Qué cambia para los fundadores de SaaS el 2 de agosto de 2026: el informe de aplicación de la práctica
El 2 de agosto de 2026 es la fecha en que las obligaciones de transparencia del artículo 50, el régimen de proveedores de IAGP en virtud del capítulo V y el marco de gobernanza en virtud del capítulo VII comienzan a aplicarse en toda la UE. No es, tras el AI Omnibus, la fecha en que se aplica el régimen de alto riesgo en virtud del anexo III (el AI Omnibus lo trasladó al 2 de diciembre de 2027) ni la fecha en que se aplican las obligaciones relativas a los productos integrados en virtud del anexo I (2 de agosto de 2028). Este artículo es el informe de aplicación de la práctica específicamente para el 2 de agosto de 2026: qué se activa ese día, qué no, la exposición a sanciones y lo que nuestros revisores observan que los fundadores de SaaS pasan por alto en la fase previa.
Qué comienza realmente a aplicarse el 2 de agosto de 2026
Tres bloques de obligaciones comienzan a aplicarse el 2 de agosto de 2026.
Transparencia del artículo 50. Toda interfaz de SaaS en la que una persona física interactúe con un sistema de IA debe revelar ese hecho. Todo contenido generado por IA (texto, imagen, audio, vídeo) debe llevar una marca de procedencia legible por máquina y, cuando se despliegue en contextos de interés público, una etiqueta visible. Toda función de reconocimiento de emociones o de categorización biométrica debe informar al usuario. Todo deepfake debe estar etiquetado. El artículo 50 vincula a proveedores y desplegadores en párrafos diferentes; la mayoría de los SaaS se encuentran en ambas funciones según la característica. Banda de sanciones: 15 millones de euros o el 3 % del volumen de negocios anual mundial en virtud del artículo 99(4).
Obligaciones de proveedores de IAGP en virtud del capítulo V. Los proveedores de modelos de IA de uso general que hayan puesto un modelo en el mercado de la UE después del 2 de agosto de 2025 deben cumplir con los deberes de transparencia del artículo 53 (resumen de datos de entrenamiento, política de derechos de autor, documentación técnica). Los proveedores de modelos de IAGP con riesgo sistémico (cómputo de entrenamiento superior a 10²⁵ FLOP) deben cumplir adicionalmente con el artículo 55. Estos vinculan a OpenAI, Anthropic, Google, Mistral, Meta. No vinculan a un SaaS que utiliza esos modelos a través de una API. Un SaaS que ajuste un modelo de IAGP hasta el punto de modificación sustancial en virtud del artículo 25 puede convertirse en proveedor por derecho propio.
Marco de gobernanza en virtud del capítulo VII. El Consejo de IA, la Oficina de IA, las autoridades nacionales competentes y el panel científico entran en funcionamiento. Las autoridades nacionales de vigilancia del mercado, designadas por los Estados miembros antes del 2 de agosto de 2025, asumen la responsabilidad de aplicación. La Comisión puede comenzar a emitir orientaciones, actos delegados y programas de trabajo de normas armonizadas. Desde el punto de vista de la aplicación, el 2 de agosto de 2026 es el día en que la maquinaria institucional comienza a funcionar.
Qué NO comienza a aplicarse el 2 de agosto de 2026
Tres bloques que la gente confunde habitualmente con esta fecha no se activan, de hecho, en ella.
Obligaciones de alto riesgo del anexo III. Las ocho categorías del anexo III (biometría, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración, justicia) estaban originalmente programadas para el 2 de agosto de 2026 en virtud del artículo 113 original. El AI Omnibus las trasladó al 2 de diciembre de 2027. Los artículos 9 a 15 siguen aplicándose. La evaluación de la conformidad en virtud del artículo 43 sigue aplicándose. El registro en la base de datos de la UE en virtud del artículo 49 sigue aplicándose. Solo se modificó la fecha.
Obligaciones relativas a productos integrados del anexo I. La IA utilizada como componente de seguridad en productos cubiertos por la legislación de armonización de la Unión enumerada en el anexo I (Reglamento de Maquinaria, MDR, IVDR, juguetes, ascensores, RED, marina, aviación civil, vehículos de motor, vehículos agrícolas y forestales) estaba originalmente programada para el 2 de agosto de 2027. El AI Omnibus la trasladó al 2 de agosto de 2028 para alinearla con la capacidad de los organismos notificados y la publicación de normas armonizadas. El artículo 6(1) es la vía de clasificación operativa.
Prácticas prohibidas del artículo 5. Estas entraron en vigor el 2 de febrero de 2025, dieciocho meses antes. Si su producto realiza puntuación social, rastreo de caras no dirigido, IA manipuladora que explota vulnerabilidades, identificación biométrica remota en tiempo real en espacios públicos por parte de las fuerzas del orden, predicción policial, categorización biométrica por características sensibles, reconocimiento de emociones en lugares de trabajo o centros educativos, o cualquiera de las otras prohibiciones del artículo 5, ya incumple la normativa. El AI Omnibus no modificó las fechas del artículo 5; añadió una nueva prohibición (contenido sexual explícito generado por IA sin consentimiento).
Las obligaciones de proveedores de IAGP en virtud del artículo 53 entraron en vigor el 2 de agosto de 2025 para los proveedores de modelos de la cadena de valor. Como desplegador de SaaS que utiliza sus API, esas obligaciones no recaen directamente sobre usted. Sus obligaciones como desplegador en virtud del artículo 50 sí lo hacen.
Cuatro hallazgos que nuestros revisores observan que más frecuentemente incumplen el plazo
A lo largo de las auditorías realizadas por la práctica, cuatro patrones emergen una y otra vez en la fase previa al 2 de agosto de 2026.
1. Declaración del chatbot ausente u oculta. El incumplimiento del artículo 50(1) más habitual: una interfaz de chat que claramente es una IA pero no lo anuncia al inicio de cada conversación. Nuestros revisores resuelven esto con un fragmento de banner de chat listo para incrustar (React, HTML estático, Vue 3) con la redacción en los 24 idiomas de la UE. Cinco minutos de pegado, en cumplimiento.
2. Contenido generado por IA sin marcar. El artículo 50(2) exige una marca de procedencia legible por máquina, no solo una insignia visible. Nuestros revisores técnicos integran C2PA Content Credentials en el momento de la generación. Es la única implementación disponible actualmente que cumple el estándar «eficaz, interoperable, sólida y fiable» que establece el Reglamento.
3. Deepfake o clonación de voz dejados ambiguos. El artículo 50(4) es explícito: los medios sintéticos que representan a personas reales deben etiquetarse como generados o manipulados artificialmente. Nuestros revisores distribuyen componentes de superposición que envuelven el reproductor de medios existente del cliente sin modificar el reproductor.
4. Política pública de uso de IA ausente. No es una obligación estricta del artículo 50 en sí misma, pero sí la señal de confianza más útil que puede publicar un SaaS. Nuestra práctica redacta la política como parte de la auditoría, con la marca del cliente, lista para publicarse en /ai-use.
Exposición a sanciones en la misma fecha
Las sanciones del artículo 99 entran en vigor de forma paralela a las obligaciones que hacen cumplir. Tres niveles que los SaaS deben seguir.
35 millones de euros o el 7 % del volumen de negocios anual mundial por infracciones de prácticas prohibidas del artículo 5 en virtud del artículo 99(3). Ya aplicable desde el 2 de febrero de 2025. Las pymes se benefician de la proporcionalidad en virtud del artículo 99(6), pero el límite máximo no varía.
15 millones de euros o el 3 % del volumen de negocios anual mundial por incumplimiento de las obligaciones de alto riesgo en virtud de los artículos 6 a 49, y por infracciones del artículo 50, en virtud del artículo 99(4). Se activa el 2 de agosto de 2026 para el artículo 50. Se activa el 2 de diciembre de 2027 para el anexo III. Se activa el 2 de agosto de 2028 para los productos integrados del anexo I.
7,5 millones de euros o el 1 % del volumen de negocios anual mundial por suministrar información incorrecta o engañosa a las autoridades en virtud del artículo 99(5). Se activa de forma paralela a la obligación sustantiva incumplida.
Nuestra calculadora de sanciones en /tools/penalty-calculator devuelve una estimación ajustada para pymes basada en la banda de ingresos del cliente. No creemos que los SaaS pequeños vayan a recibir multas de máximo nivel el primer día de aplicación. Sí creemos que las autoridades de vigilancia del mercado actuarán ante infracciones visibles para sentar precedente: chatbots que ocultan su naturaleza de IA y servicios de deepfake que distribuyen resultados sin etiquetar.
Qué recomienda hacer la práctica ahora
Tres pasos concretos, en orden, específicamente para la oleada del artículo 50.
Paso 1: clasificación. Ejecute la auditoría del artículo 50 en /tools/article-50-audit. Característica por característica: qué párrafos del artículo 50 se aplican (declaración del chatbot, marcado de contenido sintético, aviso sobre emociones o biometría, etiquetado de deepfakes). Dos minutos, árbol de decisión.
Paso 2: encargue la auditoría. Si se encuentra en el ámbito del artículo 50 (la gran mayoría de los SaaS), encargue una auditoría de Disclos. 997 €, cinco días hábiles, entregable firmado por nuestro revisor principal. La auditoría cubre la implementación del artículo 50 en todas las características incluidas en el ámbito de aplicación más el rastro de registro de divulgaciones.
Paso 3: implemente antes del 30 de julio de 2026. Tres días de margen antes del plazo. El seguimiento de nuestros revisores se produce treinta días después de la entrega, lo que le deja semanas para implementar todas las correcciones antes de la fecha.
Si encarga una auditoría a finales de julio de 2026, el entregable llegará a su bandeja de entrada después del 2 de agosto de 2026. Para entonces, el riesgo de aplicación será real. La oleada del anexo III el 2 de diciembre de 2027 es un programa separado de dieciocho meses; consulte nuestro pilar del anexo III para la hoja de ruta.
Frequently asked questions
¿Procesará activamente la Oficina de IA de la UE a los fundadores de SaaS el 2 de agosto de 2026?
La persecución activa requiere que las autoridades de vigilancia del mercado de cada Estado miembro cuenten con personal y recursos. Nuestros revisores de políticas hacen un seguimiento del estado de preparación Estado por Estado. Francia (CNIL), Italia (Garante), España (AESIA) y Alemania (BSI + Bundesländer) son los cuatro más probables en actuar primero. La aplicación el primer día probablemente será desencadenada por reclamaciones de personas físicas más que por auditorías de barrido activo. Las infracciones visibles (chatbots que ocultan su naturaleza de IA, deepfakes sin etiquetar) son los objetivos más probables.
¿Mi SaaS constituida en EE. UU. necesita hacer algo?
Si una persona ubicada en la Unión Europea puede utilizar su producto, sí. El artículo 2(1)(a) otorga al Reglamento alcance extraterritorial independientemente de dónde esté establecido el proveedor. Nuestras páginas país por país explican cómo es la aplicación en cada Estado miembro.
¿Qué pasa si no estoy seguro de que mis funcionalidades sean IA?
El artículo 3(1) define el sistema de IA de forma amplia: cualquier sistema basado en máquinas que genere resultados (predicciones, recomendaciones, decisiones, contenidos) para un conjunto de objetivos. Llamar a un endpoint de inferencia y mostrar el resultado a un usuario es despliegue de IA en virtud del Reglamento, aunque usted nunca haya entrenado un modelo. La incorporación estándar de nuestros revisores incluye una clasificación característica por característica. Si tiene dudas, la auditoría las elimina.
¿Puedo confiar en que OpenAI / Anthropic / Mistral cumplan por mí?
No. Sus obligaciones en virtud del artículo 53 son obligaciones de proveedores de IAGP, no sus obligaciones como desplegador en virtud del artículo 50. El Reglamento es explícito en este punto. Su cumplimiento no se transfiere a usted. Haga referencia a sus declaraciones del artículo 53 en su ficha de modelo, pero publique sus propias declaraciones del artículo 50 en su producto.
¿Cuándo es demasiado tarde para encargar una auditoría?
La práctica realiza un máximo de cinco auditorías por semana. En junio de 2026, la capacidad de incorporación estará completa. A mediados de julio de 2026, esperamos que el formulario se cierre en cuestión de horas tras su apertura. Encargue la auditoría antes de finales de junio para recibir la entrega antes del plazo con tres semanas de margen de implementación.
Sources
Last updated: 2026-06-09