Plazos del AI Act que toda PYME debe tener en el calendario en 2026
Los plazos del AI Act son las fechas escalonadas de entrada en vigor del Reglamento (UE) 2024/1689, que distribuyen las obligaciones desde febrero de 2025 hasta agosto de 2027 según la categoría de riesgo y el tipo de sistema.
Por qué la aplicación es escalonada
El Reglamento entró en vigor el 1 de agosto de 2024, pero el legislador europeo optó por un calendario progresivo para dar margen a empresas y administraciones a adaptarse. Cada bloque de obligaciones se activa cuando la Comisión y los Estados miembros consideran razonable exigirlo, empezando por lo más urgente (prohibiciones y formación) y terminando por las obligaciones más complejas asociadas a sistemas embebidos en productos regulados.
Para una PYME, entender este calendario es decisivo: muchas obligaciones ya son exigibles hoy, otras lo serán en pocos meses, y planificar con tiempo es mucho más barato que reaccionar ante un requerimiento.
Calendario clave para PYMES
2 de febrero de 2025: entran en aplicación las prohibiciones del Artículo 5 (manipulación subliminal, scoring social, reconocimiento de emociones en el ámbito laboral o educativo salvo excepciones, etc.) y, sobre todo, la obligación de alfabetización en IA del Artículo 4 para toda la plantilla que opere sistemas de IA.
2 de agosto de 2025: entran en vigor las obligaciones para proveedores de modelos de IA de uso general (GPAI), las disposiciones sobre gobernanza, autoridades notificantes y régimen sancionador. Es la fecha desde la que las autoridades pueden imponer sanciones.
2 de agosto de 2026: aplicación plena de las obligaciones para sistemas de alto riesgo del Anexo III. Incluye usos críticos para muchas PYMES: selección y evaluación de personal, acceso a servicios esenciales, scoring crediticio, educación o componentes de seguridad.
2 de agosto de 2027: aplicación a los sistemas de alto riesgo del Anexo I (componentes de seguridad de productos sujetos a legislación armonizada de la UE, como maquinaria, juguetes, dispositivos médicos o ascensores).
Qué debe hacer una PYME en cada hito
Antes de cada fecha, conviene: actualizar el inventario de sistemas de IA en uso, reclasificarlos según riesgo, revisar el plan de formación, actualizar la política interna y la cláusula informativa a empleados y clientes, y comprobar los contratos con proveedores para asegurar que trasladan las obligaciones que correspondan.
Para el hito de agosto de 2026, las PYMES con procesos de selección automatizados o asistidos por IA deberían tener ya una evaluación de impacto, registros de supervisión humana y trazabilidad de decisiones, además de información clara al candidato.
Coordinación con RGPD y normativa sectorial
El AI Act no sustituye al RGPD ni a la normativa sectorial (laboral, consumo, financiera, sanitaria). Convive con ellas. En la práctica, muchos sistemas de alto riesgo requieren simultáneamente una evaluación de impacto del AI Act y una EIPD del RGPD; conviene integrarlas en un único proceso para no duplicar esfuerzos.