Skip to content
Confir.
Prueba gratuita
Blog

Artículo 26 de la Ley de IA de la UE: obligaciones de los responsables del despliegue de sistemas de IA de alto riesgo

Annex Guide10 April 2026· 21 min de lectura

El Artículo 26 de la Ley de IA de la UE establece ocho obligaciones para los responsables del despliegue de sistemas de IA de alto riesgo. Comprenda qué se aplica desde el 2 de diciembre de 2027 y qué hacer ahora.

El Artículo 26 del Reglamento (UE) 2024/1689 establece lo que debe hacer una vez que pone a funcionar un sistema de IA de alto riesgo en su organización. Da igual si usted construyó el sistema o lo licenció de un proveedor: en el momento en que opera un sistema que entra en el Anexo III — pongamos, una herramienta de IA que criba solicitudes de empleo, califica la solvencia o asigna el acceso a prestaciones públicas — las obligaciones del Artículo 26 se le aplican directamente.

La mayoría de las empresas de la UE son responsables del despliegue, no proveedores. Esa distinción importa. Los proveedores construyen e introducen sistemas en el mercado; los responsables del despliegue los utilizan. Las obligaciones son de carácter distinto: los proveedores afrontan las cargas de ingeniería y documentación previas a la comercialización más pesadas; los responsables del despliegue afrontan deberes operativos, de gobernanza y de vigilancia que comienzan el día en que un sistema entra en funcionamiento. Ningún conjunto anula al otro.

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos (la lista del Anexo III) deben cumplir desde el 2 de diciembre de 2027, aplazado respecto de la fecha original del 2 de agosto de 2026. La IA de alto riesgo integrada en productos regulados cubiertos por el Derecho de productos de la UE (Anexo I) le sigue el 2 de agosto de 2028. Eso es un respiro útil, no un indulto: algunas de estas obligaciones — en particular la evaluación de impacto relativa a los derechos fundamentales del Artículo 27 y el requisito de notificación a los trabajadores — llevan más tiempo de ejecutar correctamente de lo que las organizaciones esperan.

Qué exige realmente el Artículo 26

El Artículo 26 contiene ocho obligaciones distintas. No son una lista de comprobación que se marca una vez en el despliegue; la mayoría son continuas.

1. Utilizar el sistema conforme a las instrucciones de uso (Artículo 13)

El Artículo 26 le exige operar el sistema de IA de alto riesgo de conformidad con las instrucciones de uso que el proveedor facilita en virtud del Artículo 13. Esas instrucciones especifican la finalidad prevista del sistema, las condiciones en las que es fiable, cualquier limitación conocida y las medidas de supervisión humana que el proveedor ha incorporado.

En la práctica, esto significa que sus procedimientos operativos deben mantenerse dentro del alcance documentado. Si las instrucciones dicen que el sistema está validado para candidatos con al menos una titulación de educación secundaria, no puede desplegarlo para puestos con requisitos diferentes y dar por hecho que el cumplimiento se traslada. Las desviaciones de las instrucciones de uso trasladan firmemente la exposición jurídica sobre usted.

2. Encomendar la supervisión humana a personas físicas competentes (Artículo 14)

Debe encomendar las funciones de supervisión humana definidas en el Artículo 14 a personas físicas que tengan la competencia, la formación y la autoridad necesarias — y que reciban el apoyo necesario para ejercer la supervisión de forma eficaz.

Tres cosas deben documentarse: que una persona designada (o un rol definido) ostenta la función de supervisión; que esa persona ha recibido formación sobre las capacidades del sistema, sus modos de fallo y los procedimientos de intervención; y que tiene autoridad genuina para detener, anular o escalar una decisión sin necesidad de la aprobación de un superior en cada ocasión. Una supervisión sobre el papel que no puede ejercerse en la práctica no es supervisión con arreglo al Reglamento.

La competencia del personal para los sistemas de IA también se aborda en el Artículo 4 (alfabetización en materia de IA), en vigor desde el 2 de febrero de 2025. El Artículo 4 no trata del desarrollo de IA; exige a las organizaciones garantizar que el personal y cualquier otra persona que opere sistemas de IA tenga una comprensión suficiente de esos sistemas para su función. Documente esto por separado de la formación del Artículo 26, letra b) — son obligaciones relacionadas, pero distintas.

3. Controlar los datos de entrada (cuando usted los controla)

Cuando usted controle los datos de entrada que alimentan el sistema, el Artículo 26 le exige garantizar que esos datos son pertinentes y suficientemente representativos para la finalidad prevista del sistema. Esto se aplica en particular cuando no utiliza las entradas predeterminadas o preconfiguradas del sistema, sino que aporta sus propios conjuntos de datos — por ejemplo, una entidad de crédito regional que introduce registros de clientes locales en un modelo de calificación crediticia de un tercero.

No es una obligación de reentrenar el modelo. Es una obligación de verificar que los datos que aporta se corresponden con las condiciones en las que el sistema fue diseñado y validado. Si sus datos difieren sustancialmente — geográfica, demográfica o temporalmente — documente esa evaluación y las medidas que adoptó para abordar cualquier laguna.

4. Vigilar el funcionamiento y notificar riesgos e incidentes

Debe vigilar el funcionamiento del sistema de IA de alto riesgo conforme a las instrucciones de uso del proveedor, y llevar un seguimiento de si sigue comportándose como se espera en su contexto operativo.

Cuando tenga motivos para creer que el uso del sistema presenta un riesgo en el sentido del Artículo 79, apartado 1 — o cuando identifique un incidente grave — debe adoptar tres medidas sin demora indebida:

  1. Informar al proveedor o distribuidor.
  2. Informar a la autoridad de vigilancia del mercado pertinente (la autoridad nacional competente).
  3. Suspender el uso del sistema cuando proceda.

Un incidente grave en virtud del Artículo 73 significa un incidente que ha causado o podría haber causado la muerte, lesiones graves o un perjuicio significativo para la salud, la seguridad o los derechos fundamentales. La obligación de informar a la autoridad y suspender el uso es la parte que la mayoría de los responsables del despliegue subestima. No es opcional ni está condicionada a completar primero una investigación interna.

5. Conservar los registros generados automáticamente durante al menos seis meses

El Artículo 26 le exige conservar los registros generados automáticamente durante al menos seis meses, salvo que el Derecho de la Unión o el Derecho nacional exija un período más largo. Las normas sectoriales lo amplían con frecuencia: la normativa de los servicios financieros, por ejemplo, a menudo exige de cinco a siete años de registros.

Merece la pena destacar dos puntos. Primero, esta obligación cubre los registros que el propio sistema genera — no solo los documentos que redacta su equipo de cumplimiento. Segundo, «al menos seis meses» es un mínimo, no un objetivo. Un responsable del despliegue que no pueda presentar los registros de los últimos seis meses durante una inspección de vigilancia del mercado no tiene defensa.

6. Informar a los representantes de los trabajadores y a los trabajadores afectados antes del despliegue en el lugar de trabajo

Si despliega un sistema de IA de alto riesgo en el lugar de trabajo, el Artículo 26 le exige informar a los representantes de los trabajadores y a los propios trabajadores afectados de que estarán sujetos al sistema, antes de ponerlo en servicio. Esto se aplica a los sistemas de la categoría 4 del Anexo III (empleo, gestión de los trabajadores, acceso al autoempleo), pero también a cualquier sistema de alto riesgo desplegado en un contexto de lugar de trabajo.

Esta obligación coge a las organizaciones por sorpresa. Una empresa logística que despliega un sistema de IA que supervisa el comportamiento de los conductores o asigna turnos debe notificarlo a los representantes de los trabajadores — normalmente el comité de empresa u órgano equivalente — y a los trabajadores incluidos en el ámbito, antes de que el sistema entre en funcionamiento. El requisito de notificación se aplica con independencia de lo que diga el Derecho laboral de su jurisdicción sobre los derechos de consulta; esos derechos pueden añadir obligaciones procedimentales adicionales por encima.

7. Registro (para las autoridades públicas y los organismos de la UE)

Cuando usted sea una autoridad pública o una institución, órgano, organismo o agencia de la UE que actúa como responsable del despliegue, el Artículo 26 le exige cumplir la obligación de registro del Artículo 49. Esto significa que el sistema de alto riesgo debe registrarse en la base de datos de la UE antes de que lo ponga en servicio. Los responsables del despliegue del sector privado no soportan directamente esta obligación de registro, aunque los proveedores que registran sus sistemas pueden incluir información pertinente para los responsables del despliegue.

8. Remisión a la evaluación de impacto relativa a la protección de datos (EIPD) del RGPD

Cuando el tratamiento de datos personales haga obligatoria una evaluación de impacto relativa a la protección de datos (EIPD) en virtud del RGPD, el Artículo 26 le exige utilizar la información facilitada por el proveedor en virtud del Artículo 13 al realizar esa EIPD. Es una obligación de coordinación, no de duplicación: usted recurre a la documentación del proveedor sobre el tratamiento de datos, el análisis de riesgos y las medidas técnicas como datos de entrada para su EIPD en lugar de empezar de cero. Para los sistemas del Anexo III, una EIPD del RGPD será con frecuencia obligatoria dada la sensibilidad de las decisiones implicadas.

Cuándo los responsables del despliegue se convierten en proveedores: Artículo 25

Una de las disposiciones más trascendentes para las empresas que personalizan o etiquetan con marca blanca herramientas de IA de terceros es el Artículo 25, que regula las responsabilidades a lo largo de la cadena de valor.

Un responsable del despliegue se convierte en proveedor — y asume todas las obligaciones del proveedor del Artículo 16 — en tres situaciones:

  • Usted pone su nombre o marca en el sistema de IA de alto riesgo y lo introduce en el mercado o lo pone en servicio bajo su propio nombre.
  • Usted modifica sustancialmente el sistema (incluida su finalidad prevista).
  • Usted modifica la finalidad prevista de un sistema de IA de alto riesgo de tal modo que el sistema pasa a entrar en el Anexo III de una manera que el proveedor original no pretendía.

La prueba práctica no es si usted escribió el código subyacente. Un banco regional que toma un modelo genérico de calificación crediticia, lo reetiqueta como su propio producto y lo despliega para evaluar la admisibilidad de préstamos se ha convertido en proveedor para ese uso. Una agencia de colocación que toma una herramienta de cribado de currículos diseñada para puestos tecnológicos y la reorienta a la contratación en el ámbito médico ha modificado sustancialmente la finalidad prevista. En ambos casos, el Artículo 25 traslada toda la pila de cumplimiento del proveedor — sistema de gestión de riesgos en virtud del Artículo 9, documentación técnica en virtud del Artículo 11, evaluación de la conformidad en virtud del Artículo 43 — a la parte que realizó la modificación.

Si usted es una empresa SaaS que construye flujos de trabajo sobre herramientas de IA de terceros y vende el resultado a sus propios clientes, examine cuidadosamente el Artículo 25 antes de dar por supuesta su condición de responsable del despliegue.

Artículo 27: la evaluación de impacto relativa a los derechos fundamentales

El Artículo 27 crea una obligación independiente para determinados responsables del despliegue de realizar una evaluación de impacto relativa a los derechos fundamentales (EIDF) antes de poner en servicio un sistema de IA de alto riesgo. No es lo mismo que una EIPD del RGPD, aunque ambas deben coordinarse.

El requisito de la EIDF se aplica a:

  • Organismos públicos que despliegan sistemas de IA de alto riesgo.
  • Operadores privados que prestan servicios públicos (empresas de servicios públicos, operadores de transporte público y similares).
  • Responsables del despliegue de sistemas utilizados para la evaluación de la solvencia o la calificación crediticia (Anexo III, categoría 5, letra b)).
  • Responsables del despliegue de sistemas utilizados para la evaluación de riesgos y la fijación de precios en los seguros de vida y de salud (Anexo III, categoría 5, letra c)).

La evaluación debe cubrir las categorías de personas y grupos que probablemente se vean afectados, los riesgos concretos para los derechos fundamentales, las medidas previstas para abordar esos riesgos y los efectos esperados de las medidas. Debe presentarse a la autoridad de vigilancia del mercado pertinente.

Si su organización entra en cualquiera de estas categorías — y muchas empresas de servicios financieros, aseguradoras y organizaciones del sector público lo hacen — la EIDF no es opcional y no se satisface con una entrada genérica en un registro de riesgos. Una cooperativa de crédito de 20 personas que despliega una herramienta de IA de calificación crediticia necesita realizar esta evaluación antes de que el sistema entre en funcionamiento. La documentación debe ser lo bastante sustantiva como para resistir el escrutinio.

Artículo 50: obligaciones de transparencia

Cuando un sistema de IA de alto riesgo también entre en el ámbito del Artículo 50 — por ejemplo, un sistema que implica reconocimiento de emociones o categorización biométrica — los responsables del despliegue deben cumplir también los requisitos de transparencia pertinentes del Artículo 50. El Artículo 50 se aplica desde el 2 de agosto de 2026 a los sistemas de riesgo limitado. Sus obligaciones básicas para los responsables del despliegue incluyen informar a las personas físicas de que están interactuando con un sistema de IA y etiquetar adecuadamente el contenido generado o manipulado por IA.

Para los sistemas de identificación biométrica a posteriori en los que la ley exige una autorización específica (por ejemplo, la identificación biométrica remota en espacios públicos en las condiciones permitidas por el Artículo 5), se aplican restricciones de uso adicionales. Los responsables del despliegue no deben utilizar el sistema más allá de esas condiciones autorizadas.

Qué no exige el Artículo 26 a los responsables del despliegue

Merece la pena ser preciso sobre lo que permanece en manos del proveedor. Los responsables del despliegue no son responsables de:

  • Realizar la evaluación de la conformidad en virtud del Artículo 43 (obligación del proveedor).
  • Crear la documentación técnica del Artículo 11 / Anexo IV (obligación del proveedor).
  • Establecer el sistema de gestión de riesgos del Artículo 9 en lo que respecta al diseño y el entrenamiento del sistema (obligación del proveedor, aunque los responsables del despliegue deben operar dentro de él).
  • Emitir la declaración UE de conformidad del Artículo 47 (obligación del proveedor).

Esto no significa que pueda ignorar estos documentos. El Artículo 26 le exige seguir las instrucciones de uso, que hacen referencia a todo lo anterior. Necesita leer y comprender la documentación técnica del proveedor para cumplir sus propias obligaciones con competencia.

El ejemplo resuelto: una empresa de tecnología de RR. HH. de 40 personas

Considere una empresa de 40 personas que vende software de contratación a empresas medianas de Alemania y los Países Bajos. La empresa licencia un modelo de cribado de currículos de un proveedor de IA estadounidense y lo integra en su propio producto de flujo de trabajo de contratación. Los clientes de la empresa — los departamentos de RR. HH. que utilizan la herramienta — son responsables del despliegue. La propia empresa necesita determinar su rol en virtud del Artículo 25.

Si el producto de la empresa simplemente pasa los currículos por el modelo del proveedor y muestra el resultado con su propia marca, ha puesto su nombre en un sistema de IA de alto riesgo. En virtud del Artículo 25, se ha convertido en proveedor. Debe completar la evaluación de la conformidad, crear la documentación técnica del Anexo IV y registrar el sistema en la base de datos de la UE en virtud del Artículo 49 antes de introducirlo en el mercado.

Si, en cambio, la empresa vende acceso directo a la herramienta sin marca del proveedor, configurada pero no reetiquetada, es probablemente un responsable del despliegue. Sus obligaciones del Artículo 26 incluyen entonces:

  • Operar dentro de las instrucciones de uso documentadas del proveedor (información del Artículo 13).
  • Encomendar la supervisión a personal de RR. HH. formado con autoridad para anular las clasificaciones del sistema.
  • Notificar a los comités de empresa de las implementaciones de los clientes que afectan a los empleados antes de que entren en funcionamiento — o asegurarse de que los contratos con los clientes sitúan esta obligación en el cliente.
  • Conservar los registros generados automáticamente por el sistema durante al menos seis meses.
  • Realizar la EIDF del Artículo 27 si algún cliente es un organismo público o entra en las categorías de solvencia o seguros.
  • Suspender el uso y notificar a la autoridad de vigilancia del mercado en Alemania o los Países Bajos si se produce un incidente grave.

La distinción entre estos dos escenarios no es un tecnicismo jurídico — determina si la empresa afronta obligaciones de evaluación de la conformidad antes de finales de 2027 o deberes operativos de cumplimiento.

Sanciones

El incumplimiento del Artículo 26 se sanciona en virtud del Artículo 99 del Reglamento. El techo sancionador para la mayoría de las infracciones del Artículo 26 es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor.

Para las empresas más pequeñas, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad: las multas se limitan al importe menor de la cifra basada en el porcentaje y la cantidad fija. Un responsable del despliegue con 5 millones de euros de volumen de negocios anual se enfrenta a un techo de 150 000 euros (el 3 % de 5 M EUR), no de 15 millones. Eso no es trivial, pero es proporcionado.

La obligación de suspender el uso y notificar a la autoridad de vigilancia del mercado ante un incidente grave forma parte, ella misma, de las obligaciones del Artículo 26. No notificar, o seguir operando un sistema tras identificar un riesgo grave, agrava la exposición de cara a la ejecución.

Cómo ayuda Confir

El motor de cumplimiento basado en reglas de Confir recorre sus sistemas desplegados y deriva sus obligaciones a partir de la clasificación del Artículo 6 y de la lista de comprobación del responsable del despliegue del Artículo 26. Tres ámbitos son directamente pertinentes:

Registro de sistemas y determinación del rol. Confir registra cada sistema desplegado en su inventario de IA y determina si usted actúa como responsable del despliegue, proveedor (en virtud del Artículo 25) o ambos, en función de cómo haya configurado y marcado el sistema.

EIDF del Artículo 27. Para los sistemas en los que la EIDF es obligatoria — responsables del despliegue que son organismos públicos, calificación crediticia, seguros de vida y de salud — Confir ejecuta la evaluación estructurada y genera la documentación lista para su presentación.

Seguimiento de la supervisión y los registros. El cuadro de mando de cumplimiento hace seguimiento de las asignaciones de supervisión humana, los registros de formación y el reloj de conservación de registros de seis meses para cada sistema de alto riesgo de su registro.

Inicie su evaluación de cumplimiento gratuita

Preguntas frecuentes

¿Quién se considera responsable del despliegue en virtud del Artículo 26?

Cualquier persona física o jurídica que utiliza un sistema de IA de alto riesgo bajo su autoridad en una capacidad profesional es un responsable del despliegue en virtud del Artículo 26. Esto incluye una agencia de colocación que utiliza una herramienta de cribado de currículos de un tercero, un banco regional que despliega un modelo de calificación crediticia licenciado, o una autoridad pública que utiliza un sistema de IA para tramitar solicitudes de prestaciones. Los responsables del despliegue se distinguen de los proveedores (que construyen e introducen sistemas en el mercado) y de los distribuidores (que suministran sistemas sin utilizarlos). Un responsable del despliegue que reetiqueta o modifica sustancialmente un sistema puede convertirse en proveedor en virtud del Artículo 25.

¿Cuál es el plazo de cumplimiento de las obligaciones del responsable del despliegue del Artículo 26?

En virtud del Ómnibus Digital acordado en mayo de 2026, la fecha de obligación para los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III es el 2 de diciembre de 2027, aplazada respecto de la fecha original del 2 de agosto de 2026. Los sistemas de IA de alto riesgo que son componentes de seguridad de productos regulados del Anexo I siguen el 2 de agosto de 2028. La evaluación de impacto relativa a los derechos fundamentales del Artículo 27 debe completarse antes de que un sistema se ponga en servicio, de modo que las organizaciones sujetas a la obligación de la EIDF deben comenzar ese trabajo mucho antes del plazo aplicable.

¿Cuáles son las principales obligaciones del Artículo 26 en términos sencillos?

El Artículo 26 le exige: operar el sistema dentro de las instrucciones de uso documentadas del proveedor (Artículo 13); encomendar la supervisión humana a personal formado y autorizado (Artículo 14); garantizar que cualquier dato de entrada que usted controle sea pertinente y representativo; vigilar el funcionamiento y notificar los incidentes graves al proveedor, al distribuidor y a la autoridad de vigilancia del mercado; conservar los registros generados automáticamente durante al menos seis meses; notificar a los representantes de los trabajadores y a los trabajadores afectados antes de desplegar el sistema en el lugar de trabajo; si usted es un organismo público, registrar el sistema en virtud del Artículo 49; y utilizar la información del Artículo 13 del proveedor al realizar cualquier EIPD del RGPD.

¿Quién debe realizar la evaluación de impacto relativa a los derechos fundamentales del Artículo 27?

La EIDF es obligatoria para cuatro categorías: los organismos públicos que despliegan cualquier sistema de IA de alto riesgo; los operadores privados que prestan servicios públicos; los responsables del despliegue que utilizan sistemas para la evaluación de la solvencia o la calificación crediticia (Anexo III, categoría 5, letra b)); y los responsables del despliegue que utilizan sistemas para la evaluación de riesgos y la fijación de precios en los seguros de vida o de salud (Anexo III, categoría 5, letra c)). Los responsables del despliegue del sector privado ajenos a estas categorías no están obligados actualmente a realizar una EIDF, aunque muchos optan por hacerlo como parte de la diligencia debida general. La evaluación debe presentarse a la autoridad de vigilancia del mercado pertinente.

¿Cuándo se convierte un responsable del despliegue en proveedor en virtud del Artículo 25?

El Artículo 25 convierte a un responsable del despliegue en proveedor — con toda la pila de obligaciones del Artículo 16 — en tres situaciones: el responsable del despliegue pone su propio nombre o marca en el sistema; el responsable del despliegue modifica sustancialmente el sistema; o el responsable del despliegue cambia la finalidad prevista de tal modo que el sistema pasa a calificarse como de alto riesgo de una manera para la que el proveedor original no lo diseñó. La prueba no es si usted escribió el código; es si está presentando el sistema al mercado como su propio producto o ha cambiado materialmente lo que hace.

¿Durante cuánto tiempo deben los responsables del despliegue conservar los registros generados automáticamente?

El Artículo 26 fija un período mínimo de conservación de seis meses para los registros generados automáticamente, salvo que el Derecho de la Unión o el Derecho nacional exija un período más largo. Las normas sectoriales exigen con frecuencia una conservación más larga — la normativa de los servicios financieros a menudo obliga a entre cinco y siete años. El mínimo de seis meses se aplica a los registros que el propio sistema genera, no solo a la documentación interna de cumplimiento. Un responsable del despliegue incapaz de presentar estos registros durante una inspección de vigilancia del mercado no tiene defensa procedimental.

¿Qué sucede si un responsable del despliegue identifica un incidente grave?

Al identificar un incidente grave (un suceso que ha causado o podría causar la muerte, lesiones graves o un perjuicio significativo para la salud, la seguridad o los derechos fundamentales), debe informar al proveedor o distribuidor y a la autoridad de vigilancia del mercado pertinente sin demora indebida, y suspender el uso del sistema cuando proceda. Es una obligación directa del Artículo 26, no un paso discrecional. El incumplimiento conlleva sanciones en virtud del Artículo 99 de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.