ISMS Copilot
Compliance Strategy

La demora en los sistemas de alto riesgo del Reglamento de IA no es un respiro

La UE acordó posponer los plazos de los sistemas de alto riesgo hasta diciembre de 2027 y agosto de 2028. La razón de este cambio debería cambiar cómo lo interpretas: es una advertencia sobre tu alcance, no un margen adicional para tu planificación.

por ISMS Copilot··7 min read
La demora en los sistemas de alto riesgo del Reglamento de IA no es un respiro

El 7 de mayo de 2026, el Parlamento Europeo y el Consejo alcanzaron un acuerdo político sobre el Digital Omnibus sobre IA, el paquete que modifica el Reglamento de IA (Reglamento (UE) 2024/1689). El titular es una demora. Las normas para los sistemas de alto riesgo en áreas como biometría, infraestructuras críticas, empleo y migración ahora se aplicarán a partir del 2 de diciembre de 2027, y las normas para la IA integrada en productos regulados, como ascensores o juguetes, desde el 2 de agosto de 2028 (Comisión Europea, "La UE acuerda simplificar las normas de IA", 2026-05-07). La mayor parte del reglamento, de lo contrario, debía aplicarse desde el 2 de agosto de 2026, mientras que los sistemas de alto riesgo integrados en productos regulados ya seguían un calendario posterior, con aplicación prevista para el 2 de agosto de 2027 (Página del marco regulatorio del Reglamento de IA de la Comisión Europea). Por lo tanto, el reloj de los sistemas de alto riesgo independientes se retrasó unos dieciséis meses, y el calendario para los productos integrados ganó otros doce.

El acuerdo aún no es ley. Ha sido negociado entre los colegisladores, pero no ha sido formalmente adoptado ni publicado en el Diario Oficial. La dirección está lo suficientemente clara como para planificar en torno a ella, y es precisamente ahí donde los equipos están a punto de cometer un error.

El error es interpretar dieciséis meses como un respiro. No lo es. Una demora te dice tres cosas, y solo una de ellas es "tienes más tiempo". Las otras dos son qué se movió junto con el plazo y por qué se movió el plazo en absoluto. Léelas primero, y la imagen se invertirá.

Lee qué se movió realmente, no solo la fecha

El calendario de los sistemas de alto riesgo se retrasó. Las partes del Reglamento de IA que ya están en vigor no lo hicieron.

Las prácticas prohibidas en el Artículo 5 se aplican desde el 2 de febrero de 2025, junto con las obligaciones de alfabetización en IA. Las normas de gobernanza y las obligaciones para los modelos de IA de propósito general se aplican desde el 2 de agosto de 2025 (Página del marco regulatorio del Reglamento de IA de la Comisión Europea). Ninguna de estas fechas de aplicación se retrasó con el omnibus. Si tu organización desarrolla modelos de propósito general o opera algo que roce una práctica prohibida, tus obligaciones ya están vigentes desde hace casi un año. El acuerdo del 7 de mayo también añadiría una nueva prohibición en lugar de eliminar alguna: la prohibición de los sistemas de IA utilizados para generar imágenes íntimas no consentidas, las llamadas "apps de desnudez" (Comisión Europea, 2026-05-07). La dirección de las normas de aplicación inmediata es aditiva, no sustractiva.

Por lo tanto, la demora es limitada. Se aplica a un nivel del régimen: la clasificación de alto riesgo y sus obligaciones de conformidad, dejando las prohibiciones y las obligaciones de los modelos de IA de propósito general exactamente donde estaban. Un equipo que escuche "el Reglamento de IA se retrasa" y paralice todo su programa de gobernanza de IA habrá malinterpretado un cambio de calendario específico como una amnistía general. Esa es la primera trampa.

Lee por qué se retrasó, porque la razón es la advertencia

El plazo no se retrasó porque las obligaciones fueran fáciles. Se retrasó para secuenciar la aplicación de manera que las normas técnicas y herramientas de apoyo para los sistemas de alto riesgo estén listas antes de que las normas entren en vigor, algo que en el calendario original no ocurriría (Comisión Europea, 2026-05-07). Las normas armonizadas que los proveedores de sistemas de alto riesgo deben utilizar como referencia aún se están finalizando.

Reflexiona sobre lo que esto significa para el alcance (scope). No se te está entregando un reglamento terminado con tiempo extra para aplicarlo. Se te está dando tiempo extra precisamente porque el reglamento no está terminado. El trabajo de clasificar tus sistemas, mapearlos con las obligaciones y construir las prácticas de gestión de riesgos y gobernanza de datos en torno a ellos ahora debe realizarse frente a un objetivo en movimiento. Eso es más difícil, no más fácil, que cumplir con una norma establecida. Los equipos que interpreten el 2 de diciembre de 2027 como "lo revisamos el año que viene" llegarán a finales de 2027 con el mismo problema de alcance sin resolver que tienen hoy, con menos margen y una norma que apenas ha dejado de cambiar.

La lectura honesta de la demora es lo opuesto al consuelo. El regulador te está diciendo que el detalle operable aún se está escribiendo, y la razón por la que te dio más tiempo es la misma por la que deberías empezar ahora las partes duraderas y agnósticas de este trabajo: un inventario de dónde se encuentra la IA en tus productos y procesos, una clasificación defendible de cada uso según las categorías del Anexo III, y las prácticas de gestión de riesgos y gobernanza de datos que cualquier versión de la norma final exigirá. Nada de esto depende de que se resuelva la última cláusula.

No confundas esta demora con el otro omnibus

Existe un segundo paquete que avanza en Bruselas bajo un nombre similar, y confundirlos es otra trampa. El Digital Omnibus más amplio propone simplificar el RGPD y las normas digitales de datos adyacentes, y uno de sus cambios propuestos estrecharía la definición de datos personales, reduciendo su alcance.

Ese paquete no está acordado. Es una propuesta en disputa, y quienes hacen cumplir el RGPD están presionando enérgicamente en su contra. En la Opinión Conjunta 2/2026 (adoptada el 10 de febrero de 2026), el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos instaron a los colegisladores a no adoptar el cambio propuesto en la definición de datos personales, advirtiendo que resultaría en un estrechamiento significativo del concepto de datos personales (EDPB y EDPS, Opinión Conjunta 2/2026, adoptada el 2026-02-10). Su mensaje fue que la simplificación no debe reducir la protección que el RGPD existe para proporcionar.

La lección para los profesionales es mantener separados ambos procesos en tu planificación. La demora en los sistemas de alto riesgo del Reglamento de IA está cerca de convertirse en ley y puedes confiar en las nuevas fechas. El "simplificación" del RGPD es un borrador que tus propias autoridades de supervisión están impugnando, y adelgazar preventivamente tus registros de actividades de tratamiento o tus prácticas de evaluaciones de impacto (DPIA) basándote en él sería planificar en torno a una cláusula que podría no sobrevivir. No dejes de cumplir basándote en una propuesta. Espera al texto definitivo.

La norma que vale la pena mantener

Cuando un regulador retrasa una norma, la fecha es lo menos informativo del anuncio. Antes de tocar tu planificación, lee los otros dos hechos: qué no se movió junto con el plazo y por qué se retrasó el plazo. En este caso, las prohibiciones y las obligaciones de los modelos de IA de propósito general no se movieron, y el reloj de los sistemas de alto riesgo se retrasó porque la norma no estaba terminada. Juntos, estos dos hechos convierten una demora de dieciséis meses de un motivo para ralentizar el trabajo en un motivo para empezar ahora las partes del trabajo que nunca dependieron del plazo en primer lugar.

Si tu tarea inmediata es la parte poco glamurosa de este proceso —mapear dónde se encuentra la IA en tu infraestructura y clasificar cada uso según las categorías del Anexo III y las obligaciones que conllevan—, eso es exactamente el trabajo de base agnóstico a la norma que vale la pena hacer ahora. El tipo de trabajo de referencia cruzada para el que ISMS Copilot está diseñado para acelerar. El plazo se retrasó. El trabajo, no.

Artículos relacionados