Introducción: un nuevo hito en la regulación europea de la inteligencia artificial
Ayer, 29 de junio de 2026, el Consejo de la Unión Europea dio luz verde definitiva al Reglamento Ómnibus Digital sobre la IA, conocido también como Digital Omnibus on AI, AI Omnibus o RODIA. Con esta adopción formal se cierra el recorrido de los colegisladores tras el acuerdo político alcanzado en mayo y la aprobación del Parlamento Europeo el 16 de junio. El texto queda, por tanto, pendiente únicamente de publicación en el Diario Oficial de la Unión Europea, previsiblemente en los próximos días o semanas, y entrará en vigor el tercer día siguiente al de dicha publicación.
La noticia es relevante por una razón muy sencilla: se trata de la primera reforma del Reglamento (UE) 2024/1689, el Reglamento Europeo de Inteligencia Artificial o AI Act, antes incluso de que buena parte de sus obligaciones de alto riesgo haya comenzado a aplicarse plenamente. No estamos ante una sustitución del modelo europeo ni ante una desregulación general de la IA. Estamos ante un ajuste quirúrgico, pero de gran impacto práctico, orientado a hacer más realista, homogénea y proporcionada la aplicación del AI Act.
La reforma conserva la arquitectura esencial del Reglamento: enfoque basado en el riesgo, prohibiciones para usos inaceptables, obligaciones reforzadas para sistemas de alto riesgo, reglas específicas para modelos de propósito general, supervisión pública y medidas de apoyo a la innovación. Sin embargo, recalibra plazos, aclara competencias, introduce nuevas prohibiciones y trata de evitar solapamientos con legislación sectorial que ya regula determinados productos, como productos sanitarios, juguetes, ascensores, embarcaciones o maquinaria.
Desde Delvy, y en particular desde el equipo de IP/IT/AI, hemos seguido muy de cerca esta reforma porque afecta directamente a la planificación de cumplimiento de proveedores, desplegadores, startups, pymes, scaleups, corporaciones y Administraciones Públicas que desarrollan, integran o utilizan sistemas de IA en Europa. El mensaje principal es claro: hay más tiempo para determinadas obligaciones de alto riesgo, pero no hay barra libre. Los proyectos de IA deben seguir inventariándose, clasificándose, documentándose y gobernándose desde ahora.
Contexto normativo: por qué nace el Digital Omnibus on AI
El AI Act entró en vigor el 1 de agosto de 2024 y diseñó un calendario escalonado de aplicación. Algunas reglas, como las relativas a prácticas prohibidas, comenzaron a desplegar efectos antes; otras, especialmente las obligaciones de los sistemas de alto riesgo, estaban llamadas a convertirse en el gran bloque de cumplimiento de empresas y organismos públicos a partir de 2026 y 2027.
El problema no era tanto el objetivo del Reglamento como su aterrizaje práctico. Para aplicar de forma uniforme las obligaciones de alto riesgo son necesarias normas armonizadas, especificaciones comunes, guías interpretativas, autoridades nacionales competentes, organismos notificados, bases de datos operativas y herramientas de apoyo al cumplimiento. La experiencia de estos meses ha mostrado que varias de esas piezas no estaban llegando al ritmo previsto. Exigir plenamente determinadas obligaciones sin esos instrumentos podía generar inseguridad jurídica, costes innecesarios y diferencias de interpretación entre Estados miembros.
El Digital Omnibus on AI se inserta, además, en una agenda más amplia de simplificación normativa de la Unión Europea. Esta agenda pretende reducir cargas administrativas sin vaciar de contenido los objetivos de protección de la normativa digital europea. En materia de IA, la clave está en distinguir simplificación de relajación. Simplificar no significa eliminar controles, sino facilitar que los controles funcionen, sean comprensibles, se integren en procesos internos y no dupliquen obligaciones ya previstas en legislación sectorial equivalente.
De ahí que el Ómnibus sea una reforma temprana, pero no necesariamente prematura. Llega antes de la aplicación plena de muchas obligaciones porque pretende evitar que el sistema nazca con fricciones innecesarias. En otras palabras, el legislador europeo ha asumido que la eficacia del AI Act no dependerá solo de la ambición de sus principios, sino también de la posibilidad real de cumplirlos.
La hoja de ruta legislativa: del acuerdo político a la publicación en el DOUE
El recorrido legislativo del Digital Omnibus on AI ha sido intenso. La Comisión Europea presentó la propuesta el 19 de noviembre de 2025, dentro del paquete Omnibus VII de simplificación digital. El Consejo fijó su posición negociadora el 13 de marzo de 2026 y el Parlamento Europeo aprobó su mandato el 26 de marzo. El acuerdo político provisional llegó en mayo, fue respaldado por el Parlamento el 16 de junio y, finalmente, el Consejo lo adoptó formalmente el 29 de junio de 2026.
El siguiente paso es la publicación en el Diario Oficial de la Unión Europea. A partir de ahí, la norma entrará en vigor tres días después y modificará directamente el AI Act. Esta precisión es importante: al tratarse de un Reglamento, no requiere una transposición nacional general para desplegar efectos. Sin perjuicio de las adaptaciones institucionales que deban realizarse en cada Estado miembro, los nuevos plazos y ajustes se integrarán directamente en el marco jurídico aplicable.
El siguiente paso es la publicación en el Diario Oficial de la Unión Europea. A partir de ahí, la norma entrará en vigor tres días después y modificará directamente el AI Act. Esta precisión es importante: al tratarse de un Reglamento, no requiere una transposición nacional general para desplegar efectos. Sin perjuicio de las adaptaciones institucionales que deban realizarse en cada Estado miembro, los nuevos plazos y ajustes se integrarán directamente en el marco jurídico aplicable.
Tabla resumen: así queda el nuevo calendario de aplicación
| Fecha | Hito | Impacto práctico |
| 29 de junio de 2026 | Adopción formal por el Consejo de la UE | Cierre del trámite legislativo ordinario y aprobación definitiva del texto por los colegisladores. |
| Publicación próxima en el DOUE | Publicación del acto legislativo | Entrada en vigor al tercer día siguiente de la publicación. |
| 2 de diciembre de 2026 | Nuevas prohibiciones y transparencia para determinados contenidos sintéticos | Prohibición de sistemas orientados a generar material íntimo o sexual no consentido y material de abuso sexual infantil; deadline para determinados sistemas ya comercializados antes del 2 de agosto de 2026. |
| 2 de agosto de 2027 | Espacios controlados de pruebas nacionales | Nuevo plazo para que las autoridades competentes establezcan los AI regulatory sandboxes. |
| 2 de diciembre de 2027 | Sistemas de IA de alto riesgo independientes | Aplicación de las obligaciones principales de alto riesgo para sistemas del artículo 6.2 y anexo III. |
| 2 de agosto de 2028 | Sistemas de IA de alto riesgo integrados en productos | Aplicación de las obligaciones para sistemas del artículo 6.1 y anexo I, con especial relevancia para sectores sometidos a normativa armonizada de producto. |
1. Nuevo calendario para sistemas de IA de alto riesgo: el cambio con mayor impacto práctico
El aplazamiento de las obligaciones de alto riesgo es, sin duda, la modificación más visible. Los sistemas de IA de alto riesgo independientes, es decir, aquellos clasificados conforme al artículo 6.2 y el anexo III del AI Act, pasan a tener como fecha clave el 2 de diciembre de 2027. Pensemos en sistemas utilizados en empleo, educación, acceso a servicios esenciales, determinadas aplicaciones biométricas, migración, control fronterizo o administración de justicia, entre otros supuestos del anexo III.
Por su parte, los sistemas de IA de alto riesgo integrados en productos regulados por legislación sectorial, conforme al artículo 6.1 y el anexo I, tendrán como nueva fecha el 2 de agosto de 2028. Aquí entran escenarios en los que el sistema de IA funciona como componente de seguridad o se integra en productos sujetos a normativa europea armonizada. El legislador ha querido reconocer que estos ámbitos ya cuentan con procedimientos de evaluación, autoridades y estándares propios, y que aplicar el AI Act sin coordinación podía generar duplicidades.
Este nuevo calendario no debe interpretarse como una invitación a paralizar los proyectos de adecuación. Al contrario, las organizaciones que ya hayan avanzado en inventario, clasificación, gobernanza de datos, evaluación de riesgos, documentación técnica, supervisión humana, ciberseguridad o vigilancia poscomercialización partirán con ventaja. El aplazamiento concede margen para hacer mejor el trabajo, no para posponerlo indefinidamente.
Además, la reforma aporta mayor seguridad en el periodo transitorio. Determinados sistemas ya comercializados o puestos en servicio antes de las fechas relevantes podrán seguir ofreciéndose bajo ciertas condiciones, siempre que no se introduzcan modificaciones sustanciales que alteren su diseño o funcionamiento. La lógica es evitar que el mercado quede bloqueado por cambios formales cuando el sistema no ha cambiado materialmente, sin impedir que las obligaciones se activen cuando exista una evolución sustancial del producto.
2. Nuevas prohibiciones: deepfakes sexuales no consentidos y material de abuso sexual infantil
La reforma no se limita a mover fechas. También amplía el perímetro de lo inaceptable en el artículo 5 del AI Act. En concreto, incorpora nuevas prohibiciones relativas a sistemas de IA destinados a generar o manipular contenido sexual o íntimo sin consentimiento, así como material de abuso sexual infantil, incluido el contenido total o parcialmente sintético.
Esta incorporación responde a una realidad social y tecnológica evidente. La expansión de herramientas capaces de generar imágenes, vídeos o audios hiperrealistas ha multiplicado los riesgos de abuso, especialmente contra mujeres, menores y personas en situación de especial vulnerabilidad. Las conocidas aplicaciones de “nudificación”, los deepfakes sexuales no consentidos y la creación de CSAM mediante IA no son simples malos usos marginales: son formas de lesión de la dignidad, la intimidad, la propia imagen, la libertad sexual y la protección de la infancia.
La novedad tiene una doble importancia. Por un lado, envía un mensaje normativo inequívoco: hay usos de la IA que quedan fuera del mercado europeo por resultar incompatibles con los derechos fundamentales. Por otro, obliga a proveedores y desplegadores a revisar sus salvaguardas técnicas y contractuales. No bastará con decir que una herramienta “también puede usarse bien” si resulta razonablemente previsible y reproducible que se utilice para generar ese tipo de material y no se han implantado medidas adecuadas de prevención, filtrado, rechazo, detección de abusos o restricción de uso.
El texto conserva, no obstante, cautelas para no bloquear usos legítimos. No pretende prohibir toda tecnología de generación o edición audiovisual, ni impedir aplicaciones médicas, usos artísticos no realistas, actividades de evaluación de seguridad o supuestos amparados por consentimiento válido. La clave estará en la finalidad del sistema, su diseño, sus usos previsibles, las medidas de mitigación adoptadas y el modo en que el responsable del despliegue lo utilice en la práctica.
3. Transparencia, alfabetización en IA y tratamiento de datos sensibles para corregir sesgos
Otro bloque relevante afecta a obligaciones transversales que suelen pasar desapercibidas frente al debate de los sistemas de alto riesgo. En materia de transparencia para contenidos generados o manipulados artificialmente, el Reglamento reduce el periodo de gracia para determinados proveedores y fija como nueva referencia el 2 de diciembre de 2026 para implementar soluciones de marcado o identificación en sistemas ya puestos en el mercado antes del 2 de agosto de 2026.
En paralelo, el Ómnibus reformula la obligación de alfabetización en IA. El AI Act ya imponía a proveedores y responsables del despliegue la necesidad de garantizar un nivel suficiente de alfabetización de su personal. La reforma mantiene la importancia de la capacitación, pero transforma la obligación en un deber más proporcionado de adoptar medidas para apoyar el desarrollo de competencias, teniendo en cuenta conocimientos técnicos, experiencia, formación, contexto de uso y personas afectadas. No se exige garantizar un nivel concreto de alfabetización de cada individuo, sino desplegar medidas razonables, documentables y adaptadas al caso.
También destaca la introducción de una base jurídica específica para el tratamiento excepcional de categorías especiales de datos personales cuando sea estrictamente necesario para detectar y corregir sesgos. Este punto es delicado y relevante. En muchos sistemas de IA, evaluar sesgos sin analizar variables sensibles puede resultar imposible o poco fiable. Al mismo tiempo, el uso de esos datos exige garantías reforzadas: necesidad estricta, imposibilidad de lograr el objetivo con otros datos, medidas de seguridad y privacidad, controles de acceso, limitación de reutilización, supresión cuando deje de ser necesario y documentación de la razón por la que el tratamiento era imprescindible.
La lectura práctica es clara: la gestión de sesgos no es un eslogan ético, sino una actividad técnica, jurídica y organizativa que debe diseñarse desde el inicio. Los equipos de legal, privacidad, compliance, data science y producto tendrán que trabajar conjuntamente para justificar cuándo procede ese tratamiento, qué salvaguardas se aplican y cómo se integra en el sistema de gestión del riesgo.
4. Legislación sectorial, productos regulados y reducción de duplicidades
Uno de los problemas clásicos del Derecho Digital europeo es la acumulación de capas normativas. Un mismo sistema puede estar sujeto al AI Act, al RGPD, a normativa de ciberseguridad, a reglas de producto, a obligaciones sectoriales y a contratos con clientes o Administraciones. El Digital Omnibus on AI intenta ordenar parte de esa interacción.
La reforma prevé un mecanismo para resolver conflictos o solapamientos entre el AI Act y legislación sectorial armonizada que ya contenga requisitos específicos sobre IA equivalentes o más protectores. En esos casos, la Comisión podrá limitar mediante actos de ejecución la aplicación de determinadas exigencias del AI Act para evitar duplicidades. El objetivo no es rebajar la protección, sino evitar que dos regímenes exijan lo mismo por vías distintas y con documentación o evaluaciones redundantes.
Este punto será especialmente relevante en sectores regulados como productos sanitarios, juguetes, ascensores, embarcaciones, aviación o maquinaria. La reforma introduce, además, un tratamiento singular para productos cubiertos por el Reglamento de máquinas, excluyéndolos de la aplicación directa de determinadas reglas del AI Act y desplazando la integración de los requisitos de IA hacia el propio marco sectorial de maquinaria mediante legislación secundaria.
Para las empresas, la consecuencia práctica es que el análisis de cumplimiento no puede hacerse en abstracto. No basta con preguntar si un sistema es de alto riesgo conforme al AI Act. Habrá que analizar si está integrado en un producto regulado, qué legislación sectorial aplica, qué procedimiento de evaluación de conformidad existe, qué organismos intervienen, qué normas armonizadas pueden utilizarse y qué parte del cumplimiento de IA queda absorbida o coordinada por el régimen sectorial.
5. Gobernanza: AI Office, autoridades nacionales y sandboxes
La reforma también aclara el reparto de competencias entre la Oficina Europea de IA, las autoridades nacionales competentes y otros supervisores sectoriales. En particular, refuerza la competencia del AI Office en determinados sistemas basados en modelos de IA de propósito general cuando el modelo y el sistema hayan sido desarrollados por el mismo proveedor o por entidades integradas en una misma empresa, con excepciones para ámbitos en los que deben seguir interviniendo autoridades nacionales, como fuerzas y cuerpos de seguridad, gestión fronteriza, autoridades judiciales o instituciones financieras.
Esta clarificación es importante para grandes plataformas, proveedores de modelos de propósito general y compañías que integran modelos en servicios desplegados a escala europea. Cuanto más compleja es la cadena de valor de la IA, más importante resulta saber quién supervisa qué, qué autoridad es competente y cómo se evitan duplicidades sancionadoras o interpretaciones divergentes.
En materia de innovación, el Ómnibus aplaza hasta el 2 de agosto de 2027 el plazo para que las autoridades nacionales competentes establezcan espacios controlados de pruebas regulatorias. También prevé un sandbox a escala de la Unión gestionado por el AI Office, con acceso prioritario para pymes, startups y small mid-cap enterprises. Esta medida puede ser especialmente valiosa para empresas que desarrollan soluciones innovadoras y necesitan contrastar su enfoque de cumplimiento con la autoridad antes de escalar el producto.
Los sandboxes no deben verse como un atajo para incumplir, sino como una herramienta para aprender a cumplir mejor. Permiten probar sistemas en entornos controlados, documentar riesgos, validar salvaguardas, identificar fricciones regulatorias y generar criterios interpretativos más homogéneos. España, con su experiencia previa en sandbox de IA y con la actividad de la AESIA, parte de una posición especialmente interesante para aprovechar este nuevo marco europeo.
Impacto práctico: qué deberían hacer ahora las organizaciones
La primera tentación tras leer que se aplazan obligaciones es respirar y dejar el proyecto para más adelante. Sería un error. El nuevo calendario da oxígeno, pero también eleva el listón de planificación: con más tiempo disponible, será más difícil justificar improvisaciones de última hora.
Los proveedores deberían revisar su mapa de sistemas, confirmar qué soluciones pueden ser de alto riesgo, identificar si pertenecen al anexo III o si están integradas en productos regulados, actualizar su documentación técnica, reforzar la gobernanza de datos y preparar un sistema de gestión de riesgos que pueda evolucionar con normas armonizadas y guías futuras. También deberán revisar sus condiciones de uso, filtros, mecanismos de seguridad y controles de abuso en herramientas generativas susceptibles de producir contenido sensible.
Los responsables del despliegue, por su parte, no pueden limitarse a esperar a que el proveedor les entregue un paquete de cumplimiento. Deben inventariar los sistemas que utilizan, comprender su finalidad, evaluar los contextos de uso, formar a sus equipos, establecer protocolos internos de supervisión humana y exigir contractualmente información suficiente para cumplir sus propias obligaciones. En sectores como recursos humanos, educación, sanidad, banca, seguros, servicios esenciales o sector público, esta tarea resulta ya prioritaria.
Las pymes, startups y SMC pueden beneficiarse de una mayor proporcionalidad, de sistemas simplificados y de acceso preferente a sandboxes, pero ello no elimina la necesidad de gobernanza. Precisamente porque el cumplimiento puede ser una ventaja competitiva, las empresas que integren desde el inicio criterios de seguridad, transparencia, calidad de datos, trazabilidad y responsabilidad estarán mejor posicionadas para vender a clientes corporativos, Administraciones y mercados regulados.
Por último, las Administraciones Públicas y autoridades supervisoras deberán acelerar su propia preparación institucional. El AI Act no solo regula a empresas privadas. También transforma la forma en que el sector público adquiere, despliega y supervisa sistemas de IA. La coordinación entre AESIA, autoridades sectoriales, autoridades de protección de datos y organismos de vigilancia de mercado será decisiva para que el modelo funcione de forma coherente.
Conclusión: simplificar para aplicar, no para desregular
El Digital Omnibus on AI confirma que el marco europeo de inteligencia artificial es dinámico. La Unión Europea no abandona su apuesta por una IA confiable, centrada en la persona y basada en derechos fundamentales. La ajusta para que pueda aplicarse con mayor seguridad jurídica, menos duplicidades y un calendario más realista.
La reforma tiene una doble lectura. Desde una perspectiva empresarial, ofrece tiempo adicional y mayor claridad para organizar planes de adecuación. Desde una perspectiva regulatoria, demuestra que el AI Act no es un bloque inmóvil, sino un instrumento llamado a evolucionar conforme maduran la tecnología, los estándares, las autoridades y el mercado. En ambos casos, el resultado no debería ser menos cumplimiento, sino mejor cumplimiento.
La ampliación de las prohibiciones frente a deepfakes sexuales no consentidos y material de abuso sexual infantil recuerda, además, que la simplificación no puede hacerse a costa de la dignidad humana ni de la protección de personas vulnerables. La tecnología avanza, pero el umbral de lo inaceptable también debe actualizarse.
En definitiva, el AI Act sigue siendo la piedra angular de la regulación europea de la inteligencia artificial. El Digital Omnibus on AI no cambia sus cimientos, pero sí ajusta parte de su estructura para hacerla más habitable. Para las organizaciones, el momento no es de pausa, sino de planificación inteligente: revisar, clasificar, documentar, formar, contratar mejor, diseñar controles y preparar evidencias. Quien llegue a 2027 o 2028 con todo por hacer no tendrá un problema de calendario, sino de estrategia.
Desde Delvy seguiremos analizando la publicación oficial en el Diario Oficial de la Unión Europea, las guías que publique la Comisión y el desarrollo práctico de los sandboxes y autoridades competentes. La nueva etapa del cumplimiento en IA acaba de empezar, y convertir este reto regulatorio en una ventaja competitiva dependerá de empezar a trabajar antes de que el plazo vuelva a parecer corto.
José Morato (IP-IT & AI Partner) y Pablo Sáez (AI Senior Counsel)
En Delvy podemos ayudarte a inventariar sistemas de IA, clasificar riesgos, diseñar la hoja de ruta de cumplimiento del AI Act y adaptar contratos,
documentación técnica y políticas internas al nuevo calendario del Digital Omnibus on AI.
