La Ley de IA de la UE no es un interruptor que se activa en un solo dia. Es un despliegue por fases que comenzo en agosto de 2024 y no estara completamente en vigor hasta agosto de 2027, con algunas disposiciones que se extienden hasta 2030.

Si desarrollas o despliegas sistemas de IA que operan en el mercado europeo, aqui tienes exactamente lo que ya ha ocurrido, lo que esta en vigor ahora mismo y lo que viene a continuacion.

Lo que ya esta en vigor

1 de agosto de 2024 — La Ley entra en vigor

La Ley de IA de la UE (Reglamento (UE) 2024/1689) se publico en el Diario Oficial el 12 de julio de 2024 y entro en vigor 20 dias despues. No se aplicaron obligaciones todavia — este momento inicio los plazos de implementacion por fases.

2 de febrero de 2025 — Practicas prohibidas y alfabetizacion en IA

Dos categorias de obligaciones entraron en vigor seis meses despues:

Practicas de IA prohibidas (Articulo 5) — ocho categorias de sistemas de IA estan ahora completamente prohibidas:

  1. Tecnicas subliminales, manipulativas o enganosas que distorsionen el comportamiento
  2. Explotacion de vulnerabilidades por edad, discapacidad o situacion socioeconomica
  3. Puntuacion social (social scoring) por actores publicos o privados
  4. Policia predictiva basada unicamente en el perfilado de individuos
  5. Recopilacion masiva de imagenes de internet o CCTV para crear bases de datos de reconocimiento facial
  6. Reconocimiento de emociones en el trabajo y en centros educativos
  7. Categorizacion biometrica para inferir caracteristicas protegidas (raza, opiniones politicas, etc.)
  8. Identificacion biometrica remota en tiempo real en espacios publicos para fuerzas de seguridad (con excepciones muy limitadas)

Las infracciones de estas prohibiciones conllevan las multas mas altas: hasta 35 millones de euros o el 7% de la facturacion anual global, lo que sea mayor.

Alfabetizacion en IA (Articulo 4) — todos los proveedores y operadores de sistemas de IA deben asegurar que su personal tiene suficiente comprension de la IA para usarla y supervisarla de forma responsable. Esto aplica a todas las organizaciones que usen IA, no solo a proveedores de alto riesgo.

2 de agosto de 2025 — Obligaciones para IA de proposito general y autoridades nacionales

Las obligaciones para proveedores de modelos de IA de proposito general (como modelos fundacionales y grandes modelos de lenguaje) entraron en vigor. Esto incluye requisitos de transparencia, cumplimiento de derechos de autor y evaluaciones de riesgo sistemico para los modelos mas potentes.

El Codigo de Practicas para GPAI se publico el 10 de julio de 2025 para ofrecer a los proveedores un marco practico de cumplimiento.

Los estados miembros tambien debian designar sus autoridades nacionales competentes antes de esta fecha. Sin embargo, 19 de 27 paises no lo habian hecho — incluyendo Alemania, Francia, Belgica, Italia y Austria — creando incertidumbre sobre la aplicacion en los mercados mas grandes de Europa.

Lo que viene a continuacion

2 de agosto de 2026 — La fecha clave

Esta es la fecha para la que la mayoria de organizaciones deberian estar preparandose. Los requisitos completos para sistemas de IA de alto riesgo bajo el Anexo III se hacen exigibles. Estos cubren sistemas de IA usados en:

  • Biometria — identificacion remota, categorizacion biometrica
  • Infraestructura critica — energia, transporte, agua, redes digitales
  • Educacion — admisiones, calificaciones, supervision de examenes
  • Empleo — contratacion, seleccion, asignacion de tareas, evaluacion del rendimiento, decisiones de despido
  • Servicios esenciales — puntuacion crediticia, precios de seguros, acceso a prestaciones sociales
  • Aplicacion de la ley — evaluacion de pruebas, perfilado de riesgo
  • Migracion y control de fronteras — evaluacion de riesgo, verificacion de documentos
  • Justicia y procesos democraticos — herramientas de investigacion legal, prediccion de resultados judiciales

Si tu sistema de IA entra en alguna de estas categorias, para agosto de 2026 debes tener:

  • Un sistema de gestion de riesgos (Articulo 9)
  • Practicas de gobernanza de datos para datos de entrenamiento y validacion (Articulo 10)
  • Documentacion tecnica que cumpla los requisitos del Anexo IV (Articulo 11)
  • Capacidades de registro y logging (Articulo 12)
  • Medidas de transparencia e informacion para los operadores (Articulo 13)
  • Mecanismos de supervision humana (Articulo 14)
  • Estandares de precision, robustez y ciberseguridad (Articulo 15)
  • Una evaluacion de conformidad completada (Articulo 43)
  • Sistemas de monitorizacion post-mercado y reporte de incidentes (Articulo 72)

Tambien a partir de agosto de 2026: las obligaciones de transparencia del Articulo 50 aplican a todos los sistemas de IA (no solo los de alto riesgo). Si tu sistema genera deepfakes, interactua con humanos o genera contenido sintetico, debes informar de ello.

2 de agosto de 2027 — Ultima oleada

Las ultimas disposiciones entran en vigor:

  • Sistemas de alto riesgo del Anexo I — IA integrada en productos ya regulados por legislacion de seguridad de la UE (maquinaria, dispositivos medicos, juguetes, vehiculos, aviacion) deben cumplir
  • Los proveedores de modelos GPAI puestos en el mercado antes de agosto de 2025 tienen hasta esta fecha para cumplir completamente

Despues de agosto de 2027, la Ley de IA esta completamente en vigor en todas las categorias.

2 de agosto de 2030 — IA del sector publico

Los sistemas de IA de alto riesgo destinados a ser usados por autoridades publicas que ya estaban en uso antes de agosto de 2026 deben ponerse en conformidad antes de esta fecha.

El Digital Omnibus: ¿cambiaran los plazos?

El 19 de noviembre de 2025, la Comision Europea publico la propuesta Digital Omnibus — un paquete legislativo que podria modificar varios plazos de la Ley de IA.

El cambio clave: un mecanismo condicional de "parar el reloj" para las obligaciones de alto riesgo. Si los estandares armonizados no estan listos para agosto de 2026, el Omnibus permitiria un retraso de hasta 16 meses para categorias especificas:

  • Sistemas del Anexo III (alto riesgo independiente): cumplimiento requerido 6 meses despues de que se confirme la disponibilidad de estandares, con fecha limite de 2 de diciembre de 2027
  • Sistemas del Anexo I (integrados en productos): cumplimiento requerido 12 meses despues, con fecha limite de 2 de agosto de 2028

Esto no es una prorroga garantizada. Es un plan de contingencia que aun requiere que las empresas demuestren esfuerzo de "buena fe" hacia el cumplimiento. Y todavia no es ley — la propuesta debe ser aprobada por el Parlamento Europeo y el Consejo.

El enfoque seguro: prepararse como si agosto de 2026 fuera la fecha limite definitiva, porque podria serlo.

El plazo incumplido por la Comision

La Comision estaba legalmente obligada a publicar directrices sobre el Articulo 6 (clasificacion de alto riesgo) antes del 2 de febrero de 2026. No cumplio ese plazo. La adopcion final de estas directrices se espera para marzo o abril de 2026.

Este retraso ha dejado a desarrolladores y reguladores nacionales sin la claridad legal que necesitan, especialmente en Francia, Alemania y Espana. Si no tienes claro si tu sistema califica como alto riesgo, no deberias esperar a las directrices oficiales para empezar a prepararte.

Multas de un vistazo

Infraccion Multa maxima % de facturacion
Practicas prohibidas (Articulo 5) 35 millones EUR 7%
Alto riesgo y otras obligaciones 15 millones EUR 3%
Informacion incorrecta a autoridades 7,5 millones EUR 1%

Para pymes y startups, se aplica la menor de las dos cantidades (cantidad fija en EUR vs. porcentaje de facturacion). Para organizaciones mas grandes, se aplica la mayor.

Que hacer ahora

Si desarrollas o despliegas IA en el mercado europeo, aqui tienes un punto de partida practico:

  1. Determina tu clasificacion de riesgo. ¿Es tu sistema de alto riesgo segun el Anexo III? Esta es la pregunta mas importante. Si no estas seguro, la herramienta gratuita de clasificacion de riesgo de Annexa puede ayudarte a clasificar tu sistema en minutos.

  2. Empieza tu documentacion tecnica. El Anexo IV requiere documentacion en 7 secciones que cubren el proposito de tu sistema, su arquitectura, datos de entrenamiento, gestion de riesgos, metricas de rendimiento, supervision humana y plan de monitorizacion. Empezar pronto es mas facil que ir con prisas.

  3. No esperes al Digital Omnibus. Incluso si se adopta el mecanismo de "parar el reloj", necesitas demostrar un esfuerzo de cumplimiento de buena fe. Empezar ahora reduce el riesgo en cualquier caso.

  4. Sigue los desarrollos. Finlandia se convirtio en el primer pais de la UE con poderes de aplicacion totalmente operativos en enero de 2026. La AESIA de Espana esta operativa. Otros paises se estan poniendo al dia. La infraestructura de aplicacion se esta construyendo estes preparado o no.

La ventana entre ahora y agosto de 2026 es estrecha. Las organizaciones que empiecen ahora seran las que no tendran que improvisar despues.