Bruselas ha movido las agujas del AI Act. Hay más tiempo para cumplir, pero también una línea roja nueva contra las apps que «desnudan» personas sin su consentimiento.
Si llevas meses oyendo hablar del AI Act como si fuera el coco normativo de las empresas europeas, hay novedades. En la madrugada del 7 de mayo, negociadores del Parlamento Europeo y del Consejo cerraron un acuerdo político sobre el llamado Digital Omnibus on AI, un paquete que retoca el Reglamento (UE) 2024/1689 (el Reglamento Europeo de Inteligencia Artificial, RIA o AI Act para los amigos) sin tocar su columna vertebral.
La operación llega después de un trílogo fallido el 29 de abril que estuvo doce horas sobre la mesa y se levantó sin acuerdo. Al segundo intento, los colegisladores se entendieron. Conviene aclarar de entrada lo que muchos titulares han dado por hecho: el texto todavía no es ley. Falta la revisión jurídico-lingüística, la adopción formal por las dos instituciones y la publicación en el DOUE. La Presidencia chipriota quiere cerrarlo antes del 30 de junio. Si no lo logra, el expediente pasa a la Presidencia irlandesa en el segundo semestre. Hasta entonces, el calendario vigente sigue siendo el del AI Act original con el deadline aún en el 2 de agosto de 2026.
¿Por qué retrasa el AI Act las obligaciones de «alto riesgo»?
Empecemos por lo que más interesa a quien tiene un sistema de IA en producción. El RIA clasifica los sistemas por niveles de riesgo, y los catalogados como de alto riesgo (los del Anexo III, esto es, IA aplicada a biometría, infraestructuras críticas, educación, empleo, servicios esenciales, gestión migratoria, fuerzas de seguridad o justicia) tenían cita el 2 de agosto de 2026 con un paquete denso de obligaciones: gestión de riesgos, gobernanza de datos, documentación técnica, supervisión humana, ciberseguridad y registro en la base de datos europea.
El Omnibus mueve esa fecha al 2 de diciembre de 2027 para los sistemas autónomos del Anexo III. Y para los sistemas integrados en productos ya regulados por normativa sectorial (los del Anexo I: maquinaria, productos sanitarios, vehículos, juguetes, ascensores), la fecha pasa al 2 de agosto de 2028.
¿Por qué este aplazamiento? La razón oficial es práctica: el ecosistema técnico no está listo. Las Organizaciones Europeas de Normalización (el CEN, el CENELEC) todavía no han publicado los estándares armonizados que permitirían a una empresa demostrar conformidad sin inventarse el procedimiento. Y varios Estados miembros aún no han designado del todo a sus autoridades nacionales competentes. España va por delante en esto: ya tenemos la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) con sede en A Coruña, creada por el Real Decreto 729/2023. Otros países llegan más tarde a la cita.
Una pequeña advertencia: el aplazamiento del AI Act es del bloque de alto riesgo, no de todo el Reglamento. Las prohibiciones del artículo 5 siguen en vigor desde febrero de 2025. La obligación de alfabetización en IA, también. Las normas sobre modelos de propósito general (GPAI), idem. Y el régimen sancionador, plenamente aplicable (a la espera de desarrollo normativo en nuestro país). Quien tenga un chatbot, un generador de imágenes o un sistema de scoring crediticio operando hoy en la UE sigue jugando con las reglas puestas.
La novedad menos esperada: adiós a los «nudifiers»
Aquí el Omnibus deja de ser una historia de plazos para convertirse en una historia de fondo. El acuerdo incorpora al artículo 5 del Reglamento (el catálogo de prácticas prohibidas, las que la UE considera tan dañinas que ni siquiera deben existir en el mercado) una nueva entrada: los sistemas de IA capaces de generar o manipular imágenes, vídeos o audios realistas sexualmente explícitos o íntimos de personas identificables sin su consentimiento, así como material de abuso sexual infantil.
En lenguaje llano: las llamadas nudifier apps, las herramientas que «desnudan» digitalmente a personas reales a partir de una foto vestida, quedan prohibidas. No solo la generación de imágenes de menores (que ya constituye un delito), sino también la creación no consentida de imágenes íntimas de personas adultas, los llamados NCII (Non-Consensual Intimate Images).
La medida no estaba en la propuesta original de la Comisión de noviembre de 2025. Se incorporó en el Consejo por impulso, entre otros, del Gobierno español, y el Parlamento la respaldó tras el escándalo de Grok en X, que permitió generar imágenes sexualizadas no consentidas a escala industrial, incluyendo de menores. Una coalición transversal de eurodiputados forzó la enmienda.
La prohibición alcanza a un sistema cuando la generación de ese contenido sea su finalidad prevista o, alternativamente, cuando sea un resultado razonablemente previsible y reproducible sin que el proveedor haya dispuesto medidas eficaces para impedirlo. Es decir, no basta con poner una advertencia en los términos de uso. Si la herramienta puede usarse así con un par de clics, queda fuera del mercado europeo. El infractor se expone a sanciones de hasta el 7% del volumen de negocio anual mundial.
Para quienes llevamos años explicando que el derecho al propio cuerpo y a la propia imagen no terminan donde empieza un modelo generativo, esta prohibición es una buena noticia. Tardía, pero buena.
¿Y los contenidos generados por IA en general?
El otro retoque que conviene tener en el radar afecta al artículo 50.2 del Reglamento: la obligación de que los proveedores de IA generativa marquen sus contenidos sintéticos (audios, imágenes, vídeos o textos) en un formato legible por máquina, esto es, con metadatos o marcas técnicas que permitan a un sistema detectar que aquello no lo creó una persona.
La idea es sensata en base a problemática que ya traemos en su día. Si una imagen ha salido de un modelo generativo, debería poder identificarse. Periodistas, plataformas, jueces y ciudadanía ganan en capacidad de discernir lo real de lo sintético. El cuándo, sin embargo, era discutido. Para los sistemas que se comercialicen a partir del 2 de agosto de 2026, la obligación entra en vigor en esa fecha. Para los que ya están en el mercado, había debate: el Parlamento quería tres meses de gracia, hasta el 2 de noviembre de 2026; la Comisión y el Consejo defendían seis. Ha ganado la posición más laxa: el plazo será de seis meses, hasta el 2 de febrero de 2027.
AI Act y AI Office: la supervisión se centraliza
Hay un detalle institucional que pasa desapercibido pero que reordena el mapa de la supervisión. La AI Office (la oficina europea de IA, dependiente de la Comisión) pasa a tener competencia supervisora directa sobre dos categorías de sistemas: los basados en modelos GPAI (modelos de propósito general, como los grandes modelos de lenguaje) cuando el sistema y el modelo son del mismo proveedor o grupo empresarial, y los sistemas de IA integrados en las VLOPs y VLOSEs designadas conforme al DSA, esto es, las plataformas y motores de búsqueda de muy gran tamaño (X, Meta, Google, TikTok, Booking y compañía).
Traducido: la supervisión de los gigantes deja de ser un asunto exclusivo de la autoridad nacional del país donde el proveedor tenga su sede europea. Pasa a Bruselas. Para quienes recordamos cómo el modelo de «ventanilla única» del RGPD acabó concentrando el control de las big tech en la Comisión irlandesa de protección de datos (con resultados desiguales), este movimiento es significativo.
Qué hacer mientras tanto, lo cuento en el artículo original publicado en: https://pintos-salgado.com/el-ai-act-gana-tiempo-y-prohibe-los-nudifiers/
Tempus fugit!