Calendario de la Ley de IA de la UE: cada hito, cada plazo

El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024. No se aplica todo de una vez. Las obligaciones llegan en seis oleadas distintas a lo largo de cuatro años, y cada oleada vincula a un conjunto diferente de actores. Equivocarse con la secuencia — o apoyarse en un resumen que aún muestra la ya desfasada fecha de alto riesgo de agosto de 2026 — es la vía más rápida hacia un programa de cumplimiento mal presupuestado.

Este artículo te ofrece la cronología completa: cada fecha, qué se activa en esa fecha, qué artículos la rigen y qué significa en la práctica.

Los seis hitos de un vistazo

Estas fechas proceden directamente del Artículo 113 del Reglamento, leído junto con el acuerdo político del Ómnibus Digital alcanzado el 7 de mayo de 2026. Cada una es fija; ninguna fluctúa en función de cuándo introdujiste tu sistema en el mercado.

---

1 de agosto de 2024 — Entrada en vigor

El Reglamento se publicó en el Diario Oficial de la UE y entró en vigor veinte días después. Nada es exigible en esta fecha. El reloj arranca; las obligaciones no.

La trascendencia práctica es para los proveedores que ya habían empezado a desarrollar sistemas de alto riesgo. Cualquier sistema introducido en el mercado antes de la fecha de aplicación pertinente sigue teniendo que cumplir antes de esa fecha — «ya en uso» no es una exención permanente.

---

2 de febrero de 2025 — Prohibiciones y alfabetización en IA

Seis meses después de la entrada en vigor, dos conjuntos de obligaciones pasaron a estar vigentes.

Las prohibiciones del Artículo 5 prohibieron de plano ocho categorías de práctica de IA. Las de mayor trascendencia:

• Técnicas subliminales o manipuladoras que explotan vulnerabilidades psicológicas para distorsionar el comportamiento sin que la persona sea consciente (Art. 5, apartado 1, letra a)).
• Puntuación social por parte de organismos públicos o privados que conduce a un trato perjudicial en contextos no relacionados (Art. 5, apartado 1, letra c)).
• Identificación biométrica remota en tiempo real de personas físicas en espacios de acceso público por parte de las fuerzas y cuerpos de seguridad, fuera de las estrechas excepciones enumeradas (Art. 5, apartado 1, letra h)).
• IA que infiere emociones en el lugar de trabajo o en centros educativos — prohibida con independencia de la finalidad (Art. 5, apartado 1, letra f)).
• Extracción no selectiva de imágenes faciales de internet o de CCTV para crear o ampliar bases de datos de reconocimiento facial (Art. 5, apartado 1, letra e)).
• Categorización biométrica que infiere características sensibles como la raza, las opiniones políticas o la orientación sexual (Art. 5, apartado 1, letra g)).
• IA que evalúa el riesgo de que las personas físicas cometan delitos basándose únicamente en la elaboración de perfiles, sin conducta fáctica (Art. 5, apartado 1, letra d)).

Estas no son obligaciones de alto riesgo. Son prohibiciones. Un sistema de cualquiera de estas categorías no debería existir en el mercado de la UE; la pregunta no es «cómo cumplimos» sino «desmantelamos o rediseñamos antes del 2 de febrero de 2025».

Ejecución: multas con arreglo al Artículo 99, apartado 3 — hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas por debajo de ese techo, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

La alfabetización en IA del Artículo 4 también pasó a ser vinculante el 2 de febrero de 2025. Los proveedores y los responsables del despliegue deben adoptar medidas para garantizar que el personal que opera o supervisa sistemas de IA tenga la suficiente alfabetización en IA — adecuada a los sistemas que maneja y al contexto de despliegue. No es una certificación de formación. Es un estándar de competencia proporcionado, y se aplica a toda la IA, no solo a los sistemas de alto riesgo.

---

2 de agosto de 2025 — GPAI, gobernanza y sanciones

Un año después de la entrada en vigor, tres cosas pasaron a estar vigentes simultáneamente.

Las obligaciones de los modelos de IA de uso general (GPAI) con arreglo al Capítulo V (Artículos 51 a 56) ya se aplican. Estas recaen sobre el proveedor del modelo, no sobre la empresa que despliega una aplicación construida sobre él. Los deberes de base con arreglo al Artículo 53 se aplican a todos los proveedores de GPAI: documentación técnica, facilitación de información a los responsables del despliegue posteriores, una política de derechos de autor disponible públicamente y un resumen de los datos de entrenamiento. Para los proveedores cuyos modelos se clasifican como de riesgo sistémico (el umbral del Artículo 51: 10²⁵ FLOP de potencia de cálculo de entrenamiento, o una designación de la Comisión), también se aplican las obligaciones más pesadas del Artículo 55 — evaluaciones del modelo, pruebas adversariales, notificación de incidentes y medidas de ciberseguridad.

Los proveedores de GPAI que tenían modelos en el mercado antes del 2 de agosto de 2025 tienen hasta el 2 de agosto de 2027 para ajustar a la conformidad esos modelos anteriores. Esta es la única fecha transitoria específica de la GPAI. El aplazamiento de alto riesgo del Ómnibus Digital no toca el Capítulo V — no asocies la fecha de diciembre de 2027 a los artículos de la GPAI.

Las estructuras de gobernanza entraron en funcionamiento junto con las sanciones. La Oficina de IA dentro de la Comisión Europea, las autoridades nacionales competentes y el grupo de expertos científicos independientes están todos operativos. Los foros consultivos están establecidos. La infraestructura para la ejecución existe.

Las sanciones del Artículo 99 ya son efectivas. Los tres niveles de multas pueden imponerse a partir de esta fecha. Como se ha señalado más arriba, las infracciones del Artículo 5 son las más graves (35 M EUR/7 %); la mayoría de las demás obligaciones conllevan el techo de 15 M EUR/3 % con arreglo al Artículo 99, apartado 4; facilitar información incorrecta o engañosa a los organismos notificados o a las autoridades conlleva 7 500 000 EUR o el 1 % con arreglo al Artículo 99, apartado 5. El mecanismo de multas específico de la GPAI (Artículo 101, impuesto por la Comisión) opera por separado.

---

2 de agosto de 2026 — Aplicación general y transparencia del Artículo 50

Esta es la fecha que la mayoría de los resúmenes de cumplimiento llaman «el plazo». Es, con mayor precisión, la fecha en la que el Reglamento se aplica con carácter general — todas las disposiciones que no están ya en vigor y que no se aplazan explícitamente se aplican a partir de aquí.

La obligación sustantiva que recae de lleno el 2 de agosto de 2026 para la mayoría de las empresas es la transparencia de riesgo limitado del Artículo 50. Cuatro deberes de divulgación:

• Si operas un chatbot u otra IA conversacional, debes informar a las personas físicas de que están interactuando con un sistema de IA — por anticipado, con claridad y de un modo que no exija que la persona pregunte (Art. 50, apartado 1).
• Los proveedores de sistemas de IA que generan audio, imagen, vídeo o texto sintéticos deben garantizar que el resultado se marque como generado o manipulado por IA, con estrechas excepciones para asistir a la creatividad humana o para contenido claramente señalado como sátira (Art. 50, apartado 2).
• Los proveedores y los responsables del despliegue de sistemas de reconocimiento de emociones o de categorización biométrica deben informar a las personas físicas afectadas, salvo cuando el uso esté expresamente permitido a efectos de la garantía del cumplimiento del Derecho (Art. 50, apartado 3).
• Los proveedores de sistemas de IA que generan o manipulan texto publicado en interés público — noticias, contenido electoral — deben marcar el contenido como generado por máquina de una manera detectable, como mínimo, de forma automática (Art. 50, apartado 4).

El Artículo 50 no es lo mismo que las reglas de transparencia de alto riesgo del Artículo 13 (que exigen a los proveedores facilitar a los responsables del despliegue instrucciones de uso suficientemente detalladas). El Artículo 13 forma parte de la pila de alto riesgo. El Artículo 50 rige los sistemas de riesgo limitado — chatbots, deepfakes, contenido generativo — con independencia de que sean de alto riesgo.

El 2 de agosto de 2026 es también la fecha en la que originalmente estaba previsto que se aplicaran las obligaciones generales de alto riesgo. En virtud del Ómnibus Digital, esa oleada se ha aplazado. Lo que queda en el 2 de agosto de 2026 es todo lo que el Reglamento cubre que no entra en los hitos anteriores y que no es una obligación de alto riesgo del Anexo III o de un producto del Anexo I.

---

2 de diciembre de 2027 — Sistemas autónomos de alto riesgo del Anexo III

Esta es la fecha que se desplazó. El calendario de aplicación original del Artículo 113 situaba las obligaciones de alto riesgo en el 2 de agosto de 2026. En virtud del Ómnibus Digital — una propuesta de la Comisión de 19 de noviembre de 2025, con acuerdo político entre el Parlamento y el Consejo el 7 de mayo de 2026 — los sistemas autónomos de IA de alto riesgo del Anexo III se aplazan al 2 de diciembre de 2027.

El Anexo III enumera ocho ámbitos:

1. Biometría (identificación biométrica remota cuando esté permitida; categorización biométrica cuando no esté ya prohibida; reconocimiento de emociones cuando lo permita la ley).
2. Infraestructuras críticas (componentes de seguridad en la infraestructura digital, el tráfico rodado, el agua, el gas, la electricidad, la calefacción).
3. Educación y formación profesional (decisiones de admisión/asignación; evaluación de los resultados del aprendizaje; supervisión de exámenes).
4. Empleo y gestión de los trabajadores (cribado y selección de personal; promoción/despido; asignación de tareas; supervisión del rendimiento). El reconocimiento de emociones en esta categoría sigue estando prohibido — no pasa a ser meramente de alto riesgo por figurar en el Anexo III.
5. Acceso a servicios privados y públicos esenciales (solvencia y calificación crediticia, excluyendo la detección de fraude; riesgo y fijación de precios de los seguros de vida y de salud; envío de servicios de emergencia; admisibilidad a prestaciones públicas).
6. Garantía del cumplimiento del Derecho (evaluación del riesgo de delinquir o reincidir fundada en hechos objetivos; sistemas tipo polígrafo; evaluación de la fiabilidad de las pruebas; elaboración de perfiles en investigaciones).
7. Migración, asilo y control fronterizo (evaluación de riesgos de los solicitantes; examen de las solicitudes; verificación de documentos).
8. Administración de justicia y procesos democráticos (asistencia a las autoridades judiciales; influencia en elecciones o referendos).

Un sistema que entra dentro de uno de estos ámbitos no es automáticamente de alto riesgo. Se aplica el filtro del Artículo 6, apartado 3: si el sistema no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales, puede quedar excluido — siempre que el proveedor documente la evaluación y registre el sistema (Artículo 49). Basta con una de las cuatro condiciones enumeradas en el Artículo 6, apartado 3; no se exigen las cuatro simultáneamente. Pero cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo, sin excepción.

Para los sistemas que son de alto riesgo, las obligaciones son sustanciales: sistema de gestión de riesgos con arreglo al Artículo 9; datos y gobernanza de datos con arreglo al Artículo 10; documentación técnica con arreglo al Artículo 11 y al Anexo IV; conservación de registros con arreglo al Artículo 12; transparencia hacia los responsables del despliegue con arreglo al Artículo 13; supervisión humana con arreglo al Artículo 14; exactitud, robustez y ciberseguridad con arreglo al Artículo 15; sistema de gestión de la calidad con arreglo al Artículo 17; declaración de conformidad con arreglo al Artículo 47; marcado CE con arreglo al Artículo 48; registro en la base de datos de la UE con arreglo al Artículo 49; vigilancia poscomercialización con arreglo al Artículo 72; y notificación de incidentes graves con arreglo al Artículo 73.

La vía de evaluación de la conformidad varía según el ámbito del Anexo III: los sistemas biométricos (punto 1) requieren por lo general la vía del organismo notificado con arreglo al Anexo VII cuando no se han aplicado las normas armonizadas; la mayoría de las demás categorías del Anexo III utilizan la autoevaluación interna con arreglo al Anexo VI (Artículo 43).

El 2 de diciembre de 2027 es un respiro. No es un indulto de la preparación. La documentación técnica por sí sola — el Anexo IV exige nueve áreas de contenido, incluidas las descripciones de la arquitectura, las especificaciones de los datos de entrenamiento, la documentación de validación y prueba y las métricas de rendimiento — lleva meses ensamblarla correctamente. Un sistema de gestión de riesgos con arreglo al Artículo 9 debe diseñarse, implementarse y evidenciarse antes de la evaluación de la conformidad. Nada de ese trabajo se comprime en el trimestre final antes de un plazo.

---

2 de agosto de 2028 — IA de alto riesgo integrada en productos del Anexo I

El segundo ala del aplazamiento del Ómnibus Digital. Los sistemas de IA de alto riesgo que funcionan como componentes de seguridad de productos sujetos a la legislación de armonización de la UE sobre productos enumerada en el Anexo I de la Ley de IA de la UE — productos sanitarios (MDR/IVDR), máquinas, equipos radioeléctricos, juguetes y productos regulados similares — se aplican a partir del 2 de agosto de 2028.

Para estos sistemas, la evaluación de la conformidad se integra con el régimen subyacente de seguridad de los productos. Una IA de diagnóstico en un producto sanitario, por ejemplo, sigue el proceso de conformidad del MDR / IVDR; los requisitos de la Ley de IA de la UE se incorporan en capas. El plazo es 2028 precisamente porque la integración con la regulación sectorial existente lleva tiempo adicional alinearla.

---

Cómo interactúan estas fechas: un ejemplo práctico

Toma una empresa de tecnología de RR. HH. de 35 personas que vende una herramienta de cribado de candidatos a empleadores de Alemania y los Países Bajos.

La herramienta de cribado puntúa a los candidatos a partir del contenido del currículo, las transcripciones de entrevistas estructuradas y las evaluaciones de competencias. Sin inferencia de emociones. Sin datos biométricos.

• 2 de febrero de 2025: La empresa debe confirmar que su herramienta no infiere emociones en el contexto de contratación (lo que estaría prohibido). No lo hace — así que no hay problema con el Artículo 5. Las medidas de alfabetización en IA para el personal que usa la herramienta se exigen a partir de esta fecha.
• 2 de agosto de 2025: La empresa no es proveedora de GPAI. El Capítulo V no se le aplica directamente; pero si construye sobre un proveedor de un modelo GPAI, es responsable del despliegue posterior de ese modelo y puede utilizar la documentación que el proveedor del modelo está obligado a suministrar con arreglo al Artículo 53.
• 2 de agosto de 2026: El Artículo 50 no crea obligaciones para la herramienta B2B de esta empresa salvo que interactúe con personas físicas de un modo que active los deberes de divulgación. Conviene revisarlo.
• 2 de diciembre de 2027: La herramienta de cribado entra de lleno en el Anexo III, punto 4, letra a) — IA utilizada para la selección de personal y la contratación. Es de alto riesgo. La empresa — que introduce la herramienta en el mercado con su propio nombre — es la proveedora con arreglo al Artículo 16. La pila completa de alto riesgo se aplica a partir de esta fecha.

Esa empresa tiene hasta diciembre de 2027. De forma realista, la documentación técnica, el sistema de gestión de riesgos y la evaluación de la conformidad deberían estar en marcha a principios de 2026 a más tardar. Parte de ese trabajo es valioso con independencia del calendario regulatorio.

---

Cómo ayuda Confir

El motor de clasificación basado en reglas de Confir te pregunta sobre cada sistema de IA de tu registro, deriva el nivel de riesgo (inaceptable / alto / limitado / mínimo) utilizando la lógica del Anexo III y determina tu rol (proveedor con arreglo al Artículo 16, responsable del despliegue con arreglo al Artículo 26 o uno de los roles intermediarios). A partir de esa admisión, aplica automáticamente la fecha de aplicación pertinente a cada sistema — de modo que una empresa con una combinación de un chatbot de cara al cliente, un modelo interno de calificación crediticia y una herramienta de RR. HH. de un tercero ve tres indicadores de plazo diferentes, no uno.

No interviene ninguna inferencia de IA en esa derivación. La misma admisión produce siempre la misma conclusión. La lógica es legible para humanos y defendible ante auditoría — lo que importa cuando tu documentación de cumplimiento tiene que resistir ante una autoridad nacional competente.

Contratación de autoservicio; no se requiere un encargo de implementación.

---

Preguntas frecuentes

¿Sigue siendo el plazo de alto riesgo el 2 de agosto de 2026?

No. En virtud del Ómnibus Digital, acordado en mayo de 2026, el plazo de alto riesgo se ha aplazado al 2 de diciembre de 2027 para los sistemas autónomos del Anexo III y al 2 de agosto de 2028 para la IA integrada en productos regulados del Anexo I. Agosto de 2026 es ahora la fecha de aplicación general del Reglamento — incluida la transparencia de riesgo limitado del Artículo 50 — pero no para las obligaciones de alto riesgo del Anexo III. Cualquier resumen de cumplimiento que siga citando agosto de 2026 como el plazo de alto riesgo está desactualizado.

¿Cuál es la diferencia entre las vías de alto riesgo del Anexo III y del Anexo I?

El Anexo III enumera ocho ámbitos de uso (biometría, infraestructuras críticas, educación, empleo, servicios esenciales, garantía del cumplimiento del Derecho, migración, justicia). Estos se clasifican como de alto riesgo en función de lo que hace el sistema de IA. El Anexo I enumera categorías de productos regulados — productos sanitarios, máquinas, equipos radioeléctricos y otros — en los que un sistema de IA puede ser un componente de seguridad. Los sistemas de la vía del Anexo I siguen una evaluación de la conformidad integrada con el régimen de la legislación sobre productos y tienen un plazo posterior (2 de agosto de 2028). Una IA de diagnóstico en un producto sanitario con marcado CE está en la vía del Anexo I, no en la vía de autoevaluación del Anexo III.

¿Qué cubre realmente la «aplicación general» del 2 de agosto de 2026?

Cubre todas las disposiciones que no están ya en vigor y que no se aplazan explícitamente. La obligación más concreta que recae en esa fecha es la transparencia de riesgo limitado del Artículo 50 — divulgación de los chatbots, marcado del contenido sintético, divulgación del reconocimiento de emociones y etiquetado del texto generado por IA. Las estructuras de gobernanza, la base de datos de la UE, los mandatos de las autoridades de vigilancia del mercado y las disposiciones procedimentales también se aplican plenamente a partir de esta fecha.

¿Siguen las obligaciones de los modelos GPAI el mismo calendario que las obligaciones de alto riesgo?

No. Las obligaciones de los modelos GPAI con arreglo al Capítulo V se aplican desde el 2 de agosto de 2025 — no se aplazaron. Una empresa que proporciona un modelo GPAI (un modelo fundacional, un gran modelo de lenguaje o similar) estaba obligada a cumplir los Artículos 51 a 56 a partir de esa fecha, o antes del 2 de agosto de 2027 para los modelos que ya estaban en el mercado antes de esa fecha. El aplazamiento del Ómnibus Digital afecta únicamente al calendario de alto riesgo del Anexo III y del Anexo I; deja intacto el Capítulo V.

¿Cuándo empiezan a aplicarse las sanciones del Artículo 99?

Las sanciones del Artículo 99 están en vigor desde el 2 de agosto de 2025. El argumento de que «las multas no se aplican hasta 2026» es incorrecto. La estructura sancionadora — 35 M EUR/7 % para las infracciones del Artículo 5; 15 M EUR/3 % para la mayoría de las demás obligaciones; 7 500 000 EUR/1 % por facilitar información incorrecta a las autoridades — puede imponerse ya. Para las empresas por debajo del umbral de la cantidad fija, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

¿Qué obligaciones de alto riesgo se aplican a los responsables del despliegue en lugar de a los proveedores?

Los responsables del despliegue con arreglo al Artículo 26 deben: utilizar el sistema según las indicaciones del proveedor; asignar la supervisión humana a personal con suficiente autoridad y competencia; vigilar el rendimiento del sistema y notificar las disfunciones al proveedor; conservar los registros durante al menos seis meses; notificar a los representantes de los trabajadores antes de desplegar IA en el lugar de trabajo; y — para los responsables del despliegue de sistemas de solvencia o de seguros de vida o de salud, o los responsables del despliegue que sean organismos públicos — realizar una evaluación de impacto relativa a los derechos fundamentales con arreglo al Artículo 27. Los proveedores soportan las obligaciones más pesadas (Artículos 9 a 17, evaluación de la conformidad, registro), pero los deberes de los responsables del despliegue son reales y exigibles.

Si mi sistema ya estaba desplegado antes del plazo de alto riesgo, ¿sigo teniendo que cumplir?

Sí. El despliegue previo no exime a un sistema de las obligaciones de alto riesgo cuando llega la fecha de aplicación. Un sistema utilizado desde 2023 que entra en el Anexo III sigue necesitando un sistema de gestión de riesgos completo, documentación técnica, un marco de supervisión humana, una evaluación de la conformidad y el registro antes del 2 de diciembre de 2027. Planifica en consecuencia — la documentación no se ensamblará sola en las semanas previas al plazo.

Guías relacionadas

• visión general de la Ley de IA de la UE
• plazos y obligaciones de la IA de alto riesgo
• Ómnibus Digital: el aplazamiento de 2027 explicado
• guía de obligaciones de cumplimiento de las empresas
• definiciones del Artículo 3
• comparación de herramientas de gestión de riesgos de IA