de los sistemas de riesgo alto independientes (anexo III) | Consejo de la UE, nota de prensa 29/06/2026 (fecha retrasada desde el 2/08/2026) |
| 2 de agosto de 2028 | Obligaciones de los sistemas de riesgo alto integrados en productos regulados (anexo I) | Consejo de la UE, nota de prensa 29/06/2026 (fecha retrasada desde el 2/08/2026) |
¿Qué tiene que hacer tu pyme antes de agosto de 2026? (15 minutos)
No hace falta un proyecto grande. Para la mayoría de negocios, esto cubre lo esencial:
- Haz una lista de tus sistemas de IA. Chatbot de la web, IA del correo, generador de imágenes, corrector o traductor automático, cualquier programa con IA que uses para tu equipo o tus clientes.
- Marca cuál de ellos habla o escribe con tus clientes. Ese es el que necesita el aviso de transparencia del art. 50 antes del 2 de agosto de 2026.
- Añade una frase visible en ese canal: «Este chat usa inteligencia artificial» (o equivalente) es suficiente en la mayoría de los casos.
- Comprueba si alguno de tus sistemas selecciona currículums, evalúa a tu equipo o decide automáticamente sobre una persona. Si es así, no lo resuelves con una frase: avisa a tu gestoría, porque entra en la categoría de riesgo alto (anexo III) y, aunque su plazo se haya movido a diciembre de 2027, conviene tenerlo identificado ya.
- Deja constancia por escrito de qué IA usas, desde cuándo y para qué: es lo mínimo que te pedirá cualquier autoridad si te pregunta, y es también la base de la obligación de alfabetización del art. 4, ya en vigor.
¿Qué pasa si no cumples?
El régimen sancionador del Reglamento de IA (art. 99) tiene tres niveles, según la gravedad de lo que se incumple: hasta 35 millones de euros o el 7 % de la facturación mundial anual para las prácticas prohibidas del art. 5 (el nivel más alto); hasta 15 millones de euros o el 3 % de la facturación para el resto de obligaciones de quien usa o despliega IA, incluida la transparencia del art. 50; y hasta 7,5 millones de euros o el 1 % de la facturación por dar información falsa o engañosa a una autoridad. En cada caso se aplica la cifra mayor de las dos — con una excepción importante para pymes y startups: para ellas, la ley invierte la regla y aplica la cifra menor, no la mayor, precisamente para no comprometer la viabilidad de negocios pequeños.
En la práctica, esos importes son el techo legal, no lo habitual: la autoridad gradúa la sanción según la gravedad, el tamaño del negocio y si has colaborado. Un negocio pequeño que tiene identificados sus sistemas de IA, ha puesto el aviso de transparencia y ha formado mínimamente a su equipo no está en el escenario de las cifras máximas. Por eso conviene tenerlo resuelto ahora: no para evitar un susto puntual, sino para dejar de pensar en ello.
Preguntas frecuentes
¿Tengo que hacer algo si solo uso ChatGPT para redactar textos internos?
Si es un uso interno, sin que el cliente hable directamente con la IA ni reciba contenido generado por IA presentado como si fuera humano, el art. 50 no te obliga a avisar a nadie fuera de tu negocio. Sí te sigue aplicando la obligación de formar mínimamente a quien lo usa (art. 4), en vigor desde febrero de 2025.
¿El retraso del Digital Omnibus significa que ya no tengo que hacer nada en 2026?
No. El retraso afecta a los sistemas de riesgo alto del anexo III (selección de personal, evaluación crediticia y similares), que pasan a diciembre de 2027. La obligación de avisar cuando un cliente habla con tu IA (art. 50) sigue teniendo como referencia el 2 de agosto de 2026.
¿Una pyme necesita un delegado o responsable de IA como el delegado de protección de datos del RGPD?
El Reglamento de IA no exige una figura equivalente al delegado de protección de datos para pymes. Lo que exige es que quien use IA en el negocio esté mínimamente formado (art. 4) y que exista transparencia hacia quien interactúa con ella (art. 50).
¿La AEPD y AESIA pueden sancionarme por lo mismo dos veces?
No debería ocurrir: cada autoridad actúa dentro de su ámbito. La AEPD interviene cuando hay datos personales de por medio, como autoridad de protección de datos; la designación completa de competencias específicas del Reglamento de IA depende de la ley nacional que a fecha de esta revisión sigue en tramitación.
¿Dónde consulto el texto legal exacto del Reglamento de IA?
En EUR-Lex, el diario oficial de legislación de la Unión Europea, buscando el Reglamento (UE) 2024/1689 (enlace en «Fuentes», más abajo). Es la única fuente que prevalece si hay alguna diferencia con este artículo.
¿Usas un chatbot, un generador de imágenes o cualquier IA en tu negocio? Tranquilia genera automáticamente tu registro de sistemas de IA y la cláusula de transparencia del art. 50, a partir de un cuestionario guiado con las respuestas de tu propio negocio — sin jerga, en unos minutos. El nivel gratuito permite probarlo con hasta 2 empresas, sin tarjeta y sin límite de tiempo: visítalo en tranquilia.es. Si tu negocio es una asesoría o gestoría, consulta también el caso de uso para asesorías y gestorías o revisa los precios.
Artículo elaborado por Tranquilia by GRAC SA. Publicado el 16 de julio de 2026. Última revisión: 16 de julio de 2026. El contenido se apoya en las fuentes oficiales citadas más abajo y no constituye asesoramiento jurídico individual — varias fechas dependen de un texto legal (el «Digital Omnibus») que a esta fecha está aprobado por el Consejo de la UE pero pendiente de publicación oficial: confírmalas contra el Diario Oficial de la Unión Europea antes de tomar una decisión importante.
Fuentes
- Reglamento (UE) 2024/1689 (Reglamento de IA) — EUR-Lex
- Consejo de la UE — «Artificial Intelligence: Council gives final green light to simplify and streamline rules» (29 de junio de 2026)
- Consejo de la UE — «Council and Parliament agree to simplify and streamline rules» (7 de mayo de 2026)
- AEPD — «La AEPD recuerda que ya puede actuar ante sistemas de IA prohibidos que traten datos personales» (15 de julio de 2025)
- BOE-A-2023-18911 — Real Decreto 729/2023, Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA)
- Gobierno de España (digital.gob.es) — Aprobación del Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial (mayo de 2026)
Revisión: Tranquilia by GRAC SA — redacción asistida por IA con verificación de fuentes primarias
Pon a tus clientes en regla con el RGPD en 15 minutos.
Sin tarjeta. Sin comerciales. Dos empresas gratis, sin límite de tiempo.