Hace dos semanas, el Consejo y el Parlamento de la UE alcanzaron un acuerdo provisional que retrasa dieciséis meses la mayor ola de aplicación de la Ley de IA. Suena a victoria para todos los que vienen rezagados con el cumplimiento. No lo es. La fecha del 2 de agosto de 2026 sigue activando una larga lista de obligaciones, y la parte de la ley que se aplazó pasa a ser vinculante igualmente el 2 de diciembre de 2027. Ochenta días son una ventana corta cuando tu inventario de IA todavía es una conjetura y tu cableado de transparencia sigue siendo una lista de deseos.
Este es el mapa con el que en StudioMeyer leemos la ley, las fechas y el trabajo de ingeniería que hay que hacer entre ahora y finales del año que viene. Alojamos productos de IA en Fráncfort y construimos sistemas de memoria para clientes europeos. Hemos escrito esto una vez para nosotros mismos y lo volvemos a escribir aquí porque la mayor parte de lo que se ha publicado este mes sobre la Ley de IA es o demasiado jurídico para ser útil, o demasiado vago para estar equivocado. También ofrecemos servicios dedicados de asesoría para equipos que necesitan ayuda a la hora de mapear sus sistemas contra la ley, por lo que la segunda mitad de este artículo describe cómo abordamos ese trabajo en la práctica.
Las fechas que ya ocurrieron
La Ley (Reglamento (UE) 2024/1689) entró en vigor el 1 de agosto de 2024 y se está activando por fases. Dos de esas fases ya quedaron atrás.
El 2 de febrero de 2025, las prácticas prohibidas del artículo 5 pasaron a ser exigibles. El social scoring, las técnicas subliminales manipuladoras, el scraping no dirigido de imágenes faciales, la categorización biométrica que infiere atributos sensibles y el reconocimiento de emociones en el lugar de trabajo o en las aulas están totalmente prohibidos. La multa por infracción asciende hasta 35 millones de euros o el 7 por ciento del volumen de negocios anual global, el que sea más alto. La misma fecha activó la obligación de alfabetización en IA del artículo 4, que exige a proveedores y desplegadores asegurar que su personal entiende los sistemas que envía y utiliza.
El 2 de agosto de 2025, las reglas para modelos de IA de propósito general en los artículos 51 a 56 pasaron a ser vinculantes. Los proveedores de modelos fundacionales (Anthropic, OpenAI, Google, Mistral, Meta y otros) ahora tienen que publicar un resumen de los datos de entrenamiento, mantener documentación técnica, compartir información con proveedores aguas abajo y seguir una política de cumplimiento de copyright que respete el opt-out de Text and Data Mining. El Código de Práctica para GPAI voluntario publicado el 10 de julio de 2025 es la vía preferida de la Comisión para demostrar cumplimiento y reducir la carga administrativa, y la mayoría de los grandes proveedores lo han firmado.
Si tu equipo utiliza Claude o GPT-4 vía API, no heredas las obligaciones del proveedor del modelo. Heredas las obligaciones de ser desplegador o, más a menudo, proveedor del sistema que construiste encima.
El cambio del 7 de mayo de 2026
Durante el último año, cada artículo sobre cumplimiento terminaba con la misma frase: el 2 de agosto de 2026 es la fecha en la que el resto de la Ley se vuelve exigible. Esa frase ahora es parcialmente incorrecta.
El 7 de mayo de 2026, el Consejo y el Parlamento anunciaron un acuerdo político provisional sobre el Digital Omnibus, un paquete de simplificación específico que la Comisión propuso en noviembre de 2025. La razón fue prosaica. Las normas armonizadas no están terminadas, los organismos notificados no están en su sitio, y la mayoría de los Estados miembros van con retraso en la designación de sus autoridades competentes. La Comisión decidió que exigir cumplimiento con un marco que aún no tiene la infraestructura de apoyo era condenar la ley al fracaso.
Si el acuerdo se adopta formalmente, cambian cuatro cosas. Los sistemas de IA de alto riesgo del anexo III (sistemas autónomos en empleo, crédito, educación, biometría, infraestructuras críticas, aplicación de la ley, migración y justicia) pasan a ser exigibles el 2 de diciembre de 2027 en lugar del 2 de agosto de 2026, como confirman Hogan Lovells y Orrick. La IA de alto riesgo embebida en productos regulados del anexo I (dispositivos médicos, vehículos, maquinaria, ascensores) se mueve de agosto de 2027 al 2 de agosto de 2028. La obligación de marca de agua para proveedores de contenido de IA del artículo 50 apartado 2 se desplaza al 2 de diciembre de 2026 en lugar de agosto. Y la fecha límite para que los Estados miembros pongan en marcha un sandbox regulatorio de IA pasa de agosto de 2026 a agosto de 2027, con un sandbox paralelo a nivel de la UE operado por la Oficina de IA para pymes, start-ups y small mid-caps.
Dos matices importantes. El Omnibus es un acuerdo provisional, no ley adoptada. Todavía tiene que pasar por la confirmación formal del trílogo y por la publicación en el Diario Oficial. Hasta entonces, la base legal actual sigue siendo el 2 de agosto de 2026. Y toda obligación que no esté en la lista de aplazamientos sigue cayendo en agosto.
Lo que se sigue activando el 2 de agosto de 2026
Las partes del artículo 50 que apuntan al desplegador no se aplazan. Si tu chatbot habla con personas, cada conversación debe empezar con una indicación clara de que el usuario está interactuando con una IA. Si tu producto genera contenido sintético, la salida debe estar marcada. Si un deepfake sale de tu sistema, el destinatario tiene que saberlo. Los agentes de voz que llaman a personas reales por teléfono caen bajo la misma regla, aunque la carga de cómputo esté en California.
Las potestades de aplicación sobre GPAI también pasan a estar plenamente activas. La Oficina Europea de IA gana la capacidad de pedir información a los proveedores de modelos, exigir acceso a los propios modelos y ordenar medidas correctoras o retiradas si un modelo fundacional infringe los artículos 53 a 55. El techo de sanción para infracciones de GPAI está en 15 millones de euros o el 3 por ciento del volumen de negocios global.
Las autoridades nacionales competentes deben estar designadas y operativas. Los regímenes sancionadores tienen que estar escritos en derecho nacional. Y todo el marco de aplicación en torno al anexo III, incluso con el aplazamiento del Omnibus, tiene que estar listo para encenderse, porque diciembre de 2027 está más cerca de lo que parece.
Los niveles de riesgo en lenguaje claro
La Ley ordena cada sistema de IA en uno de cuatro niveles de riesgo, y tu nivel decide tu trabajo.
Riesgo inaceptable es la lista del artículo 5 de arriba. Ningún despliegue en la UE, sin excepciones.
Alto riesgo es la lista larga del anexo III más la IA embebida en productos regulados. Si tu sistema toma o moldea decisiones en empleo, crédito, educación, servicios esenciales, aplicación de la ley, biometría, justicia o migración, lo más probable es que seas alto riesgo. Las obligaciones son pesadas. Gestión de riesgos documentada (artículo 9), gobernanza de datos de entrenamiento (artículo 10), documentación técnica conforme al anexo IV (artículo 11), registro automático con al menos seis meses de retención (artículo 12), transparencia hacia los desplegadores (artículo 13), supervisión humana que permita intervenir y anular (artículo 14) y precisión, robustez y ciberseguridad demostradas (artículo 15). Para desplegadores en este nivel, una evaluación de impacto sobre derechos fundamentales antes del primer uso es obligatoria (artículo 27).
Riesgo limitado es el nivel del chatbot. Tu obligación es la transparencia del artículo 50, que es corta de leer y no corta de implementar bien. Diles a tus usuarios al inicio de la conversación que están hablando con una IA, dales una vía hacia una persona si la conversación descarrila, y etiqueta cualquier contenido generado por IA que el sistema emita.
Riesgo mínimo es todo lo demás. Filtros de spam, motores de recomendación que no tocan decisiones protegidas, autocompletado y la larga cola de herramientas internas. Sin obligaciones específicas de la Ley de IA, aunque el RGPD y la regulación sectorial sigan aplicándose.
El caso límite que pilla a la mayoría de equipos es el agente de IA que actúa por cuenta de un usuario. Un chatbot de soporte al cliente es riesgo limitado. El mismo chatbot conectado a un CRM que puede reembolsar pagos, enviar correos o borrar registros está más cerca del alto riesgo. La clasificación sigue las consecuencias, no el modelo.
Lo que esto significa para quienes construyen agentes de IA
Construimos agentes para vivir. Los requisitos de los artículos 14 y 15 son los que cambian cómo escribes código, no solo cómo escribes política.
El artículo 14 exige que un operador pueda interrumpir al agente. En nuestra clase base de agente, eso se traduce en límites de iteración, timeouts duros y un kill switch que el operador puede pulsar a mitad de ejecución. Las llamadas a herramientas que hacen algo irreversible (enviar correos, mover dinero, borrar datos, llamar a una API externa que cuesta dinero real) necesitan un paso explícito de aprobación humana. La frase que usa la Ley es "supervisión humana efectiva", y "efectiva" carga con el peso.
El artículo 12 exige el registro automático de eventos durante toda la vida del sistema. Eso significa cada llamada a herramienta, cada ida y vuelta del LLM, cada rama de decisión, cada input que el agente vio y cada output que produjo. Los logs deben conservarse el tiempo suficiente para sostener la monitorización postcomercialización y la notificación de incidentes (artículos 72 y 73), y los desplegadores deben mantener sus copias al menos seis meses según el artículo 26.
El artículo 15 exige robustez. Validación de entrada que atrape la inyección de prompts, validación de salida que impida que los datos alucinados se propaguen, límites de recursos que prevengan el token-bombing y los bucles infinitos, y pruebas adversariales contra modos de fallo conocidos del agente. Nada de esto es ingeniería de seguridad novedosa. El cambio es que para agentes de alto riesgo ahora está exigido por ley, con documentación.
Alemania: la Bundesnetzagentur toma el volante
Para equipos en DACH, la pregunta práctica es quién llama a tu puerta si algo va mal. El 11 de febrero de 2026, el Gabinete Federal alemán aprobó el proyecto de ley KI-MIG (Ley de Vigilancia del Mercado y Fomento de la Innovación en IA), y la respuesta es: la Bundesnetzagentur, la Agencia Federal de Redes. Ejercerá como autoridad principal de vigilancia del mercado, autoridad notificante y punto único de contacto nacional bajo la Ley.
La BNetzA no parte de cero. Ya gestiona la vigilancia del mercado para la Directiva de Equipos Radioeléctricos y las normas de Ecodiseño, y coordina la implementación alemana de la Digital Services Act. Un nuevo órgano interno, la Cámara independiente de Vigilancia del Mercado de IA, gestionará los casos sensibles (aplicación de la ley, gestión de fronteras, justicia), y un Centro de Coordinación y Competencia llamado KoKIVO pondrá en común la experiencia en IA entre sectores.
Dos cosas importan mientras tanto. El KI-Service-Desk dentro de la BNetzA está operativo desde julio de 2025 y es uno de los pocos canales vivos de soporte de cumplimiento para pymes en la UE. Y la BaFin conserva la competencia sectorial para la IA de alto riesgo directamente ligada a actividades financieras reguladas, así que bancos y aseguradoras tendrán dos supervisores en lugar de uno. El KI-MIG todavía está pasando por el Bundestag y el Bundesrat, segunda y tercera lectura se esperan antes del receso de verano.
Cómo mantenemos nuestros propios productos de IA en cumplimiento
Operamos nuestros productos en infraestructura europea. Memory MCP y el resto de nuestras superficies SaaS corren en Hetzner en Fráncfort, no en AWS Fráncfort, que cae bajo la US CLOUD Act independientemente del centro de datos. La diferencia importa más de lo que la mayoría de los equipos de compras se da cuenta.
Nuestro código es abierto donde puede serlo. Las implementaciones de servidor MCP para memory, CRM, GEO y crew viven en la organización de GitHub studiomeyer-io bajo licencia MIT, para que los clientes puedan leer qué hacemos con sus datos antes de firmar nada. El aislamiento multi-tenant corre a nivel de fila con IDs de tenant explícitos en cada consulta, y un test estático en CI rompe el build si un handler olvida incluir el filtro de tenant.
El propio producto de memoria está construido alrededor de un audit trail. Decisiones, learnings y observaciones de entidad llevan una fuente, una fecha y un score de confianza. Eso es útil para el ingeniero de IA que quiere saber por qué se almacenó una memoria, y es la misma forma de artefacto que pide la Ley de IA cuando habla de trazabilidad y monitorización postcomercialización. No lo construimos para cumplimiento. Lo construimos porque nos cansamos de que las memorias nos mintieran. El encaje con cumplimiento es un bonus.
Cada chatbot que enviamos revela su naturaleza en el primer contacto, y el cableado de transparencia del artículo 50 se comparte entre nuestros productos a través de una única librería. También mantenemos un DACH Legal Playbook dentro de la Academy que recorre las superposiciones entre RGPD, Ley de IA y la implementación alemana para los equipos que trabajan con nosotros.
Cómo ayudamos a los clientes a cumplir
La mayor parte del trabajo de la Ley de IA para una empresa pequeña o mediana de IA no es trabajo legal. Es ingeniería y documentación. Ofrecemos servicios dedicados de asesoría para equipos que quieren dejar de adivinar dónde están.
Un taller de descubrimiento mapea cada sistema de IA de tu stack contra su nivel de riesgo. Lo hemos hecho con chatbots que resultaron ser agentes de alto riesgo y con pipelines de ML elaborados que resultaron ser infraestructura de riesgo mínimo. La clasificación es la mitad de la batalla. La otra mitad es saber qué obligaciones se enganchan.
Para desplegadores y proveedores que se acercan al territorio de alto riesgo (el acantilado de diciembre de 2027 si pasa el Omnibus, agosto de 2026 si no), montamos el Technical File del anexo IV, el proceso de gestión de riesgos del artículo 9 y el logging del artículo 12 que un equipo de auditoría pueda leer de verdad. Integramos el patrón de supervisión humana del artículo 14 en tu framework de agente en lugar de atornillarlo a posteriori.
Para equipos de chatbot y voice agent, cableamos la divulgación de transparencia del artículo 50 en tu UX existente sin romper el flujo de conversación, construimos la vía de escalada hacia un humano y documentamos el resultado para tu expediente.
Para equipos cuya memoria de IA o capa de conocimiento vive en una nube estadounidense y ahora tiene que mudarse, ya hemos hecho la migración a Hetzner Fráncfort en nuestros propios productos y en sistemas de clientes. Los trade-offs (latencia, fijación de región, cadenas de DPA, evidencias Schrems II) son concretos y conocidos.
Los servicios van desde un taller de clasificación de medio día hasta un paquete completo de audit-readiness con documentación, logging y patrones de supervisión desplegados en código. No vendemos certificaciones, y no pretendemos ser abogados. Nos sentamos entre el asesoramiento legal que ya tienes y los sistemas que de verdad tienes que enviar.
La única cosa que deberías hacer esta semana
Coge el sistema de IA de mayor riesgo que tengas en producción o en desarrollo, y escribe su clasificación según el anexo III en un párrafo. Si no puedes terminar el párrafo, ahí está la brecha. Si el párrafo es fácil, hazlo para el siguiente sistema. La forma de un programa de cumplimiento de la Ley de IA no se diferencia de la forma de cualquier otro programa de ingeniería. Lo primero que construyes es una lista de lo que tienes. Todo lo demás sigue.
El Digital Omnibus puede darte dieciséis meses extra para el trabajo pesado. Las obligaciones de transparencia para desplegadores, la aplicación sobre GPAI y los interruptores de los supervisores nacionales no esperan. El 2 de agosto sigue siendo una fecha que importa. El 2 de diciembre también, si tu resumen de datos de entrenamiento está incompleto o tu lógica de marca de agua todavía no está en código. Y el 2 de diciembre de 2027 suena lejos hasta que empiezas a escribir una evaluación de impacto sobre derechos fundamentales desde cero.
Si quieres ayuda leyendo tu stack contra la ley, estamos aquí. El mapa se traza más fácil con dos pares de ojos.
