logo

El RIA no se ha pospuesto: lo que su empresa tiene que cumplir aunque haya leído lo contrario

LetsLaw / Derecho Digital  / El RIA no se ha pospuesto: lo que su empresa tiene que cumplir aunque haya leído lo contrario
No se retrasa RIA

El RIA no se ha pospuesto: lo que su empresa tiene que cumplir aunque haya leído lo contrario

En las últimas semanas se ha instalado la idea de que el Reglamento de Inteligencia Artificial ha quedado en pausa hasta 2027. No es así. El Parlamento Europeo aprobó el pasado 16 de junio la reforma conocida como Digital Omnibus sobre IA, con 423 votos a favor, y el Consejo de la Unión Europea acaba de dar su aprobación formal al texto. Esa reforma retrasa una parte concreta del Reglamento, no su totalidad, y el 2 de agosto de 2026 sigue siendo una fecha con obligaciones plenamente exigibles. Confundir «se ha retrasado el régimen de alto riesgo» con «se ha retrasado el Reglamento» es el error de lectura más extendido que estamos viendo estas semanas, y puede dejar a su empresa expuesta justo en el tramo que sí entra en vigor.

¿Qué obligaciones del Reglamento de IA entran en vigor el 2 de agosto de 2026?

Las obligaciones de transparencia del artículo 50 mantienen su fecha original. Cualquier sistema que interactúe directamente con personas físicas, como chatbots, asistentes de voz o agentes conversacionales, debe informar de que se trata de un sistema de IA, salvo que resulte evidente por el contexto. Los sistemas que generen contenido sintético (texto, imagen, audio o vídeo) también quedan sujetos a esta obligación de identificación, con una salvedad importante: el etiquetado técnico legible por máquina de contenidos ya existentes se ha trasladado a diciembre de 2026, pero el deber general de informar al usuario no. Lo mismo ocurre con los sistemas de reconocimiento de emociones y de categorización biométrica, que deben advertir de su uso a las personas expuestas a ellos con independencia de que el sistema sea o no de alto riesgo.

A esto se suma que las prohibiciones del artículo 5, la obligación de alfabetización en materia de IA del artículo 4 y las obligaciones de gobernanza y de los proveedores de modelos de propósito general llevan aplicándose desde 2025 y no se ven afectadas en absoluto por la reforma. La AESIA ejerce, además, potestad sancionadora plena desde el 2 de agosto de 2025, lo que significa que la infraestructura de supervisión ya está operativa y activa cuando llegue el 2 de agosto de 2026, algo que muchas empresas siguen sin tener presente.

Conviene detenerse también en un matiz que suele pasar desapercibido: el artículo 50 no distingue entre sistemas de alto riesgo y sistemas de riesgo limitado. Un chatbot de atención al cliente sin ninguna vinculación con el Anexo III sigue obligado a advertir de su naturaleza artificial a partir de esa fecha. El aplazamiento del régimen de alto riesgo no exime, por tanto, a la inmensa mayoría de las herramientas de IA generativa que hoy utilizan las empresas en sus procesos comerciales, de atención al cliente o de comunicación.

De dónde viene la confusión: qué se ha retrasado realmente y qué sigue en plazo

El proceso ha sido rápido para los tiempos habituales de Bruselas. La Comisión presentó el Digital Omnibus sobre IA el 19 de noviembre de 2025, el Consejo adoptó su posición general el 13 de marzo de 2026, el Parlamento aprobó su mandato negociador el 26 de marzo y el acuerdo provisional de trílogo se cerró el 7 de mayo, tras un primer intento fallido a finales de abril que llegó a generar dudas sobre si habría reforma a tiempo. Tras la votación del Pleno del 16 de junio y la reciente aprobación formal del Consejo, el texto se publicará en el Diario Oficial de la Unión Europea en los próximos días y entrará en vigor tres días después, con un grado de certeza sobre su contenido ya muy elevado.

Lo que la reforma modifica de verdad es el calendario de los sistemas de alto riesgo. Los del Anexo III (empleo, scoring crediticio, educación, biometría, infraestructuras críticas, administración de justicia, entre otros), que debían cumplir el grueso de sus obligaciones el 2 de agosto de 2026, pasan al 2 de diciembre de 2027. Los sistemas de alto riesgo integrados como componentes de seguridad en productos sujetos a legislación sectorial armonizada (Anexo I, como maquinaria o dispositivos médicos) se trasladan al 2 de agosto de 2028, un plazo que la propia Comisión justifica en que las normas armonizadas técnicas necesarias para acreditar el cumplimiento todavía no están disponibles. La reforma reduce también la duplicidad entre el RIA y el Reglamento de Máquinas, dejando que sea este último quien incorpore por vía de legislación secundaria los requisitos de seguridad exigibles a la IA embebida en esos productos, lo que explica otra parte del ruido informativo de estas semanas.

La reforma incorpora además una prohibición nueva, que no debe confundirse con un aplazamiento: quedan vetados los sistemas que generen contenido sexual o íntimo sin consentimiento de la persona afectada, así como el material de abuso sexual infantil generado mediante IA, con fecha límite de adaptación el 2 de diciembre de 2026. El periodo de gracia para el etiquetado técnico de contenido ya existente se reduce, en paralelo, de seis a tres meses. Ninguna de estas modificaciones afecta a las obligaciones de transparencia ya vigentes ni al régimen sancionador, que es precisamente donde se concentra el error de lectura más habitual entre las empresas que han seguido la noticia solo por titulares o por publicaciones poco rigurosas en redes sociales.

Sanciones por incumplir el RIA y cómo preparar tu empresa antes de la fecha límite

El régimen sancionador del artículo 99 no se ha tocado en ningún momento de esta reforma. El uso o la comercialización de sistemas prohibidos por el artículo 5 puede acarrear multas de hasta 35 millones de euros o el 7% de la facturación mundial del ejercicio anterior, la cifra que resulte mayor. El incumplimiento de las obligaciones aplicables a los sistemas de alto riesgo, una vez sean exigibles, puede alcanzar los 15 millones o el 3%, y facilitar información incorrecta o engañosa a las autoridades competentes, hasta 7,5 millones o el 1%. Para pymes y startups, el artículo 99.6 establece un régimen de proporcionalidad explícito: se aplica la cuantía menor entre el importe fijo y el porcentaje de facturación, no la mayor. Cuando el sistema de IA trata datos personales, la AESIA y la AEPD pueden actuar de forma coordinada, de modo que una misma infracción puede tener consecuencias en dos frentes sancionadores distintos.

La prioridad antes del 2 de agosto no es, para la mayoría de las empresas, montar un sistema de gestión de riesgos propio de los sistemas de alto riesgo, que siguen siendo minoritarios en el tejido empresarial español. Lo urgente es hacer inventario de la IA que ya está en uso: chatbots de atención al cliente, asistentes integrados en el CRM, herramientas de generación de contenido, copilotos ofimáticos y agentes conversacionales conectados a bases documentales internas. Buena parte de estos sistemas queda fuera del régimen de alto riesgo, pero no del artículo 50, y conviene comprobar sistema por sistema si activa el deber de informar al usuario.

También es el momento de revisar los contratos con proveedores de IA para determinar quién asume el rol de proveedor a efectos del Reglamento, qué soporte de conformidad ofrece y qué registros o logs entrega en caso de incidente. Y conviene verificar si existe documentación acreditativa de la formación en alfabetización de IA del personal, exigible desde febrero de 2025 y todavía ausente en muchas organizaciones que dieron por hecho que esa obligación quedaba diluida en el aplazamiento general. No es así: es, junto a la transparencia del artículo 50, la parte del Reglamento que menos margen de espera ofrece a partir de agosto.

Cómo puede ayudarte Letslaw

En Letslaw somos especialistas en regulación digital e inteligencia artificial. Si su empresa necesita revisar su exposición real al RIA antes del 2 de agosto, podemos ayudarle a clasificar sus sistemas de IA, verificar sus obligaciones de transparencia y preparar la documentación necesaria. No dude en contactarnos.

Contáctanos

    Al pulsar en "Enviar" aceptas nuestra Política de Privacidad - + Información, para tratar tus datos con la finalidad de tramitar las consultas que puedas plantearnos.

    Acepto recibir comunicaciones comerciales perfiladas por parte de LETSLAW, S.L. conforme a lo dispuesto en nuestra Política de Privacidad - + Información