Calendario del AI Act: todos los plazos de 2024 a 2027

Un cumplimiento progresivo, no un big bang

El AI Act no se aplica de golpe. El legislador europeo escalonó deliberadamente las obligaciones en tres años para dar a las organizaciones tiempo de adaptación. Pero esta progresividad tiene doble filo: cada plazo vencido se convierte en un riesgo inmediato de incumplimiento.

Comprender este calendario es indispensable para planificar las acciones, asignar los presupuestos y movilizar a los equipos adecuados en el momento oportuno.

1 août 2024

Entrée en vigueur du règlement

2 février 2025

Pratiques interdites

2 août 2025

Gouvernance & Article 4

2 août 2026

Systèmes à haut risque

2 août 2027

Application complète

Detalle de cada fase

Fase 1 — 1 de agosto de 2024: entrada en vigor

El Reglamento (UE) 2024/1689 se publica en el Diario Oficial y entra en vigor. En esta etapa, ninguna obligación concreta se aplica aún a las empresas. Es el período de gracia — el momento en que las organizaciones bien preparadas toman ventaja.

Lo que debe hacer: comenzar el inventario de sus sistemas de IA y nombrar un responsable de cumplimiento del AI Act.

Fase 2 — 2 de febrero de 2025: prácticas prohibidas

Es el primer plazo vinculante. Cuatro categorías de sistemas de IA están ahora prohibidas:

• Scoring social: todo sistema que clasifique a las personas sobre la base de su comportamiento social
• Manipulación subliminal: técnicas que influyen en las decisiones sin que la persona sea consciente
• Explotación de vulnerabilidades: sistemas dirigidos a personas en situación de debilidad (edad, discapacidad, situación económica)
• Reconocimiento de emociones en el trabajo y en la escuela: salvo casos médicos o de seguridad estrictamente acotados

Artículo 5 — Règlement (UE) 2024/1689

Quedan prohibidas las siguientes prácticas de inteligencia artificial: […] la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que explote cualquiera de las vulnerabilidades de una persona debidas a su edad, discapacidad o situación social o económica.

Lo que debe hacer: auditar todas sus herramientas de IA existentes para verificar que ninguna entra en estas categorías. Prestar especial atención a las herramientas de reclutamiento, scoring de clientes y vigilancia.

Fase 3 — 2 de agosto de 2025: gobernanza y obligación de formación

Es el plazo más subestimado — y el más urgente para la mayoría de las empresas.

El Artículo 4 exige una formación proporcionada al rol y a la exposición de cada persona. No se trata de un e-learning genérico: las organizaciones deben poder demostrar que las competencias adquiridas se adaptan al contexto de uso.

En paralelo, esta fase incluye:

• La puesta en marcha de las autoridades nacionales de supervisión en cada Estado miembro — en España, la AEPD y la Secretaría de Estado de Digitalización e Inteligencia Artificial desempeñan un papel central en esta coordinación
• La publicación de códigos de buenas prácticas para la IA de uso general (modelos de base como GPT, Gemini, Claude)

📄AI Act Artículo 4: la obligación de formación en IA explicada→

Lo que debe hacer:

• Desplegar un programa de desarrollo de competencias en IA que cubra a todos los colaboradores expuestos
• Documentar las formaciones realizadas y los niveles alcanzados (pruebas auditables)
• Establecer una gobernanza de IA con roles y responsabilidades claros

Fase 4 — 2 de agosto de 2026: sistemas de alto riesgo

Las obligaciones más estrictas del reglamento entran en vigor. Todo sistema de IA clasificado como “alto riesgo” (Anexo III) debe cumplir un marco de conformidad estricto:

• Evaluación de conformidad documentada
• Sistema de gestión de riesgos
• Gobernanza de los datos de entrenamiento
• Documentación técnica completa
• Supervisión humana integrada en el funcionamiento del sistema
• Obligaciones de transparencia hacia los usuarios

Los sectores más afectados: RRHH y reclutamiento, crédito y seguros, sanidad, educación, justicia, inmigración, infraestructuras críticas. En España, esto concierne directamente a los sistemas de scoring de BBVA, Santander y CaixaBank, a los sistemas automatizados de la Seguridad Social y la Agencia Tributaria, y a las herramientas de IA desplegadas en el sistema sanitario público.

📄Gobernanza de IA en la empresa: 5 pasos para estructurarse→

Lo que debe hacer:

• Finalizar la clasificación de todos sus sistemas de IA según los niveles de riesgo
• Para cada sistema de alto riesgo, constituir el expediente técnico requerido
• Integrar los mecanismos de supervisión humana en sus procesos

Fase 5 — 2 de agosto de 2027: aplicación completa

Todas las disposiciones del reglamento son aplicables, incluidas para los sistemas de IA que ya estaban en el mercado antes de la entrada en vigor. Las sanciones son plenamente ejecutables:

• Hasta 35 millones de euros o el 7 % de la facturación mundial para prácticas prohibidas
• Hasta 15 millones de euros o el 3 % de la facturación para otras infracciones
• Hasta 7,5 millones de euros o el 1,5 % de la facturación para declaraciones inexactas

📄Regulación de la IA en Europa: la guía completa 2026→

Por dónde empezar ahora

Si está leyendo esto en 2026, el plazo del Artículo 4 ya ha vencido. La prioridad absoluta es poder demostrar que su organización ha tomado medidas concretas para formar a sus equipos.

Este es el orden de prioridad recomendado:

1. Inmediato — Verificar la ausencia de prácticas prohibidas (ya en vigor)
2. Inmediato — Implementar un programa de formación en IA documentado (Artículo 4, en vigor desde agosto 2025)
3. En 6 meses — Clasificar sus sistemas de IA y preparar el cumplimiento de alto riesgo (agosto 2026)
4. En 18 meses — Completar el cumplimiento total (agosto 2027)

El calendario es ajustado, pero el enfoque progresivo del legislador es una ventaja para las organizaciones que empiezan ahora. Las que esperen al plazo final se enfrentarán a un muro de cumplimiento imposible de franquear en unos meses.

📄Formación en IA para empresas: la guía estratégica 2026→