EU AI Act: calendario completo de obligaciones para empresas en España (2025-2027)

Si diriges una empresa en España y usas inteligencia artificial de cualquier tipo, este artículo es para ti. No para mañana. Para ahora.

El Reglamento (UE) 2024/1689, más conocido como EU AI Act, entró en vigor el 1 de agosto de 2024. Y sus obligaciones se están desplegando en fases. La primera ya se cumplió en febrero de 2025. La siguiente gran fecha es agosto de 2026, cuando entran en vigor las obligaciones para sistemas de alto riesgo, que son las que afectan a la mayoría de empresas.

En Delbion llevamos meses ayudando a empresas a prepararse. Y lo que veo una y otra vez es lo mismo: confusión sobre qué hay que hacer, cuándo hay que hacerlo y qué consecuencias tiene no hacerlo.

Así que he decidido escribir la guía definitiva. Este artículo es el calendario completo del AI Act, desglosado fase por fase, con explicaciones prácticas para empresas españolas. Sin jerga innecesaria. Sin rodeos.

Qué es el EU AI Act

El EU AI Act es el primer marco regulatorio integral del mundo para la inteligencia artificial. Fue aprobado por el Parlamento Europeo en marzo de 2024 y publicado en el Diario Oficial de la UE el 12 de julio de 2024 como Reglamento (UE) 2024/1689.

A diferencia del RGPD, que regula datos personales, el AI Act regula sistemas de inteligencia artificial en función del riesgo que representan para las personas. Su enfoque es claro: cuanto mayor sea el riesgo de un sistema de IA, mayores son las obligaciones para quien lo desarrolla, despliega o utiliza.

Y aquí viene lo importante: el AI Act no solo aplica a empresas tecnológicas. Aplica a cualquier organización que use, desarrolle o distribuya sistemas de IA en la Unión Europea. Si tu empresa usa un chatbot para atención al cliente, un sistema de scoring para evaluar créditos, o una herramienta de IA para filtrar currículums, estás dentro del alcance de esta regulación.

El reglamento es de aplicación directa. No necesita transposición nacional. Eso significa que las obligaciones son las mismas en España, Alemania o Francia. Pero cada Estado miembro debe designar una autoridad nacional de supervisión. En España, esa autoridad es la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), creada por Real Decreto en agosto de 2023 y ya operativa.

Las 4 fases del calendario

El AI Act no entra en vigor de golpe. Se despliega en cuatro fases escalonadas a lo largo de tres años, desde febrero de 2025 hasta agosto de 2027. Cada fase añade nuevas obligaciones.

Esta es la visión general:

Veamos cada fase en detalle.

Fase 1 (2 de febrero de 2025): lo que ya debes cumplir

Esta fase ya ha pasado. Si no la has cubierto, estás en deuda técnica con la regulación.

Artículo 4: Alfabetización en IA (AI Literacy). Todas las organizaciones que operen sistemas de IA deben garantizar que su personal tenga un nivel suficiente de alfabetización en inteligencia artificial. Esto no es opcional. El artículo 4 exige que los proveedores y los operadores de sistemas de IA tomen medidas para asegurar que las personas que trabajan con estos sistemas entienden su funcionamiento, sus limitaciones y sus riesgos.

En la práctica, esto significa formación. Formación documentada y adaptada al perfil de cada persona. No basta con enviar un PDF. Tienes que poder demostrar que tus equipos han recibido la capacitación adecuada. Hemos diseñado un curso específico sobre el EU AI Act precisamente para cubrir esta obligación.

Artículo 5: Conocimiento de prácticas prohibidas. Desde febrero de 2025 también es obligatorio conocer qué sistemas de IA están prohibidos por el reglamento. El artículo 5 establece una lista de prácticas que se consideran de riesgo inaceptable. Aunque la prohibición efectiva entra en agosto de 2025 (fase 2), desde febrero las empresas ya deben ser conscientes de estas restricciones y empezar a evaluar si alguno de sus sistemas podría caer en esa categoría.

Si todavía no has abordado esta fase, te recomiendo que leas nuestro artículo sobre la formación obligatoria del artículo 4 y actúes cuanto antes.

Fase 2 (2 de agosto de 2025): prácticas prohibidas y código de conducta

A partir del 2 de agosto de 2025, los sistemas de IA considerados de riesgo inaceptable quedan prohibidos en la UE. Punto. Sin excepciones relevantes para el sector privado.

¿Qué queda prohibido exactamente?

• Manipulación subliminal o engañosa: sistemas de IA diseñados para manipular el comportamiento de personas de manera que cause o pueda causar daño físico o psicológico.
• Explotación de vulnerabilidades: IA que explote la edad, discapacidad o situación socioeconómica de personas para distorsionar su comportamiento.
• Scoring social por parte de autoridades públicas: sistemas de clasificación de ciudadanos basados en comportamiento social (al estilo del sistema chino).
• Identificación biométrica remota en tiempo real en espacios públicos con fines policiales (con excepciones muy limitadas).
• Predicción de criminalidad basada exclusivamente en perfiles o rasgos de personalidad.
• Scraping masivo de imágenes faciales de internet o CCTV para crear bases de datos de reconocimiento facial.
• Inferencia de emociones en el lugar de trabajo o en centros educativos (salvo por razones médicas o de seguridad).
• Categorización biométrica basada en raza, opiniones políticas, orientación sexual u otras categorías sensibles.

También en agosto de 2025 entran en vigor las reglas para los modelos de IA de propósito general (GPAI), como los modelos fundacionales tipo GPT, Gemini, Claude o Llama. Los proveedores de estos modelos deben cumplir con obligaciones de transparencia, documentación técnica y respeto del derecho de autor. Si un modelo GPAI presenta riesgo sistémico (por ejemplo, por su capacidad computacional de entrenamiento), las obligaciones se endurecen considerablemente.

Para la mayoría de empresas españolas que son usuarias de estos modelos y no desarrolladoras, la fase 2 significa revisar que ninguna de tus aplicaciones de IA encaje en la lista de prohibiciones. Y si trabajas con proveedores de modelos GPAI, verificar que ellos están cumpliendo con sus obligaciones.

Fase 3 (2 de agosto de 2026): el gran deadline

Aquí es donde la regulación golpea de verdad a las empresas. Y donde la mayoría no está preparada.

El 2 de agosto de 2026 entran en vigor las obligaciones completas para los sistemas de IA de alto riesgo. Esto incluye:

• Sistema de gestión de riesgos (Art. 9): un proceso continuo de identificación, análisis y mitigación de riesgos del sistema de IA a lo largo de todo su ciclo de vida.
• Gobernanza de datos (Art. 10): garantizar que los datos de entrenamiento, validación y prueba son relevantes, representativos, completos y libres de errores en la medida de lo posible.
• Documentación técnica (Art. 11): documentación detallada que demuestre la conformidad del sistema con los requisitos del reglamento.
• Registro automático de eventos (Art. 12): los sistemas deben registrar automáticamente los eventos relevantes (logs) durante su funcionamiento, con trazabilidad completa.
• Transparencia e información a los usuarios (Art. 13): instrucciones de uso claras para los operadores, incluyendo limitaciones y riesgos conocidos.
• Supervisión humana (Art. 14): los sistemas de alto riesgo deben estar diseñados para que puedan ser supervisados eficazmente por personas.
• Precisión, robustez y ciberseguridad (Art. 15): niveles adecuados de exactitud, resistencia a errores y protección frente a ataques.
• Evaluación de conformidad (Art. 43): antes de poner en servicio un sistema de alto riesgo, hay que realizar una evaluación de conformidad (en muchos casos, autoevaluación).
• Marcado CE (Art. 48): los sistemas conformes deben llevar el marcado CE.
• Registro en la base de datos de la UE (Art. 71): los proveedores y operadores de sistemas de alto riesgo deben registrarlos en la base de datos pública de la UE antes de su puesta en el mercado.
• Evaluación de impacto en derechos fundamentales (FRIA) (Art. 27): obligatoria para ciertos operadores de sistemas de alto riesgo, especialmente organismos públicos y entidades que prestan servicios públicos.

Faltan menos de cinco meses para esta fecha. Si tu empresa opera sistemas de IA que podrían clasificarse como de alto riesgo y no has empezado a trabajar en el cumplimiento, el tiempo es muy justo. Nuestro programa de formación sobre el EU AI Act está diseñado precisamente para ayudar a equipos a entender estas obligaciones y poner en marcha un plan de acción antes de agosto.

Fase 4 (2 de agosto de 2027): obligaciones restantes

La cuarta y última fase cierra el despliegue del AI Act. El 2 de agosto de 2027 entran en vigor las obligaciones para los sistemas de IA de alto riesgo que forman parte de productos regulados por la legislación de armonización de la UE recogida en el Anexo I del reglamento. Estos incluyen:

• Maquinaria (Reglamento 2023/1230)
• Juguetes (Directiva 2009/48/CE)
• Embarcaciones de recreo (Directiva 2013/53/UE)
• Ascensores (Directiva 2014/33/UE)
• Equipos a presión (Directiva 2014/68/UE)
• Productos sanitarios y dispositivos médicos (Reglamentos 2017/745 y 2017/746)
• Aviación civil (Reglamento 2018/1139)
• Vehículos de motor y sus remolques (Reglamento 2019/2144)

Si tu empresa fabrica o integra IA en alguno de estos tipos de productos, esta es tu fecha límite. Para el resto de empresas, el deadline relevante es agosto de 2026.

Cómo clasificar tus sistemas de IA por riesgo

El AI Act establece cuatro niveles de riesgo. La clasificación de cada sistema determina qué obligaciones aplican.

Riesgo inaceptable (prohibido)

Son los sistemas listados en el artículo 5 que mencioné en la fase 2. Manipulación subliminal, scoring social, reconocimiento biométrico masivo, etc. Estos sistemas no pueden operar en la UE bajo ninguna circunstancia (con excepciones muy limitadas para seguridad nacional).

Riesgo alto

Aquí es donde encaja la mayoría de las aplicaciones de IA empresarial que toman decisiones sobre personas. El Anexo III del reglamento detalla las categorías. Las más relevantes para empresas españolas son:

• Recursos humanos y selección de personal: sistemas que filtran CVs, evalúan candidatos, asignan tareas o toman decisiones sobre promociones, despidos o evaluaciones de rendimiento.
• Acceso a servicios esenciales: scoring de crédito, evaluación de riesgos para seguros, priorización de servicios de emergencia.
• Educación y formación: sistemas que determinan el acceso a instituciones educativas o evalúan a estudiantes.
• Biometría: sistemas de identificación biométrica remota (los que no están prohibidos).
• Infraestructuras críticas: IA utilizada en la gestión de redes de agua, gas, electricidad o tráfico.
• Administración de justicia y procesos democráticos: sistemas que asisten en la interpretación de leyes o en la gestión de procesos electorales.
• Migración, asilo y control de fronteras: evaluación de riesgos, verificación de documentos, tramitación de solicitudes.

Si tu empresa usa IA para decidir a quién contratar, a quién dar un préstamo, o cómo evaluar el rendimiento de los empleados, es muy probable que estés operando un sistema de alto riesgo.

Riesgo limitado

Sistemas con obligaciones de transparencia. El ejemplo clásico: los chatbots. Si un usuario interactúa con un sistema de IA, hay que informarle de que está hablando con una máquina, no con una persona. Lo mismo aplica a deepfakes y contenido generado por IA: hay que etiquetarlo como tal.

Riesgo mínimo

Filtros de spam, IA en videojuegos, sistemas de recomendación de contenido... Estos sistemas no tienen obligaciones específicas bajo el AI Act, aunque se recomienda seguir códigos de conducta voluntarios.

La clave está en el riesgo alto. Si no sabes dónde encajan tus sistemas, necesitas una evaluación formal. En nuestro curso de gobernanza de IA y gestión de riesgos enseñamos a hacer esa clasificación paso a paso.

Sanciones: hasta 35 millones de euros o el 7% de facturación

El AI Act tiene dientes. Las sanciones están diseñadas para que ninguna empresa considere el incumplimiento como una opción rentable.

El régimen sancionador tiene tres niveles:

Para PYMES y startups, el reglamento prevé sanciones proporcionadas. Pero "proporcionada" no significa indolora. Una multa del 3% de la facturación puede ser suficiente para cerrar una empresa mediana.

En España, la AESIA será la encargada de aplicar estas sanciones. Aunque el organismo está en fase de desarrollo operativo, ya tiene mandato y capacidad inspectora. No esperes a que llamen a tu puerta para prepararte.

Un dato importante: el AI Act también contempla la posibilidad de que particulares y organizaciones presenten reclamaciones ante la autoridad nacional. Esto significa que un empleado, un candidato descartado por un sistema de IA, o una asociación de consumidores pueden activar una investigación contra tu empresa.

Plan de acción: qué hacer ahora

Si has llegado hasta aquí, ya tienes una imagen clara de lo que viene. La pregunta es: ¿qué haces con esta información?

Después de trabajar con decenas de empresas en la preparación para el AI Act, este es el plan de acción que recomiendo:

Agosto de 2026 parece lejos. No lo está. Implementar un sistema de gestión de riesgos de IA, documentar cada sistema, formar al equipo, hacer las evaluaciones de conformidad y registrar todo en la base de datos europea lleva meses de trabajo. Si ademas tu empresa necesita cumplir con NIS2 o ya tiene una certificacion ISO 27001, puedes integrar el marco del AI Act en tu sistema de gestion existente y ahorrar esfuerzo. Las empresas que están empezando ahora van justas. Las que aún no han empezado van tarde.

Si necesitas un punto de partida sólido, nuestros programas de formación cubren tanto el marco regulatorio como la implementación práctica. Y si prefieres que evaluemos tu situación directamente, podemos hacer una auditoría inicial para mapear exactamente dónde estás y qué te falta.

El AI Act no es una amenaza. Es un marco que, bien gestionado, convierte el cumplimiento en una ventaja competitiva. Pero para eso hay que moverse. Y hay que moverse ahora.