El 2 de agosto de 2026 entra en vigor la obligación de compliance para sistemas de IA de alto riesgo bajo el EU AI Act. Las empresas deben tener completadas sus evaluaciones de conformidad, la documentación técnica y el registro en la base de datos de la Unión Europea. Las multas por incumplimiento alcanzan los 15 millones de euros o el 3% de la facturación anual global, lo que sea mayor. La fecha no es orientativa.
Existe una propuesta de prórroga conocida como Digital Omnibus, que aplazaría la obligación hasta diciembre de 2027. El Parlamento Europeo ya votó a favor. Pero para ser vinculante necesita aprobación formal antes del 2 de agosto. Mientras eso no ocurra, la fecha original es la fecha legal. Las firmas jurídicas especializadas en IA —DLA Piper, Holland & Knight, WilmerHale— recomiendan tratar agosto como plazo real y planificar en paralelo a la incertidumbre. La prórroga no está garantizada.
La categoría de alto riesgo incluye sistemas que afectan a empleados, candidatos, clientes de crédito o usuarios de servicios esenciales. Si tu empresa usa IA para filtrar CVs, puntuar llamadas de ventas, evaluar rendimiento, aprobar créditos o monitorizar productividad, estás en el perímetro de la norma. No hace falta ser proveedor de IA: desplegar un sistema de terceros ya te convierte en usuario-desplegador con obligaciones propias.
Las obligaciones del desplegador son más manejables que las del proveedor, pero no triviales. Requieren registros automáticos de al menos seis meses, mecanismos de supervisión humana documentados, evaluaciones de derechos fundamentales si el sistema afecta a empleados, y notificación a los trabajadores antes de la implementación. Un análisis de Cloud Security Alliance publicado esta semana señala que el 40% de los sistemas empresariales no puede clasificarse claramente bajo la norma. El primer problema es de inventario, no de cumplimiento técnico.
El patrón de fondo importa. En los últimos doce meses, los sistemas de RRHH, crédito y atención al cliente han integrado IA de forma acelerada, frecuentemente bajo presión de tiempo y sin documentación de riesgos. El EU AI Act no prohíbe esas implementaciones: exige que estén auditadas. La diferencia entre cumplir y no cumplir no es si usas IA en RRHH. Es si tienes el papel que lo justifica.
La señal de acción para los próximos 30 días: hacer un inventario de los sistemas de IA activos en la empresa y marcar cuáles toman o influyen en decisiones sobre personas. Ese inventario no requiere equipo legal ni presupuesto adicional. Requiere sentarse con RRHH, crédito y atención al cliente y preguntarles qué herramientas usan y qué deciden con ellas. Es el paso cero antes de cualquier evaluación de conformidad, y es el único que puede hacerse esta semana.
