¿Qué es el AI Act europeo?

El AI Act (Reglamento de Inteligencia Artificial de la UE) es el primer marco regulatorio integral para sistemas de IA en el mundo. Clasifica los sistemas de IA por nivel de riesgo (inaceptable, alto, limitado y mínimo) e impone obligaciones proporcionales. Las obligaciones para sistemas de alto riesgo entran en aplicación en agosto de 2026.

¿Qué es AI Governance?

AI Governance es el conjunto de políticas, procesos y controles que las organizaciones implementan para garantizar el uso ético, transparente y regulado de los sistemas de inteligencia artificial. Incluye marcos como ISO 42001, NIST AI RMF y el cumplimiento del AI Act europeo.

When do AI Act obligations apply?

El AI Act entró en vigor en agosto de 2024. Las prohibiciones de prácticas de alto riesgo se aplican desde febrero de 2025. Las obligaciones completas para sistemas de IA de alto riesgo se aplican a partir de agosto de 2026. España transpone el reglamento a través de la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial).

¿Qué diferencia hay entre ISO 42001 y NIST AI RMF?

ISO 42001 es un estándar internacional certificable para sistemas de gestión de IA, orientado a cumplimiento y auditoría. NIST AI RMF (Risk Management Framework) es un marco voluntario del gobierno estadounidense centrado en la gestión de riesgos de IA. ISO 42001 encaja mejor con el AI Act europeo por su estructura de control interno auditable.

AI Act Key Dates 2025-2027: Full Timeline

In this article

Febrero 2025 — Prohibiciones de IA inaceptable (Art. 5)
Agosto 2025 — Modelos de propósito general GPAI (Arts. 51-56)
Agosto 2026 — Sistemas de alto riesgo Anexo III
Diciembre 2027 — Sistemas de alto riesgo Anexo I
Tabla resumen de todos los plazos
What to do now based on your profile

El Reglamento (UE) 2024/1689, conocido como AI Act, fue publicado en el Diario Oficial de la UE el 12 de julio de 2024 y entró en vigor el 2 de agosto de 2024. Pero "entrada en vigor" no significa que todas las obligaciones apliquen desde ese momento. El reglamento establece un calendario escalonado con cuatro fechas clave que afectan a tipos distintos de sistemas y organizaciones.

Conocer exactamente qué plazo te aplica —y por qué artículo— es el primer paso para cumplir sin malgastar recursos en obligaciones que aún no son exigibles.

✓ IN FORCE Febrero 2025 — Prohibición de prácticas de IA inaceptables

Artículo de referencia: Art. 5 del Reglamento (UE) 2024/1689

Date exacta: 2 de febrero de 2025 (6 meses desde la entrada en vigor)

Desde febrero de 2025 quedan prohibidos en toda la UE los sistemas de IA que:

Manipulen subliminalmente el comportamiento de las personas de forma que puedan causarles daño, mediante técnicas que actúen por debajo del umbral de conciencia.
Exploten vulnerabilidades de grupos específicos por su edad, discapacidad o situación socioeconómica.
Realicen scoring social generalizado por parte de poderes públicos, basado en comportamiento social o características personales.
Usen identificación biométrica en tiempo real en espacios de acceso público con fines policiales, salvo excepciones muy tasadas (búsqueda de personas desaparecidas, prevención de ataques terroristas).
Infieran emociones en lugares de trabajo o centros educativos, salvo razones médicas o de seguridad.
Categoricen biométricamente a personas según características sensibles (raza, orientación sexual, creencias).

⚠ Practical implication

Si tu organización usa herramientas de RRHH con análisis de sentimiento, sistemas de puntuación de empleados o reconocimiento facial en espacios públicos, debes revisar si entran en estas categorías. Las sanciones por infracción del Art. 5 pueden llegar al 7% del volumen de negocio mundial o 35 millones de euros (el mayor de los dos).

⚡ IN PROGRESS Agosto 2025 — Modelos de propósito general (GPAI)

Articles de referencia: Arts. 51-56 y Capítulo V del AI Act

Date exacta: 2 de agosto de 2025 (12 meses desde la entrada en vigor)

Los modelos de IA de propósito general (GPAI, General Purpose AI) son modelos entrenados con grandes cantidades de datos que pueden realizar tareas muy diversas: LLMs como GPT-4, Claude, Gemini o Llama, modelos de imagen, audio y vídeo de propósito general, etc.

Desde agosto de 2025, los proveedores de estos modelos deben:

Elaborar y mantener documentación técnica del modelo (Art. 53.1.a).
Proporcionar información a los proveedores que integren el modelo en sus sistemas.
Cumplir la legislación de derechos de autor aplicable a los datos de entrenamiento (Art. 53.1.c).
Publicar un resumen del contenido usado para el entrenamiento (Art. 53.1.d).

Los modelos con riesgo sistémico (>10^25 FLOPs de entrenamiento o designados por la Comisión) tienen obligaciones adicionales: evaluación antes de la puesta en el mercado, gestión de incidentes y ciberseguridad reforzada.

ℹ Who does this apply to?

A los proveedores de modelos GPAI que los pongan en el mercado de la UE, independientemente de dónde estén establecidos. Si tu organización usa modelos GPAI de terceros (OpenAI, Anthropic, Google...) como desplegador, no tienes estas obligaciones directas, pero sí debes asegurarte de que el proveedor las cumple.

⚠ NEXT MILESTONE Agosto 2026 — Sistemas de alto riesgo (Anexo III)

Articles de referencia: Arts. 6, 8-15, 25-27 y Anexo III del AI Act

Date exacta: 2 de agosto de 2026 (24 meses desde la entrada en vigor)

Este es el hito más relevante para la mayoría de organizaciones. El Anexo III lista las categorías de sistemas de IA de alto riesgo para las que aplican todas las obligaciones del Título III del AI Act:

Área del Anexo III	Ejemplos de sistemas afectados
Infraestructuras críticas	Gestión de redes eléctricas, agua, transporte
Educación y formación	Sistemas de admisión, evaluación de estudiantes, detección de trampa
Empleo y RRHH	Selección de personal, evaluación del desempeño, despidos automatizados
Servicios esenciales	Scoring crediticio, evaluación de solvencia, seguros de vida y salud
Aplicación de la ley	Evaluación de riesgo de reincidencia, análisis de amenazas
Gestión de fronteras	Detección de amenazas, evaluación de riesgo de solicitantes de asilo
Administración de justicia	Apoyo a decisiones judiciales, aplicación de la ley
Procesos democráticos	Influencia en elecciones, sistemas de votación

Las obligaciones para proveedores de sistemas de alto riesgo Anexo III incluyen:

Sistema de gestión de riesgos continuo (Art. 9)
Calidad de los datos de entrenamiento — relevantes, representativos, libres de errores (Art. 10)
Documentación técnica conforme al Anexo IV (Art. 11)
Registro de eventos automático (logs) (Art. 12)
Transparencia e información a los usuarios (Art. 13)
Supervisión humana efectiva (Art. 14)
Precisión, robustez y ciberseguridad (Art. 15)
Registro en la base de datos EU AI antes de puesta en el mercado (Art. 49)

Los desplegadores (organizaciones que usan sistemas de alto riesgo de terceros) también tienen obligaciones específicas: garantizar uso conforme, implementar supervisión humana, informar de incidentes y llevar registros de uso (Arts. 25-27).

🚨 Applicable sanctions

Incumplimiento de obligaciones de sistemas de alto riesgo: hasta €15M o el 3% del volumen de negocio mundial anual (Art. 99). Proporcionar información falsa: hasta €7,5M o el 1,5%.

Pending Diciembre 2027 — Sistemas de alto riesgo (Anexo I)

Articles de referencia: Art. 6.1 y Anexo I del AI Act

Date exacta: 2 de diciembre de 2027 (36 meses desde la entrada en vigor)

El Anexo I del AI Act incluye los sistemas de IA integrados como componentes de seguridad en productos regulados por legislación sectorial preexistente: maquinaria, juguetes, embarcaciones, aeronaves, vehículos, equipos médicos, equipos de protección individual, ascensores y equipos de radio.

Para estos sistemas, el mayor plazo se justifica porque deben coordinarse con los ciclos de revisión de las directivas y reglamentos sectoriales existentes. Las obligaciones una vez aplicables son las mismas que para el Anexo III.

Summary table: all AI Act deadlines

Date	What comes into force	Articles	Status
Ago. 2024	Entrada en vigor general del Reglamento	Art. 1-4, 113	✓ Completed
Feb. 2025	Prohibición de IA con riesgo inaceptable (Art. 5)	Art. 5	✓ Completed
Ago. 2025	Obligaciones para modelos GPAI (Capítulo V)	Arts. 51-56, Cap. V	⚡ In progress
Ago. 2025	Obligaciones de gobernanza (organismos notificados, AESIA)	Arts. 57-94	⚡ In progress
Ago. 2026	Obligaciones plenas para sistemas alto riesgo Anexo III	Arts. 6, 8-15, 25-27, 49, Anexo III	⚠ Next
Dic. 2027	Sistemas de alto riesgo integrados en productos (Anexo I)	Art. 6.1, Anexo I	Pending

What to do now based on your profile

If you are an AI provider (desarrollas o vendes sistemas)

Clasifica tus sistemas usando el árbol de decisión del Anexo III.
Si tienes sistemas GPAI, prepara la documentación del Art. 53 antes de agosto de 2025.
Para sistemas de alto riesgo Anexo III: implementa las obligaciones de los Arts. 8-15 antes de agosto de 2026.
Regístralos en la base de datos EU AI antes de ponerlos en el mercado.

If you are a deployer (usas IA de terceros)

Identifica qué sistemas de terceros usas y si alguno está en el Anexo III.
Verifica que el proveedor tiene cumplimiento del Art. 5 (prohibiciones ya en vigor).
Para agosto de 2026: asegura supervisión humana y lleva registros de uso (Arts. 25-27).
Comunica incidentes significativos a las autoridades competentes.

If you do not currently use AI

Revisa si tus proveedores de software usan IA en los productos que compras.
Monitoriza si tu sector entra en el Anexo III para cuando adoptes sistemas de IA.
El diagnóstico gratuito te ayuda a prepararte antes de que sea urgente.

/// Free assessment · 5-12 minutos

Do you know exactly which deadlines apply to you?

The assessment evaluates your specific situation según tu sector, tamaño y tipo de sistema. Resultado inmediato con las obligaciones específicas que te corresponden.

Take the assessment →