El 29 de junio de 2026, el Consejo de la Unión Europea dio su aprobación final al Digital Omnibus sobre IA, posponiendo las obligaciones de alto riesgo de la AI Act europea del 2 de agosto de 2026 al 2 de diciembre de 2027 para sistemas autónomos, y al 2 de agosto de 2028 para la IA integrada en productos regulados. La votación llegó cinco semanas antes del plazo original, tras dos trílogos fallidos en abril y mayo de 2026 que dejaron a los equipos de cumplimiento trabajando hacia una fecha límite que podía o no sobrevivir.
El retraso no supone una retirada de la aplicación de la norma. En ese mismo tramo de 2026, la Comisión Europea multó a Temu con 200 millones de euros en virtud de la Digital Services Act, el Tribunal Superior irlandés confirmó una multa de 530 millones de euros contra TikTok por el RGPD, y los supervisores nacionales pasaron del "modo observación" a inspecciones formales de DORA activas en los sectores bancario y asegurador. El marco normativo europeo de IA, datos y plataformas se está reescribiendo y aplicando al mismo tiempo, con relojes que rara vez avanzan al unísono.
Para los responsables de gobernanza de IA, los DPO y los responsables de cumplimiento digital que cubren la UE, el Reino Unido y Suiza, esa combinación, plazos que se mueven junto con multas ya vigentes, es el entorno operativo real para el resto de 2026.
¿Sigue siendo el 2 de agosto de 2026 el plazo de alto riesgo de la AI Act europea?
No, una vez que el Digital Omnibus sobre IA se publique en el Diario Oficial, algo previsto para julio de 2026, tres días después de lo cual entrará en vigor. El Reglamento (UE) 2024/1689 fijaba originalmente el 2 de agosto de 2026 para los sistemas de alto riesgo del Anexo III, que cubren selección de personal, evaluación de solvencia, identificación biométrica, educación, migración y aplicación de la ley, y el 2 de agosto de 2027 para los sistemas del Anexo I integrados en productos. El Parlamento Europeo aprobó el texto del Omnibus el 16 de junio de 2026 con 423 votos a favor, y el visto bueno del Consejo del 29 de junio de 2026 fijó las nuevas fechas en el 2 de diciembre de 2027 y el 2 de agosto de 2028, respectivamente.
Dos obligaciones se mueven en la dirección opuesta. El periodo de gracia para el marcado y etiquetado de contenido generado por IA en virtud del artículo 50 se redujo de seis meses a tres, adelantando a un nuevo plazo del 2 de diciembre de 2026 para los sistemas ya comercializados, y el Omnibus añade una prohibición total de generar contenido sexual o íntimo sin consentimiento y material de abuso sexual infantil generado por IA, una disposición sin ningún retraso asociado. Hasta que el texto supere el Diario Oficial, la fecha original del 2 de agosto de 2026 sigue siendo jurídicamente vinculante, por lo que las organizaciones que clasifican sistemas conforme al Anexo III no pueden simplemente detener su trabajo.
¿Con qué firmeza está aplicando la Comisión Europea la Digital Services Act?
Con la firmeza suficiente para haber impuesto dos multas de nueve cifras en seis meses. El 5 de diciembre de 2025, la Comisión multó a X con 120 millones de euros, su primera decisión de incumplimiento de la DSA, por el diseño engañoso de la insignia de verificación azul, un repositorio publicitario que no cumplía las normas de divulgación del artículo 39, y barreras al acceso de investigadores que infringían el artículo 40, apartado 12. X recibió 60 días laborables para corregir la cuestión de la insignia y 90 para presentar un plan de subsanación completo, y recurrió la decisión ante el Tribunal General de la Unión Europea en febrero de 2026, convirtiéndose en la primera prueba judicial de la aplicación de la DSA.
El 28 de mayo de 2026, la Comisión multó a Temu con 200 millones de euros, un 0,38% de su facturación global de 53.000 millones de euros, por no ejecutar una evaluación de riesgos adecuada capaz de identificar productos ilegales y peligrosos en su mercado. Temu tiene hasta el 28 de agosto de 2026 para presentar un plan de acción correctiva, y la investigación más amplia de la Comisión sobre los sistemas de recomendación y la moderación de contenido de Temu sigue abierta. Ambos casos se construyeron sobre las obligaciones de riesgo sistémico de los artículos 34 y 35, las mismas disposiciones que mantienen a toda plataforma en línea de muy gran tamaño y a todo motor de búsqueda bajo escrutinio continuo de la Comisión, un ámbito en el que la monitorización regulatoria por plataforma detecta una nueva investigación el día en que se abre, y no el día en que aparece en los titulares.
¿Qué autoridad decide realmente un caso de RGPD cuando los datos cruzan fronteras?
Bajo el mecanismo de ventanilla única, es la autoridad de protección de datos del lugar donde la empresa tiene su principal establecimiento en la UE, y para la mayoría de las plataformas globales eso significa Irlanda. La decisión de la Comisión de Protección de Datos irlandesa del 2 de mayo de 2025 multó a TikTok con 530 millones de euros, 45 millones por no informar debidamente a los usuarios conforme al artículo 13, apartado 1, letra f), y 485 millones por transferencias ilícitas de datos de usuarios del EEE a China conforme al artículo 46, apartado 1, tras concluir que TikTok no podía verificar que sus cláusulas contractuales tipo ofrecieran a los datos del EEE una protección esencialmente equivalente a la exigida por el RGPD. El 3 de junio de 2026, el Tribunal Superior irlandés confirmó tanto la declaración de responsabilidad como el importe de la multa, aunque devolvió a la autoridad la orden que suspendía las transferencias futuras para su reconsideración, dejando a TikTok en condiciones de seguir trasladando datos europeos a China mientras se revisa ese punto concreto.
Las multas acumuladas de la DPC irlandesa ascienden ya a 4.040 millones de euros desde 2018, encabezadas todavía por la decisión de 1.200 millones de euros contra Meta de 2023. En el conjunto de las autoridades de control de la UE, la encuesta de enero de 2026 de DLA Piper sitúa la aplicación de sanciones en 2025 en aproximadamente 1.200 millones de euros, igualando 2024 y elevando el total acumulado en todo el bloque desde la entrada en vigor del RGPD en 2018 a 7.100 millones de euros. Para un responsable de cumplimiento, la lección práctica es que la elección de la autoridad principal no es una cuestión administrativa menor, sino que determina qué postura, calendario y apetito de sanciones transfronterizas rige realmente el expediente.
¿Se está reescribiendo también el RGPD junto con la AI Act?
Sí, a través del mismo paquete Digital Omnibus, propuesto por la Comisión el 19 de noviembre de 2025 como COM(2025) 837. La propuesta redefiniría los datos personales de forma que los datos seudonimizados no se consideren datos personales para una entidad que carezca de medios para reidentificar a la persona, permitiría a las empresas basarse en el interés legítimo del RGPD para entrenar u operar modelos de IA sujetos a garantías, trasladaría las normas de consentimiento de cookies de la Directiva de privacidad electrónica al RGPD con un consentimiento de un clic válido durante seis meses, y crearía un único punto de notificación para brechas de datos e incidentes de ciberseguridad.
El Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos emitieron un dictamen conjunto en febrero de 2026 respaldando las piezas de simplificación administrativa mientras instaban explícitamente a los colegisladores a no adoptar la redefinición de datos personales, advirtiendo que restringiría el derecho fundamental a la protección de datos más allá de lo que debería suponer una modificación técnica. A mediados de 2026, el expediente permanece en el procedimiento legislativo ordinario, con las comisiones de Industria y de Libertades Civiles conjuntamente responsables en el Parlamento, lo que significa que el texto del RGPD que una empresa cumple hoy puede no ser el texto del RGPD en vigor cuando entre en funcionamiento un programa de entrenamiento de IA que está diseñando ahora.
¿Qué añaden la Digital Markets Act, la Data Act y DORA por encima de la AI Act y el RGPD?
La Digital Markets Act aporta su propia vía de aplicación contra los mismos gatekeepers. El 22 de abril de 2025, la Comisión multó a Apple con 500 millones de euros por infracciones de anti-steering conforme al artículo 5, apartado 4, y a Meta con 200 millones de euros por su modelo publicitario de pago o consentimiento conforme al artículo 5, apartado 2, las primeras multas por incumplimiento impuestas bajo la DMA. La primera revisión trienal de la Comisión, entregada el 3 de mayo de 2026 como COM(2026) 178, concluyó que el régimen es adecuado a su finalidad y no requiere cambios legislativos, mientras que los procedimientos de especificación abiertos contra Google Play y Google Search en enero de 2026 permanecen activos.
La Data Act se hizo aplicable el 12 de septiembre de 2025, otorgando a los usuarios de productos y servicios conectados el derecho a acceder a los datos que esos productos generan y, cuando sea viable, a que se compartan con terceros en tiempo real. Las obligaciones de diseño que exigen que los productos conectados hagan los datos accesibles por defecto entran en vigor el 12 de septiembre de 2026, y las condiciones contractuales justas, razonables y no discriminatorias se aplican a todos los acuerdos de intercambio de datos entre empresas firmados después de septiembre de 2025, extendiéndose a determinados contratos heredados de larga duración a partir de septiembre de 2027. Cuando hay datos personales implicados, las sanciones de la Data Act siguen los niveles del RGPD, hasta 20 millones de euros o el 4% de la facturación global.
Para las entidades financieras en particular, el periodo de gracia de DORA terminó con 2025. Desde el primer trimestre de 2026, el BCE, la BaFin, la AMF, la CSSF y otras autoridades nacionales competentes han pasado de revisiones de preparación a evaluaciones de supervisión formales sobre gestión de riesgos TIC, contratos con terceros e informes de incidentes, respaldadas por multas de hasta el 2% de la facturación mundial para las entidades y hasta 1 millón de euros a título personal para los miembros del órgano de dirección que no actúen ante los informes de riesgo TIC.
| Instrumento | Estado (julio de 2026) | Fecha clave a seguir |
|---|---|---|
| AI Act, Anexo III, alto riesgo | Omnibus adoptado, pendiente de publicación en el Diario Oficial | 2 de diciembre de 2027 (antes 2 de agosto de 2026) |
| AI Act, artículo 50, transparencia | Periodo de gracia acortado por el Omnibus | 2 de diciembre de 2026 |
| Aplicación del riesgo sistémico de la DSA | Activa, dos multas impuestas, una en apelación | 28 de agosto de 2026 (plan correctivo de Temu) |
| RGPD (caso de transferencia de TikTok) | Responsabilidad y multa confirmadas, medida reabierta | Reconsideración de la DPC irlandesa pendiente |
| Reforma del RGPD (Digital Omnibus) | En procedimiento legislativo ordinario | Sin fecha de adopción fijada |
| Obligaciones de gatekeeper de la DMA | Dos multas impuestas, revisión completada, sin cambios | Procedimientos de especificación de Google en curso |
| Obligaciones de diseño de la Data Act | Normas centrales aplicables desde septiembre de 2025 | 12 de septiembre de 2026 |
| Aplicación de supervisión de DORA | Periodo de gracia terminado, evaluaciones activas | En curso, según cada autoridad nacional competente |
Ocho instrumentos, ocho calendarios, y al menos tres de ellos cambiaron materialmente solo en la primera mitad de 2026. Una función de cumplimiento que sigue esto con una hoja de cálculo está a un comunicado de prensa del Consejo de distancia de construir un programa alrededor de un plazo que ya no aplica, que es exactamente la brecha que el companion de IA de Obsidian está diseñado para cerrar: no un sustituto del criterio jurídico, sino un companion regulatorio verificado que señala el momento en que un acto delegado supera el escrutinio o una multa se vuelve firme.
¿Qué debería hacer a continuación un equipo de cumplimiento?
Empiece por separar el texto vinculante de la AI Act de sus modificaciones pendientes: continúe el trabajo de clasificación del Anexo III bajo el supuesto de que el 2 de agosto de 2026 podría seguir aplicándose, mientras sigue el avance del Omnibus hacia su publicación en el Diario Oficial para que la nueva fecha del 2 de diciembre de 2027 quede confirmada y no simplemente asumida. En paralelo, trate la aplicación de la DSA y la DMA como evidencia de lo que los reguladores realmente priorizan, las evaluaciones de riesgo sistémico y las restricciones de steering, en lugar de basarse únicamente en el texto de los reglamentos.
Para los equipos que gestionan exposición al RGPD en varios establecimientos de la UE, confirme qué autoridad de control ostenta la condición de autoridad principal para cada actividad de tratamiento y siga las negociaciones del Digital Omnibus para detectar cambios en la definición de datos personales que puedan afectar a programas de entrenamiento de IA ya en marcha. El MCP para asistentes de IA de Obsidian permite que ese seguimiento se ejecute dentro de las herramientas que los equipos de cumplimiento ya utilizan, y los planes actuales muestran cómo la monitorización por jurisdicción se mantiene al ritmo de un marco normativo que cambió tres veces en la primera mitad de 2026.