Regulationtimelineenforcementdeadlines

Calendario del Reglamento de IA de la UE: Fechas clave de 2024 a 2027

Calendario completo de los hitos de aplicación del Reglamento de IA de la UE — desde la entrada en vigor en agosto de 2024 hasta el cumplimiento total de alto riesgo en agosto de 2027. Conozca exactamente cuándo se aplica cada requisito.

January 20, 202515 min read

El Reglamento de IA de la UE (Reglamento 2024/1689) no se aplica de una sola vez. En su lugar, la Unión Europea diseñó un calendario de aplicación escalonado que da a las organizaciones tiempo para prepararse ante requisitos cada vez más estrictos. Comprender este calendario es fundamental para priorizar los esfuerzos de cumplimiento y asignar recursos de manera eficaz.

Este artículo proporciona un desglose exhaustivo, fecha por fecha, de cada hito importante de aplicación desde la entrada en vigor del reglamento hasta su plena aplicación.

Varios plazos clave ya han pasado. Si su organización aún no ha comenzado el trabajo de cumplimiento, es esencial comprender qué obligaciones ya están en vigor y cuáles se aproximan.

El calendario completo de aplicación

Fase 1: Entrada en vigor y preparación (agosto de 2024 - enero de 2025)

El período entre el 1 de agosto de 2024 y el 2 de febrero de 2025 sirvió como ventana de preparación inicial. Aunque ninguna obligación sustantiva era exigible durante esta fase, se iniciaron varios procesos importantes.

Establecimiento de los órganos de gobernanza

La Comisión Europea comenzó el proceso de establecimiento de la Oficina de IA, que se ubica dentro de la Dirección General de Redes de Comunicación, Contenido y Tecnología (DG CONNECT) de la Comisión. La Oficina de IA es responsable de supervisar los modelos de IA de uso general y apoyar la aplicación coherente del reglamento en los Estados miembros.

Obligación de alfabetización en IA

El Artículo 4 del Reglamento de IA exige que los proveedores y operadores garanticen que su personal y otras personas que se ocupen del funcionamiento y uso de los sistemas de IA tengan un nivel suficiente de alfabetización en IA. Aunque esta obligación se aplica formalmente a partir del 2 de agosto de 2025, se animó a las organizaciones a iniciar programas de formación durante esta fase preparatoria.

La alfabetización en IA en virtud del Artículo 4 no es una formación puntual. Requiere una educación continua que tenga en cuenta los conocimientos técnicos, la experiencia, la formación y el contexto en el que se utilizan los sistemas de IA. Se trata de un requisito proporcionado: los usos más complejos o de mayor riesgo exigen una alfabetización más profunda.

Fase 2: Prácticas prohibidas (febrero de 2025)

La primera fecha de aplicación sustantiva fue el 2 de febrero de 2025, cuando las prohibiciones del Artículo 5 se hicieron aplicables. Este fue el plazo más urgente porque las infracciones conllevan las sanciones más elevadas.

Qué se prohibió

A partir del 2 de febrero de 2025, las siguientes prácticas de IA quedaron prohibidas:

Técnicas subliminales, manipuladoras y engañosas (Artículo 5(1)(a)): Sistemas de IA que despliegan técnicas que operan por debajo del umbral de la conciencia, o técnicas deliberadamente manipuladoras o engañosas, para distorsionar materialmente el comportamiento y causar un daño significativo.

Explotación de vulnerabilidades (Artículo 5(1)(b)): Sistemas de IA que explotan vulnerabilidades de las personas debido a su edad, discapacidad o situación social o económica específica para distorsionar materialmente su comportamiento y causar un daño significativo.

Puntuación social (Artículo 5(1)(c)): Sistemas de IA utilizados por las autoridades públicas o en su nombre para evaluar o clasificar a personas físicas basándose en su comportamiento social o características personales, cuando la puntuación social resultante conduce a un trato perjudicial injustificado o desproporcionado.

Evaluación individual del riesgo de comisión de delitos (Artículo 5(1)(d)): Sistemas de IA que evalúan el riesgo de personas físicas de cometer delitos basándose únicamente en la elaboración de perfiles o en la evaluación de rasgos y características de personalidad, a menos que se utilicen para complementar evaluaciones humanas basadas en hechos objetivos y verificables directamente vinculados a la actividad delictiva.

Recopilación no selectiva para bases de datos de reconocimiento facial (Artículo 5(1)(e)): Sistemas de IA que crean o amplían bases de datos de reconocimiento facial mediante la recopilación no selectiva de imágenes faciales de Internet o de grabaciones de circuito cerrado de televisión.

Reconocimiento de emociones en lugares de trabajo y centros educativos (Artículo 5(1)(f)): Sistemas de IA que infieren emociones en el lugar de trabajo e instituciones educativas, salvo que el sistema de IA esté destinado a fines médicos o de seguridad.

Categorización biométrica para atributos sensibles (Artículo 5(1)(g)): Sistemas de IA que categorizan a personas físicas basándose en datos biométricos para deducir la raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual, con excepciones limitadas para las fuerzas del orden.

Identificación biométrica remota en tiempo real en espacios públicos (Artículo 5(1)(h)): Sistemas de identificación biométrica remota en tiempo real utilizados en espacios de acceso público con fines de aplicación de la ley, con excepciones limitadas para búsquedas selectivas relacionadas con delitos graves, amenazas inminentes o ataques terroristas.

Acciones de cumplimiento requeridas

Las organizaciones debían auditar sus sistemas de IA antes de esta fecha y descontinuar cualquier práctica prohibida. No hubo período de gracia: a partir del 2 de febrero de 2025, el incumplimiento del Artículo 5 conlleva sanciones de hasta 35 millones de EUR o el 7 % del volumen de negocios anual mundial.

Need auditable AI for compliance?

Ctrl AI provides full execution traces, expert verification, and trust-tagged outputs for every AI decision.

Learn About Ctrl AI

Fase 3: GPAI y gobernanza (agosto de 2025)

El siguiente hito importante es el 2 de agosto de 2025, cuando entran en vigor las obligaciones para los modelos de IA de uso general (GPAI) y el marco de gobernanza.

Obligaciones de los modelos de IA de uso general

El Capítulo V del Reglamento de IA establece requisitos para todos los modelos GPAI. A partir del 2 de agosto de 2025, los proveedores de modelos GPAI deben:

Mantener documentación técnica (Artículo 53(1)(a)): Los proveedores deben elaborar y mantener actualizada la documentación técnica del modelo, incluido su proceso de entrenamiento y pruebas y los resultados, que debe ponerse a disposición de la Oficina de IA y las autoridades nacionales competentes previa solicitud.

Proporcionar información a los proveedores posteriores (Artículo 53(1)(b)): Cuando un modelo GPAI se integra en un sistema de IA, el proveedor del GPAI debe suministrar información y documentación suficientes para permitir al proveedor del sistema de IA posterior comprender las capacidades y limitaciones del modelo y cumplir con sus propias obligaciones.

Cumplir con las normas sobre derechos de autor (Artículo 53(1)(c)): Los proveedores de GPAI deben establecer una política para cumplir con la legislación de la Unión sobre derechos de autor, en particular para identificar y respetar las reservas de derechos expresadas por los titulares de derechos en virtud del Artículo 4(3) de la Directiva de Derechos de Autor.

Publicar un resumen de los datos de entrenamiento (Artículo 53(1)(d)): Los proveedores deben elaborar y hacer públicamente disponible un resumen suficientemente detallado sobre el contenido utilizado para entrenar el modelo GPAI, siguiendo una plantilla proporcionada por la Oficina de IA.

Modelos GPAI con riesgo sistémico

Los modelos GPAI clasificados como de riesgo sistémico en virtud del Artículo 51 — incluidos los modelos entrenados con más de 10^25 FLOP de computación — enfrentan obligaciones adicionales a partir de esta fecha:

  • Realizar evaluaciones del modelo, incluidas pruebas adversariales
  • Evaluar y mitigar los riesgos sistémicos
  • Rastrear y notificar incidentes graves a la Oficina de IA y a las autoridades nacionales competentes pertinentes
  • Garantizar protecciones de ciberseguridad adecuadas

Marco de gobernanza

Varias disposiciones de gobernanza también entran en vigor el 2 de agosto de 2025:

  • El Comité Europeo de Inteligencia Artificial (Artículo 65) se pone en funcionamiento, con representantes de cada Estado miembro.
  • Los Estados miembros deben designar autoridades nacionales competentes (Artículo 70), incluida al menos una autoridad notificadora y una autoridad de vigilancia del mercado.
  • Se establece el Foro Consultivo (Artículo 67) para proporcionar experiencia de las partes interesadas.

Fase 4: El plazo principal de cumplimiento (agosto de 2026)

El 2 de agosto de 2026 es la fecha más trascendental para la mayoría de las organizaciones. Es cuando se aplican la mayoría de las disposiciones del reglamento, incluido el conjunto completo de requisitos para los sistemas de IA de alto riesgo enumerados en el Anexo III.

Requisitos para los sistemas de IA de alto riesgo

A partir de esta fecha, los proveedores de sistemas de IA de alto riesgo enumerados en el Anexo III deben cumplir con todos los requisitos de los Artículos 8 a 15:

  • Sistema de gestión de riesgos (Artículo 9)
  • Datos y gobernanza de datos (Artículo 10)
  • Documentación técnica (Artículo 11)
  • Conservación de registros y registro de actividades (Artículo 12)
  • Transparencia y suministro de información (Artículo 13)
  • Supervisión humana (Artículo 14)
  • Precisión, robustez y ciberseguridad (Artículo 15)

Obligaciones de los operadores

Los operadores de sistemas de IA de alto riesgo también deben cumplir a partir de esta fecha. En virtud del Artículo 26, los operadores deben:

  • Utilizar los sistemas de IA de acuerdo con las instrucciones
  • Garantizar la supervisión humana por personas formadas
  • Supervisar el funcionamiento del sistema de IA
  • Conservar los registros generados por el sistema de IA durante el período prescrito
  • Informar a los trabajadores y a sus representantes sobre el uso de sistemas de IA de alto riesgo
  • Realizar evaluaciones de impacto en los derechos fundamentales (para organismos públicos y determinadas entidades privadas en virtud del Artículo 27)

Obligaciones de transparencia para sistemas de riesgo limitado

Las obligaciones de transparencia del Artículo 50 se aplican a partir del 2 de agosto de 2026. Esto requiere:

  • Los sistemas de IA destinados a interactuar directamente con personas deben revelar que la persona está interactuando con un sistema de IA
  • Los proveedores de sistemas de IA que generan contenido sintético (deepfakes) deben marcar la salida en un formato legible por máquina
  • Los operadores de sistemas de reconocimiento de emociones o categorización biométrica deben informar a las personas expuestas

Espacios controlados de pruebas regulatorias

En virtud del Artículo 57, cada Estado miembro debe establecer al menos un espacio controlado de pruebas regulatorias de IA a nivel nacional antes del 2 de agosto de 2026. Estos espacios proporcionan un entorno de pruebas controlado donde los sistemas de IA innovadores pueden desarrollarse y validarse con supervisión regulatoria.

Las organizaciones que son proveedoras u operadoras de sistemas de IA de alto riesgo enumerados en el Anexo III — que abarcan áreas como el empleo, la calificación crediticia, la educación, las infraestructuras críticas y la aplicación de la ley — deben estar plenamente conformes antes del 2 de agosto de 2026. El incumplimiento conlleva multas de hasta 15 millones de EUR o el 3 % del volumen de negocios global.

Fase 5: Plena aplicación (agosto de 2027)

La fecha final de aplicación es el 2 de agosto de 2027, cuando se aplican las disposiciones restantes.

Sistemas de IA de alto riesgo del Anexo I

Esta fase afecta principalmente a los sistemas de IA de alto riesgo que sirven como componentes de seguridad de productos ya regulados por la legislación de armonización de la UE enumerados en el Anexo I. Estos incluyen productos regulados por:

  • Reglamento (UE) 2017/745 — Productos sanitarios
  • Reglamento (UE) 2017/746 — Productos sanitarios para diagnóstico in vitro
  • Directiva 2006/42/CE / Reglamento (UE) 2023/1230 — Maquinaria
  • Directiva 2009/48/CE — Seguridad de los juguetes
  • Directiva 2014/33/UE — Ascensores
  • Directiva 2014/34/UE — Equipos para uso en atmósferas explosivas
  • Directiva 2014/53/UE — Equipos radioeléctricos
  • Reglamento (UE) 2024/1252 — Materias primas críticas (productos pertinentes)

Para estos sistemas, los procedimientos de evaluación de la conformidad existentes en virtud de la legislación sectorial integrarán los requisitos del Reglamento de IA. Este año adicional da a los fabricantes tiempo para actualizar sus procedimientos de conformidad.

Evaluación de la conformidad y organismos notificados

Para el 2 de agosto de 2027, el sistema de organismos notificados debe estar plenamente operativo. Los organismos notificados son organizaciones designadas por los Estados miembros para realizar evaluaciones de conformidad de determinados sistemas de IA de alto riesgo cuando se requiere una evaluación por terceros.

Construcción de su hoja de ruta de cumplimiento

Dado el calendario escalonado, las organizaciones deberían adoptar un enfoque estructurado para el cumplimiento.

Prioridades inmediatas (ahora)

  • Verificar que no quede ninguna práctica de IA prohibida en funcionamiento
  • Iniciar los programas de alfabetización en IA en virtud del Artículo 4
  • Comenzar a inventariar todos los sistemas de IA y clasificar su nivel de riesgo

A corto plazo (antes de agosto de 2025)

  • Los proveedores de modelos GPAI deben finalizar la documentación técnica y los resúmenes de datos de entrenamiento
  • Establecer relaciones con los proveedores posteriores para el intercambio de información
  • Supervisar la publicación de códigos de buenas prácticas por parte de la Oficina de IA

A medio plazo (antes de agosto de 2026)

  • Implementar el conjunto completo de requisitos para los sistemas de IA de alto riesgo en virtud de los Artículos 8-15
  • Establecer o actualizar los sistemas de gestión de la calidad
  • Preparar las obligaciones de los operadores, incluidas las evaluaciones de impacto en los derechos fundamentales
  • Actualizar las medidas de transparencia para los sistemas de IA de riesgo limitado

A largo plazo (antes de agosto de 2027)

  • Integrar los requisitos del Reglamento de IA en los procedimientos sectoriales de evaluación de la conformidad
  • Colaborar con los organismos notificados para las evaluaciones por terceros cuando sea necesario
  • Garantizar que todos los sistemas de IA de seguridad de productos restantes cumplan plenamente

El calendario escalonado está diseñado para dar a las organizaciones un tiempo de preparación adecuado, pero ese tiempo es finito. Las organizaciones que traten el cumplimiento como una prioridad estratégica en lugar de un ejercicio de último momento estarán mejor posicionadas para gestionar la transición de manera fluida y mantener una ventaja competitiva.

Conclusión

El calendario de aplicación del Reglamento de IA de la UE abarca tres años, desde su entrada en vigor el 1 de agosto de 2024 hasta su plena aplicación el 2 de agosto de 2027. Cada fase introduce nuevas obligaciones, y el efecto acumulativo es un marco regulatorio integral que configurará la forma en que se desarrolla y despliega la IA en Europa y más allá.

El período más crítico es entre ahora y agosto de 2026, cuando se aplican la mayor parte de los requisitos del reglamento. Las organizaciones deberían utilizar el calendario anterior para priorizar sus esfuerzos de cumplimiento, comenzando con un inventario de sus sistemas de IA y un ejercicio exhaustivo de clasificación de riesgos.

El calendario no es solo una serie de plazos: es una hoja de ruta. Las organizaciones que lo sigan de manera sistemática no solo evitarán sanciones, sino que construirán las estructuras de gobernanza necesarias para un despliegue de IA responsable y fiable.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Artículos relacionados

Regulation12 min read

Sanciones del Reglamento de IA de la UE: Multas de hasta 35 millones de euros

Desglose completo de las sanciones y multas del Reglamento de IA de la UE — desde 35 millones de euros por prácticas prohibidas hasta 7,5 millones por información incorrecta. Comprenda el régimen sancionador y cómo evitar las sanciones.

Regulation21 min read

Sistemas de IA de alto riesgo: Requisitos completos del Reglamento de IA de la UE

Guía detallada de los requisitos para los sistemas de IA de alto riesgo en virtud del Reglamento de IA de la UE — gestión de riesgos, gobernanza de datos, documentación, supervisión humana, precisión y ciberseguridad.

Regulation16 min read

Clasificación de riesgos del Reglamento de IA de la UE: Los cuatro niveles explicados

Análisis detallado del sistema de clasificación de riesgos en cuatro niveles del Reglamento de IA de la UE — inaceptable, alto, limitado y mínimo. Descubra en qué categoría se encuentra su sistema de IA y qué se requiere.