Plazos de la Ley de IA de la UE por obligación: qué debe hacer y cuándo

El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024, pero sus obligaciones no empezaron todas entonces. Se activan en fechas distintas, vinculadas al tipo de deber — no al tipo de organización. Una misma empresa puede afrontar tres plazos separados según lo que hagan sus sistemas de IA y qué papel ocupe en la cadena de suministro.

Esta página organiza cada plazo vigente y próximo por obligación, no por cronología. Si ya conoce el calendario por fecha, la cronología de la Ley de IA de la UE es un complemento útil. Esta página responde a una pregunta distinta: ¿qué deber específico debo cumplir y cuándo me obliga?

---

Obligación 1 — Alfabetización en IA (Artículo 4): 2 de febrero de 2025

El Artículo 4 se aplica a toda organización que desarrolle, despliegue, importe o distribuya un sistema de IA en una capacidad profesional — no solo a los proveedores de sistemas de alto riesgo. La obligación está anclada en la proporcionalidad: debe garantizar que las personas que intervienen en el funcionamiento o la supervisión de los sistemas de IA tengan un nivel suficiente de alfabetización en IA, teniendo en cuenta los conocimientos técnicos, la experiencia, el contexto sectorial pertinente y los sistemas concretos en uso.

No se exige certificación alguna. La Ley no prescribe un catálogo de cursos ni una duración mínima de formación. Lo que sí exige es que las medidas de alfabetización estén implantadas y documentadas — de modo que, si una autoridad de vigilancia del mercado investiga un incidente, pueda demostrar que su personal entendía las capacidades y los límites del sistema en el momento en que lo utilizó.

Esta obligación ya está vigente. No hay periodo transitorio ni exención para las organizaciones pequeñas. Una empresa SaaS de 12 personas que despliega un chatbot para cribar tiques de soporte debe el mismo deber básico del Artículo 4 que un gran banco — escalado a la complejidad y el impacto de los sistemas en cuestión.

Qué significa en la práctica: asigne qué funciones de su organización interactúan con los sistemas de IA, identifique las brechas de competencia y documente los pasos que dio para cerrarlas. Un registro estructurado de su inventario de IA, las asignaciones de funciones y las medidas de alfabetización satisfará el espíritu del Artículo 4.

---

Obligación 2 — Cesar las prácticas prohibidas (Artículo 5): 2 de febrero de 2025

El Artículo 5 prohíbe de forma absoluta una lista definida de prácticas de IA. A diferencia del régimen de alto riesgo, estas prohibiciones son incondicionales — no hay evaluación de la conformidad, ni mitigación de riesgos, ni periodo transitorio, ni filtro del Art. 6, apdo. 3. Las prácticas enumeradas están prohibidas con independencia de quién las despliegue y con independencia de lo eficaz que sea el sistema en el comportamiento perjudicial que posibilita.

Las prácticas prohibidas a 2 de febrero de 2025:

• Identificación biométrica remota en tiempo real de personas físicas en espacios de acceso público con fines de garantía del cumplimiento del Derecho, fuera de las tres excepciones estrechas (Art. 5, apdo. 1, letra h)).
• Técnicas de manipulación subliminal que operan por debajo de la percepción consciente para distorsionar el comportamiento de formas que causen o sean susceptibles de causar un perjuicio significativo (Art. 5, apdo. 1, letra a)).
• Explotación de vulnerabilidades — dirigirse a grupos específicos (por edad, discapacidad o situación social/económica) para distorsionar el comportamiento de forma perjudicial (Art. 5, apdo. 1, letra b)).
• Puntuación social — evaluar o clasificar a las personas en función de su comportamiento social o sus características personales, dando lugar a un trato perjudicial o desproporcionado (Art. 5, apdo. 1, letra c)).
• Predecir el comportamiento delictivo o antisocial únicamente a partir de la elaboración de perfiles de una persona física sin hechos objetivos y verificables directamente vinculados al individuo (Art. 5, apdo. 1, letra d)).
• Extracción no selectiva de imágenes faciales para crear o ampliar bases de datos de reconocimiento facial (Art. 5, apdo. 1, letra e)).
• Reconocimiento de emociones en el lugar de trabajo y en la educación (Art. 5, apdo. 1, letra f)) — con excepciones estrechas para determinados fines médicos o de seguridad.
• Categorización biométrica que infiere atributos sensibles (raza, opinión política, afiliación sindical, convicciones religiosas o filosóficas, vida sexual, orientación sexual) (Art. 5, apdo. 1, letra g)).

El techo sancionador por infracciones: 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total (si esta última cifra es mayor), con arreglo al Artículo 99, apartado 3. Para las empresas que cumplen la definición de pyme, la multa se limita al menor de los dos importes con arreglo al Artículo 99, apartado 6 — pero la prohibición en sí no se reduce.

Una distinción que pilla desprevenidas a las empresas: un sistema que sería de alto riesgo con arreglo al Anexo III puede estar prohibido con arreglo al Artículo 5 si cruza una de las líneas anteriores. El reconocimiento de emociones es el ejemplo más nítido — lícito para usos médicos/de seguridad limitados, pero prohibido en el lugar de trabajo y en la educación. Equivocarse en este límite sale caro.

---

Obligación 3 — Obligaciones del proveedor de GPAI (Artículo 53): 2 de agosto de 2025

El Capítulo V del Reglamento (Artículos 51 a 56) se aplica a los proveedores de modelos de IA de uso general — modelos a gran escala entrenados con conjuntos de datos amplios que pueden adaptarse a distintas tareas. Las obligaciones empezaron el 2 de agosto de 2025. Los modelos de IA de uso general ya presentes en el mercado antes de esa fecha tienen hasta el 2 de agosto de 2027 para cumplir.

Todo proveedor de IA de uso general, con independencia de que su modelo plantee un riesgo sistémico, debe:

• Elaborar y mantener documentación técnica sobre el modelo: arquitectura, datos de entrenamiento, recursos computacionales, índices de referencia de rendimiento, limitaciones conocidas (Art. 53, apdo. 1, letra a)).
• Facilitar a los proveedores aguas abajo información suficiente para que comprendan las capacidades del modelo y las obligaciones que pueden adherirse a los sistemas construidos sobre él (Art. 53, apdo. 1, letra b)).
• Establecer y publicar una política de derechos de autor para los datos de entrenamiento, incluidas las medidas técnicas adecuadas para el cumplimiento de la exclusión voluntaria con arreglo al Derecho de la UE (Art. 53, apdo. 1, letra c)).
• Publicar un resumen de los datos de entrenamiento — los tipos y las fuentes de los datos utilizados para entrenar el modelo (Art. 53, apdo. 1, letra d)).

Los modelos de IA de uso general con riesgo sistémico (los entrenados con una potencia de cálculo superior al umbral de 10²⁵ FLOP, o designados por la Oficina de IA con arreglo al Artículo 51) acarrean obligaciones adicionales con arreglo al Artículo 55: evaluación del modelo y pruebas adversarias, mitigación de riesgos, medidas de ciberseguridad y notificación obligatoria de incidentes graves a la Oficina de IA.

El aplazamiento del Ómnibus Digital que trasladó el plazo del Anexo III de alto riesgo no afecta al Capítulo V. Las obligaciones de GPAI se aplican según su calendario original.

Si está construyendo un producto sobre un modelo de IA de uso general de terceros (utilizando una API, por ejemplo), las obligaciones de GPAI recaen en el proveedor del modelo, no en usted. Sus obligaciones vienen determinadas por lo que su sistema haga con ese resultado — es decir, por la clasificación de su caso de uso con arreglo a los Artículos 5 y 6.

---

Obligación 4 — Transparencia de riesgo limitado (Artículo 50): 2 de agosto de 2026

El Artículo 50 rige cuatro deberes de transparencia específicos que se aplican a los sistemas de IA que interactúan con personas físicas o generan contenido sintético. Estas no son obligaciones de alto riesgo. Se aplican a un conjunto de sistemas mucho más amplio — chatbots, herramientas de medios sintéticos, sistemas de reconocimiento de emociones, generadores de ultrafalsificaciones y texto generado por IA distribuido a escala.

Los cuatro deberes de transparencia y cuándo se activa cada uno:

El Artículo 50 es independiente del régimen de alto riesgo. Un chatbot de una empresa de cara al consumidor no es del Anexo III y no requiere una evaluación de la conformidad — pero sí requiere la divulgación del Artículo 50, apartado 1, desde el 2 de agosto de 2026. Muchos programas de cumplimiento han pasado por alto esta distinción, concentrándose por completo en la pila de alto riesgo y descuidando los deberes de divulgación más amplios.

Qué debe tener implantado antes del 2 de agosto de 2026: mecanismos de divulgación claros y de cara al usuario; medios técnicos para etiquetar el contenido sintético; y procesos documentados para mantener esas divulgaciones a medida que evolucionan sus sistemas de IA.

---

Obligación 5 — La pila completa de alto riesgo (Artículos 9 a 15, 16 a 27, 43, 47 a 49, 72 y 73)

Sistemas autónomos del Anexo III: 2 de diciembre de 2027

En virtud del Ómnibus Digital — la propuesta de la Comisión de 19 de noviembre de 2025, con acuerdo político alcanzado el 7 de mayo de 2026 y adopción formal prevista antes del 2 de agosto de 2026 — el plazo para los sistemas de IA de alto riesgo autónomos se trasladó del 2 de agosto de 2026 original al 2 de diciembre de 2027. Son los sistemas enumerados en el Anexo III: herramientas de selección de personal y RR. HH., sistemas de calificación crediticia y de fijación de precios de seguros, identificación biométrica, infraestructuras críticas, evaluación de riesgos en la garantía del cumplimiento del Derecho, tramitación de visados y asilo, admisión y evaluación educativa, y procesos judiciales/democráticos.

Si su sistema es un sistema de alto riesgo autónomo del Anexo III, todo lo siguiente debe estar implantado antes de que lo introduzca en el mercado o lo ponga en servicio a partir del 2 de diciembre de 2027.

Obligaciones del proveedor (Artículos 16 a 25): sistema de gestión de riesgos (Artículo 9); gobernanza de datos (Artículo 10); documentación técnica del Anexo IV (Artículo 11); registro automático (Artículo 12); transparencia hacia los responsables del despliegue (Artículo 13); diseño de la supervisión humana (Artículo 14); exactitud, robustez y ciberseguridad (Artículo 15); sistema de gestión de la calidad (Artículo 17); evaluación de la conformidad antes de la entrada en el mercado — autoevaluación interna del Anexo VI para la mayoría de las categorías del Anexo III, vía de organismo notificado del Anexo VII para la biometría (Artículo 43); declaración UE de conformidad (Artículo 47); marcado CE (Artículo 48); registro en la base de datos de la UE antes de la introducción en el mercado (Artículo 49); plan de vigilancia poscomercialización (Artículo 72); y notificación de incidentes graves — en un plazo de 15 días desde que se tiene conocimiento, 2 días para infracciones generalizadas o perturbaciones de infraestructuras críticas, 10 días cuando una persona haya fallecido (Artículo 73, apartados 2 a 4).

Obligaciones del responsable del despliegue (Artículo 26): utilizar el sistema conforme a las instrucciones del proveedor; asignar la supervisión humana a personas cualificadas y autorizadas; vigilar el funcionamiento y señalar los riesgos o incidentes graves al proveedor; conservar los registros durante al menos seis meses; notificar a los representantes de los trabajadores antes del despliegue en el lugar de trabajo.

Evaluación de impacto relativa a los derechos fundamentales (Artículo 27): los organismos públicos que despliegan sistemas de alto riesgo, y los responsables del despliegue privados de sistemas de solvencia (Anexo III, punto 5, letra b)) o de seguros de vida/salud (Anexo III, punto 5, letra c)), deben realizar una EIDF antes del despliegue. Los empleadores privados que utilizan herramientas de RR. HH. no la deben automáticamente — el Artículo 27 es más estrecho de lo que parece. Cuando ya exista una EIPD con arreglo al artículo 35 del RGPD, la EIDF del Artículo 27, apartado 4, puede apoyarse en ella.

Sistemas integrados del Anexo I: 2 de agosto de 2028

Los sistemas de IA de alto riesgo que son componentes de seguridad de productos cubiertos por la legislación de productos de la UE vigente (enumerada en el Anexo I — máquinas, juguetes, productos sanitarios, equipos de aviación civil, vehículos de motor, etc.) tienen un plazo separado: 2 de agosto de 2028. Estos sistemas siguen una vía de evaluación de la conformidad integrada (los requisitos de la Ley de IA se incorporan a la evaluación de seguridad del producto vigente), no la vía autónoma del Anexo III.

La IA de diagnóstico por imagen médica es un punto habitual de confusión aquí. La IA de diagnóstico para radiología suele ser de alto riesgo a través del Artículo 6, apartado 1, + Anexo I (como componente de seguridad de un producto sanitario con arreglo al MDR 2017/745 o al IVDR 2017/746), no a través de la vía de autoevaluación del Anexo III. Su plazo es el 2 de agosto de 2028, no el 2 de diciembre de 2027.

---

Tabla resumen de plazos

---

El filtro del Artículo 6, apartado 3: no todo sistema del Anexo III es de alto riesgo

Antes de desplegar la pila completa de cumplimiento para un sistema del Anexo III, compruebe si se aplica el Artículo 6, apartado 3. Un sistema que entra dentro de un ámbito del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — en concreto, si desempeña una tarea procedimental limitada, mejora el resultado de una actividad humana previamente realizada, detecta patrones de decisión sin sustituir ni influir en la evaluación humana, o realiza únicamente trabajo preparatorio.

La excepción tiene límites. Cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de lo estrecha que sea la tarea reclamada. Los proveedores que reclamen la exención del Artículo 6, apartado 3, deben documentar la evaluación por escrito y registrar el sistema en la base de datos de la UE (Artículo 49 — el registro sigue siendo obligatorio).

---

Cómo ayuda Confir

Los plazos anteriores no son obligaciones futuras abstractas — son un programa de cumplimiento secuenciado, y cada fecha es una barrera de salida firme. La lógica de clasificación y delimitación de alcance de Confir es determinista y basada en reglas: le plantea preguntas en lenguaje sencillo sobre lo que hace cada sistema de IA de su organización, deriva el nivel de riesgo con arreglo a los Artículos 5 y 6, y asigna su papel (proveedor con arreglo al Artículo 16 / responsable del despliegue con arreglo al Artículo 26 / importador con arreglo al Artículo 23 / distribuidor con arreglo al Artículo 24). A partir de ese resultado, le muestra exactamente cuáles de las obligaciones anteriores se aplican a su sistema y qué plazo acarrea cada una.

Para los sistemas de alto riesgo, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV, la declaración UE de conformidad del Artículo 47 / Anexo V y (para los responsables del despliegue que cumplan los requisitos) el flujo de trabajo de la EIDF del Artículo 27. Un registro de auditoría inmutable capta cada decisión de clasificación y su razonamiento subyacente, que es el rastro de pruebas que esperará cualquier investigación del Artículo 73 o de vigilancia del mercado.

Autoservicio, sin consultores. Puede clasificar su primer sistema de IA en menos de dos horas.

---

Preguntas frecuentes

El plazo de alto riesgo era el 2 de agosto de 2026. ¿Sigue siendo la fecha que debo cumplir?

No. En virtud del Ómnibus Digital (acuerdo político el 7 de mayo de 2026, adopción formal prevista antes del 2 de agosto de 2026), el plazo para los sistemas de alto riesgo autónomos del Anexo III se trasladó al 2 de diciembre de 2027. Los sistemas integrados del Anexo I se trasladan al 2 de agosto de 2028. La fecha del 2 de agosto de 2026 sigue siendo válida únicamente para la aplicación general de la Ley y para las obligaciones de transparencia de riesgo limitado del Artículo 50 — esas no se aplazaron. Los Artículos 4 y 5 están vigentes desde el 2 de febrero de 2025 y el Ómnibus no los afectó en absoluto.

¿Se aplica la obligación de alfabetización en IA del Artículo 4 a mi empresa aunque nuestros sistemas de IA sean de riesgo mínimo?

Sí. El Artículo 4 se aplica a cualquier organización que desarrolle, despliegue, importe o distribuya un sistema de IA en un contexto profesional — no se limita a los sistemas de alto riesgo. La obligación se escala a la naturaleza de los sistemas y a las funciones implicadas, pero se aplica con independencia del nivel de riesgo. Está en vigor desde el 2 de febrero de 2025.

Mi empresa solo despliega herramientas de IA construidas por terceros. ¿Qué obligaciones genera eso y cuándo?

Como responsable del despliegue con arreglo al Artículo 26, tiene obligaciones que varían según el nivel de riesgo del sistema. Para los sistemas de alto riesgo: vigilar el funcionamiento, garantizar la supervisión humana, conservar los registros (≥6 meses), seguir las instrucciones de uso, notificar a los trabajadores antes del despliegue en el lugar de trabajo — todo ello desde el 2 de diciembre de 2027 para los sistemas del Anexo III. Para los sistemas sujetos al Artículo 50: implantar el mecanismo de divulgación pertinente desde el 2 de agosto de 2026. Para toda la IA: las obligaciones de alfabetización del Artículo 4 desde el 2 de febrero de 2025. En general no es responsable de la evaluación de la conformidad del proveedor, pero debe verificar que el proveedor la haya completado antes de desplegar un sistema de alto riesgo.

¿Cuál es la sanción por incumplir el plazo del Artículo 5, que ya ha pasado?

La prohibición de prácticas prohibidas del Artículo 5 se aplica desde el 2 de febrero de 2025. Las infracciones acarrean el nivel sancionador más alto: hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total (si esta última cifra es mayor) con arreglo al Artículo 99, apartado 3. Para las empresas que cumplen la definición de pyme, la multa se limita al menor de los dos importes, la suma fija o el porcentaje (Artículo 99, apartado 6). El incumplimiento no se beneficia de un alivio transitorio — las prohibiciones son absolutas.

Mi sistema de IA se utiliza en la selección de personal. ¿Qué plazo se aplica y qué debo hacer?

La IA de cribado de selección de personal que toma o influye significativamente en las decisiones de contratación entra en el Anexo III, punto 4, letra a). Como proveedor, su evaluación de la conformidad, el sistema de gestión de riesgos del Artículo 9, la documentación técnica del Artículo 11, el registro del Artículo 12, el diseño de la supervisión humana del Artículo 14 y el registro en la base de datos de la UE del Artículo 49 deben estar todos implantados antes del 2 de diciembre de 2027. La vía de conformidad para el Anexo III, punto 4, es la autoevaluación interna del Anexo VI (no se requiere la evaluación de un organismo notificado para la IA de empleo). Como responsable del despliegue, sus obligaciones del Artículo 26 se aplican desde la misma fecha. Las obligaciones de alfabetización del Artículo 4 para su personal de selección ya están vigentes.

¿Es el plazo de GPAI el mismo que el plazo de alto riesgo?

No — y este es un error de planificación habitual. El aplazamiento del Ómnibus Digital se aplica únicamente al régimen de alto riesgo. Las obligaciones de los modelos de IA de uso general con arreglo al Capítulo V (Artículos 53 a 55) se aplican desde el 2 de agosto de 2025 para los modelos nuevos. Los modelos ya presentes en el mercado antes de esa fecha tienen hasta el 2 de agosto de 2027. Construir un producto sobre un modelo de IA de uso general no le da un plazo de GPAI — su plazo viene determinado por lo que su sistema haga con arreglo a los Artículos 5 y 6.

---

Guías relacionadas

• cronología de la Ley de IA de la UE: todas las fechas en orden
• Ómnibus Digital 2027: explicación del aplazamiento de alto riesgo
• Artículo 5: prácticas de IA prohibidas
• Artículo 4: obligaciones de alfabetización en IA
• hoja de ruta de implementación del cumplimiento
• visión general y ámbito de aplicación de la Ley de IA de la UE
• lista de comprobación de cumplimiento de la Ley de IA de la UE
• categorías de sistemas de IA de alto riesgo del Anexo III