AI Act: lo que cambió en mayo 2026 y qué te exige en agosto si usas agentes de IA

El 7 de mayo de 2026, la UE cambió las reglas del juego. Otra vez. El llamado Digital Omnibus retrasó 16 meses las obligaciones más duras del AI Act — las de alto riesgo — de agosto de 2026 a diciembre de 2027. Medio internet celebró. "Nos han dado más tiempo." "La IA puede respirar."

El problema: la mitad de lo que lees sobre el tema está desactualizado o mal interpretado. Porque lo que NO se retrasó es precisamente lo que te afecta si eres autónomo, freelancer o tienes una pyme que usa agentes de IA. La transparencia (Artículo 50) y la formación (Artículo 4) siguen para el 2 de agosto de 2026. Dentro de 50 días.

Yo tengo 6 agentes de IA operando mi negocio por ~150€/mes. Algunos interactúan con personas: el chatbot de la web, los posts automatizados en LinkedIn, los emails de newsletter. Así que me afecta. Aquí va lo que he aprendido leyendo la norma real — no resúmenes de resúmenes — y lo que he tenido que hacer.

Qué cambió el 7 de mayo de 2026 con el Digital Omnibus

AI Act (Reglamento Europeo de Inteligencia Artificial)

Regulación de la Unión Europea (Reglamento 2024/1689) que establece normas armonizadas para el desarrollo, comercialización y uso de sistemas de IA. En España, la supervisión recae en la AESIA (A Coruña). Aplica a cualquier organización que use IA en la UE, incluidos autónomos.

El acuerdo provisional del Consejo y el Parlamento europeo modifica varios plazos y alivia requisitos. Pero no todo. Esto es lo que cambió de verdad:

El cambio gordo: las obligaciones para sistemas de IA de alto riesgo (Anexo III) pasan del 2 de agosto de 2026 al 2 de diciembre de 2027. Para IA embebida en productos regulados (Anexo I — maquinaria, dispositivos médicos, juguetes), el plazo se estira hasta agosto de 2028.

Lo que no cambió: las obligaciones de transparencia (Artículo 50) y formación (Artículo 4) siguen exactamente donde estaban. 2 de agosto de 2026.

Y hay un tercer ajuste que casi nadie menciona: el plazo para implementar marcado de contenido generado por IA (el watermarking del Artículo 50.2) se acortó de 6 a 3 meses de gracia, con cumplimiento para el 2 de diciembre de 2026.

Lo que SÍ entra en vigor el 2 de agosto de 2026

Aquí es donde la mayoría de artículos fallan: dicen "se ha retrasado" y se quedan tan anchos. Pero el Artículo 50 no se ha movido ni un día. Y es el que te afecta si usas agentes.

El Artículo 50 cubre cuatro escenarios:

1. Interacción IA-persona (chatbots, asistentes de voz, agentes). Si tu sistema interactúa con personas, tienes que avisar de que es IA. Punto. La excepción: que sea "obvio para una persona razonablemente informada y atenta" — básicamente, si el usuario sabe de sobra que habla con un bot.

2. Contenido sintético (imágenes, vídeos, audio generados por IA). Si generas contenido con IA y lo publicas, tiene que ser identificable como tal. A partir de diciembre de 2026, con marcado legible por máquina (watermarking).

3. Reconocimiento de emociones y categorización biométrica. Si usas IA que detecta emociones o categoriza personas por rasgos biométricos, tienes que informar al usuario antes de que se active el sistema.

4. Deepfakes. Si publicas audio, vídeo o imágenes que parezcan reales pero están generadas o manipuladas con IA, tienes que etiquetarlo.

Para la mayoría de nosotros — autónomos, freelancers, pymes que usan ChatGPT, Claude o agentes de marketing — el punto 1 es el relevante. Y la solución es tan simple que da risa: un texto que diga "este chat/agente usa inteligencia artificial".

Además, el Artículo 4 obliga a que toda persona que maneje o supervise un sistema de IA tenga formación suficiente para entender qué hace, qué riesgos tiene y cómo usarlo responsablemente. Esto está en vigor desde febrero de 2025. Pero la AESIA empieza a inspeccionar y sancionar el 2 de agosto de 2026.

La formación no tiene que ser un máster. Pero sí tiene que ser documentable y adaptada al rol. Un PDF reenviado por email no vale. Un registro de que has hecho un curso básico, leído la documentación del sistema que usas y entiendes sus limitaciones — eso sí.

Lo que se retrasa a diciembre de 2027 (y por qué no puedes olvidarlo)

Las obligaciones de alto riesgo son las pesadas: evaluación de conformidad, documentación técnica exhaustiva, sistemas de gestión de calidad, supervisión humana continua, registro en la base de datos de la UE. Todo esto se retrasa.

¿Qué es "alto riesgo"? El Anexo III del AI Act lista categorías específicas:

• IA para selección de personal y gestión de trabajadores
• IA para scoring crediticio y evaluación de solvencia
• IA para diagnóstico médico o triaje
• IA en el sistema judicial o policial
• IA para control de fronteras e inmigración
• IA para admisión educativa

Si tu negocio no toca ninguno de estos sectores — y si eres autónomo con agentes de marketing, contenido o analítica, probablemente no — el retraso no te cambia nada. Tus obligaciones reales son las del Artículo 50 (transparencia) y el Artículo 4 (formación).

Pero ojo: si planeas montar agentes verticales para gestorías, clínicas o RRHH, estas obligaciones te van a pillar en 2027. Mejor empezar a prepararte ahora.

Si eres autónomo o pyme: qué tienes que hacer antes de agosto

Vamos al grano. Esto es lo que tienes que revisar:

Paso 1: Identifica tus sistemas de IA. Suena obvio, pero ¿cuántos SaaS usas que llevan IA dentro sin que lo sepas? Mailchimp tiene IA. Canva tiene IA. Tu CRM probablemente tiene IA. Haz la lista.

Paso 2: Clasifica qué interactúa con personas. Si tienes un chatbot en tu web, un agente que responde emails automáticos, un sistema de atención al cliente con IA, o publicas contenido generado por IA — eso cae bajo el Artículo 50.

Paso 3: Pon el aviso. En cada punto de contacto donde la IA hable con una persona, un aviso claro: "Este chat/respuesta/contenido utiliza inteligencia artificial." No hace falta un disclaimer de 200 palabras. Una línea basta.

Paso 4: Documenta la formación. Si eres tú solo, basta con que puedas demostrar que entiendes qué herramientas usas y sus limitaciones. Si tienes equipo, cada persona que interactúe con IA necesita formación documentada y adaptada a su rol.

Paso 5: Revisa que no usas IA prohibida. Desde febrero de 2025 ya están prohibidos: scoring social, manipulación subliminal, explotación de vulnerabilidades, biometría masiva en tiempo real (con excepciones policiales). Si no eres un gobierno autoritario, probablemente estés limpio.

El marco simplificado para pymes — ampliado por el Digital Omnibus a empresas de hasta 750 empleados y 150 millones de euros de facturación — te da acceso a documentación técnica simplificada, plantillas estándar y acceso prioritario a los sandboxes regulatorios. Y las multas se ajustan proporcionalmente a tu tamaño.

Mi caso real: 6 agentes y el AI Act

En junio de 2026, mis 6 agentes IA ejecutan el 80% de la operación de pabloypunto.com por ~150€/mes. Algunos interactúan directamente con personas: Ariel publica en LinkedIn, Lentejo envía newsletters, Rafiki (el que escribe esto) publica en el blog.

¿Qué he tenido que hacer para cumplir con el AI Act? Siendo honesto: menos de lo que esperaba.

Chatbot de la web: ya tenía un aviso de que es IA. Revisé que sea visible antes de la primera interacción — sí lo era. Cumple.

Posts de LinkedIn (Ariel): aquí es donde la cosa se pone interesante. El Artículo 50 dice que el contenido generado por IA debe ser identificable. Pero no exige que cada post lleve un disclaimer. La norma habla de que el proveedor del sistema incluya marcado legible por máquina — eso es cosa de Anthropic/OpenAI, no mía. Como deployer, mi obligación es no engañar: no hacerme pasar por humano cuando es IA. Mis posts dicen "publicado con asistencia de IA" en el perfil.

Newsletter (Lentejo): mismo principio. El footer menciona que uso agentes de IA en la producción del contenido.

Blog (Rafiki): el contenido del blog lo superviso y edito yo. ¿Es contenido generado por IA? Parcialmente. El AI Act no exige etiquetado para contenido editorial asistido por IA — la obligación es para contenido que "parezca real pero sea generado" (deepfakes). Un post de blog supervisado por un humano no entra ahí. Aun así, en mi página de "Sobre mí" menciono que uso agentes para producir contenido.

Total invertido en cumplimiento: 0€ y una mañana leyendo la norma. El AI Act no es un monstruo. Es una lista de sentido común que la mayoría de los que usamos IA ya cumplimos sin saberlo.

AESIA: quién te vigila desde A Coruña

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es el organismo público que supervisa el cumplimiento del AI Act en España. Tiene sede en A Coruña — sí, en Galicia, no en Madrid — y competencia de inspección y sanción administrativa.

Desde el 2 de agosto de 2026, la AESIA puede:

• Inspeccionar que cumples con las obligaciones de transparencia y formación
• Sancionar por incumplimiento (con las cuantías del AI Act)
• Supervisar a los proveedores de modelos de IA generalista (GPAI) que operen en España

¿Significa que el 3 de agosto va a aparecer un inspector en tu puerta? No. La propia AESIA ha indicado que en la primera fase priorizará orientación y divulgación sobre sanción directa. Pero la base legal para sancionar ya está. Y las multas del AI Act no son de broma.

Las sanciones: la letra pequeña que importa

Las multas máximas del AI Act son brutales:

Para pymes y startups, estas cifras se ajustan: la multa no puede superar el menor entre el porcentaje y la cifra fija. Es decir, si facturas 100.000€/año, la multa máxima por incumplir transparencia sería 3.000€ (3% de tu facturación) — no 15 millones.

Aun así, 3.000€ para un autónomo no es ninguna tontería. Mejor poner el aviso en el chatbot.

El Digital Omnibus además introdujo acceso prioritario a sandboxes regulatorios para pymes. Un sandbox es un entorno controlado donde puedes probar tu sistema de IA con supervisión regulatoria y sin riesgo de sanción. Si estás desarrollando algo que podría caer en la zona gris — un agente que cualifica leads, por ejemplo — el sandbox te protege mientras lo validas.

Lo que viene después: diciembre 2026 y 2027

El calendario no termina en agosto. Estas son las fechas que tienes que marcar:

2 de diciembre de 2026: entra en vigor el marcado legible por máquina para contenido generado por IA (watermarking). A partir de esta fecha, los proveedores de modelos (Anthropic, OpenAI, Google) deben incluir marcas técnicas en el contenido que generan. Como deployer, tu obligación es no eliminar esas marcas intencionalmente.

2 de diciembre de 2027: entran en vigor las obligaciones para sistemas de alto riesgo del Anexo III. Si para entonces tienes agentes que toman decisiones en RRHH, finanzas o salud, necesitarás evaluación de conformidad completa.

2 de agosto de 2028: obligaciones para IA embebida en productos regulados (Anexo I). Esto afecta a fabricantes de dispositivos médicos, maquinaria industrial y similares — probablemente no a ti si lees este blog.

Mi recomendación: si estás empezando con agentes de IA, no dejes que la regulación te paralice. Las obligaciones que te aplican hoy — transparencia y formación — son de sentido común. Si ya avisas a tus usuarios de que hablan con IA y entiendes lo que hace tu herramienta, estás al 90% del camino.

El coste real de operar agentes de IA ya es bajo (~150€/mes por mi stack completo). El coste de cumplir con el AI Act es aún más bajo: cero euros y algo de lectura. No dejes que nadie te venda un servicio de "consultoría AI Act" de 5.000€ por lo que puedes hacer tú en una mañana.

Y si te preocupa qué pasa cuando la IA falla o cuando dependes demasiado de ella, tengo un post dedicado a los riesgos reales y el plan B que te va a ser más útil que cualquier regulación.