Hoja de ruta de implementación de la Ley de IA de la UE: ocho fases hasta el pleno cumplimiento
Hoja de ruta de cumplimiento de la Ley de IA de la UE: 8 fases, del inventario a la vigilancia poscomercialización. Plazos correctos: Art. 5 en vigor, Art. 50 ago 2026, Anexo III dic 2027.
El cumplimiento de la Ley de IA de la UE no es un acontecimiento único. Es un proyecto — uno que se extiende a lo largo de múltiples plazos, ocho grupos de obligaciones y dos roles distintos según lo que su organización realmente haga con la IA. Las prácticas prohibidas en virtud del Artículo 5 se aplican desde el 2 de febrero de 2025. Las obligaciones de alfabetización en virtud del Artículo 4 ya están en vigor. Las normas de transparencia para los sistemas de riesgo limitado entran en vigor el 2 de agosto de 2026. Las obligaciones plenas de alto riesgo se aplican desde el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III (y desde el 2 de agosto de 2028 para la IA integrada en productos regulados, en virtud del Ómnibus Digital acordado en mayo de 2026). Eso le da un margen — pero solo la documentación lleva meses, y la secuencia importa.
Esta hoja de ruta mapea las ocho fases de implementación en orden. Recórralas de arriba abajo.
Fase 1: Inventariar cada sistema de IA que construye o despliega
Antes de poder clasificar nada, necesita una lista. La mayoría de las organizaciones subestiman su exposición a la IA. Las herramientas compradas por aprovisionamiento, las integraciones de los desarrolladores y los modelos de calificación integrados cuentan todos si cumplen la definición del Reglamento (UE) 2024/1689 en el Artículo 3, apartado 1: un sistema basado en una máquina que infiere, a partir de las entradas, cómo generar resultados como predicciones, decisiones, recomendaciones o contenidos.
Recorra cada línea de negocio y pregúntese: ¿hace esta herramienta una predicción, una recomendación o una decisión? Anote el proveedor, la versión, el uso previsto y si la organización la construyó o la compró. Esa última pregunta predispone la determinación del rol en la Fase 2.
Manténgalo como un registro vivo. ¿Sistema nuevo? Añádalo antes del despliegue, no después.
Fase 2: Clasificar cada sistema y derivar su rol
La clasificación determina todo lo que viene después. El Artículo 6 establece cuatro resultados, y dos de ellos no imponen ninguna obligación de la Ley de IA de la UE.
Prohibido — Artículo 5 (en vigor el 2 de febrero de 2025). Determinadas prácticas están prohibidas de plano, sin importar las salvaguardias. Ejemplos clave: la identificación biométrica remota en tiempo real en espacios de acceso público para la garantía del cumplimiento del Derecho (con excepciones limitadas que requieren autorización judicial); la puntuación social de personas físicas por las autoridades públicas; la manipulación subliminal que causa perjuicio (Artículo 5, apartado 1, letra a)); el reconocimiento de emociones en los lugares de trabajo y en los centros educativos (Artículo 5, apartado 1, letra f)); la elaboración predictiva de perfiles delictivos basada únicamente en la elaboración de perfiles sin fundamento fáctico objetivo (Artículo 5, apartado 1, letra d)); la extracción no selectiva de imágenes faciales para construir bases de datos de reconocimiento (Artículo 5, apartado 1, letra e)); y la categorización biométrica por características sensibles (Artículo 5, apartado 1, letra g)). Estos no son de alto riesgo — están prohibidos. El techo sancionador es de 35 000 000 EUR o el 7 % del volumen de negocios anual mundial (Artículo 99, apartado 3), si esta última cifra es mayor. Si algún sistema de su inventario toca estos usos, debe detenerse de inmediato.
Alto riesgo — Artículo 6 + Anexo III (plazo de los sistemas autónomos: 2 de diciembre de 2027). El Anexo III enumera ocho categorías: biometría (identificación remota; categorización por características sensibles; reconocimiento de emociones — distinguiendo lo permitido de lo prohibido); componentes de seguridad de infraestructuras críticas; educación y formación profesional (admisión, evaluación, supervisión de exámenes); empleo y gestión de los trabajadores (contratación, cribado, evaluación del rendimiento, asignación de tareas — Anexo III, punto 4); acceso a servicios esenciales privados y públicos (solvencia/calificación crediticia en el punto 5, letra b), excluida la detección de fraude; evaluación de riesgos en los seguros de vida y de salud en el 5, letra c); envío de servicios de emergencia; admisibilidad a prestaciones públicas); garantía del cumplimiento del Derecho (evaluación del riesgo de delinquir, polígrafo, fiabilidad de las pruebas); migración, asilo y control fronterizo; y administración de justicia y procesos democráticos.
Antes de aceptar la clasificación de alto riesgo, compruebe el filtro del Artículo 6, apartado 3. Un sistema que entra en una categoría del Anexo III no es de alto riesgo si desempeña una tarea procedimental limitada, mejora el resultado de una actividad humana previamente realizada, detecta patrones de decisión sin sustituir ni influir en la evaluación humana, o realiza únicamente trabajo preparatorio — y no plantea un riesgo significativo de perjuicio. Una de esas cuatro condiciones basta; no necesita las cuatro. Pero todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, sea cual sea. Si reclama la exención, documéntela y registre el sistema en virtud del Artículo 49 de todos modos.
Riesgo limitado / de transparencia — Artículo 50 (2 de agosto de 2026). Chatbots, generación de contenido sintético, reconocimiento de emociones (donde no esté prohibido) y marcado de contenido generado por IA. La obligación primaria es la divulgación: los usuarios deben saber que están interactuando con IA. Sin evaluación de la conformidad, sin expediente técnico. El Artículo 50 tiene cuatro apartados — el 50, apartado 1, para los chatbots, el 50, apartado 2, para el reconocimiento de emociones, el 50, apartado 4, para el etiquetado de texto de interés público.
Riesgo mínimo — sin obligaciones obligatorias de la Ley de IA de la UE. Filtros de spam, motores de recomendación en contextos no críticos, la mayoría de las herramientas de productividad. El RGPD y la seguridad general de los productos siguen aplicándose.
Derive su rol simultáneamente. Si su organización introduce un sistema de IA en el mercado de la UE bajo su propio nombre o marca, usted es un proveedor (Artículo 16) — se aplica toda la pila de obligaciones. Si opera un sistema de un tercero en una capacidad profesional bajo su autoridad, usted es un responsable del despliegue (Artículo 26). La mayoría de las empresas son responsables del despliegue de herramientas compradas y proveedores de los productos que comercializan a sus clientes; muchas son ambas cosas. El Artículo 25 convierte a un responsable del despliegue en proveedor en caso de reetiquetado, modificación sustancial (Artículo 3, apartado 23) o reorientación.
Fase 3: Evaluación de lagunas frente a los Artículos 9 a 15
Una vez que sabe qué sistemas son de alto riesgo y si usted es el proveedor o el responsable del despliegue de cada uno, mapee lo que tiene frente a lo que el Reglamento exige. El conjunto de obligaciones de alto riesgo para los proveedores se extiende a lo largo de siete artículos:
| Artículo | Obligación |
|---|---|
| Art. 9 | Sistema de gestión de riesgos — continuo, iterativo, documentado |
| Art. 10 | Datos y gobernanza de datos — conjuntos de datos de entrenamiento, validación y prueba |
| Art. 11 + Anexo IV | Documentación técnica — nueve ámbitos de contenido definidos en el Anexo IV |
| Art. 12 | Registro automático / conservación de registros |
| Art. 13 | Transparencia hacia los responsables del despliegue — instrucciones de uso, capacidades, limitaciones |
| Art. 14 | Supervisión humana — significativa, no ceremonial |
| Art. 15 | Exactitud, robustez, ciberseguridad |
Recorra cada uno y puntúe su estado actual con honestidad. Cuando no exista nada — sin registro de riesgos, sin ficha de datos, sin protocolo de supervisión — eso es una laguna que requiere un paquete de trabajo. Esta evaluación de lagunas se convierte en su lista de tareas pendientes de implementación para las Fases 4 a 7.
Los responsables del despliegue tienen una lista más corta: seguir las instrucciones del proveedor (Art. 26, apdo. 1); garantizar que los usuarios estén formados (Art. 26, apdo. 2); implementar la supervisión humana cuando sea necesario (Art. 26, apdo. 3); conservar los registros de uso durante al menos seis meses (Art. 26, apdo. 6 — seis meses, no dos ni cinco años); notificar a los representantes de los trabajadores antes del despliegue en el lugar de trabajo (Art. 26, apdo. 7).
Fase 4: Construir el sistema de gestión de riesgos (Artículo 9) y la gobernanza de datos (Artículo 10)
El Artículo 9 exige a los proveedores establecer y mantener un sistema de gestión de riesgos a lo largo del ciclo de vida de un sistema de IA de alto riesgo. Cuatro componentes: identificar y analizar los riesgos previsibles; estimar y evaluar los riesgos que pueden materializarse; adoptar medidas de mitigación; y probar su adecuación. El riesgo residual debe ser aceptable. El sistema debe actualizarse cada vez que el sistema de IA cambie.
El registro de riesgos que surge del Artículo 9 es la columna vertebral del expediente técnico del Artículo 11 y la base de pruebas para la evaluación de la conformidad del Artículo 43. Documente cada paso.
El Artículo 10 regula los datos de entrenamiento, validación y prueba: pertinencia para la finalidad prevista; representatividad; ausencia de errores en la medida en que sea razonablemente posible; adecuación al uso concreto. Las lagunas, los sesgos y las deficiencias deben abordarse y las propiedades estadísticas deben documentarse — incluidos los desgloses demográficos cuando se vea afectada una persona física. El Artículo 10 es gobernanza de datos. La competencia del personal es el Artículo 4 (alfabetización en materia de IA), en vigor desde el 2 de febrero de 2025. Los dos son distintos.
Fase 5: Compilar la documentación técnica del Artículo 11 y el sistema de gestión de la calidad del Artículo 17
La documentación técnica del Artículo 11 debe existir antes de la introducción en el mercado. El Anexo IV define nueve ámbitos de contenido: descripción general; elementos y proceso de desarrollo; información sobre el rendimiento; mecanismos de vigilancia y control; documentación de la gestión de riesgos del Artículo 9; cambios posteriores a la conformidad; normas armonizadas aplicadas; la declaración del Artículo 47; y medidas de ciberseguridad. Este es el documento que los reguladores pedirán en primer lugar. Consérvelo durante diez años después de que el sistema salga del mercado (Artículo 18).
El SGC del Artículo 17 formaliza los procesos que hay detrás de ese expediente — gobernanza de datos, gestión de cambios, pruebas de rendimiento, gestión de incidentes. La norma ISO/IEC 42001:2023 (38 controles del Anexo A en nueve ámbitos) se corresponde bien con los Artículos 9, 10 y 17, pero la certificación es voluntaria y no sustituye a la evaluación de la conformidad del Artículo 43.
Fase 6: Supervisión humana (Artículo 14) y transparencia (Artículos 13 y 50)
El Artículo 14 es la obligación más exigente desde el punto de vista operativo para los responsables del despliegue. La supervisión debe ser significativa: la persona que la ejerce debe comprender lo que el sistema está haciendo, tener autoridad para anular su resultado y ser capaz de identificar anomalías. La aprobación ceremonial no satisface el Artículo 14. Documente quién es responsable, cuáles son sus competencias y cómo se registran las anulaciones.
Para los proveedores, la transparencia hacia los responsables del despliegue es el Artículo 13: instrucciones de uso, niveles de rendimiento y limitaciones, riesgos conocidos, requisitos de supervisión y restricciones de uso.
Para los sistemas de riesgo limitado, se aplica el Artículo 50. Los usuarios de los chatbots deben ser informados de que están interactuando con una IA (Artículo 50, apartado 1); los sistemas de reconocimiento de emociones deben informar a los sujetos en tiempo real (Artículo 50, apartado 2). Plazo: 2 de agosto de 2026 — uno de los primeros plazos firmes que quedan.
La EIDF del Artículo 27 se aplica a los organismos públicos y a los responsables del despliegue de sistemas de solvencia (Anexo III, 5, letra b)) o de seguros de vida o de salud (5, letra c)). Los empleadores privados que despliegan IA de contratación no deben automáticamente una. Cuando exista una EIPD del artículo 35 del RGPD, el Artículo 27, apartado 4, permite que la EIDF se base en ella.
Fase 7: Evaluación de la conformidad (Artículo 43), declaración de conformidad (Artículo 47), marcado CE (Artículo 48) y registro (Artículo 49)
Esta fase cierra las obligaciones previas a la comercialización para los proveedores de sistemas de alto riesgo.
Evaluación de la conformidad — Artículo 43. Existen dos vías. El Anexo VI es la autoevaluación interna: el proveedor documenta el cumplimiento sin un organismo notificado. El Anexo VII es la vía del organismo notificado, generalmente exigida para el Anexo III, punto 1 (biometría), cuando no se han aplicado normas armonizadas. Los sistemas del Anexo III, puntos 2 a 8, utilizan la autoevaluación interna del Anexo VI en la mayoría de los casos. No dé por hecho que se requiere un organismo notificado para los sistemas de alto riesgo no biométricos.
Declaración de conformidad — Artículo 47. El proveedor emite una declaración utilizando el Anexo V, en la que da fe de que el sistema cumple el Reglamento (UE) 2024/1689. Solo el proveedor puede firmarla.
Marcado CE — Artículo 48. Se coloca en el sistema o en la documentación que lo acompaña después de que se emita la declaración.
Registro — Artículo 49. Los proveedores de sistemas autónomos de alto riesgo del Anexo III deben registrarse en la base de datos de la UE (establecida en virtud del Artículo 71) antes de la introducción en el mercado. El registro es el Artículo 49; la base de datos es el Artículo 71 — disposiciones separadas, misma cadena de obligaciones.
Fase 8: Vigilancia poscomercialización (Artículo 72) y notificación de incidentes (Artículo 73)
El Artículo 72 exige a los proveedores mantener un sistema de vigilancia poscomercialización a lo largo de toda la vida operativa del sistema de IA: recopilar datos de rendimiento en el mundo real, identificar comportamientos inesperados y desencadenar medidas correctoras. El plan de vigilancia forma parte del expediente técnico del Artículo 11.
El Artículo 73 regula la notificación de incidentes graves. Un incidente grave se define en el Artículo 3, apartado 49. Plazos de notificación: 15 días desde que se tiene conocimiento (Artículo 73, apartado 2); 2 días en caso de perturbación generalizada o irreversible de una infraestructura crítica (Artículo 73, apartado 3); 10 días cuando una persona haya fallecido (Artículo 73, apartado 4). Se permite un informe inicial incompleto, que debe completarse a medida que llegue la información (Artículo 73, apartado 5). Los informes se dirigen a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente. Esta es una obligación del proveedor — los responsables del despliegue vigilan y señalan los problemas al proveedor en virtud del Artículo 26.
Conservación: documentación técnica diez años (Artículo 18); registros del responsable del despliegue seis meses (Artículo 26).
Correspondencia de las fases con el calendario de cumplimiento
| Plazo | Qué está en vigor | Fases pertinentes |
|---|---|---|
| 2 de febrero de 2025 | Prohibiciones del Artículo 5; alfabetización en materia de IA del Artículo 4 | Fase 1 (inventario); Fase 2 (comprobación de prácticas prohibidas) |
| 2 de agosto de 2025 | Obligaciones de GPAI (Artículos 51 a 55); gobernanza/Oficina de IA; sanciones del Artículo 99 | Fase 2 (comprobación del rol de GPAI) |
| 2 de agosto de 2026 | Aplicación general; transparencia de riesgo limitado del Artículo 50 | Fase 2 (riesgo limitado); Fase 6 (transparencia del Artículo 50) |
| 2 de diciembre de 2027 | Sistemas de alto riesgo autónomos del Anexo III (Ómnibus Digital) | Fases 3 a 8 |
| 2 de agosto de 2028 | IA de alto riesgo integrada en productos regulados del Anexo I (Ómnibus Digital) | Fases 3 a 8 |
La fecha del 2 de diciembre de 2027 no es motivo para esperar hasta 2027. La documentación del Artículo 11 lleva meses de reunir. Los sistemas de gestión de riesgos del Artículo 9 llevan tiempo de construir y probar. Las evaluaciones de la conformidad del Artículo 43 — en particular la vía del organismo notificado del Anexo VII — tienen plazos de reserva. Las empresas que empiecen a finales de 2027 no llegarán al plazo.
Cómo ayuda Confir
Confir ejecuta toda la secuencia en tres sesiones o menos. Las Fases 1 y 2 utilizan una admisión guiada — escenarios en lenguaje sencillo sobre qué hace cada sistema y quién lo opera — con un motor determinista y basado en reglas que clasifica en virtud de los Artículos 5 y 6 (lógica del Anexo III) y deriva su rol. La Fase 3 se corresponde con cuatro vías de evaluación estructuradas: AIRC (clasificación de riesgo: Artículos 5/6/43/50), AITR (datos y robustez técnica: Artículos 10/11/15), AITO (transparencia y supervisión: Artículos 13/14/27/50) y AIGM (gobernanza y vigilancia poscomercialización: Artículos 9/72/73). Las Fases 5 y 7 generan el paquete de documentación del Anexo IV y la declaración de conformidad del Artículo 47. La EIDF del Artículo 27 se ejecuta cuando se activa. La misma admisión, el mismo resultado, cada regla expresada en texto sencillo — defendible ante auditoría por diseño.
Preguntas frecuentes
¿Cuál es el plazo correcto para el cumplimiento de la IA de alto riesgo tras el Ómnibus Digital?
En virtud del Ómnibus Digital (acuerdo político del 7 de mayo de 2026), el plazo para los sistemas autónomos de alto riesgo del Anexo III pasó del 2 de agosto de 2026 al 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados del Anexo I (productos sanitarios, máquinas) tiene hasta el 2 de agosto de 2028. Estos aplazamientos no afectan a las prohibiciones del Artículo 5 (en vigor el 2 de febrero de 2025), a la alfabetización del Artículo 4 (en vigor), a la transparencia de riesgo limitado del Artículo 50 (sigue siendo el 2 de agosto de 2026) ni a las obligaciones de GPAI en virtud del Capítulo V (en vigor el 2 de agosto de 2025).
¿Cómo decido si mi organización es un proveedor o un responsable del despliegue?
Si introduce un sistema de IA en el mercado de la UE bajo su propio nombre o marca, usted es un proveedor en virtud del Artículo 16. Si opera el sistema de IA de un tercero en una capacidad profesional, usted es un responsable del despliegue en virtud del Artículo 26. Los dos roles no son mutuamente excluyentes. El Artículo 25 convierte a un responsable del despliegue en proveedor en caso de reetiquetado, modificación sustancial (Artículo 3, apartado 23) o reorientación fuera del alcance previsto del sistema.
¿Necesitan los responsables del despliegue su propia evaluación de riesgos, o pueden basarse en el expediente de conformidad del proveedor?
Ambas son necesarias. La evaluación de la conformidad del proveedor (Artículo 43) cubre los riesgos de la fase de desarrollo y de nivel de mercado — el sistema tal como se diseñó. El Artículo 26 exige a los responsables del despliegue evaluar los riesgos del contexto de despliegue: cómo se integra el sistema, quién lo opera y qué introduce el entorno operativo. El Artículo 26 exige registros durante al menos seis meses; el Artículo 26 exige la notificación a los representantes de los trabajadores antes del despliegue en el lugar de trabajo. Ninguna de las partes sustituye a la otra.
¿Cuáles son los niveles sancionadores correctos en virtud del Artículo 99?
Tres niveles, cada uno «si esta cifra es mayor» entre una cantidad fija y un porcentaje del volumen de negocios anual mundial total. Prohibiciones del Artículo 5: 35 000 000 EUR o el 7 % (Art. 99, apdo. 3). La mayoría de las demás obligaciones, incluidos los deberes de alto riesgo y de proveedor/responsable del despliegue: 15 000 000 EUR o el 3 % (Art. 99, apdo. 4). Información incorrecta a las autoridades u organismos notificados: 7 500 000 EUR o el 1 % (Art. 99, apdo. 5). Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa a la menor de las dos medidas. Las multas a los proveedores de GPAI son un instrumento independiente en virtud del Artículo 101.
¿Cuándo debe notificarse un incidente grave, y a quién?
El Artículo 73 es una obligación del proveedor, no del responsable del despliegue. Ventana general: 15 días desde que se tiene conocimiento (Art. 73, apdo. 2). Reducida a 2 días en caso de infracción generalizada o perturbación irreversible de una infraestructura crítica (Art. 73, apdo. 3); 10 días cuando una persona haya fallecido (Art. 73, apdo. 4). Los informes se dirigen a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente. Los responsables del despliegue señalan los problemas al proveedor; el proveedor presenta el informe ante las autoridades.
¿Necesito una evaluación de impacto relativa a los derechos fundamentales?
La EIDF del Artículo 27 se aplica a los organismos públicos y a los organismos que ejercen autoridad pública en cualquier uso del Anexo III, y a los responsables del despliegue de sistemas de solvencia (Anexo III, 5, letra b)) o de sistemas de evaluación de riesgos en los seguros de vida o de salud (5, letra c)). Los empleadores privados que despliegan IA de contratación o de gestión del rendimiento no entran automáticamente en el ámbito. Cuando exista una EIPD del artículo 35 del RGPD, el Artículo 27, apartado 4, permite que la EIDF se base en ella — cubren dimensiones de riesgo diferentes.
¿Qué exige realmente el filtro de reclasificación a la baja del Artículo 6, apartado 3?
Un sistema que entra en una categoría del Anexo III no es de alto riesgo si satisface una de cuatro condiciones: desempeña una tarea procedimental limitada; mejora el resultado de una actividad humana previamente realizada; detecta patrones de decisión sin sustituir ni influir en la evaluación humana; o realiza únicamente trabajo preparatorio. Una condición basta — no las cuatro. Excepción: todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, sean cuales sean las condiciones que cumpla. Los proveedores que reclaman la exención deben documentar la evaluación y registrar igualmente el sistema en virtud del Artículo 49.
Guías relacionadas
- requisitos de clasificación de riesgo de los Artículos 6 a 11
- lista de comprobación de obligaciones de cumplimiento de los Artículos 6 a 29
- visión general del marco regulador de la Ley de IA de la UE
- clasificación de IA de alto riesgo del Artículo 6
- orientación de cumplimiento centrada en las pymes
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →