Obligación	Fecha original	Fecha actualizada (Digital Omnibus)
Prohibiciones absolutas (Art. 5)	2 febrero 2025	Sin cambio — ya están vigentes
Sistemas alto riesgo Anexo III	2 agosto 2026	2 diciembre 2027
Sistemas alto riesgo Anexo I (productos regulados)	2 agosto 2027	2 agosto 2028
Modelos de IA de propósito general (GPAI)	2 agosto 2025	Sin cambio — ya están vigentes

---

Por qué el retraso no es una excusa para esperar

El retraso legislativo no modifica tres presiones de mercado que ya son reales:

1. Las prohibiciones absolutas siguen vigentes desde febrero de 2025. El EU AI Act ya prohíbe sistemas que manipulen subliminalmente a usuarios, exploiten vulnerabilidades de grupos específicos o realicen scoring social. Los sistemas de IA que infrinjan el Artículo 5 pueden ser sancionados hoy — sin esperar a ninguna prórroga.

2. Los clientes enterprise ya preguntan por el cumplimiento. En los sectores de banca, telecomunicaciones y utilities, los departamentos de compras y legal de grandes cuentas incluyen EU AI Act compliance en sus cuestionarios de proveedor desde principios de 2026. Las empresas que no puedan responder pierden contratos — independientemente de lo que diga el calendario regulatorio.

3. AESIA ya opera en modo activo. La Agencia Española de Supervisión de la Inteligencia Artificial, con sede en A Coruña, tiene el primer sandbox regulatorio operativo de Europa. El 26 de mayo de 2026, el Consejo de Ministros aprobó la Ley Orgánica de gobernanza de IA, que transpone el EU AI Act al ordenamiento jurídico español. AESIA ha publicado 16 guías prácticas en castellano. España es el Estado miembro más avanzado en implementación.

---

Cómo saber si tu empresa tiene sistemas de alto riesgo

La pregunta clave antes de cualquier plan de cumplimiento: ¿qué tipo de sistemas de IA opera tu empresa y en qué categoría del Reglamento caen?

Pasos para clasificar tus sistemas:

1. Inventariar todos los sistemas de IA en producción. Incluir chatbots de atención al cliente, asistentes de voz, sistemas de scoring o recomendación, herramientas de selección de personal, y cualquier sistema que tome o asista en decisiones sobre personas.

1. Verificar si el sistema cae en el Anexo III (alto riesgo directo). Los sectores más afectados: banca y seguros (scoring crediticio, gestión de reclamaciones), atención sanitaria (apoyo al diagnóstico, triaje), educación (evaluación de estudiantes) y empleo (selección y evaluación de candidatos).

1. Comprobar si el sistema puede manipular o engañar. Los chatbots y agentes de voz que no se identifican claramente como IA ante el usuario son una práctica prohibida desde agosto de 2025 (Art. 50 — obligaciones de transparencia). No es una obligación del Anexo III: está vigente ya.

1. Evaluar si el sistema realiza reconocimiento de emociones. Limitado en la mayoría de contextos — verificar antes de desplegar.

1. Documentar el inventario. El Registro de Actividades de Tratamiento de GDPR es el punto de partida, pero el EU AI Act requiere documentación adicional sobre el propósito del sistema, los datos de entrenamiento utilizados y las métricas de rendimiento.

---

Qué deben hacer las empresas con chatbots y agentes en producción antes de agosto 2026

Aunque el Anexo III se retrasa a diciembre de 2027, hay obligaciones inmediatas para todos los sistemas de IA que interactúan con usuarios:

Obligación 1 — Transparencia activa (Art. 50, ya vigente)

Los chatbots y agentes de voz deben informar al usuario de que está hablando con un sistema de IA — de forma clara, no en los términos y condiciones. Esta obligación aplica desde agosto de 2025. Verificar que todos los puntos de contacto automatizados cumplen este requisito.

Obligación 2 — Auditoría del comportamiento del sistema

No basta con haber desplegado el agente. El EU AI Act exige documentar cómo se comporta el sistema en producción, qué hace cuando el resultado es incierto y cómo se gestiona la escalación humana. Las empresas que no tienen visibilidad sobre el 100% de las interacciones de sus agentes no pueden documentar esto con credibilidad.

Según datos de implantación de LEXIC.AI (2025), las empresas que implementaron auditoría del 100% de sus interacciones de agente identificaron fallos sistemáticos que el 1% de muestreo manual no detectaba. La auditoría continua no es solo una obligación regulatoria — es la única forma de saber que el agente hace lo que dice hacer.

Obligación 3 — Protocolo de supervisión humana

El EU AI Act exige que los sistemas de IA de alto riesgo permitan la supervisión humana efectiva. En la práctica, esto significa definir: qué tipos de interacciones activan la escalación al agente humano, quién recibe la escalación y en qué plazo, y cómo se documenta la decisión tomada por el humano. Este protocolo debe estar operativo antes del plazo de cumplimiento del sistema.

Obligación 4 — Evaluación de impacto (EIPD-IA)

Para sistemas del Anexo III, el Art. 9 requiere un sistema de gestión de riesgos que incluya la identificación y análisis de riesgos durante todo el ciclo de vida del sistema. El momento de hacer esta evaluación es ahora, con tiempo para remediar los hallazgos — no en noviembre de 2027.

---

El gap que la mayoría de empresas tiene hoy

El OWASP GenAI Security Project publicó el 11 de junio de 2026 su informe State of Agentic AI Security and Governance v2.01. La conclusión más citada: "Most organizations are deploying agents faster than they can govern them. Governance is still operating at the maturity levels designed for AI copilots while teams are shipping and running custom and multi-agent systems."

En números: los ataques de prompt injection subieron un 340% en 2026. Cada amenaza descrita como teórica en el informe de julio de 2025 tiene ya un CVE o un incidente real documentado.

El problema estructural que el OWASP identifica es el mismo que el EU AI Act trata de resolver: los sistemas de IA se despliegan sin gobierno suficiente. La prórroga del Digital Omnibus da tiempo para construir ese gobierno. No para evitarlo.

---

Lexic Compass: diagnóstico de agentes conversacionales para EU AI Act

LEXIC.AI ofrece el servicio Lexic Compass, un diagnóstico completo de agentes conversacionales — chatbots de voz y texto — que cubre los requisitos del EU AI Act aplicables a sistemas de alto riesgo y los requisitos de transparencia del Art. 50.

El diagnóstico incluye:

• Clasificación de riesgo del sistema según el Reglamento de IA
• Evaluación del comportamiento del agente en producción (análisis del 100% de interacciones auditadas)
• Identificación de fallos de transparencia, comportamientos anómalos y gaps de escalación
• Informe con plan de acción priorizado por plazo y riesgo legal

Organizaciones como Bankinter, Repsol y Cellnex han utilizado el Active Listening Engine de LEXIC.AI para obtener visibilidad sobre el 100% de las interacciones de sus sistemas de IA con clientes.

---

Preguntas frecuentes sobre EU AI Act y chatbots en España

¿Qué chatbots están afectados por el EU AI Act en España?

Todos los sistemas de IA que interactúan con usuarios (chatbots de texto, asistentes de voz, agentes conversacionales) tienen al menos la obligación de transparencia del Art. 50, vigente desde agosto de 2025. Los desplegados en sectores regulados (banca, seguros, sanidad) pueden ser sistemas de alto riesgo del Anexo III, con obligaciones adicionales desde diciembre de 2027.

¿Qué pasa si mi empresa no cumple el AI Act?

Las infracciones del EU AI Act pueden acarrear multas de hasta el 3% de la facturación global anual para sistemas de alto riesgo, y hasta el 6% para prohibiciones absolutas. La AESIA es la autoridad competente en España.

¿El Digital Omnibus elimina las obligaciones del EU AI Act?

No. Retrasa las fechas de cumplimiento de los sistemas del Anexo III y Anexo I. Las prohibiciones absolutas y las obligaciones de transparencia (Art. 50) siguen vigentes según el calendario original.

¿Qué documentación debo preparar para mis agentes de IA antes de 2027?

Como mínimo: inventario de sistemas de IA, clasificación de riesgo, documentación de los datos de entrenamiento, protocolo de supervisión humana, registro de incidencias y evaluación de impacto para sistemas de alto riesgo.

¿Cómo sé si mi chatbot cumple el Art. 50 (transparencia) hoy?

El sistema debe informar al usuario de que está interactuando con IA en el primer punto de contacto, de forma clara y comprensible. Si el usuario puede confundirlo con una persona humana sin indicación explícita, hay una infracción del Art. 50.

---

Key Takeaways

• El Digital Omnibus retrasa el Annexo III al 2 de diciembre de 2027 — pero las prohibiciones y obligaciones de transparencia ya son exigibles.
• España es el país más avanzado de la UE en implementación del AI Act: AESIA operativa, 16 guías en castellano, ley nacional aprobada el 26 de mayo.
• Las empresas enterprise ya preguntan por el cumplimiento del EU AI Act en sus procesos de compra.
• Auditar el 100% del comportamiento de los agentes en producción no es solo un requisito regulatorio — es la única forma de saber que el sistema hace lo que debe hacer.
• El plazo del Digital Omnibus es una ventana para construir, no para esperar.

---

Sergio Llorens es CEO de LEXIC.AI (Predictify Solutions S.L.), plataforma de Inteligencia Total del Cliente con arquitectura de Doble Hélice. LEXIC.AI opera en España, Europa y LATAM con clientes como Bankinter, Repsol y Cellnex.

---

Lectura relacionada

• Inteligencia Total del Cliente
• Auditoría de Agentes de IA Conversacionales
• Entrevistas Moderadas por IA: Guía Completa
• EU AI Act Compliance for AI Agents (EN)

---

Si tu organización opera agentes de IA en la UE y necesita un diagnóstico de cumplimiento del EU AI Act, escríbenos a info@lexic.ai sobre el servicio Lexic Compass.