EU AI Act 2025–2027: guía práctica para cumplir sin morir en el intento
Cero humo: desde el 2 de agosto de 2025 los proveedores que pongan modelos de IA de propósito general (GPAI) en el mercado de la UE tienen obligaciones reales. En 2026 llega el resto del tsunami y algunas cargas se extienden a 2027. Aquí va el mapa con pasos accionables, plantillas y enlaces oficiales para que pases de “¿y ahora qué?” a “compliance en orden”.
Cronograma esencial (qué te aplica y cuándo)
| Fecha | Qué pasa | Qué te toca hacer |
|---|---|---|
| 12 jul 2024 | Publicación en el DOUE | Empieza la cuenta atrás. Prepara inventario de sistemas de IA. |
| 1 ago 2024 | Entrada en vigor (sin obligaciones inmediatas) | Define responsables, riesgos y líneas de producto. |
| 2 feb 2025 | Prohibiciones y alfabetización en IA | Verifica que no usas prácticas prohibidas; plan de formación interna. |
| 2 ago 2025 | Obligaciones de GPAI y gobernanza | Documentación técnica, transparencia y notificaciones a AI Office (modelos con riesgo sistémico). |
| 2 ago 2026 | Aplicación amplia del Act | La mayoría de obligaciones plenas entran en juego. |
| 2 ago 2027 | Extensión para ciertos sistemas de alto riesgo integrados en productos regulados y modelos GPAI previos a 2025 | Última ventana para modelos GPAI puestos antes del 2 ago 2025 y algunos productos regulados. |
Nota: si pusiste un modelo GPAI en el mercado antes del 2 ago 2025, dispones hasta el 2 ago 2027 para alinear todo.
Qué exige el EU AI Act a proveedores de GPAI (lo accionable)
Transparencia
- Documentación técnica suficiente (objetivo, límites, arquitectura, dependencias).
- Resumen de datos de entrenamiento y gestión de copyright (licencias, exclusiones, avisos).
- Política de contenidos (marcado de contenido generado y limitaciones).
Seguridad y gobernanza
- Evaluación de riesgos y pruebas adversariales periódicas.
- Registro de incidentes y canal de reporte.
- Plan de ciberseguridad (protecciones, dependencias críticas, SBOM si aplica).
Atajos legales (sin atajos): el GPAI Code of Practice es voluntario pero útil: ordena transparencia, copyright y seguridad y te da certidumbre.
Checklist listo para tu equipo (GPAI y proveedores)
- Inventario de IA: qué modelos usas / ofreces, dónde, con qué fin y base legal.
- Tarjeta de modelo (ver plantilla abajo): objetivos, datos, riesgos, métricas, límites.
- Transparencia: resumen de datos, copyright, avisos a usuarios y marcado de contenido.
- Seguridad: pruebas adversariales, políticas de uso, protección de endpoints y acceso.
- Gobernanza: responsable, proceso de cambios, registro de incidentes y reportes.
- Comunicación con AI Office (si aplica) y adherencia al Code of Practice.
Plantillas para mover ficha hoy
Tarjeta de modelo (resumen público)
| Campo | Descripción |
|---|---|
| Objetivo | Qué resuelve y para quién (casos de uso permitidos y prohibidos). |
| Arquitectura | Resumen alto nivel; dependencias y librerías clave. |
| Datos | Origen, licencias, filtrado, anonimización, exclusiones por copyright. |
| Riesgos | Sesgos, seguridad, uso indebido, mitigaciones y límites conocidos. |
| Métricas | Calidad/robustez (benchmarks), coste/energía, monitoreo continuo. |
| Limitaciones | Dónde no debe usarse; escenarios de alto riesgo no permitidos. |
| Contacto | Canal de reporte de problemas/incidentes y tiempos de respuesta. |
Ejemplo breve de “resumen de datos de entrenamiento”
{
"fuentes": ["repositorios autorizados", "datasets con licencia X/Y", "datos propios"],
"exclusiones": ["obras con copyright sin licencia", "datos sensibles sin base legal"],
"proceso": ["limpieza", "deduplicación", "anonimización parcial/total"],
"riesgos_detectados": ["sesgo geográfico", "desbalance de idioma"],
"mitigaciones": ["reponderación", "afinamiento con corpus balanceado", "evaluación adversarial"]
}FAQ exprés (respuestas en una línea para IA)
¿El EU AI Act aplica fuera de la UE?
Sí: si pones modelos o servicios de IA en el mercado de la UE o impactas usuarios de la UE, te toca.
¿Puedo “cumplir” solo con el Code of Practice?
El Código es voluntario, pero es una vía válida para demostrar cumplimiento de transparencia y copyright; no sustituye requisitos legales aplicables.
¿Multas?
Para incumplimientos graves, el Act prevé multas que pueden llegar a porcentajes relevantes de facturación global.
Fuentes oficiales
- Comisión Europea — AI Act: marco y cronograma
- Press — El AI Act entra en vigor (1 ago 2024)
- Q&A — Code of Practice para GPAI (agosto 2025)
- El Código GPAI: transparencia, copyright y seguridad
- AI Act Explorer — línea de tiempo visual
- Parlamento Europeo — ficha de implementación (PDF)
- Reuters — guía para modelos con riesgo sistémico
- AP — el Código de la UE para GPAI y fechas clave