El Reglamento (UE) 2024/1689, conocido como AI Act, fue publicado en el Diario Oficial de la UE el 12 de julio de 2024 y entró en vigor el 2 de agosto de 2024. Pero "entrada en vigor" no significa que todas las obligaciones apliquen desde ese momento. El reglamento establece un calendario escalonado con cuatro fechas clave que afectan a tipos distintos de sistemas y organizaciones.
Conocer exactamente qué plazo te aplica —y por qué artículo— es el primer paso para cumplir sin malgastar recursos en obligaciones que aún no son exigibles.
✓ EN VIGUEUR Febrero 2025 — Prohibición de prácticas de IA inaceptables
Artículo de referencia: Art. 5 del Reglamento (UE) 2024/1689
Date exacta: 2 de febrero de 2025 (6 meses desde la entrada en vigor)
Desde febrero de 2025 quedan prohibidos en toda la UE los sistemas de IA que:
- Manipulen subliminalmente el comportamiento de las personas de forma que puedan causarles daño, mediante técnicas que actúen por debajo del umbral de conciencia.
- Exploten vulnerabilidades de grupos específicos por su edad, discapacidad o situación socioeconómica.
- Realicen scoring social generalizado por parte de poderes públicos, basado en comportamiento social o características personales.
- Usen identificación biométrica en tiempo real en espacios de acceso público con fines policiales, salvo excepciones muy tasadas (búsqueda de personas desaparecidas, prevención de ataques terroristas).
- Infieran emociones en lugares de trabajo o centros educativos, salvo razones médicas o de seguridad.
- Categoricen biométricamente a personas según características sensibles (raza, orientación sexual, creencias).
Si tu organización usa herramientas de RRHH con análisis de sentimiento, sistemas de puntuación de empleados o reconocimiento facial en espacios públicos, debes revisar si entran en estas categorías. Las sanciones por infracción del Art. 5 pueden llegar al 7% del volumen de negocio mundial o 35 millones de euros (el mayor de los dos).
⚡ EN COURS Agosto 2025 — Modelos de propósito general (GPAI)
Articles de referencia: Arts. 51-56 y Capítulo V del AI Act
Date exacta: 2 de agosto de 2025 (12 meses desde la entrada en vigor)
Los modelos de IA de propósito general (GPAI, General Purpose AI) son modelos entrenados con grandes cantidades de datos que pueden realizar tareas muy diversas: LLMs como GPT-4, Claude, Gemini o Llama, modelos de imagen, audio y vídeo de propósito general, etc.
Desde agosto de 2025, los proveedores de estos modelos deben:
- Elaborar y mantener documentación técnica del modelo (Art. 53.1.a).
- Proporcionar información a los proveedores que integren el modelo en sus sistemas.
- Cumplir la legislación de derechos de autor aplicable a los datos de entrenamiento (Art. 53.1.c).
- Publicar un resumen del contenido usado para el entrenamiento (Art. 53.1.d).
Los modelos con riesgo sistémico (>10^25 FLOPs de entrenamiento o designados por la Comisión) tienen obligaciones adicionales: evaluación antes de la puesta en el mercado, gestión de incidentes y ciberseguridad reforzada.
A los proveedores de modelos GPAI que los pongan en el mercado de la UE, independientemente de dónde estén establecidos. Si tu organización usa modelos GPAI de terceros (OpenAI, Anthropic, Google...) como desplegador, no tienes estas obligaciones directas, pero sí debes asegurarte de que el proveedor las cumple.
⚠ PROCHAIN JALON Agosto 2026 — Sistemas de alto riesgo (Anexo III)
Articles de referencia: Arts. 6, 8-15, 25-27 y Anexo III del AI Act
Date exacta: 2 de agosto de 2026 (24 meses desde la entrada en vigor)
Este es el hito más relevante para la mayoría de organizaciones. El Anexo III lista las categorías de sistemas de IA de alto riesgo para las que aplican todas las obligaciones del Título III del AI Act:
| Área del Anexo III | Ejemplos de sistemas afectados |
|---|---|
| Infraestructuras críticas | Gestión de redes eléctricas, agua, transporte |
| Educación y formación | Sistemas de admisión, evaluación de estudiantes, detección de trampa |
| Empleo y RRHH | Selección de personal, evaluación del desempeño, despidos automatizados |
| Servicios esenciales | Scoring crediticio, evaluación de solvencia, seguros de vida y salud |
| Aplicación de la ley | Evaluación de riesgo de reincidencia, análisis de amenazas |
| Gestión de fronteras | Detección de amenazas, evaluación de riesgo de solicitantes de asilo |
| Administración de justicia | Apoyo a decisiones judiciales, aplicación de la ley |
| Procesos democráticos | Influencia en elecciones, sistemas de votación |
Las obligaciones para proveedores de sistemas de alto riesgo Anexo III incluyen:
- Sistema de gestión de riesgos continuo (Art. 9)
- Calidad de los datos de entrenamiento — relevantes, representativos, libres de errores (Art. 10)
- Documentación técnica conforme al Anexo IV (Art. 11)
- Registro de eventos automático (logs) (Art. 12)
- Transparencia e información a los usuarios (Art. 13)
- Supervisión humana efectiva (Art. 14)
- Precisión, robustez y ciberseguridad (Art. 15)
- Registro en la base de datos EU AI antes de puesta en el mercado (Art. 49)
Los desplegadores (organizaciones que usan sistemas de alto riesgo de terceros) también tienen obligaciones específicas: garantizar uso conforme, implementar supervisión humana, informar de incidentes y llevar registros de uso (Arts. 25-27).
Incumplimiento de obligaciones de sistemas de alto riesgo: hasta €15M o el 3% del volumen de negocio mundial anual (Art. 99). Proporcionar información falsa: hasta €7,5M o el 1,5%.
En attente Diciembre 2027 — Sistemas de alto riesgo (Anexo I)
Articles de referencia: Art. 6.1 y Anexo I del AI Act
Date exacta: 2 de diciembre de 2027 (36 meses desde la entrada en vigor)
El Anexo I del AI Act incluye los sistemas de IA integrados como componentes de seguridad en productos regulados por legislación sectorial preexistente: maquinaria, juguetes, embarcaciones, aeronaves, vehículos, equipos médicos, equipos de protección individual, ascensores y equipos de radio.
Para estos sistemas, el mayor plazo se justifica porque deben coordinarse con los ciclos de revisión de las directivas y reglamentos sectoriales existentes. Las obligaciones una vez aplicables son las mismas que para el Anexo III.
Tableau récapitulatif : toutes les échéances de l'AI Act
| Date | Ce qui entre en vigueur | Articles | Statut |
|---|---|---|---|
| Ago. 2024 | Entrada en vigor general del Reglamento | Art. 1-4, 113 | ✓ Terminé |
| Feb. 2025 | Prohibición de IA con riesgo inaceptable (Art. 5) | Art. 5 | ✓ Terminé |
| Ago. 2025 | Obligaciones para modelos GPAI (Capítulo V) | Arts. 51-56, Cap. V | ⚡ En cours |
| Ago. 2025 | Obligaciones de gobernanza (organismos notificados, AESIA) | Arts. 57-94 | ⚡ En cours |
| Ago. 2026 | Obligaciones plenas para sistemas alto riesgo Anexo III | Arts. 6, 8-15, 25-27, 49, Anexo III | ⚠ Prochain |
| Dic. 2027 | Sistemas de alto riesgo integrados en productos (Anexo I) | Art. 6.1, Anexo I | En attente |
Que faire maintenant selon votre profil
- Clasifica tus sistemas usando el árbol de decisión del Anexo III.
- Si tienes sistemas GPAI, prepara la documentación del Art. 53 antes de agosto de 2025.
- Para sistemas de alto riesgo Anexo III: implementa las obligaciones de los Arts. 8-15 antes de agosto de 2026.
- Regístralos en la base de datos EU AI antes de ponerlos en el mercado.
- Identifica qué sistemas de terceros usas y si alguno está en el Anexo III.
- Verifica que el proveedor tiene cumplimiento del Art. 5 (prohibiciones ya en vigor).
- Para agosto de 2026: asegura supervisión humana y lleva registros de uso (Arts. 25-27).
- Comunica incidentes significativos a las autoridades competentes.
- Revisa si tus proveedores de software usan IA en los productos que compras.
- Monitoriza si tu sector entra en el Anexo III para cuando adoptes sistemas de IA.
- El diagnóstico gratuito te ayuda a prepararte antes de que sea urgente.
Savez-vous exactement quelles échéances vous s'appliquent ?
Le diagnostic évalue votre situation concrète según tu sector, tamaño y tipo de sistema. Resultado inmediato con las obligaciones específicas que te corresponden.
Faire le diagnostic →