El espejismo del respiro: lo que el Paquete Omnibus Digital sobre IA no aplaza

El 7 de mayo de 2026 trascurrió con más alivio que euforia en los departamentos jurídicos de las empresas tecnológicas europeas. El acuerdo político provisional sobre el denominado Paquete Omnibus Digital sobre IA desplazó los plazos de cumplimiento para los sistemas de alto riesgo del Anexo III hasta el 2 de diciembre de 2027, y hasta el 2 de agosto de 2028 para los sistemas integrados en productos regulados bajo el Anexo I. Dieciséis meses extra, en un caso. Veinticuatro, en el otro. Sobre el papel, un balón de oxígeno considerable.

El problema no está en lo que el acuerdo aplaza. Está en lo que la mayoría de los equipos de cumplimiento han dado por aplazado sin que lo esté.

Un retraso que no es lo que parece

La reforma presentada por la Comisión Europea el 19 de noviembre de 2025 como COM(2025) 836 responde a una realidad concreta: los estándares técnicos armonizados que debían elaborar CEN y CENELEC llegaron tarde, la Oficina de IA no publicó sus guías de clasificación de sistemas de alto riesgo hasta el 19 de mayo de 2026 —casi cuatro meses después del plazo previsto—, y el mercado de organismos notificados debidamente acreditados seguía siendo insuficiente para absorber la demanda de evaluaciones de conformidad. Exigir el cumplimiento pleno en ese contexto habría generado lo que algunos analistas ya denominaban «parálisis por certificación»: empresas que quieren cumplir pero no tienen herramientas objetivas para hacerlo.

Ese diagnóstico es correcto. Pero de un diagnóstico correcto se puede extraer una conclusión incorrecta, y eso es precisamente lo que está ocurriendo.

La conclusión incorrecta es la siguiente: si los plazos se han desplazado, el Reglamento (UE) 2024/1689 puede esperar. Esta interpretación tiene hasta nombre propio en la literatura especializada emergente: «hibernación regulatoria». Y es, según el análisis que presento en este informe, el error jurídico más costoso que puede cometer un operador económico durante el período de transición.

Los sistemas que el Omnibus no olvidó

Conviene ser muy preciso aquí, porque la distinción es técnicamente relevante y operativamente urgente.

El Paquete Omnibus Digital desplaza los plazos para los nuevos sistemas de IA de alto riesgo. No lo hace, en absoluto, para los sistemas que ya estaban en producción antes del 2 de agosto de 2026. Esas herramientas —los sistemas de puntuación crediticia, los algoritmos de apoyo a decisiones de recursos humanos, los modelos de evaluación en el ámbito sanitario— son lo que el texto acordado denomina «sistemas heredados», y para ellos el calendario original del RIA permanece intacto.

Esto tiene consecuencias inmediatas. Los sistemas heredados deben cumplir con las obligaciones de documentación técnica del Anexo IV y con los requisitos de registro automático de eventos conforme al artículo 12 del RIA antes del 2 de agosto de 2026. Las sanciones por incumplimiento en este ámbito pueden alcanzar los 15 millones de euros o el 3% de la facturación anual global del proveedor. No es un detalle menor de lectura fina: es la diferencia entre estar dentro del plazo y enfrentarse a una inspección con una exposición legal de primer orden.

Hay más. Las obligaciones de transparencia del artículo 50 —que afectan a cualquier asistente virtual, chatbot o sistema que interactúe directamente con personas físicas— siguen vinculadas al 2 de agosto de 2026, sin prórroga de ningún tipo. Y las nuevas prohibiciones del artículo 5 introducidas por el propio Omnibus —la prohibición de aplicaciones de «nudificación» no consentida y la creación automatizada de material de abuso sexual infantil— entrarán en vigor el 2 de diciembre de 2026. Tampoco aplazadas.

La trampa de transparencia que nadie anticipó

Aquí es donde el análisis se complica, y donde el Paquete Omnibus Digital introduce una novedad que no ha recibido suficiente atención en los primeros comentarios al acuerdo.

El artículo 6, apartado 3, del RIA en su versión modificada restaura y refuerza la obligación de registro para sistemas exentos. Si un proveedor opera en áreas sensibles del Anexo III pero ha concluido —tras su análisis interno— que su sistema no presenta un riesgo significativo, ya no puede limitarse a consignar esa conclusión en una nota interna de justificación técnica. Debe registrar su autoevaluación en la base de datos pública de la Unión Europea. La decisión de clasificación se convierte, en consecuencia, en un documento auditable y de acceso público.

Lo que antes era una posición defensiva gestionada en el despacho del asesor jurídico pasa a ser, literalmente, una declaración pública. Las Autoridades Nacionales de Supervisión utilizarán ese registro como punto de entrada para inspecciones temáticas. Las organizaciones que hayan empleado criterios de clasificación excesivamente laxos para eludir las obligaciones de seguridad quedarán expuestas de una forma que el marco anterior no contemplaba.

La reforma introduce, al mismo tiempo, medidas genuinamente favorables para los operadores de menor dimensión. La extensión de los beneficios de simplificación a las small mid-caps —empresas con menos de 750 trabajadores y facturación anual inferior a 150 millones de euros— amplía el perímetro de acceso a las plantillas de documentación técnica simplificadas y a los bancos de pruebas regulatorios. Este ajuste protege el escalado de las startups europeas sin comprometer la arquitectura de supervisión del mercado único.

La pregunta que el período transitorio obliga a responder

Los próximos dieciocho meses no son un paréntesis. Son una ventana estratégica con una fecha de cierre definida y consecuencias jurídicas concretas si se gestiona mal.

La pregunta que cualquier organización con sistemas de IA en producción o en desarrollo debe responder con urgencia no es «¿cuándo debo cumplir?». Esa pregunta tiene respuestas distintas según el tipo de sistema, y confundirlas entre sí es precisamente el mecanismo de la hibernación regulatoria. La pregunta correcta es otra: ¿qué sistemas míos están ya en producción y bajo qué obligaciones concretas del RIA operan a partir del 2 de agosto de 2026?

Esa pregunta exige una auditoría de clasificación interna. Exige documentación técnica de los expedientes de autoevaluación. Exige una hoja de ruta de alineación progresiva con los borradores de CEN y CENELEC. Y, en muchos casos, exige una conversación temprana con los organismos notificados antes de que el mercado de auditoría de IA entre en la saturación crítica que se prevé para finales de 2027.

Lo que encontrarás en el informe completo

En el análisis que acompaña a este artículo abordo en detalle cada una de estas cuestiones con la extensión y el rigor que merecen. Encontrarás el desglose técnico de las modificaciones al concepto de «componente de seguridad» en el artículo 6 del RIA y su impacto sobre el sector industrial y el IoT; el análisis comparado con los marcos regulatorios de Estados Unidos, Reino Unido y el Convenio Marco del Consejo de Europa (CETS núm. 225); el papel reforzado de la Oficina de IA como supervisor centralizado de los modelos GPAI; y las cuatro proposiciones jurídicas fundamentales que sintetizan la posición correcta de cualquier operador económico durante el período transitorio.

También encontrarás las cuatro recomendaciones operativas de acción inmediata que se derivan del análisis, estructuradas para que los equipos de cumplimiento puedan trasladarlas directamente a sus planes de trabajo.

Informe completo disponible en PDF: Hacia una madurez regulatoria: Análisis integral de la reforma del Reglamento de IA bajo el Paquete Digital Omnibus Ricardo Scarpa · Firma Scarpa · Junio de 2026

---

Conclusiones provisionales:

• El Paquete Omnibus Digital no suspende el RIA: opera sobre una base legal que continúa vigente en su integridad hasta la publicación formal en el Diario Oficial.
• Los sistemas heredados en producción antes del 2 de agosto de 2026 deben cumplir con el Anexo IV y el artículo 12 del RIA en el plazo original, sin excepción.
• La obligación de transparencia del artículo 50 mantiene su fecha de agosto de 2026 para todos los sistemas de interacción directa con personas físicas.
• El registro público de autoevaluación del artículo 6.3 transforma cualquier decisión interna de clasificación en un expediente auditable de acceso público.
• Las organizaciones que aprovechen el período transitorio para construir gobernanza de IA proactiva y coordinar con los organismos notificados antes del pico de demanda de 2027 obtendrán una ventaja competitiva estructural que no podrá improvisarse después.