Ley IA UE: Plazos Clave de Cumplimiento para 2027-2028

La Ley de IA de la UE ha pasado de la teoría a la realidad operativa. Tres plazos clave anclan los próximos dos años: el 2 de agosto de 2026 para las obligaciones de transparencia, el 2 de diciembre de 2027 para la mayoría de los sistemas autónomos de alto riesgo, y el 2 de agosto de 2028 para la IA de alto riesgo integrada en productos ya regulados. Un error de cálculo en cualquiera de ellos conlleva multas de hasta 35 millones de euros o el 7% de la facturación global.

En resumen

Esta guía convierte el denso texto legal de la Ley de IA en un plan de proyecto. Verá qué actores tienen qué obligaciones, la clasificación de riesgo que determina su carga regulatoria, un cronograma hito a hito hasta 2028, y los ocho deberes principales (Artículos 9-15, 43) que todo proveedor de un sistema de alto riesgo debe cumplir antes del límite de diciembre de 2027.

Pirámide de riesgo

Cómo clasifica la Ley los sistemas de IA por riesgo

El principio central de la Ley se basa en el riesgo: el nivel de regulación que enfrenta un sistema de IA está ligado al riesgo que representa para la salud, la seguridad y los derechos fundamentales. Cuatro categorías son la base de cada obligación posterior.

01

Riesgo inaceptable

Prohibido desde el 2 de febrero de 2025. Incluye la puntuación social por parte de autoridades públicas y la mayoría de la identificación biométrica remota en tiempo real en espacios públicos.

02

Alto riesgo

La categoría más regulada. Cubre la IA en infraestructura crítica, educación, empleo, aplicación de la ley y dispositivos médicos; se aplican reglas estrictas previas y posteriores a la comercialización.

03

Riesgo limitado

Deberes específicos de transparencia: los usuarios deben saber que están interactuando con un chatbot de IA, y el contenido generado por IA, como los deepfakes, debe estar claramente etiquetado.

04

Riesgo mínimo

Filtros de spam, IA en videojuegos y la mayoría de otros sistemas. No hay nuevas obligaciones, aunque se fomentan los códigos de conducta voluntarios.

Quién es responsable

Cuatro actores en la cadena de valor de la IA

La Ley distribuye la responsabilidad a lo largo del ciclo de vida. Saber exactamente qué papel desempeña su organización —y dónde se encuentran los traspasos— es el primer paso para determinar la carga de trabajo.

Principal titular de la obligación

Proveedores

Organizaciones que desarrollan un sistema de IA (o encargan su desarrollo) y lo introducen en el mercado de la UE bajo su propio nombre o marca. Los proveedores asumen la mayor parte de la carga: evaluación de la conformidad, documentación técnica, supervisión posterior a la comercialización.

Responsabilidad operativa

Desplegadores (usuarios)

Cualquier organización que utilice un sistema de IA de alto riesgo bajo su autoridad, excluyendo el uso personal y no profesional. Responsable de seguir las instrucciones del proveedor y mantener una supervisión humana efectiva en producción.

Puerta de enlace transfronteriza

Importadores

Entidades con sede en la UE que introducen un sistema de IA de un tercer país en el mercado de la UE. Deben verificar que el proveedor extranjero ha completado los procedimientos de evaluación de la conformidad necesarios antes de que el sistema entre en el mercado único.

Verificación final

Distribuidores

Entidades en la cadena de suministro —distintas del proveedor o importador— que ponen un sistema de IA a disposición en el mercado de la UE. Deben verificar que el sistema lleva el marcado CE requerido y va acompañado de la documentación necesaria.

Cronograma

Tres plazos que anclan su hoja de ruta

La Ley entró en vigor a mediados de 2024, iniciando la cuenta atrás para su plena aplicación. Las fechas a continuación reflejan la enmienda "AI Act Omnibus" de mayo de 2026, que amplió varios plazos y estableció marcos específicos por sector.

1

2 de agosto de 2026 · Obligaciones de transparencia

Primer plazo importante que afecta a una amplia gama de sistemas de IA. Según el Artículo 50, los sistemas de riesgo limitado deben revelar la interacción con IA (p. ej., chatbots), etiquetar el contenido generado por IA (deepfakes, medios sintéticos) e informar a los usuarios sobre el reconocimiento de emociones o la categorización biométrica.

2

2 de diciembre de 2027 · Aplicación completa para sistemas de alto riesgo

El plazo más significativo de la Ley. La mayoría de los sistemas de IA de alto riesgo autónomos en el mercado de la UE deben cumplir plenamente. Esto no es un ejercicio de lista de verificación, exige un cambio fundamental en cómo se desarrolla, documenta y supervisa la IA. Las ocho obligaciones principales se encuentran a continuación.

3

2 de agosto de 2028 · IA de alto riesgo en productos regulados

Un año adicional para la IA que es un componente de productos ya cubiertos por las leyes de seguridad de la UE —maquinaria, juguetes, dispositivos médicos, diagnósticos regulados por IVDR. Tras la Omnibus de mayo de 2026, la maquinaria recibió una exención completa para integrar los requisitos de la Ley de IA directamente en los marcos de seguridad existentes.

Obligaciones de alto riesgo

Ocho deberes antes del límite de diciembre de 2027

Para los proveedores que introducen sistemas autónomos de alto riesgo en el mercado, los Artículos 9 a 15 y 43 definen la base. Todos ellos deben estar implementados —y de forma demostrable— antes del plazo de diciembre de 2027.

  • Artículo 9 · Sistema de gestión de riesgos. Continuo, documentado, a lo largo de todo el ciclo de vida. Identificar riesgos previsibles, evaluarlos, adoptar medidas de mitigación.
  • Artículo 10 · Datos y gobernanza de datos. Los conjuntos de datos de entrenamiento, validación y prueba deben ser relevantes, representativos y lo más libres de sesgos posible. Deben existir prácticas de gobernanza.
  • Artículo 11 · Documentación técnica. Documentación detallada según el Anexo IV, elaborada antes de que el sistema se introduzca en el mercado y mantenida actualizada.
  • Artículo 12 · Mantenimiento de registros y logs. Los sistemas deben registrar eventos automáticamente mientras están en funcionamiento, permitiendo la trazabilidad y la supervisión posterior a la comercialización.
  • Artículo 13 · Transparencia e instrucciones de uso. Los sistemas deben ser lo suficientemente transparentes para que los usuarios interpreten correctamente los resultados, con instrucciones completas para los desplegadores posteriores.
  • Artículo 14 · Supervisión humana. Supervisión efectiva por diseño: las personas deben poder intervenir, anular o detener el sistema.
  • Artículo 15 · Precisión, robustez, ciberseguridad. Rendimiento consistente a lo largo del ciclo de vida, resiliencia a errores y ataques adversarios.
  • Artículo 43 · Evaluación de la conformidad. Demostrar el cumplimiento y, a continuación, colocar el marcado CE antes de la comercialización.

Plazos de un vistazo

El calendario de cumplimiento

PlazoAlcanceEjemplo concreto
2 de agosto de 2026Obligaciones de transparencia para sistemas de riesgo limitadoEtiquetado de un chatbot de atención al cliente o un video deepfake
2 de diciembre de 2027La mayoría de los sistemas de IA de alto riesgo autónomosIA para puntuación crediticia o selección de personal
2 de agosto de 2028IA de alto riesgo como componentes de seguridad de productos bajo otras regulaciones de la UEFunción de seguridad impulsada por IA en un automóvil o una IA de diagnóstico en un dispositivo médico

Más allá de los plazos

El cumplimiento es un programa, no un proyecto

Cumplir los plazos de la Ley de IA no es la meta, sino el pistoletazo de salida. La Oficina Europea de IA publicará guías, se actualizarán los estándares y las interpretaciones legales evolucionarán. El cumplimiento estático es una contradicción en sí mismo.

Las organizaciones deben realizar una supervisión continua posterior a la comercialización, rastreando cómo se comporta cada sistema de alto riesgo en producción e informando de incidentes graves. La consulta manual a la Oficina de IA, las autoridades nacionales y los organismos de normalización no será escalable. La supervisión automatizada del cumplimiento convierte la deriva regulatoria en una señal gestionada.

  • Supervisar los cambios regulatorios. Rastrear automáticamente nuevas guías, actos delegados y estándares armonizados vinculados a la Ley de IA.
  • Seguir el discurso de los stakeholders. Comprender cómo los reguladores, competidores y la sociedad civil interpretan las reglas en tiempo real.
  • Identificar riesgos emergentes. Obtener alertas tempranas sobre nuevas exposiciones de cumplimiento o amenazas reputacionales vinculadas a sistemas de IA ya en producción.

El ejecutor

La Oficina Europea de IA

Ubicada dentro de la Comisión Europea, la Oficina de IA es el organismo central de implementación y aplicación de la Ley. Supervisa directamente a los proveedores de modelos de IA de propósito general con riesgos sistémicos, emite guías y códigos de práctica, coordina a las autoridades nacionales para mantener una aplicación uniforme en todos los estados miembros y apoya el desarrollo de estándares técnicos.

ℹ️ La Oficina de IA es la fuente principal de interpretación oficial. La supervisión de sus publicaciones —actos delegados, notas de orientación, códigos de práctica— debe ser un flujo de trabajo continuo, no una verificación ad-hoc.

Plan de acción

Tres movimientos antes de 2027

A medida que se acercan los plazos de 2027 y 2028, el enfoque pasa de diseñar el marco a ponerlo a prueba.

1

Audite sus clasificaciones

Reevalúe el inventario de IA. ¿Han cambiado algunos sistemas de manera que alteren su clasificación de riesgo? ¿Se están desarrollando nuevos sistemas que caen en la categoría de alto riesgo?

2

Ponga a prueba la documentación

La documentación técnica y los marcos de gestión de riesgos son artefactos vivos. Revíselos según la última guía de la Oficina de IA para asegurarse de que sigan siendo robustos y completos.

3

Automatice la recopilación de inteligencia

Las alertas por palabras clave ya no son suficientes. El desafío es la relación señal-ruido: un sistema que analice guías, actos delegados y posiciones de los stakeholders, y entregue inteligencia lista para la toma de decisiones con una cadencia que coincida con la del regulador.

La Ley de IA de la UE establece un precedente global para la regulación tecnológica. Navegar por su cronograma y requisitos continuos exige más que una revisión legal: requiere un enfoque estratégico y habilitado por la tecnología para el cumplimiento y la gestión de riesgos.

Navegue el panorama cambiante de la Ley de IA con confianza

Vaya más allá de las listas de verificación estáticas y vea cómo nuestra plataforma transforma la información pública no estructurada en una ventaja de cumplimiento clara y accionable.

Descubra nuestra solución de monitoreo de cumplimiento de la Ley de IA de la UE →

Continuar leyendo

State Election Monitoring: Fixing the National Policy Blind Spot
27 de mayo de 2026 · Artículo

Monitoreo de Elecciones Estatales: Solucionando el Punto Ciego de la Política Nacional

23 de mayo de 2026 · Artículo

Cómo Construir un Programa Efectivo de Detección de Medios Adversos para Proveedores

EU-Mercosur Trade Agreement Explained (2026 Guide)
22 de mayo de 2026 · Artículo

Acuerdo Comercial UE-Mercosur Explicado (Guía 2026)

Más en Guía

Díganos qué necesita monitorear

Sin spam. Sin registro automático. Nos pondremos en contacto directamente con usted para discutir su configuración.