El calendario de plazos del Reglamento de IA de la UE: tres oleadas hasta 2028

Una fecha solía vertebrar cada conversación sobre el Reglamento de IA de la UE: el 2 de agosto de 2026. Tras el AI Omnibus, que desplazó el régimen de alto riesgo al 2 de diciembre de 2027 y el régimen de producto integrado al 2 de agosto de 2028, esa fecha única ya no refleja la realidad. El Reglamento se articula ahora en tres plazos independientes, en tres vías independientes, cada una con su propio ámbito de aplicación, exposición a sanciones y trabajo preparatorio. Este artículo es el calendario actual de la práctica: qué obligaciones se aplican efectivamente en cada fecha, qué productos SaaS se sitúan en cada vía, y el trabajo mínimo que requiere cada vía antes de su respectivo plazo.

Oleada 1: artículo 50, transparencia del proveedor de IAGP y gobernanza (2 de agosto de 2026)

Tres bloques de obligaciones comienzan a aplicarse el 2 de agosto de 2026.

Transparencia del artículo 50. Toda interfaz de SaaS en la que una persona física interactúe con un sistema de IA debe divulgar ese hecho. Todo contenido generado por IA (texto, imagen, audio, vídeo) debe llevar una marca de procedencia legible por máquina. Toda función de reconocimiento de emociones o categorización biométrica debe informar al usuario. Todo «deepfake» debe estar etiquetado. Esta es la oleada que afecta a casi todos los SaaS que distribuyen IA en la UE, independientemente del sector o perfil de riesgo. Banda de sanciones: 15 millones de euros o el 3 % en virtud del artículo 99, apartado 4.

Obligaciones del proveedor de IAGP en virtud del capítulo V. Los proveedores de modelos de IA de uso general que hayan comercializado un modelo en el mercado de la UE después del 2 de agosto de 2025 deben cumplir los deberes de transparencia del artículo 53 (resumen de datos de entrenamiento, política de derechos de autor, documentación técnica). Los proveedores de modelos de IAGP con riesgo sistémico (capacidad de cómputo de entrenamiento superior a 10²⁵ FLOP) deben cumplir adicionalmente el artículo 55. Estas obligaciones vinculan a los proveedores de modelos de frontera, no a los SaaS que utilizan dichos modelos a través de una API. Un SaaS que ajuste finamente un modelo de IAGP hasta el punto de modificación sustancial en virtud del artículo 25 puede adquirir la condición de proveedor por derecho propio.

Marco de gobernanza en virtud del capítulo VII. El Consejo de IA, la Oficina de IA, las autoridades nacionales competentes y el panel científico entran en funcionamiento. Las autoridades nacionales de vigilancia del mercado, designadas por los Estados miembros antes del 2 de agosto de 2025, asumen la responsabilidad de supervisión. Desde el punto de vista de la aplicación coercitiva, el 2 de agosto de 2026 es el día en que la maquinaria institucional comienza a funcionar. Banda de sanciones por infracciones de gobernanza: 15 millones de euros o el 3 % en virtud del artículo 99, apartado 4.

Oleada 2: obligaciones de alto riesgo del anexo III (2 de diciembre de 2027)

El anexo III enumera ocho categorías de uso de IA de alto riesgo: biometría, infraestructuras críticas, educación, empleo, servicios esenciales (incluidas la calificación crediticia y la fijación de precios de seguros), aplicación de la ley, migración y control de fronteras, justicia y procesos democráticos. Los SaaS en sectores regulados (HR tech, edtech, fintech de calificación crediticia, healthtech de triaje, legaltech) tienen habitualmente al menos una función comprendida en el anexo III.

El AI Omnibus, acordado políticamente el 7 de mayo de 2026 y adoptado el 19 de noviembre de 2025, desplazó la fecha de aplicación del anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027. El contenido del régimen de alto riesgo no cambió. Sigue aplicándose la clasificación del artículo 6, apartado 2. Siguen aplicándose los artículos 9 a 15 (gestión de riesgos, gobernanza de datos, documentación técnica, registro, transparencia frente a los responsables del despliegue, supervisión humana, exactitud y solidez). Sigue aplicándose la evaluación de la conformidad del artículo 43. Sigue aplicándose el registro en la base de datos de IA de la UE del artículo 49. Los dieciocho meses que median hasta diciembre de 2027 son el mínimo realista para un SaaS que no ha iniciado el trabajo. Banda de sanciones: 15 millones de euros o el 3 % en virtud del artículo 99, apartado 4. Análisis completo: véase el pilar del anexo III.

Oleada 3: obligaciones de producto integrado del anexo I (2 de agosto de 2028)

El artículo 6, apartado 1, clasifica un sistema de IA como de alto riesgo cuando está destinado a utilizarse como componente de seguridad de un producto, o es en sí mismo un producto, amparado por la legislación de armonización de la Unión enumerada en el anexo I, Y el producto debe someterse a una evaluación de la conformidad por terceros. El anexo I abarca el Reglamento de Maquinaria, el Reglamento de Productos Sanitarios, el Reglamento de Productos Sanitarios para Diagnóstico In Vitro, la directiva sobre juguetes, ascensores, equipos radioeléctricos, equipos a presión, instalaciones de transporte por cable, equipos de protección individual, aparatos de gas, embarcaciones de recreo, aviación civil, vehículos de motor, vehículos agrícolas y forestales, vehículos de dos y tres ruedas, y equipos marinos.

El AI Omnibus desplazó la fecha de aplicación del anexo I del 2 de agosto de 2027 al 2 de agosto de 2028 para alinearse con la capacidad de los organismos notificados y la publicación de normas armonizadas. Se aplican las mismas obligaciones de los artículos 9 a 15, integradas con el procedimiento de evaluación de la conformidad específico del sector. Los SaaS integrados en hardware regulado (apoyo a la decisión de productos sanitarios, sistemas de visión para maquinaria, IA de automoción) se sitúan en esta oleada. Los SaaS de software puro que no se convierten en componente de seguridad de un producto regulado, no. Banda de sanciones: 15 millones de euros o el 3 % en virtud del artículo 99, apartado 4. Análisis completo: véase el pilar del anexo I.

Fechas ya transcurridas y lo que exigen ahora

Tres fechas ya han generado obligaciones.

1 de agosto de 2024. El Reglamento (UE) 2024/1689 entró en vigor. En esta fecha no se activó ninguna obligación operativa.

2 de febrero de 2025. Las prácticas prohibidas del artículo 5 se tornaron ejecutables. Si su producto lleva a cabo puntuación social de personas físicas, extracción masiva no dirigida de imágenes faciales, IA manipuladora que explote vulnerabilidades, identificación biométrica remota en tiempo real en espacios públicos por parte de las fuerzas del orden, categorización biométrica por características sensibles, elaboración de perfiles predictivos con fines policiales, reconocimiento de emociones en el lugar de trabajo o en entornos educativos, o cualquiera de las demás prohibiciones del artículo 5, ha estado incumpliendo el Reglamento desde esta fecha. Banda de sanciones: 35 millones de euros o el 7 % en virtud del artículo 99, apartado 3. El AI Omnibus no modificó las fechas del artículo 5. El AI Omnibus añadió una nueva prohibición: la IA que genere contenido sexualmente explícito no consensuado o material de abuso sexual infantil.

2 de agosto de 2025. Pasaron a ser aplicables las obligaciones del proveedor de IAGP en virtud del capítulo V, el marco de gobernanza en virtud del capítulo VII, el marco de notificación en virtud de la sección 4 del capítulo III, el régimen de sanciones para IAGP en virtud del capítulo XII, y el artículo 78 (confidencialidad). Los proveedores de modelos de frontera han venido cumpliendo desde esta fecha. Los responsables del despliegue de SaaS no están vinculados por estas disposiciones; sí lo están por las obligaciones del artículo 50 que se activarán el 2 de agosto de 2026.

Lo que esto significa en la práctica. Si es usted un SaaS que no ha realizado una auditoría del artículo 5, hágala ahora. Si utiliza una IAGP a través de una API, verifique que las divulgaciones del artículo 53 del proveedor de origen estén publicadas y haga referencia a ellas en su ficha de modelo. Estas dos tareas son gestiones de mantenimiento que la práctica resuelve durante la incorporación inicial.

Cómo gestionar tres oleadas en paralelo

La mayoría de los SaaS que audita la práctica se verán afectados por al menos dos oleadas. Un producto fintech típico de calificación crediticia se ve afectado por la Oleada 1 (transparencia del artículo 50 para cualquier IA de cara al usuario) y por la Oleada 2 (obligaciones de calificación crediticia del anexo III). Un SaaS de productos sanitarios se ve afectado por la Oleada 1, la Oleada 2 (si su IA se utiliza en un contexto healthtech fuera del RPS) y la Oleada 3 (cuando la IA es un componente de seguridad del producto sanitario en virtud del RPS). Las oleadas son independientes; el trabajo es acumulativo.

La práctica gestiona las tres oleadas como encargos separados, secuenciados por plazo.

Encargo de la Oleada 1: cumplimiento del artículo 50. Cinco días hábiles, 997 €. Cubre la clasificación del artículo 50 función por función, el código de divulgación (banner de chat, marcado de contenido, etiquetado de deepfakes, aviso de reconocimiento de emociones), la accesibilidad en virtud del artículo 50, apartado 5, y una declaración publicada del artículo 50. Entregable: carta de aseguramiento firmada y un paquete de implementación. Contrate antes de finales de junio de 2026 para dejar margen de implementación antes del 2 de agosto.

Encargo de la Oleada 2: programa de preparación para el anexo III. Dieciocho meses, facturación por hitos. Cubre la clasificación del artículo 6 (función por función), el sistema de gestión de riesgos del artículo 9, la gobernanza de datos del artículo 10, la documentación técnica del artículo 11 conforme al anexo IV, el registro del artículo 12, las instrucciones de uso del artículo 13, la supervisión humana del artículo 14, la exactitud y solidez del artículo 15, la evaluación de la conformidad del artículo 43, y el registro en la base de datos de la UE del artículo 49. Comience ahora; finalice antes del 2 de diciembre de 2027.

Encargo de la Oleada 3: cumplimiento de producto integrado del anexo I. Dos años, integrado con el ciclo de evaluación de la conformidad de la regulación sectorial. Cubre los mismos artículos 9 a 15, aplicados a la legislación de armonización de la Unión subyacente. Contrate un organismo notificado designado en virtud del RPS, del Reglamento de Maquinaria o de la RED que también esté designado en virtud del Reglamento de IA. Planifique desde ahora hasta el 2 de agosto de 2028.

Fundadores que gestionan las tres oleadas en paralelo: la práctica asigna un revisor principal por oleada y un director de programa transversal. La mayoría de los SaaS se ven afectados por una o dos oleadas, no por las tres. El triaje en /audit determina cuáles.

Frequently asked questions

¿Por qué cambiaron las fechas?

El AI Omnibus es un paquete legislativo de modificaciones de varios reglamentos digitales de la UE, incluido el Reglamento de IA. La Comisión lo propuso como Paquete Digital de Simplificación; el Parlamento Europeo y el Consejo alcanzaron un acuerdo político el 7 de mayo de 2026, y el paquete fue adoptado el 19 de noviembre de 2025. Las modificaciones desplazaron la fecha de aplicación de alto riesgo del anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027, y la fecha de aplicación de producto integrado del anexo I del 2 de agosto de 2027 al 2 de agosto de 2028. La justificación oficial: la capacidad de los organismos notificados y la publicación de normas armonizadas no iban a estar a tiempo para respetar las fechas originales. El artículo 50, el artículo 5, el régimen del proveedor de IAGP y el marco de gobernanza no se retrasaron.

¿Hay fechas anteriores que también deba tener en cuenta?

Dos. Las prácticas prohibidas del artículo 5 han sido ejecutables desde el 2 de febrero de 2025. Si no ha auditado su producto para detectar la exposición al artículo 5, hágalo antes que nada; la banda de sanciones es la más elevada del Reglamento, con 35 millones de euros o el 7 %. Las obligaciones del proveedor de IAGP en virtud del capítulo V han sido ejecutables para los proveedores de modelos de origen desde el 2 de agosto de 2025. Como responsable del despliegue de SaaS no está directamente vinculado, pero su ficha de modelo debe hacer referencia a las divulgaciones del artículo 53 del proveedor de origen.

Mi SaaS se ve afectado por varias oleadas. ¿Cómo lo planifico?

Secuencie por plazo. Entregue el artículo 50 (Oleada 1) antes del 2 de agosto de 2026. Inicie el programa del anexo III (Oleada 2) de inmediato; supone dieciocho meses de trabajo y el plazo es diciembre de 2027. Si también está en la Oleada 3 (hardware integrado vía anexo I), contrate ya el organismo notificado específico del sector; la capacidad de los organismos notificados está limitada hasta 2027. Las oleadas comparten el núcleo de los artículos 9 a 15, por lo que el trabajo del anexo III y del anexo I se solapa técnicamente; solo difieren la vía de evaluación de la conformidad y la integración con la regulación sectorial subyacente.

¿Difieren las sanciones entre oleadas?

La banda del artículo 99, apartado 4, de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial cubre las infracciones del artículo 50, el incumplimiento del anexo III y el incumplimiento del anexo I. Las infracciones de prácticas prohibidas del artículo 5 se sitúan en una banda superior en virtud del artículo 99, apartado 3: hasta 35 millones de euros o el 7 %. El suministro de información incorrecta o engañosa a las autoridades se incluye en una banda inferior en virtud del artículo 99, apartado 5: hasta 7,5 millones de euros o el 1 %. Las pymes se benefician de la proporcionalidad en virtud del artículo 99, apartado 6, pero los límites máximos no varían.

¿Hay alguna oleada que no afecte a los SaaS exclusivamente de software?

La Oleada 3 (producto integrado del anexo I) no se aplica en general a los SaaS de software puro que no estén integrados en un producto hardware regulado. Si su cliente es un fabricante de productos sanitarios que integra su IA como componente, o un proveedor de maquinaria que hace lo mismo, puede heredar obligaciones de proveedor en virtud del artículo 25. En esos supuestos, usted se sitúa en la Oleada 3 por herencia. Los SaaS puramente orientados a otros SaaS o al consumidor sin ninguna vía hacia el hardware generalmente no se ven afectados.

Sources

Last updated: 2026-06-09