Las obligaciones del AI Act para los sistemas de alto riesgo del Anexo III rigen desde el 2 de diciembre de 2027.
El Consejo de la Unión Europea dio luz verde final a la simplificación del reglamento el 29 de junio de 2026, desplazó la fecha original del 2 de agosto de 2026 para esa categoría y fijó el 2 de agosto de 2028 para la inteligencia artificial incorporada a productos regulados del Anexo I.
La Comisión Europea explicó el motivo sin eufemismos: las reglas se aplican cuando las organizaciones dispongan de las herramientas de apoyo que necesitan para implementarlas, empezando por los estándares armonizados. El régimen se corrió porque la infraestructura regulatoria no llegó a tiempo. La arquitectura del reglamento quedó intacta.
Muchos directorios de la región leyeron el titular y archivaron el expediente hasta 2027. Esa lectura tiene un costo que se paga en agosto: la prórroga alcanza al capítulo de alto riesgo y deja en pie todo lo demás, incluidas obligaciones que empiezan a exigirse dentro de tres semanas y sanciones que ya están vigentes desde hace casi un año.
Perfecciona tus habilidades
Desarrolla tus capacidades a través de nuestros programas formativos, membresías y contenidos multimedia interactivos.
Qué se corrió y qué quedó donde estaba
El acuerdo político del 7 de mayo de 2026 entre el Parlamento Europeo y el Consejo, confirmado por la aprobación final del Consejo del 29 de junio, modifica el Reglamento (UE) 2024/1689 en varios puntos concretos. Los sistemas de alto riesgo del Anexo III, que cubren biometría, infraestructura crítica, educación, empleo, migración, asilo y control de fronteras, pasan al 2 de diciembre de 2027. Los sistemas integrados en productos como ascensores o juguetes pasan al 2 de agosto de 2028.
Lo que el paquete de simplificación mantiene sin cambio de fecha es el corazón operativo del reglamento para cualquier organización que ya usa inteligencia artificial. Las prohibiciones del artículo 5 y la obligación de alfabetización en inteligencia artificial del artículo 4 se aplican desde el 2 de febrero de 2025. Las reglas para modelos de propósito general de los artículos 51 a 56 se aplican desde el 2 de agosto de 2025, junto con el régimen sancionatorio. La simplificación agregó además una prohibición nueva al artículo 5, sobre sistemas que generan contenido íntimo no consentido o material de abuso sexual infantil, con un período transitorio que vence el 2 de diciembre de 2026.
La modificación todavía no está publicada en el Diario Oficial de la Unión Europea. Hasta esa publicación, y hasta su entrada en vigor al tercer día siguiente, las fechas originales del reglamento son las que rigen en derecho. Una organización que hoy planifica sobre la nueva fecha lo hace sobre un acuerdo aprobado y pendiente de publicación, con un margen estrecho contra el 2 de agosto.
Diplomado Gestión de Riesgos No Financieros
Certificación Internacional
Las obligaciones del AI Act que empiezan el 2 de agosto de 2026
Las obligaciones de transparencia del artículo 50 se aplican desde el 2 de agosto de 2026 y no fueron alcanzadas por la prórroga. Quien opera un asistente conversacional con clientes tiene que informar que la interacción es con una máquina. Quien genera contenido sintético tiene que marcarlo de forma legible por máquina. Los sistemas ya colocados en el mercado antes de esa fecha reciben un plazo adicional de 4 meses, hasta el 2 de diciembre de 2026, únicamente para la obligación de marcado del artículo 50, apartado 2.
Ese artículo alcanza a la mayoría de los casos de uso que hoy están en producción en la banca, los seguros y el retail de la región: atención al cliente automatizada, generación de contenido comercial, resúmenes de reclamos, asistentes internos con salida al público. Ninguno de ellos es alto riesgo del Anexo III. Todos caen bajo transparencia.
La Comisión Europea publicó el 10 de junio de 2026 el Código de Práctica sobre marcado y etiquetado de contenido generado por inteligencia artificial, la herramienta voluntaria con la que se cumple esa obligación. Una organización que hoy no sabe qué contenido de su operación es sintético no tiene forma de marcarlo en 3 semanas.
Conviene ver de qué está hecha esa obligación antes de dimensionarla mal. La transparencia del artículo 50 no exige un sistema de gestión certificado ni un dictamen técnico de conformidad: exige saber qué sistemas de inteligencia artificial interactúan con personas, cuáles producen contenido sintético y quién responde por cada uno. Es el mismo inventario que el régimen de alto riesgo va a exigir en diciembre de 2027, adelantado sobre un caso de uso más simple. Una organización que lo construye ahora cumple con la fecha de agosto y deja armado el punto de partida del trabajo estructural que viene después. La que lo posterga va a hacer dos veces el mismo relevamiento, y la segunda con menos tiempo.
Perfecciona tus habilidades
Desarrolla tus capacidades a través de nuestros programas formativos, membresías y contenidos multimedia interactivos.
La prórroga no suspende al resto del ordenamiento
El régimen sancionatorio del AI Act se aplica desde el 2 de agosto de 2025. El artículo 99 fija multas de hasta 35.000.000 de euros o el 7 % del volumen de negocios anual mundial, el importe que sea mayor, para el incumplimiento de las prohibiciones del artículo 5; hasta 15.000.000 de euros o el 3 % para el incumplimiento de las demás obligaciones de operadores, entre ellas las del responsable del despliegue del artículo 26 y las de transparencia del artículo 50; y hasta 7.500.000 de euros o el 1 % por suministrar información incorrecta o engañosa a las autoridades.
El punto que la prórroga vuelve invisible es que el resto del ordenamiento europeo nunca dependió del AI Act. El Garante per la protezione dei dati personali de Italia sancionó a Luka Inc., operadora del chatbot Replika, con 5.000.000 de euros el 19 de mayo de 2025, por deficiencias en la verificación de edad y en el tratamiento de datos personales. El fundamento fue el Reglamento General de Protección de Datos, sin necesidad de invocar una sola cláusula del AI Act. La autoridad además abrió una investigación autónoma sobre el tratamiento de datos en el ciclo de vida completo del sistema de inteligencia artificial generativa que sostiene el servicio.
Esa es la lección de gobierno de 2026 para un comité de riesgos: un sistema de inteligencia artificial mal gobernado produce exposición regulatoria con las normas que ya existen. La protección de datos, la defensa del consumidor, la responsabilidad civil y la normativa sectorial de la banca no esperaron a diciembre de 2027.
Diplomado Gestión de Riesgos No Financieros
Certificación Internacional
LATAM entra por el artículo 2 y por el contrato
El AI Act alcanza a proveedores y responsables del despliegue establecidos en un tercer país cuando el resultado producido por el sistema de inteligencia artificial se utiliza en la Unión. Lo dice el artículo 2, apartado 1, letra c. Una organización con casa matriz en Buenos Aires, San Pablo o Bogotá que produce evaluaciones crediticias, decisiones de contratación o análisis biométricos cuyo resultado se consume en Europa está dentro del alcance, sin oficina europea y sin filial.
La segunda vía es contractual y llega antes que la regulatoria. Los proveedores europeos trasladan sus obligaciones aguas abajo por cláusula. Un banco español que queda alcanzado por el artículo 26 exige a su proveedor regional de modelos la documentación técnica, los registros y la trazabilidad que el reglamento le pide a él. La prórroga del régimen europeo no corre el vencimiento de ese contrato.
En paralelo, la región construye su propio marco. El Senado Federal de Brasil aprobó en la sesión del 10 de diciembre de 2024 el Proyecto de Ley 2338/2023, marco legal de la inteligencia artificial, y lo remitió a la Cámara de Diputados el 17 de marzo de 2025, donde continúa en trámite. La estructura de riesgo del proyecto brasileño replica la lógica europea. Una organización que resuelve hoy su inventario y su clasificación de sistemas responde a las dos jurisdicciones con el mismo trabajo.
Perfecciona tus habilidades
Desarrolla tus capacidades a través de nuestros programas formativos, membresías y contenidos multimedia interactivos.
Qué hace un directorio con 16 meses adicionales
Recomiendo que el directorio trate la prórroga como una asignación de tiempo, con entregables fechados, y no como una suspensión del expediente. La razón es económica antes que normativa: el inventario de sistemas, la clasificación por riesgo, la gobernanza de datos y la supervisión humana efectiva son trabajo estructural, y el trabajo estructural no se comprime en el último trimestre sin degradar su calidad.
Sí, es cierto que 16 meses parecen holgados frente a un proyecto de cumplimiento acotado. Y aun así, el objeto de este proyecto no es un conjunto de documentos: es un sistema de gestión que tiene que producir evidencia de forma continua, con responsables nombrados, con capacidad real de suspender un sistema en producción y con trazabilidad de las decisiones del modelo. Construir eso lleva ciclos completos de operación, y las organizaciones que arrancan en 2027 van a auditar sobre datos que no registraron.
La preparación tiene norma disponible sin esperar los estándares armonizados europeos. ISO/IEC 42001:2023 define los requisitos del sistema de gestión de inteligencia artificial, e ISO/IEC 42005:2025 da la guía para la evaluación de impacto de los sistemas de inteligencia artificial sobre individuos y sociedad, incluida su integración con el sistema de gestión y con el proceso de gestión de riesgos. Un sistema construido sobre esas normas cubre la exigencia del artículo 9 de gestión de riesgos, del artículo 10 de gobernanza de datos y del artículo 14 de supervisión humana, cuando el régimen entre en aplicación. La ingeniería de GRC que sostiene ese diseño es la misma que ya opera para riesgo operacional y continuidad.
El primer entregable no requiere presupuesto ni consultor: el inventario de sistemas de inteligencia artificial en producción, con su clasificación por riesgo, su responsable nombrado y la identificación de cuáles producen resultados que se consumen en Europa. Ese documento es la base de la evaluación de impacto, del registro de riesgos y de la respuesta a la primera cláusula contractual que llegue de un cliente europeo. Una organización de tamaño medio lo resuelve en 6 semanas de trabajo interno, y la gran mayoría de los directorios de la región todavía no lo tiene sobre la mesa.
Lo que un directorio tiene prohibido hacer es aprobar una postergación del programa sin registrar quién asume el riesgo residual. Esa restricción define la diferencia entre una decisión de gobierno y una omisión con acta. La práctica correcta es dejar asentado el plan revisado, el nuevo hito de cumplimiento, el responsable de la supervisión y la evidencia que se va a producir cada trimestre hasta diciembre de 2027.
Diplomado Gestión de Riesgos No Financieros
Certificación Internacional
Conclusión
El calendario europeo se movió y el problema de gobierno quedó donde estaba. Las obligaciones del AI Act sobre transparencia, prohibiciones, alfabetización y modelos de propósito general se aplican con el reloj corriendo, y las multas del artículo 99 llevan casi un año de vigencia. El régimen de alto riesgo llega en diciembre de 2027 sobre organizaciones que hoy, en su mayoría, no pueden decir con precisión cuántos sistemas de inteligencia artificial tienen en producción ni quién responde por cada uno.
La gestión de riesgos de inteligencia artificial pasó del entusiasmo al gobierno exactamente cuando el regulador dejó de anunciar y empezó a sancionar. El directorio que use estos 16 meses para construir el inventario, la clasificación y la evidencia va a llegar a diciembre de 2027 con un sistema auditado. El que espere a que aparezcan los estándares armonizados va a llegar con un proyecto.
¿Querés dar el siguiente paso?
Explorá nuestro Diplomado en Gestión de Riesgos No Financieros, donde profundizamos en el gobierno de la inteligencia artificial, el riesgo de modelo y la construcción de sistemas de gestión bajo ISO/IEC 42001:2023 e ISO 31000:2018. Un programa práctico, estratégico y alineado con los mejores estándares internacionales.
Preguntas frecuentes
¿Cuándo se aplican las obligaciones del AI Act para sistemas de alto riesgo?
Los sistemas de alto riesgo del Anexo III del Reglamento (UE) 2024/1689 quedan sujetos a obligaciones desde el 2 de diciembre de 2027, y los sistemas de inteligencia artificial integrados en productos regulados del Anexo I desde el 2 de agosto de 2028. Las fechas surgen del paquete de simplificación acordado políticamente el 7 de mayo de 2026 y aprobado en forma definitiva por el Consejo de la Unión Europea el 29 de junio de 2026. La modificación produce efectos jurídicos una vez publicada en el Diario Oficial de la Unión Europea, al tercer día siguiente a esa publicación.
¿Qué obligaciones del AI Act empiezan el 2 de agosto de 2026?
Las obligaciones de transparencia del artículo 50 se aplican desde el 2 de agosto de 2026 y quedaron fuera de la prórroga. Comprenden informar a la persona que interactúa con un sistema de inteligencia artificial y marcar de forma legible por máquina el contenido generado o manipulado por inteligencia artificial. Los sistemas ya colocados en el mercado reciben 4 meses adicionales, hasta el 2 de diciembre de 2026, solo para la obligación de marcado del artículo 50, apartado 2. La Comisión Europea publicó el 10 de junio de 2026 el Código de Práctica sobre marcado y etiquetado de contenido generado por inteligencia artificial.
¿El AI Act alcanza a una organización de LATAM sin presencia en Europa?
El artículo 2, apartado 1, letra c del Reglamento (UE) 2024/1689 alcanza a proveedores y responsables del despliegue establecidos en un tercer país cuando el resultado producido por el sistema de inteligencia artificial se utiliza en la Unión. Una organización de la región que produce evaluaciones crediticias, decisiones de contratación o análisis biométricos consumidos en Europa queda dentro del alcance sin necesidad de filial europea. La segunda vía de alcance es contractual: el cliente europeo alcanzado por el artículo 26 traslada aguas abajo la exigencia de documentación técnica, registros y trazabilidad.
¿Cuánto puede costar el incumplimiento del AI Act?
El artículo 99 del Reglamento (UE) 2024/1689 fija multas de hasta 35.000.000 de euros o el 7 % del volumen de negocios anual mundial, el importe que sea mayor, para el incumplimiento de las prohibiciones del artículo 5. Para el incumplimiento de las demás obligaciones de operadores, incluidas las del responsable del despliegue del artículo 26 y las de transparencia del artículo 50, el máximo es de 15.000.000 de euros o el 3 %. Suministrar información incorrecta o engañosa a las autoridades llega hasta 7.500.000 de euros o el 1 %. El régimen sancionatorio se aplica desde el 2 de agosto de 2025.
¿La prórroga suspende otras obligaciones sobre inteligencia artificial?
La prórroga alcanza al régimen de alto riesgo del AI Act y no modifica el resto del ordenamiento. El Garante per la protezione dei dati personali de Italia sancionó a Luka Inc., operadora del chatbot Replika, con 5.000.000 de euros el 19 de mayo de 2025, con fundamento en el Reglamento General de Protección de Datos y sin invocar el AI Act. La protección de datos, la defensa del consumidor y la normativa sectorial siguen siendo exigibles sobre cualquier sistema de inteligencia artificial en producción, con independencia del calendario europeo de alto riesgo.
¿Qué norma sirve para preparar el sistema de gestión de inteligencia artificial durante la prórroga?
ISO/IEC 42001:2023 establece los requisitos del sistema de gestión de inteligencia artificial y es certificable, e ISO/IEC 42005:2025 provee la guía para la evaluación de impacto de los sistemas de inteligencia artificial sobre individuos y sociedad, con criterios sobre cuándo realizarla en el ciclo de vida y cómo integrarla al proceso de gestión de riesgos. Un sistema construido sobre esas normas cubre la exigencia de gestión de riesgos del artículo 9, la gobernanza de datos del artículo 10 y la supervisión humana del artículo 14 del AI Act cuando el régimen de alto riesgo entre en aplicación.
¿Te has preguntado cómo gestionar eficazmente estos riesgos?
¡No busques más!
En Iberoamericana Educación Ejecutiva, hemos creado programas pensando en tus necesidades de información y formación.
Nuestros expertos internacionales han diseñado un completo Programa al respecto para brindarte las herramientas necesarias para comprender y enfrentar estos desafíos de manera efectiva.
¡No esperes más para inscribirte!
Los programas de formación ya están disponibles y estamos aquí para ayudarte a ampliar tus conocimientos y habilidades en esta área crucial.
Entradas recientes
- Las obligaciones del AI Act se corrieron a 2027 y el directorio se quedó sin fecha de vencimiento
- Cuando la corrupción no aparece como soborno: información privilegiada, conflicto de interés e ISO 37001:2025
- Masterclass: Gestión de Riesgos No Financieros 2026
- Riesgo Operacional en la Banca 2026: Qué debe exigir el Directorio en Latinoamérica
- Resiliencia Operacional como Ventaja Competitiva: el nuevo mandato del CRO
- IA en la Gestión de Riesgos No Financieros: de la detección reactiva a la anticipación estratégica
- Mapa de riesgos obsoleto: el precio de gestionar en silos
- Resiliencia operativa: Métricas que toman decisiones
- Ingeniería GRC: de cumplimiento a sistema operativo de control


