Leer en Inglés MaboaSoft Engineering Team

Ley de IA de la UE el 2 de agosto de 2026: qué aplica realmente a tu app móvil (y qué se ha aplazado)

El Ómnibus Digital aplazó las obligaciones de alto riesgo de la Ley de IA de la UE hasta diciembre de 2027, pero los deberes de transparencia para chatbots y contenido generado por IA siguen empezando el 2 de agosto de 2026. Esto es lo que los dueños de apps y equipos de producto deben hacer ahora, qué puede esperar y dónde aplican realmente las multas — más un verificador gratuito de autoevaluación con informe en PDF.

Ley de IA de la UE el 2 de agosto de 2026: qué aplica realmente a tu app móvil (y qué se ha aplazado)

Si desarrollas o gestionas una app móvil en Europa, probablemente has visto dos tipos de titulares sobre la Ley de IA de la UE. Uno dice que todo cambia el 2 de agosto de 2026. El otro dice que Bruselas acaba de aplazarlo todo. Ambos están equivocados, y el hueco entre los dos es exactamente donde los equipos de producto cometen errores caros.

Este es el estado de la ley a julio de 2026, tras el Ómnibus Digital — y lo que significa en la práctica para las apps que diseñamos, desarrollamos y modernizamos cada semana.

Estado del derecho a: julio de 2026. El Ómnibus Digital sobre IA logró el acuerdo político el 7 de mayo de 2026 y fue refrendado formalmente por el Parlamento Europeo (16 de junio) y el Consejo (29 de junio); su publicación en el Diario Oficial se espera en julio de 2026. Este artículo es una explicación de nuestro equipo de ingeniería, no asesoramiento jurídico.

Qué se ha aplazado (NO aplica desde agosto de 2026)

El Ómnibus es una corrección de calendario, no una retirada. Los estándares técnicos necesarios para la evaluación de conformidad de alto riesgo simplemente no estaban listos, así que las fechas se movieron:

  • Sistemas de alto riesgo del Anexo III — herramientas de decisión en contratación y RRHH, scoring crediticio, identificación biométrica, evaluación educativa, acceso a servicios esenciales: aplazados del 2 de agosto de 2026 al 2 de diciembre de 2027.
  • IA de alto riesgo integrada en productos regulados (Anexo I — dispositivos médicos, maquinaria, vehículos): aplazada de 2027 al 2 de agosto de 2028.
  • Marcado legible por máquina del contenido generado por IA (Artículo 50(2)) para sistemas ya en el mercado antes del 2 de agosto de 2026: período de gracia hasta el 2 de diciembre de 2026. Los sistemas nuevos lanzados después del 2 de agosto de 2026 deben cumplir desde el primer día.
  • Sandboxes regulatorios nacionales de IA: el plazo para los Estados miembros se mueve al 2 de agosto de 2027.

Si el pánico de tu roadmap giraba en torno a “cumplimiento de alto riesgo para agosto de 2026”, acabas de recuperar dieciséis meses. Úsalos — construir bien un marco de cumplimiento lleva ese tiempo.

Qué SÍ aplica desde el 2 de agosto de 2026

Esta es la parte que los titulares de “todo se ha aplazado” pasan por alto. Tres cosas se activan en esa fecha:

  • Deberes de transparencia del Artículo 50. Si tu app contiene un chatbot o asistente conversacional de IA, los usuarios deben ser informados claramente de que interactúan con una máquina, salvo que sea evidente para un usuario razonable. Si tu app genera o manipula imágenes, audio, vídeo o texto, ese output debe ser identificable como generado por IA (con el período de gracia de diciembre de 2026 solo para sistemas ya en el mercado).
  • Plenos poderes sancionadores sobre proveedores de modelos de IA de propósito general. Esto apunta a las empresas de modelos fundacionales, no a quienes construyen apps — pero importa si haces fine-tuning o redistribuyes modelos.
  • Plenos poderes de vigilancia de mercado para las autoridades nacionales. La aplicación de la ley deja de ser teórica.

Las infracciones de los deberes de transparencia conllevan multas de hasta 15 millones de euros o el 3% de la facturación mundial.

Qué ya está en vigor (desde antes)

  • Prácticas prohibidas (desde el 2 de febrero de 2025): scoring social, técnicas manipulativas que causan daño, explotación de grupos vulnerables, reconocimiento de emociones en el trabajo y la escuela, scraping indiscriminado de imágenes faciales. Aquí las multas llegan a 35 millones de euros o el 7% de la facturación.
  • Alfabetización en IA (Artículo 4, desde el 2 de febrero de 2025): proveedores e implementadores deben asegurar que el personal que trabaja con sistemas de IA los entiende. Aplica a casi todos y casi nadie se ha dado cuenta.
  • Obligaciones para modelos GPAI (desde el 2 de agosto de 2025) para proveedores de modelos fundacionales.
  • Novedad desde el 2 de diciembre de 2026: prohibición de sistemas de IA para generar imágenes íntimas no consentidas (“nudifiers”) y CSAM — relevante para cualquiera que incluya generación de imágenes, porque la prohibición se extiende a sistemas donde ese mal uso es un resultado previsible sin salvaguardas adecuadas.

Quién está expuesto a multas y prohibiciones

La Ley de IA funciona como el RGPD en un punto crucial: sigue al usuario, no al registro de tu empresa. Aplica a proveedores que introducen sistemas de IA en el mercado de la UE, a implementadores ubicados en la UE, y a proveedores o implementadores de cualquier parte del mundo cuyo output se utiliza en la UE.

La escala de sanciones:

InfracciónMulta máxima
Prácticas prohibidas35 M€ o 7% de la facturación mundial
Infracciones de alto riesgo y transparencia (Art. 50)15 M€ o 3%
Información incorrecta a las autoridades7,5 M€ o 1%

Dos buenas noticias para equipos pequeños. Para pymes y startups, la multa se limita a la menor de las dos cantidades. Y el Ómnibus extendió el régimen simplificado para pymes — multas reducidas, plantillas de documentación estandarizadas, acceso a sandboxes — a empresas de hasta 750 empleados y 150 millones de euros de facturación anual. Si lees esto como fundador, casi seguro estás en ese tramo.

Dónde están realmente las apps móviles: cuatro escenarios reales

La regulación solo es útil cuando se mapea a una base de código. Estas son las situaciones que más vemos en diseño móvil, desarrollo y modernización de código legacy.

1. El chatbot de reservas en una app de servicios

La app de una peluquería, clínica o negocio de oficios añade un asistente de IA que responde preguntas y reserva citas. Es un sistema de riesgo limitado. Desde el 2 de agosto de 2026 la app debe revelar, de forma clara y al inicio de la interacción, que el usuario habla con una IA. En la práctica es una tarea de diseño, no jurídica: una etiqueta persistente de “asistente de IA”, un mensaje inicial de aviso y un avatar honesto del bot. Estás en infracción si, después de esa fecha, tu bot se presenta de forma ambigua como un agente humano.

2. La app que genera imágenes o texto para los usuarios

Una app inmobiliaria que genera descripciones de anuncios, o una app de marketing que produce imágenes para redes. El output debe ser identificable como generado por IA. Si tu app estaba en el mercado antes del 2 de agosto de 2026, el marcado legible por máquina es obligatorio desde el 2 de diciembre de 2026; si lanzas después de agosto, cumples desde el lanzamiento. En términos de arquitectura, esto significa watermarking o metadatos en la capa de generación — mucho más barato diseñarlo ahora que retrofitearlo contra el plazo. Estás en infracción si el contenido sintético sale de tu app sin marcar después de tu fecha aplicable.

3. La app legacy que recibe funciones de IA durante la modernización

Aquí es donde nuestro trabajo de migración desde Xamarin y Cordova se cruza directamente con la Ley de IA. Los equipos que modernizan una base de código al final de su vida hacia Flutter casi siempre aprovechan la reescritura para añadir funciones de IA — un bot de soporte, búsqueda inteligente, mejora de fotos. El momento de la migración es el punto más barato de todo el ciclo de vida del producto para incorporar el cumplimiento: la UI de aviso en el design system, una capa de marcado de contenido en el pipeline de generación, logging de auditoría en la arquitectura. Añadir todo esto a una app terminada cuesta varias veces más. (Y si el equipo original ya no está, ejecuta primero un discovery del repositorio — no puedes clasificar una función de IA que aún no has encontrado en el código.) Si la reescritura se lanza después del 2 de agosto de 2026, los deberes del Artículo 50 aplican desde el día del lanzamiento — no hay período de gracia para sistemas nuevos.

4. La función que cruza silenciosamente a alto riesgo

Una app de selección de personal añade ranking de candidatos con IA. Una función fintech puntúa la solvencia. Una app de gimnasio añade check-in con reconocimiento facial. Cada una de estas cae en territorio de alto riesgo del Anexo III — gestión de riesgos, gobernanza de datos, supervisión humana, documentación técnica, evaluación de conformidad, registro en la base de datos de la UE. El plazo es ahora el 2 de diciembre de 2027, que suena lejano y no lo es: un programa de cumplimiento de alto riesgo lleva más de un año. La decisión de ingeniería que importa hoy es el alcance — a menudo un pequeño cambio de producto (que un humano tome la decisión final del ranking; que el check-in use un código QR en lugar de la cara) mantiene la función fuera de la categoría de alto riesgo por completo. Esa conversación pertenece a las revisiones de diseño de ahora, no a las revisiones legales de después.

Comprueba tu app en cinco minutos — gratis y con informe en PDF

Para hacer este triaje concreto, hemos creado un verificador gratuito de autoevaluación: un cuestionario corto (en español e inglés) que clasifica tu función de IA en un nivel de riesgo, lista tus obligaciones reales con las fechas correctas post-Ómnibus y genera un informe en PDF que puedes compartir con tu equipo o tu abogado.

Es una ayuda de autoevaluación, no asesoramiento jurídico — pero convierte el “¿debería preocuparme?” en un checklist concreto en pocos minutos.

Checklist práctico para equipos móviles (julio de 2026)

  1. Inventaría cada punto de contacto con IA en tu app — incluidos los SDK de terceros.
  2. Clasifica cada uno: prohibido / alto riesgo / limitado / mínimo. (Nuestro verificador lo hace.)
  3. Chatbots: implementa la UI de aviso antes del 2 de agosto de 2026.
  4. Funciones generativas: planifica el marcado de contenido — 2 de diciembre de 2026 para sistemas existentes, día de lanzamiento para los nuevos.
  5. Cualquier cosa que toque contratación, crédito, biometría o servicios esenciales: arranca el programa de alto riesgo ya para diciembre de 2027, o rediseña la función fuera de la categoría.
  6. Forma al equipo que trabaja con sistemas de IA — el deber de alfabetización del Artículo 4 ya aplica.
  7. Pon fecha a tus supuestos de cumplimiento. El Ómnibus acaba de demostrar que la ley se mueve.

Si estás planificando funciones de IA, modernizando una app legacy o no tienes claro a qué lado de estas líneas cae tu producto, reserva una llamada de 20 minutos — repasamos tu caso concreto.

FAQ

¿Aplica la Ley de IA de la UE a mi app si mi empresa no está en la UE?

Sí, puede aplicar. La Ley de IA tiene alcance extraterritorial: aplica a proveedores que introducen sistemas de IA en el mercado de la UE y a proveedores o implementadores fuera de la UE cuyo output se utiliza en la UE. Lo que decide la cuestión no es dónde está registrada tu empresa, sino dónde están tus usuarios.

¿Un chatbot de reservas en mi app es de alto riesgo según la Ley de IA?

Casi nunca. Un chatbot de reservas o de preguntas frecuentes es un sistema de riesgo limitado bajo el Artículo 50. Tu deber principal desde el 2 de agosto de 2026 es informar claramente al usuario de que está hablando con una IA, salvo que sea evidente. Las categorías de alto riesgo cubren áreas como decisiones de contratación, scoring crediticio e identificación biométrica — no la reserva de citas.

¿Qué cambió con el Ómnibus Digital en 2026?

El Ómnibus, acordado en mayo de 2026 y refrendado formalmente por el Parlamento Europeo y el Consejo en junio de 2026, aplazó las obligaciones de alto riesgo de los sistemas del Anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027, y las de la IA integrada en productos regulados de 2027 al 2 de agosto de 2028. También retrasó el marcado legible por máquina del contenido generado por IA para sistemas ya en el mercado hasta el 2 de diciembre de 2026, y añadió una nueva prohibición sobre herramientas de IA para imágenes íntimas no consentidas y CSAM desde el 2 de diciembre de 2026. Los deberes de transparencia para chatbots siguen empezando el 2 de agosto de 2026.

¿Cuáles son las multas bajo la Ley de IA de la UE?

Hasta 35 millones de euros o el 7% de la facturación anual mundial por prácticas prohibidas, hasta 15 millones o el 3% por infracciones de alto riesgo y de transparencia, y hasta 7,5 millones o el 1% por facilitar información incorrecta a las autoridades. Para pymes y startups la multa se limita a la menor de las dos cantidades, y el régimen simplificado para pymes se extiende ahora a empresas de hasta 750 empleados y 150 millones de euros de facturación.


Este artículo resume el Reglamento (UE) 2024/1689 modificado por el Ómnibus Digital sobre IA, a partir de comunicaciones oficiales de la UE y análisis de los principales despachos jurídicos disponibles en julio de 2026. Es información general, no asesoramiento jurídico. Para decisiones sobre tu producto concreto, consulta a un abogado cualificado.