El 7 de mayo de 2026, el Consejo de la Unión Europea y el Parlamento Europeo alcanzaron el acuerdo sobre el Digital Omnibus AI: la primera modificación orgánica al AI Act desde su entrada en vigor en 2024. No se trata de una revisión completa. El acuerdo desplaza plazos, simplifica obligaciones para las pequeñas empresas y redefine los límites entre categorías de riesgo. Para quienes usan IA en su empresa en España o en América Latina, las implicaciones prácticas llegan de forma dispersa y muchos aún no las han leído.
Empecemos con un dato: según los datos publicados en mayo de 2026 por la Comisión Europea, el 79% de las pymes italianas ya utiliza herramientas de inteligencia artificial. Menos de 4 de cada 10 cuenta con una política interna sobre el uso de la IA. Esa brecha entre adopción real y gobernanza formal es exactamente el territorio que el Digital Omnibus intenta regular con menos rigidez que el marco original del AI Act. Una situación que, según datos de la CNMV y del tejido empresarial europeo, refleja un patrón similar en España y en gran parte de LATAM.
Qué sistemas AI entran en las nuevas obligaciones y cuáles no
El AI Act de la Unión Europea clasifica los sistemas de IA en cuatro categorías. El Digital Omnibus no cambia la estructura: la modificación afecta principalmente a los plazos y los umbrales de aplicación de cada categoría.
Distribución de sistemas AI por categoría de riesgo según el AI Act, aplicación Digital Omnibus 2026
Fuente: European AI Office, elaboración SpazioCrypto, mayo 2026
Traducido a la práctica: la gran mayoría de los sistemas de IA que las pymes utilizan a diario (chatbots internos, herramientas de escritura asistida, análisis de datos, recomendaciones de producto, asistentes virtuales) cae en la categoría de “riesgo mínimo”. Para estos, las obligaciones del AI Act original ya eran ligeras, y el Digital Omnibus las confirma como tales: ningún registro obligatorio, ninguna evaluación formal de conformidad, solo buenas prácticas recomendadas.
La posición oficial de la Comisión Europea sobre el Digital Omnibus se actualiza en su perfil de X: EU_Commission en X.
Qué cambia concretamente: plazos y pymes
Tres modificaciones operativas concretas emergen del acuerdo del 7 de mayo.
Primera: los plazos para los sistemas de alto riesgo en sectores no críticos se han desplazado. La obligación de registro en la base de datos europea y la evaluación de conformidad para algunas categorías de sistemas se retrasan. Quienes operan en sectores menos regulados (marketing, RRHH no decisional, optimización logística) ganan tiempo para adaptarse.
Segunda: las pymes con menos de 250 empleados y facturación inferior a 50 millones de euros ven reducidas las exigencias de documentación técnica obligatoria para los sistemas de IA que despliegan internamente. La Comisión recogió las presiones del sector industrial europeo, que había señalado cargas desproporcionadas para las empresas más pequeñas. Para las empresas españolas y latinoamericanas que operan bajo MiCA o que exportan servicios digitales a la UE, esta reducción de carga documental es una señal relevante.
Tercera: los sistemas de IA generativa (como los modelos de lenguaje usados para redactar textos, generar código o responder preguntas) que no son “modelos de alto impacto” (umbral: 10^25 FLOP de cómputo en entrenamiento) quedan fuera de las obligaciones más pesadas de la categoría “modelos generales de IA de uso general”. En la práctica: Claude Sonnet, GPT-4o o Gemini Flash usados por una pyme para automatizar correos o documentación no requieren certificación de conformidad específica. Modelos como GPT-5 o Claude Opus, en cambio, sí superan ese umbral. Para quienes gestionan automatizaciones de IA para el negocio, es una distinción operativa que importa.
Qué significa para las pymes que ya usan IA
La respuesta corta: poco cambia ahora, pero mucho cambia en los próximos 18 meses. El Digital Omnibus ha desplazado las fechas límite, no eliminado las obligaciones. Quien aún no tenga una política interna sobre el uso de la IA (más del 60% de las pymes europeas, según los datos de mayo de 2026 de la Comisión Europea) tiene más tiempo, no una salida definitiva.
Las implicaciones prácticas que conviene estructurar desde ya: (1) mapear qué sistemas de IA usa la empresa y en qué categoría de riesgo se encuadran; (2) verificar si los proveedores de herramientas de IA que usa son “modelos de alto impacto” o no; (3) preparar una política interna de uso incluso para los sistemas de riesgo mínimo, porque será exigida en licitaciones públicas a partir de 2027 en muchos sectores, tanto en España como en mercados latinoamericanos con acuerdos de equivalencia con la UE.
El texto consolidado del AI Act (Reglamento UE 2024/1689) está publicado en EUR-Lex y sigue siendo la referencia normativa primaria.
Las modificaciones del Digital Omnibus se incorporarán al texto oficial mediante un reglamento delegado, cuya publicación se prevé antes de septiembre de 2026. Para quienes tienen responsabilidades de cumplimiento normativo o de gestión tecnológica en su empresa, seguir ese reglamento delegado es más relevante que atender declaraciones políticas. En España, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), adscrita al Ministerio de Transformación Digital, es el organismo de referencia para la implementación del AI Act y publicará guías nacionales antes de finales de 2026.
Un dato que falta aún en el debate hispanohablante: cuántas de las pymes que declaran usar IA han verificado que las herramientas que emplean cumplen con las nuevas obligaciones de transparencia hacia los usuarios finales, uno de los requisitos que permanece inalterado incluso en el Digital Omnibus. Google, Microsoft y Anthropic ya han alineado sus productos enterprise con esta exigencia. Para quienes usan herramientas de nicho o soluciones desarrolladas internamente, la verificación está en gran parte pendiente.
