Por: Eloi Font
15/06/2026 05:00 p. m.Lectura de 5 minutos
Buena parte del RIA ya forma parte del día a día. Las prohibiciones sobre determinados usos de IA y la obligación de las empresas de ofrecer formación a sus trabajadores llevan en vigor desde principios de 2025, y el régimen de los modelos de uso general (GPAI) se activó a mediados de ese mismo año. Las organizaciones que hicieron sus deberes ya deberían haber identificado y retirado los sistemas prohibidos, sensibilizado a sus equipos y revisado su relación con los proveedores de modelos generativos.
El foco ahora es agosto de 2026, el tramo más exigente del RIA. A partir de esa fecha pasan a ser plenamente aplicables las obligaciones de transparencia para todos los sistemas de IA y, sobre todo, el régimen de los sistemas de Alto Riesgo del Anexo III. Y aquí está el verdadero reto: a diferencia de los hitos anteriores, este no se resuelve con una decisión puntual, sino que exige auditorías internas, documentación técnica, registros y estructuras de gobernanza que tardan meses en madurar.
Por eso, a estas alturas del calendario, la pregunta ya no es qué dirá la norma, sino cuánto del trabajo previo está hecho y cuánto queda por cerrar antes de que sea exigible.
En paralelo, el paquete legislativo Ómnibus Digital podría modular o aplazar parcialmente algunas obligaciones o plazos del RIA, y es comprensible que algunas organizaciones se pregunten si conviene esperar. La respuesta, en la práctica, es que no cambia nada del trabajo de fondo. Inventariar los sistemas, analizar los riesgos y definir las políticas de uso es necesario en cualquier escenario, y ese trabajo requiere un periodo de maduración. Confiar en un aplazamiento solo comprime el margen disponible cuando la fecha termine llegando: el calendario se mueve, la preparación no.
El esfuerzo se concentra en llegar con los deberes hechos. Más allá de cómo evolucionen los plazos, la adaptación sigue una secuencia lógica que cualquier organización puede recorrer en cinco frentes:
El punto de partida es conocer con exactitud qué sistemas de IA se utilizan, en qué procesos, con qué datos y bajo qué rol, proveedor, importador, distribuidor o responsable del despliegue. De ese inventario surgen una clasificación preliminar por categoría de riesgo (inaceptable, alto, limitado o mínimo) y un mapa de exposición regulatoria que ordena por dónde empezar. Sin esta foto inicial, todo lo demás se construye sobre suposiciones.
Las obligaciones concretas no son las mismas para todos: dependen del rol jurídico de la empresa en cada sistema y de su nivel de riesgo. Clasificar cada caso como Alto Riesgo, Riesgo Limitado o mínimo es lo que permite traducir el RIA en medidas tangibles, documentación técnica, registros de actividad (logs), información a usuarios o supervisión humana, en lugar de obligaciones genéricas.
El RIA exige garantizar un uso adecuado de la IA y concienciar al personal. Una política interna ordena ese uso: fija los principios rectores (transparencia, supervisión humana, no discriminación, etc.), reparte roles y responsabilidades, mantiene un registro de sistemas autorizados y establece un procedimiento de autorización para las nuevas herramientas que vayan apareciendo, que no dejarán de hacerlo.
Aquí el cumplimiento se vuelve operativo: documentación técnica de los sistemas de Alto Riesgo, registros automáticos de actividad, mecanismos de supervisión humana, marcado de contenidos generados por IA y gestión del ciclo de vida. Las organizaciones que quieran un marco reconocido internacionalmente pueden apoyarse, de forma opcional, en la ISO/IEC 42001 como estándar para el sistema de gestión de la IA.
El cumplimiento no se agota en un proyecto puntual. Sostenerlo en el tiempo pide una estructura estable, un Comité de IA o la figura del AI Officer, que supervise el cumplimiento, evalúe los nuevos sistemas, gestione incidentes y mantenga viva la política, con un reglamento interno definido y formación específica para quienes la integran.
Visto así, prepararse para el RIA es bastante más que evitar sanciones. El mismo ejercicio que exige la norma, saber qué IA se usa, con qué riesgo y bajo qué control, ordena el uso de la tecnología, reduce la exposición legal y reputacional y permite decidir sobre una base firme. A mitad de 2026, con la obligación a la vuelta de la esquina, la diferencia entre llegar con garantías o a contrarreloj se está marcando ahora. Quien ya tiene hecho el trabajo previo afronta el plazo como un trámite; quien lo aplaza, lo afrontará como una urgencia.
Guía del Reglamento de IA (RIA): obligaciones y sistemas de alto riesgo en la UE desde agosto de 2026
Nuevo plazo para notificar el responsable del SII. Revise su canal de denuncias y refuerce su compliance conforme a la Ley 2/2023, evitando riesgos
Riesgos legales en la era digital: cómo anticiparse a la regulación y usar la tecnología con seguridad. Conversación con Eloi Font en Beyond Talks.
