Skip to main content

Plazos del EU AI Act 2025-2027: qué se aplica y cuándo

El EU AI Act entra en vigor de forma escalonada: cuatro fechas clave, cuatro paquetes de medidas. Esta guía muestra a las pymes qué es obligatorio y desde cuándo: prohibiciones, reglas para la GPAI, obligaciones de alto riesgo y sanciones.

Reservar comprobación de conformidad con el EU AI ActIniciar Wito Digital Audit (WDA) gratuito

¿Qué es el EU AI Act y cómo entra en vigor?

El EU AI Act (Reglamento (UE) 2024/1689) es la primera regulación legal integral de la inteligencia artificial a escala mundial. Entró en vigor el 1 de agosto de 2024 y despliega su plena eficacia a lo largo de un periodo escalonado de 36 meses, con cuatro fechas clave claramente definidas hasta agosto de 2027.

El Reglamento se aplica a todas las empresas que utilicen, desarrollen o comercialicen sistemas de IA en la UE, con independencia de su tamaño y de su sede. Esto significa que también una pyme de 15 personas que solo emplee herramientas de IA ya terminadas queda afectada como responsable del despliegue (deployer) conforme al art. 3, apdo. 4, del EU AI Act.

Panorama de las 4 fechas clave del EU AI Act

El EU AI Act estructura sus requisitos en cuatro etapas escalonadas en el tiempo. La lógica que las sustenta se basa en el riesgo: primero entran en vigor las prohibiciones para los sistemas de IA más peligrosos, después las obligaciones de transparencia para los modelos de IA de uso general, a continuación las amplias obligaciones de alto riesgo y, por último, las excepciones para determinadas categorías de productos regulados.

Según la Oficina Europea de IA de la Comisión (2025), se estima que solo en Alemania unas 15.000 pymes están directamente afectadas por los requisitos de alto riesgo. Al mismo tiempo, un estudio de Bitkom de 2025 muestra que el 64% de las pymes alemanas todavía no sabe que está afectado por el EU AI Act.

Las cuatro fechas clave pueden entenderse como olas de cumplimiento que se suceden y acumulan: cada ola trae nuevas obligaciones y, a partir de la fecha clave del 2 de agosto de 2026, las disposiciones del Reglamento se aplican en su totalidad conforme al art. 113 del EU AI Act, salvo regulación expresamente distinta. El BMWK recomienda expresamente a las empresas prepararse de forma progresiva y temprana para cada una de las fechas clave, en lugar de dejarlo todo para el último momento.

1ago 2024

Entrada en vigor — Comisión Europea

Quelle: Comisión Europea, 2024
2feb 2025

Prohibiciones (riesgo inaceptable) — art. 5

Quelle: EU AI Act art. 5, 2025
2ago 2025

Reglas de GPAI + autoridades — art. 51-56

Quelle: EU AI Act art. 51-56, 2025
2ago 2026

Obligaciones de IA de alto riesgo — art. 6-49

Quelle: EU AI Act art. 6-49, 2026

2 de febrero de 2025: prácticas de IA prohibidas (art. 5 del EU AI Act)

Seis meses después de la entrada en vigor, el 2 de febrero de 2025, entraron en vigor las prohibiciones para los sistemas de IA con riesgo inaceptable. Desde entonces, estas prácticas de IA están totalmente prohibidas en la UE. Toda empresa que siga operando tales sistemas actúa de forma ilícita desde esa fecha y se expone a multas de hasta 35 M EUR o el 7% de su facturación anual mundial.

Conforme al art. 5 del EU AI Act, están prohibidos los siguientes sistemas y prácticas de IA:

  • Puntuación social: sistemas de IA que evalúan a las personas en función de su comportamiento social o de características personales y derivan de ello desventajas sociales (como un sistema estatal de puntos).
  • Prácticas de IA manipuladoras: sistemas que emplean técnicas por debajo del umbral de la percepción para influir en el comportamiento humano y causar con ello un daño.
  • Aprovechamiento de vulnerabilidades: IA que explota las vulnerabilidades específicas de determinadas personas (edad, discapacidad) para influir en su comportamiento.
  • Vigilancia biométrica en tiempo real en espacios públicos por parte de las fuerzas y cuerpos de seguridad, con excepciones estrictas definidas en la ley.
  • Reconocimiento de emociones en el lugar de trabajo y en centros educativos, con excepciones para usos médicos o de seguridad.
  • Categorización biométrica según características sensibles (raza, opinión política, afiliación sindical, convicciones religiosas, orientación sexual).
  • Vigilancia policial predictiva basada en IA a partir de perfiles, sin un hecho concreto.

Especialmente relevante en la práctica para las pymes: quien utilizase análisis de estado de ánimo o de emociones mediante IA sobre las personas empleadas (p. ej., en herramientas de RR. HH., software de videoconferencia o monitorización de la productividad) debía desactivar estas funciones a más tardar el 2 de febrero de 2025 o acreditar que se acogen a la excepción médica. Según la guía de Bitkom sobre el EU AI Act 2024, muchas pymes habían activado estas funciones de forma inadvertida en su software estándar.

2 de agosto de 2025: reglas de GPAI, Oficina de IA y autoridades nacionales

Doce meses después de la entrada en vigor, el 2 de agosto de 2025, entraron en vigor las normas para los modelos de IA de uso general (General Purpose AI, GPAI) así como las estructuras institucionales. Esta fecha clave afecta a las pymes sobre todo de forma indirecta: los proveedores de los modelos de IA que las pymes utilizan a diario deben ser ahora demostrablemente conformes.

GPAI: ¿qué son los modelos de IA de uso general?

Los modelos GPAI son grandes modelos de IA que pueden entrenarse y emplearse para una amplia variedad de tareas, sin una vinculación a un fin específico. Ejemplos destacados son GPT-4 y GPT-5 (OpenAI), Claude (Anthropic), Gemini (Google DeepMind) y LLaMA (Meta). Conforme a los arts. 51 a 56 del EU AI Act, los proveedores de estos modelos deben cumplir, a partir del 2 de agosto de 2025, las siguientes obligaciones:

  • Facilitar la documentación técnica y las evaluaciones del modelo.
  • Publicar y respetar políticas de derechos de autor (política sobre los datos de entrenamiento).
  • Poner a disposición de los proveedores posteriores (que desarrollan sobre el modelo) toda la información pertinente.
  • En caso de riesgos sistémicos (modelos con una capacidad especialmente elevada; en 2025, un esfuerzo de entrenamiento superior a 10^25 FLOP) adoptar medidas de seguridad adicionales.

¿Qué significa esto para las pymes como usuarias?

Para las pymes como responsables del despliegue rige lo siguiente: solo pueden emplear modelos GPAI de proveedores que cumplan de forma demostrable los requisitos del EU AI Act. En la práctica, esto significa revisar y archivar la documentación de conformidad de los proveedores (p. ej., Microsoft, OpenAI, Google, Anthropic). Los proveedores de renombre ya han hecho pública esta documentación.

Oficina de IA y autoridades nacionales

También a partir del 2 de agosto de 2025, la Oficina Europea de IA es plenamente operativa. Es la autoridad central de la UE para vigilar el cumplimiento de las normas sobre GPAI. En paralelo, los Estados miembros de la UE deben designar sus autoridades nacionales de vigilancia del mercado para la IA; en Alemania se prevé que la Agencia Federal de Redes (Bundesnetzagentur) asuma este papel, si bien la decisión final del BMDV (Ministerio Federal de Asuntos Digitales y Transporte) aún está pendiente (situación: 2.º trimestre de 2026).

Según el análisis del EU AI Act de la Fundación Heinrich Böll 2024, la estructura institucional es un elemento central de la ley: sin autoridades nacionales en funcionamiento, las amenazas de multa son formalmente válidas, pero apenas ejecutables en la práctica. A partir de agosto de 2025 esto cambia: las autoridades reciben amplias facultades de investigación y de ejecución, incluidas las auditorías sin previo aviso.

2 de agosto de 2026: obligaciones de IA de alto riesgo y plena eficacia sancionadora

El 2 de agosto de 2026 es la fecha clave central del EU AI Act para la mayoría de las pymes afectadas. A partir de esa fecha, 24 meses después de la entrada en vigor, se aplican en su totalidad todos los requisitos para los sistemas de IA de alto riesgo conforme a los arts. 6 a 49 del EU AI Act. Al mismo tiempo, desde esa fecha clave rige la plena eficacia de las multas conforme al art. 99 del EU AI Act.

¿Qué sistemas son de alto riesgo?

Los sistemas de IA de alto riesgo están enumerados en el anexo III del Reglamento. Ámbitos especialmente relevantes para las pymes:

  • RR. HH. y gestión de personal: IA para la preselección de candidaturas, la evaluación del desempeño, la recomendación salarial o el despido. Afecta a toda mediana empresa con software de RR. HH. basado en IA.
  • Concesión de créditos: evaluación automatizada de la solvencia y scoring crediticio. Relevante para empresas con herramientas financieras basadas en IA.
  • Educación y formación profesional: decisiones de acceso o evaluación del alumnado mediante IA.
  • Infraestructuras críticas: IA en el abastecimiento de agua, la energía y el transporte.
  • Productos relevantes para la seguridad: IA en maquinaria, vehículos y productos sanitarios.

Obligaciones de los responsables del despliegue de sistemas de alto riesgo

Las pymes que operan sistemas de IA de alto riesgo deben cumplir, antes del 2 de agosto de 2026, los siguientes requisitos de los arts. 9 a 15 del EU AI Act:

  • Sistema de gestión de riesgos conforme al art. 9: sistema documentado para identificar, analizar y mitigar los riesgos a lo largo de todo el ciclo de vida del sistema de IA.
  • Aseguramiento de la calidad de los datos conforme al art. 10: garantizar que los datos de entrenamiento y de operación cumplen los requisitos de calidad, representatividad y ausencia de errores.
  • Documentación técnica conforme al art. 11: documentación exhaustiva del sistema de IA, sus finalidades, limitaciones y parámetros de rendimiento.
  • Registro y conservación de datos conforme al art. 12: registro automático de los eventos durante la operación de un sistema de alto riesgo.
  • Transparencia e información al usuario conforme al art. 13: información clara para los responsables del despliegue y los usuarios sobre las capacidades, las limitaciones y los deberes de supervisión.
  • Supervisión humana conforme al art. 14: control institucionalmente arraigado por parte de personas físicas; las medidas técnicas y organizativas deben hacerlo posible.
  • Evaluación de la conformidad conforme al art. 43: bien como autoevaluación, bien por terceros, según el tipo de sistema.

Multas a partir del 2 de agosto de 2026

La estructura de multas conforme al art. 99 del EU AI Act es considerable para las pymes: las infracciones de los requisitos de alto riesgo pueden sancionarse con hasta 15 M EUR o el 3% de la facturación anual mundial (rige el valor que sea mayor). Para una pyme con 10 M EUR de facturación, esto supone multas de hasta 300.000 EUR, solo por la falta de documentación de cumplimiento. Para las prácticas de IA prohibidas del art. 5 rige el marco aún más alto de 35 M EUR o el 7% de la facturación anual.

Según el ZEW Mannheim 2024, los costes únicos de cumplimiento para las pymes pueden situarse, según la complejidad, entre 50.000 y 400.000 EUR si todo se implementa internamente. Con apoyo externo y un modelo de actuación estructurado, este esfuerzo se reduce de forma considerable, y resulta mucho más barato que una sola multa.

El presente Reglamento será aplicable a partir del 2 de agosto de 2026, salvo disposición en contrario. El título I y el título II serán aplicables a partir del 2 de febrero de 2025. Las disposiciones sobre los modelos de IA de uso general del capítulo V del título VIII y las disposiciones de los capítulos I, II y VI del título VIII, así como el capítulo III del título IX, serán aplicables a partir del 2 de agosto de 2025.
Europäisches Parlament und Rat der Europäischen Union, Verordnung (EU) 2024/1689 — EU Artificial Intelligence Act, Art. 113, Amtsblatt der Europäischen Union, 2024

2 de agosto de 2027: último periodo transitorio para categorías especiales

Para determinados sistemas de IA de alto riesgo que están integrados en marcos europeos ya existentes de seguridad y conformidad de productos, rige un periodo transitorio ampliado hasta el 2 de agosto de 2027. Esta excepción está regulada en el art. 113, apdo. 2, del EU AI Act y afecta a los sistemas sujetos a un procedimiento de marcado CE conforme a otras directivas de armonización de la UE.

En concreto, están afectados los sistemas de IA de alto riesgo en las siguientes categorías de productos regulados:

  • Productos sanitarios conforme al Reglamento (UE) 2017/745 (MDR): software de diagnóstico basado en IA, IA de imagen en radiología, sistemas de recomendación terapéutica basados en IA.
  • Productos de diagnóstico in vitro conforme al Reglamento (UE) 2017/746 (IVDR): IA en el diagnóstico de laboratorio y en la interpretación de pruebas genéticas.
  • Juguetes conforme a la Directiva 2009/48/CE: funciones de IA en juguetes educativos interactivos.
  • Máquinas y ascensores: IA en controles de máquinas críticos para la seguridad, siempre que estén sujetos a la Directiva de máquinas.
  • Aviación y navegación marítima: sistemas de IA que ya están sujetos a otros regímenes de seguridad de la UE.

Para las pymes de los sectores de la fabricación, la tecnología médica y el juguete, esto significa que la fecha clave relevante no es agosto de 2026, sino agosto de 2027. No obstante, los preparativos básicos (inventario de IA, clasificación de riesgo, análisis de brechas) deberían estar concluidos a finales de 2025, para disponer de margen suficiente para la evaluación de la conformidad. La guía de Bitkom sobre el EU AI Act 2024 recomienda a las empresas de estos sectores aprovechar sus procedimientos CE existentes como base y completarlos con los requisitos específicos del AI Act.

Lista de acción: ¿qué hacer y para cuándo?

La siguiente lista resume los pasos de actuación más importantes para cada fecha clave. No sustituye al asesoramiento jurídico, pero ofrece un panorama orientado a la práctica de las medidas más importantes para las pymes.

Ahora mismo (recuperando lo pendiente del 2 de febrero de 2025)

  • Inventariar las herramientas de IA de la empresa, de forma completa, incluidas las funciones de IA en el software estándar (CRM, ERP, herramientas de RR. HH., paquetes ofimáticos).
  • Comprobar si hay funciones de reconocimiento de emociones o de puntuación activas: deben estar desactivadas o jurídicamente revisadas.
  • Elaborar una AI Policy (política interna de uso de la IA) que regule el uso permitido y prohibido de la IA por parte del personal.
  • Dotar a los chatbots y asistentes de IA de un aviso de transparencia ("Está chateando con un asistente de IA").

Antes del 2 de agosto de 2025 (fecha clave de la GPAI)

  • Solicitar y archivar la documentación de conformidad de los proveedores de GPAI utilizados (OpenAI, Google, Microsoft, Anthropic).
  • Asegurarse de que solo se utilizan modelos conformes con el EU AI Act; en su caso, valorar un cambio de proveedor.
  • Identificar el punto de contacto de la autoridad nacional (actualmente: la Agencia Federal de Redes) y definir internamente el proceso de escalado.

Antes del 2 de agosto de 2026 (fecha clave principal de alto riesgo)

  • Concluir la clasificación de riesgo de todos los sistemas de IA utilizados conforme al anexo III del EU AI Act.
  • Para los sistemas de alto riesgo: implementar la documentación técnica, el sistema de gestión de riesgos y los mecanismos de registro.
  • Llevar a cabo la evaluación de la conformidad de los sistemas de alto riesgo propios o modificados de forma significativa.
  • Arraigar institucionalmente los procesos de supervisión humana: designar responsables y definir reglas de escalado.
  • Formar al personal que maneja o supervisa los sistemas de IA.
  • Preparar el proceso de notificación de incidentes ante la autoridad nacional.

Antes del 2 de agosto de 2027 (solo categorías especiales)

  • Para productos sanitarios, juguetes y otros ámbitos regulados por el marcado CE: concluir la evaluación de la conformidad con el complemento del AI Act.
  • Ampliar la documentación CE existente con las acreditaciones específicas del AI Act.
  • Establecer una monitorización continua y una revisión anual del inventario de IA.

Häufige Fragen zu den EU-AI-Act-Stichtagen

A partir de cada fecha clave, su empresa actúa formalmente de forma ilícita y se expone a multas por parte de la autoridad nacional de vigilancia del mercado. En la práctica, cabe esperar que las autoridades se centren al principio en las infracciones graves (prácticas prohibidas, sistemas de alto riesgo sin documentación alguna). Sin embargo, esto no protege de forma permanente: incluso la falta de avisos de transparencia en un chatbot sencillo es sancionable tras las fechas clave correspondientes. Un esfuerzo de cumplimiento demostrable, aunque algunos puntos todavía estén en ejecución, es la mejor protección ante una inspección de la autoridad.
Sí. El EU AI Act se aplica, conforme al principio del lugar de mercado, a todas las empresas cuyos sistemas de IA se utilicen en la UE, con independencia de la sede de la empresa. Una empresa SaaS estadounidense que vende un sistema de IA de alto riesgo a pymes alemanas debe cumplir las obligaciones de proveedor del EU AI Act. Como responsable del despliegue (pyme) en Alemania, puede confiar en que los proveedores conformes presentan una declaración UE de conformidad; solicítela de forma activa.
GPAI significa General Purpose AI, es decir, modelos de IA de uso general como GPT-4/5, Claude, Gemini o LLaMA. Estos modelos no se desarrollan para un fin de uso específico, sino que pueden emplearse para una amplia variedad de tareas. A partir del 2 de agosto de 2025, los proveedores de estos modelos deben cumplir amplias obligaciones de transparencia y de seguridad. Para las pymes como usuarias, esto significa que deben comprobar si sus proveedores de IA pueden acreditar la conformidad GPAI. Los modelos GPAI no conformes ya no pueden utilizarse en la UE.
El EU AI Act no prescribe una figura formal de "AI Officer", como sí prevé la DSGVO para el delegado de protección de datos. No obstante, los responsables del despliegue de sistemas de alto riesgo deben arraigar institucionalmente la supervisión humana y poder acreditar responsabilidades designadas para el cumplimiento en materia de IA. En la práctica se recomienda designar a una persona interna o a un proveedor externo como responsable del cumplimiento en materia de IA, para superar las auditorías y cumplir los requisitos de supervisión humana documentada.
La evaluación de la conformidad conforme al art. 43 del EU AI Act varía según el tipo de sistema. Para la mayoría de los sistemas de alto riesgo es posible una autoevaluación por parte del proveedor, tomando como base normas armonizadas. Solo para determinados sistemas biométricos y críticos para la seguridad es obligatoria una evaluación por terceros. Como responsable del despliegue (pyme), usted comprueba en primer lugar la declaración de conformidad del proveedor. Si desarrolla por sí mismo un sistema de alto riesgo o lo modifica de forma significativa, realiza usted mismo la evaluación de la conformidad y elabora la declaración UE de conformidad.
Como principio general: cada fecha clave trae nuevas obligaciones que se aplican a todas las empresas afectadas. Las prohibiciones del art. 5 (febrero de 2025) rigen para todos, con independencia de la clase de riesgo de los sistemas utilizados. Las obligaciones de GPAI (agosto de 2025) le afectan como usuario de modelos de uso general. Las obligaciones de alto riesgo (agosto de 2026) solo le afectan si emplea efectivamente sistemas de alto riesgo. El plazo ampliado hasta agosto de 2027 rige exclusivamente para las categorías de productos reguladas por el marcado CE.
Los sistemas de IA existentes que se pusieron en servicio antes de la entrada en vigor del EU AI Act, el 1 de agosto de 2024, también quedan sujetos a los requisitos, si bien con los mismos periodos transitorios escalonados. No existe una regla de protección del statu quo para los sistemas ya utilizados. En el caso de los sistemas de alto riesgo que ya estén en uso antes del 2 de agosto de 2026, los requisitos de cumplimiento deben satisfacerse antes de esa fecha clave. Única excepción: los sistemas de categorías de productos reguladas por el marcado CE disponen de plazo hasta agosto de 2027.
Alemania aún no ha tomado una decisión definitiva sobre la autoridad nacional de vigilancia del mercado para la IA (situación: 2.º trimestre de 2026). El candidato más probable es la Agencia Federal de Redes (BNetzA), que ya cuenta con competencias en la regulación digital. La decisión corresponde al Ministerio Federal de Asuntos Digitales y Transporte (BMDV). Hasta la designación definitiva, las empresas pueden dirigir sus consultas al BMDV o a la Oficina de IA de la Comisión Europea. La Agencia Federal de Redes ya ha comenzado a desarrollar capacidades para la supervisión de la IA.

Reserve su comprobación de conformidad con el EU AI Act

Analizamos su uso de la IA, clasificamos sus sistemas según el EU AI Act y elaboramos una hoja de ruta de cumplimiento ajustada a cada fecha clave para su pyme, de forma pragmática y sin jerga jurídica.

Reservar sesión de asesoramientoIniciar Wito Digital Audit (WDA) gratuito
  • Hoja de ruta de cumplimiento ajustada a cada fecha clave
  • Clasificación de riesgo conforme al anexo III del EU AI Act
  • Paquetes de medidas concretos para cada fecha clave

Plazos del EU AI Act 2025-2027: qué se aplica y cuándo — guía para pymes

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen