¿Cuánto tarda el cumplimiento de la Ley de IA de la UE?
El cumplimiento de la Ley de IA de la UE lleva días para los responsables del despliegue de riesgo mínimo, semanas para los casos del artículo 50 y de 4 a 9 meses para los proveedores de alto riesgo. Planifique hacia atrás desde el 2 dic 2027.
La respuesta honesta es: depende, pero no de un modo que lo haga imposible de planificar. Las dos variables que dominan son el nivel de su sistema de mayor riesgo y si es usted proveedor o responsable del despliegue. Una empresa cuyo uso de IA consiste en un chatbot de atención al cliente y algunas herramientas de productividad puede cerrar sus obligaciones en cuestión de semanas. Una empresa que desarrolla e introduce en el mercado un modelo de cribado para selección de personal se enfrenta a varios meses de trabajo sostenido antes de poder lanzarlo lícitamente.
Este artículo ofrece estimaciones de planificación realistas por escenario, descompone la vía de cumplimiento de alto riesgo en sus flujos de trabajo constitutivos con duraciones honestas y traza el calendario de planificación hacia atrás desde el plazo del 2 de diciembre de 2027. Las cifras de aquí son valores de referencia de planificación, no garantías jurídicas: el tiempo real variará con el tamaño de la organización, la madurez de la documentación existente y la rapidez con la que se muevan las cadenas de aprobación.
La respuesta breve, por escenario
| Escenario | Esfuerzo realista |
|---|---|
| Responsable del despliegue de riesgo mínimo (herramientas de productividad, resumen interno, edición de imágenes) | 1-2 semanas: inventario de IA, formación en alfabetización en IA del artículo 4 para el personal, documentación ligera |
| Responsable del despliegue o proveedor de riesgo limitado (chatbot de cara al cliente, generación de contenido sintético, resultados de reconocimiento de emociones — ámbito del artículo 50) | 3-5 semanas: inventario de IA, implementación de la información del artículo 50, avisos de transparencia, registros |
| Responsable del despliegue de alto riesgo (uso de un sistema de alto riesgo de un tercero, p. ej. un banco que despliega el modelo de calificación crediticia de un proveedor) | 4-8 semanas: diligencia debida sobre el paquete de cumplimiento del proveedor, procedimientos de supervisión humana (artículo 26), configuración de la conservación de registros, posible evaluación de impacto relativa a los derechos fundamentales del artículo 27 |
| Proveedor de alto riesgo — primer sistema, gobernanza de datos en gran medida documentada | 4-6 meses de trabajo activo |
| Proveedor de alto riesgo — primer sistema, trazabilidad de los datos débil o no documentada | 6-9 meses, posiblemente más |
| Proveedor de alto riesgo — múltiples sistemas del Anexo III simultáneamente | Añada de 6 a 10 semanas por cada sistema adicional tras el primero, según el solapamiento |
Las obligaciones de transparencia de riesgo limitado del artículo 50 se aplican desde el 2 de agosto de 2026. Las obligaciones de alto riesgo para los sistemas autónomos del Anexo III se aplican desde el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026. La IA de alto riesgo integrada en productos regulados del Anexo I —productos sanitarios, máquinas, vehículos— sigue la fecha del 2 de agosto de 2028. Obsérvese por separado que las prácticas prohibidas del artículo 5 y la alfabetización en IA del artículo 4 se aplican desde el 2 de febrero de 2025; no son plazos futuros, son plazos ya vencidos.
Qué determina el calendario
Su papel. Los proveedores en virtud del artículo 16 soportan la pila más pesada: gestión de riesgos, documentación técnica, gobernanza de datos, supervisión humana, pruebas de exactitud, un sistema de gestión de la calidad, evaluación de la conformidad, una declaración de conformidad y registro. Los responsables del despliegue en virtud del artículo 26 tienen una lista más corta —predominantemente seguir las instrucciones del proveedor, garantizar la supervisión humana, conservar los registros durante al menos seis meses y, para determinados responsables del despliegue en servicios públicos o en contextos de evaluación de la solvencia y de seguros de vida/salud, realizar una evaluación de impacto relativa a los derechos fundamentales del artículo 27—. La distinción entre proveedor y responsable del despliegue es, por tanto, el mayor determinante individual del esfuerzo total.
El número y la complejidad de los sistemas de IA. Ejecutar la clasificación con arreglo al artículo 6 y al Anexo III en treinta sistemas lleva más tiempo que hacerlo para tres. El filtro del artículo 6, apartado 3 —que puede retirar un sistema de la categoría de alto riesgo si no plantea un riesgo significativo y cumple una de cuatro condiciones— exige una evaluación documentada por sistema, aun cuando la conclusión sea «no es de alto riesgo».
Madurez de la gobernanza de datos. El artículo 10 exige a los proveedores demostrar que los datos de entrenamiento, validación y prueba cumplen normas de calidad: que los datos son pertinentes, representativos y, en la medida de lo posible, exentos de errores. Para las empresas con canalizaciones de datos bien documentadas, esta sección del expediente es cuestión de semanas de trabajo. Para las empresas que nunca han catalogado sus datos de entrenamiento ni rastreado la trazabilidad de los datos, es el motivo más común por el que un proyecto se desliza de cinco meses a nueve.
Normas armonizadas. Cuando la Comisión Europea ha publicado normas armonizadas para un ámbito concreto del Anexo III, la autoevaluación frente a esas normas puede satisfacer el requisito de conformidad del artículo 43 por la vía de control interno del Anexo VI. Cuando no existen normas armonizadas aplicables, la carga de demostrar la conformidad es mayor y puede requerirse la vía del organismo notificado del Anexo VII (obligatoria para los sistemas biométricos del Anexo III, punto 1).
Preparación organizativa. Los ciclos de aprobación, si el equipo jurídico ya conoce la Ley de IA de la UE, si existe un sistema de gestión de la calidad y si hay una persona designada que sea responsable del cumplimiento día a día: cada uno de estos factores puede añadir semanas en silencio. El ensamblaje de la documentación técnica rara vez es el cuello de botella en las grandes organizaciones; lo es la cadena de aprobación interna.
Los flujos de trabajo de alto riesgo y cuánto tarda cada uno
Para un proveedor de alto riesgo que despliega un solo sistema del Anexo III, el programa de cumplimiento suele desarrollarse en siete a nueve flujos de trabajo solapados. No son estrictamente secuenciales —los equipos con experiencia ejecutan varios en paralelo—, pero cada uno tiene una dependencia de ruta crítica en torno a la cual hay que planificar.
Inventario y clasificación de IA (artículo 6 / Anexo III): 1-3 semanas. Antes que nada, cada sistema que construya o despliegue debe ser identificado y clasificado. Esto significa responder, para cada sistema: ¿entra en una categoría del Anexo III? ¿Se aplica el filtro del artículo 6, apartado 3? ¿Cuál es su papel? Las empresas que nunca lo han hecho a menudo descubren sistemas que habían olvidado, o constatan que una herramienta adquirida por una unidad de negocio implica obligaciones de nivel de proveedor porque se modificó sustancialmente antes del despliegue.
Sistema de gestión de riesgos (artículo 9): de 3 a 6 semanas para establecerlo, y continuo a partir de entonces. El sistema de gestión de riesgos del artículo 9 no es un documento puntual, sino un proceso recurrente: identificar riesgos previsibles para la salud, la seguridad y los derechos fundamentales; estimar y evaluar; adoptar medidas de riesgo; probar que funcionan. La puesta en marcha inicial del proceso, incluida la redacción del plan de gestión de riesgos, la cumplimentación del registro de riesgos y la documentación de los riesgos residuales, suele llevar de tres a seis semanas. Mantenerlo es una obligación operativa permanente.
Datos y gobernanza de datos (artículo 10): de semanas a meses — a menudo el punto más largo. Los proveedores deben poder demostrar que las prácticas de recopilación de datos, el etiquetado y las decisiones de curación están documentados; que se han identificado y abordado los sesgos conocidos; y que el conjunto de datos es adecuado para la finalidad prevista. Para una empresa que parte de una documentación de datos sólida, esto supone de cuatro a seis semanas de trabajo estructurado. Para una empresa que dependía de prácticas ad hoc, solo el análisis de brechas lleva semanas, y la subsanación puede estirar el total a tres o cuatro meses. No subestime este flujo de trabajo. Es el motivo más común por el que los programas de cumplimiento de alto riesgo incumplen sus fechas de finalización previstas.
Documentación técnica del Anexo IV (artículo 11): 4-8 semanas. El paquete de documentación del Anexo IV es un expediente estructurado que abarca nueve áreas de contenido: una descripción general del sistema y su finalidad prevista; una descripción de los componentes y del proceso de desarrollo; información sobre la metodología de entrenamiento y los datos; especificaciones de diseño y arquitectura; métricas de rendimiento y resultados de las pruebas; documentación de gestión de riesgos; cambios a lo largo del ciclo de vida del sistema; normas aplicadas; y disposiciones de vigilancia poscomercialización. Ensamblarlo desde cero —redactar, reunir pruebas y obtener la aprobación interna— suele llevar de cuatro a ocho semanas. Obsérvese que el artículo 11, apartado 3, prevé un formato simplificado para los pequeños proveedores, lo que reduce algo el esfuerzo.
Conservación de registros y registro de actividad (artículo 12): 2-4 semanas (en paralelo). El artículo 12 exige que los sistemas de IA de alto riesgo generen registros automáticamente que abarquen el periodo de funcionamiento del sistema, suficientes para garantizar que el sistema pueda supervisarse tras el despliegue. Implementar el registro de actividad para cumplir este requisito es en gran medida una tarea técnica, que suele completarse en paralelo con la documentación y las pruebas. Planifique de dos a cuatro semanas para la implementación y las pruebas.
Supervisión humana (artículo 14): 2-4 semanas (en paralelo con los datos y la documentación). El artículo 14 exige que los sistemas de alto riesgo se diseñen y desarrollen de modo que las personas físicas puedan supervisar eficazmente el sistema durante su uso, intervenir si es necesario y evitar la dependencia excesiva del resultado del sistema. Traducir esto en un procedimiento operativo —diseño de la interfaz de usuario, controles de intervención, formación de los revisores humanos y protocolos de supervisión documentados— suele llevar de dos a cuatro semanas y discurre junto al ensamblaje del expediente técnico.
Pruebas de exactitud, robustez y ciberseguridad (artículo 15): 3-6 semanas (solapadas con los artículos 10 y 12). Probar frente a los requisitos de exactitud, robustez y ciberseguridad del artículo 15 requiere un plan de pruebas, un conjunto de datos de prueba y resultados documentados. Para los sistemas que implican datos personales sensibles o que operan en entornos adversariales, solo las pruebas de ciberseguridad pueden añadir semanas. Planifique que este flujo de trabajo se solape con las fases posteriores de la gobernanza de datos del artículo 10 y del registro de actividad del artículo 12.
Sistema de gestión de la calidad (artículo 17): 2-8 semanas, según lo que ya exista. El artículo 17 exige a los proveedores mantener un sistema de gestión de la calidad que abarque el diseño, el desarrollo, las pruebas, la supervisión y la gestión de incidentes. Las empresas que ya operan con arreglo a la norma ISO 9001 o ISO/IEC 42001 encontrarán un solapamiento significativo y podrán adaptar los procesos existentes. Las empresas que construyen desde cero tardarán de seis a ocho semanas en implantar un SGC creíble.
Evaluación de la conformidad, declaración de conformidad y registro (artículos 43, 47, 49): 2-5 semanas por la vía de control interno; más si interviene un organismo notificado. Para la mayoría de las categorías del Anexo III (puntos 2 a 8), la evaluación de la conformidad utiliza la vía de control interno del Anexo VI: el proveedor revisa internamente la documentación y las pruebas frente a los requisitos y emite una declaración UE de conformidad del artículo 47. Esto es en gran medida un ejercicio de revisión y aprobación una vez completados los flujos de trabajo anteriores, normalmente de dos a tres semanas. El registro en la base de datos de la UE en virtud del artículo 49 viene a continuación. Para los sistemas biométricos del punto 1 en los que no se apliquen normas armonizadas, se requiere la vía del organismo notificado del Anexo VII; los organismos notificados tienen sus propios plazos, y contratar uno suele añadir de seis a doce semanas según la profundidad de la cola y la complejidad de la evaluación.
Por qué fracasa el «ya empezaremos en 2027»
El plazo para los sistemas autónomos de alto riesgo del Anexo III es el 2 de diciembre de 2027. Trabajando hacia atrás desde esa fecha con un programa realista de 5 a 7 meses, un proveedor de alto riesgo necesita tener su programa sustancialmente en marcha como muy tarde en abril o mayo de 2027. Si la trazabilidad de los datos es débil —una situación más común que poco común—, el programa debe iniciarse a principios de 2027 para dejar tiempo tanto a la subsanación como a la documentación.
Dos obligaciones no esperan a diciembre de 2027. Las prácticas prohibidas del artículo 5 se aplican desde el 2 de febrero de 2025 —utilizar la IA para la puntuación social por las autoridades públicas, la identificación biométrica remota en tiempo real en espacios públicos para la garantía del cumplimiento del Derecho fuera de las excepciones estrechas, la manipulación subliminal y otras prácticas prohibidas ya es ilícito—. La alfabetización en IA del artículo 4 —que exige a los proveedores y responsables del despliegue adoptar medidas para garantizar que su personal tenga una alfabetización en IA suficiente— también se aplica desde el 2 de febrero de 2025. Las empresas que aún no han abordado ninguna de las dos no son «pioneras» que se preparan para 2027; ya están incumpliendo.
El aplazamiento del Ómnibus Digital es un respiro para la pila de alto riesgo, intensiva en documentación. No es una señal de que la Ley sea menos seria de lo que parecía; es un reconocimiento de que el trabajo de documentación y evaluación es genuinamente extenso y no puede comprimirse por debajo de un mínimo. Empezar más tarde no lo hace más rápido: lo hace más caro, porque los plazos comprimidos significan más horas de consultoría, flujos de trabajo paralelos bajo presión y riesgos de atajos en las áreas más difíciles de arreglar retrospectivamente (la gobernanza de datos especialmente).
Cómo comprimir el calendario
No puede comprimirlo todo, pero lo siguiente reduce materialmente el tiempo transcurrido.
Empiece por el inventario y la clasificación de IA. Es el requisito previo de todo lo demás. Hasta que no sepa qué sistemas son de alto riesgo y qué papel desempeña, no conoce el alcance del programa. Los equipos que dedican semanas a debatir la estrategia de cumplimiento antes de completar el inventario descubren con regularidad, a mitad del programa, que sus supuestos sobre el alcance eran erróneos.
Paralelice los flujos de trabajo técnicos. La gestión de riesgos del artículo 9, la gobernanza de datos del artículo 10, el registro de actividad del artículo 12, la supervisión del artículo 14 y las pruebas del artículo 15 pueden ejecutarse en vías solapadas una vez hecho el inventario. Los programas secuenciales tardan más y crean cuellos de botella en cada transferencia.
Reutilice plantillas. La estructura de la documentación técnica del Anexo IV es fija. La estructura del registro de riesgos del artículo 9 es fija. Construir estos elementos a partir de una plantilla estructurada en lugar de un documento en blanco ahorra de dos a cuatro semanas por sistema, especialmente para los equipos sin experiencia previa con el formato.
Aborde la alfabetización en IA del artículo 4 ahora. La formación en alfabetización para todo el personal implicado en el uso o el desarrollo de IA ya es legalmente obligatoria. Ejecutarla en segundo plano mientras el programa técnico está en marcha es sensato y elimina una obligación ya vencida.
Cómo ayuda Confir
Confir es una herramienta de cumplimiento de la Ley de IA de la UE basada en reglas y determinista —no un sistema potenciado por IA—. Las mismas entradas producen las mismas salidas cada vez, y cada conclusión se asigna a la regla concreta que la produjo, lo cual importa para la defensibilidad ante una auditoría.
En los flujos de trabajo anteriores, Confir contrae las dos fases que más tiempo consumen —la clasificación y el ensamblaje del expediente técnico— de semanas de trabajo guiado por consultores a un flujo de trabajo guiado y estructurado. El motor de clasificación aplica la lógica del artículo 6 y del Anexo III mediante escenarios en lenguaje sencillo y deriva su papel (proveedor en virtud del artículo 16 o responsable del despliegue en virtud del artículo 26) sin exigirle leer antes 144 páginas de reglamento. El paquete de documentación del Anexo IV y la declaración UE de conformidad del artículo 47 se generan a partir de sus respuestas de admisión. El registro de riesgos del artículo 9 se mantiene como un documento vivo dentro de la herramienta.
Autoservicio, alojado en la UE, pago con tarjeta de crédito. Consulte confir.eu para ver los planes actuales.
Preguntas frecuentes
¿Cuánto tarda el cumplimiento de la Ley de IA de la UE para una empresa que despliega una herramienta de IA de un tercero?
Para una empresa que utiliza una herramienta de IA de un tercero en un contexto que no es de alto riesgo —productividad general, redacción de contenidos, búsqueda interna—, el esfuerzo de cumplimiento es ligero: inventario de IA (días), medidas de alfabetización en IA del artículo 4 para el personal (una o dos semanas) y documentación básica. Si la herramienta es de cara al cliente y entra en el artículo 50 (un chatbot, resultados de reconocimiento de emociones o generación de contenido sintético), añada de dos a tres semanas para la implementación de la información. Las obligaciones más pesadas del responsable del despliegue solo surgen cuando la herramienta es genuinamente de alto riesgo: la clasificación con arreglo al artículo 6 y al Anexo III es, por tanto, la primera pregunta que responder.
¿Es firme el plazo del 2 de diciembre de 2027, o se aplazará de nuevo?
La fecha del 2 de diciembre de 2027 refleja el acuerdo político del Ómnibus Digital alcanzado entre el Parlamento Europeo y el Consejo en mayo de 2026, con adopción formal prevista antes del 2 de agosto de 2026. No hay ninguna propuesta actual de un nuevo aplazamiento. Planificar tomando el 2 de diciembre de 2027 como plazo operativo es el enfoque correcto; la IA de alto riesgo integrada en productos regulados del Anexo I tiene una fecha distinta, el 2 de agosto de 2028.
¿Cuál es la parte más larga de un programa de cumplimiento de alto riesgo?
La gobernanza de datos del artículo 10 es sistemáticamente el flujo de trabajo más largo para los proveedores que no han documentado previamente sus datos de entrenamiento. Identificar las fuentes de datos, demostrar la representatividad, documentar los sesgos conocidos y las mitigaciones, y poner esa documentación en la forma exigida por el Anexo IV puede llevar meses cuando los registros son escasos. Iniciar este flujo de trabajo pronto —incluso antes de que el ejercicio de clasificación completo esté terminado para todos los sistemas— merece la pena si su organización depende de datos que no se ensamblaron pensando en el cumplimiento.
¿Necesita una empresa un organismo notificado para la evaluación de la conformidad de la Ley de IA de la UE?
Para la mayoría de los sistemas de alto riesgo del Anexo III está disponible la vía de autoevaluación interna del Anexo VI —el proveedor revisa internamente la documentación y emite la declaración de conformidad del artículo 47—. La vía del organismo notificado del Anexo VII se requiere para los sistemas biométricos del Anexo III, punto 1, en los que no se hayan aplicado normas armonizadas, y añade de seis a doce semanas según la disponibilidad del organismo notificado. La IA de alto riesgo en productos regulados del Anexo I (productos sanitarios, máquinas) sigue una evaluación integrada con arreglo al artículo 43, apartado 3, que se gestiona a través de la vía de conformidad de la legislación de productos pertinente, no del procedimiento autónomo de la Ley de IA.
¿Puede una empresa esperar hasta 2027 para iniciar su programa de cumplimiento de alto riesgo?
Esperar hasta enero de 2027 para empezar es una estrategia de alto riesgo en un sentido distinto del término. Un programa que abarque la subsanación de la gobernanza de datos y la documentación completa del Anexo IV necesita de cinco a nueve meses de trabajo activo. Empezar en enero de 2027 para un plazo de diciembre de 2027 no deja margen para el descubrimiento de lagunas en la trazabilidad de los datos ni para los retrasos en la cola de los organismos notificados. Empezar en la segunda mitad de 2026 —ahora, en otras palabras— es la posición más defendible, y tiene la ventaja de abordar al mismo tiempo la obligación ya viva de alfabetización en IA del artículo 4.
¿Están ya en vigor las obligaciones de prácticas prohibidas del artículo 5 y de alfabetización en IA del artículo 4?
Sí. Ambas se aplican desde el 2 de febrero de 2025. El artículo 5 prohíbe directamente usos específicos de alto perjuicio —entre ellos, la identificación biométrica remota en tiempo real de personas físicas en espacios de acceso público con fines de garantía del cumplimiento del Derecho (fuera de las excepciones estrechas), la puntuación social por las autoridades públicas y la manipulación de las personas mediante técnicas subliminales—. El artículo 4 exige a todos los proveedores y responsables del despliegue adoptar medidas que garanticen que su personal tenga una alfabetización en IA suficiente. Ninguna tiene una fecha de efectividad futura; ninguna forma parte del aplazamiento del Ómnibus Digital.
¿Cuánto cuesta el cumplimiento de la Ley de IA de la UE?
Los costes varían ampliamente. Los programas dirigidos por consultores para un solo sistema de alto riesgo suelen ir de 20 000 EUR a 80 000 EUR o más, según la complejidad del sistema y el punto de partida de la gobernanza de datos. El cumplimiento de autoservicio asistido por herramientas —utilizando plantillas estructuradas y un motor de clasificación— reduce sustancialmente esa cifra.
Guías relacionadas
- Hoja de ruta de implementación del cumplimiento de la Ley de IA de la UE
- Plazos de la Ley de IA de la UE — obligaciones por fecha
- Ómnibus Digital: el plazo de alto riesgo de 2027 explicado
- Cómo construir su inventario de IA con arreglo al artículo 6
- Clasificación de riesgos de la IA: el artículo 6 y el Anexo III explicados
- Documentación técnica del Anexo IV: qué va en el expediente
- Sistema de gestión de riesgos del artículo 9: requisitos y cómo cumplirlos
- Evaluación de la conformidad con arreglo al artículo 43: Anexo VI frente a Anexo VII
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →