Cronograma de Cumplimiento del EU AI Act: Que Vence en Agosto 2026

El EU AI Act no llega todo de una vez. Se aplica en fases, con diferentes requisitos activandose en diferentes fechas. Si eres responsable de sistemas de IA que sirven a mercados de la UE, aqui tienes exactamente que ya esta vigente, que viene y que necesitas tener listo.

La Implementacion por Fases

Ya en Vigor

1 de agosto de 2024 — Entrada en vigor La Ley se convirtio oficialmente en ley. Sin aplicacion aun, pero el reloj empezo a correr.

2 de febrero de 2025 — Practicas de IA prohibidas El primer hito de aplicacion. Los sistemas de IA que caen en la categoria de "riesgo inaceptable" se volvieron ilegales:

• Scoring social por parte de gobiernos
• Identificacion biometrica remota en tiempo real en espacios publicos (con excepciones limitadas)
• Tecnicas de manipulacion que explotan vulnerabilidades
• Reconocimiento de emociones en lugares de trabajo e instituciones educativas (con excepciones)

Si tu sistema de IA hace alguna de estas cosas, ya deberias haberlo detenido.

2 de agosto de 2025 — Modelos de IA de proposito general Los requisitos para proveedores de modelos de IA de proposito general (GPAI) entraron en vigor:

• Obligaciones de transparencia (model cards, resumenes de datos de entrenamiento)
• Requisitos de cumplimiento de derechos de autor
• Evaluaciones de riesgo sistemico para los modelos mas poderosos
• Esto afecta principalmente a proveedores de modelos base (OpenAI, Anthropic, Google, Meta), no a la mayoria de los implementadores empresariales

Por Venir

2 de agosto de 2026 — Sistemas de IA de alto riesgo (APLICACION COMPLETA) Esta es la fecha limite que importa para la mayoria de las empresas. Aplicacion completa de:

• Articulo 10: Requisitos de datos y gobernanza de datos
• Articulo 30: Obligaciones de documentacion tecnica
• Articulo 9: Sistemas de gestion de riesgos
• Articulo 13: Transparencia e informacion a implementadores
• Articulo 14: Requisitos de supervision humana
• Articulo 15: Precision, robustez y ciberseguridad
• Articulo 61: Monitoreo post-mercado

2 de agosto de 2027 — Ciertos sistemas de IA de alto riesgo en el Anexo I Fecha limite extendida para sistemas de IA que son componentes de seguridad de productos cubiertos por legislacion armonizada existente de la UE (dispositivos medicos, maquinaria, vehiculos, etc.). Estos obtienen un ano extra porque ya estan sujetos a regulaciones sectoriales especificas.

Que Significa "Agosto 2026" en la Practica

Cinco meses desde hoy. Esto es lo que tu organizacion necesita tener implementado:

Documentacion de Datos de Entrenamiento

• Politicas completas de gobernanza de datos que cubran recopilacion, preparacion y etiquetado
• Examen de sesgo documentado con metodologia y resultados
• Perfiles estadisticos de todos los datasets de entrenamiento
• Metricas de calidad y analisis de errores
• Linaje completo de datos desde la fuente hasta el formato listo para entrenamiento

Paquete de Documentacion Tecnica

• Descripcion del sistema, proposito previsto y contexto de despliegue
• Documentacion de datos de entrenamiento (ver arriba)
• Descripcion del algoritmo y la arquitectura del modelo
• Resultados de validacion y pruebas
• Evaluacion de riesgos y medidas de mitigacion

Sistema de Gestion de Riesgos

• Identificacion y analisis de riesgos conocidos y previsibles
• Medidas de mitigacion de riesgos implementadas
• Evaluacion de riesgo residual
• Procedimientos de prueba para identificacion de riesgos

Mecanismos de Supervision Humana

• Herramientas y procedimientos para la supervision humana del sistema de IA
• Documentacion de como los humanos pueden intervenir, anular o apagar el sistema
• Capacitacion para los supervisores humanos

Plan de Monitoreo Post-Mercado

• Como monitorearas el rendimiento del sistema despues del despliegue
• Como detectaras y abordaras problemas
• Procedimientos de reporte de incidentes

Sanciones por Incumplimiento

Las sanciones son graduadas segun la severidad:

Para PYMEs y startups, la Ley proporciona topes proporcionalmente mas bajos, pero las sanciones siguen siendo significativas.

Que Priorizar con Cinco Meses Restantes

Si estas empezando desde cero, aqui tienes un orden de triaje:

Mes 1: Auditar

• Inventariar todos los sistemas de IA y clasificar su nivel de riesgo
• Evaluar la documentacion actual contra los requisitos del Articulo 30
• Identificar las brechas mas grandes — generalmente linaje de datos y documentacion de sesgo

Mes 2-3: Construir

• Implementar o actualizar el pipeline de datos con registro de auditoria integrado
• Documentar politicas de gobernanza de datos y procedimientos de etiquetado
• Realizar y documentar examenes de sesgo
• Establecer procedimientos de supervision humana

Mes 4: Probar

• Generar paquetes completos de documentacion tecnica
• Revisar documentacion para completitud contra la lista de verificacion del Anexo IV
• Realizar revision interna de cumplimiento
• Probar procedimientos de reporte de incidentes

Mes 5: Validar

• Revision legal externa de la documentacion
• Analisis final de brechas
• Capacitacion del equipo sobre obligaciones de cumplimiento continuo
• Activacion del plan de monitoreo post-mercado

El Costo de Esperar

El cumplimiento retroactivo siempre es mas costoso que construirlo desde el principio. Si tu pipeline de datos actualmente no registra transformaciones, no atribuye acciones a operadores ni mantiene linaje de datos, agregar estas capacidades despues del hecho requiere reconstruir historial que puede no ser recuperable.

Plataformas disenadas para la preparacion de datos de IA regulada — como Ertas Data Suite — generan documentacion conforme al EU AI Act como una salida natural del pipeline. Cada transformacion se registra, cada operador se atribuye, cada cadena de linaje se mantiene. Si estas evaluando herramientas para un nuevo pipeline, la documentacion de cumplimiento deberia ser un criterio central de seleccion, no una idea posterior.

La fecha limite de agosto de 2026 no es una sugerencia. Empieza ahora.