Calendari d'aplicació de la EU AI Act : el que obliga avui i el que canvia amb el Digital Omnibus


Regulatory Intelligence

Anàlisi pràctica del Reglament (UE) 2024/1689, les seves obligacions escalonades i els ajornaments aprovats pel Consell el 29 de juny de 2026.

Publicat: juliol de 2026
Font normativa: EUR-Lex · PE-CONS 30/26
Actualització: Digital Omnibus aprovat el 29 jun. 2026
Anàlisi normatiu EU AI Act

Troballes principals

  • L'AI Act està en vigor des de l'agost del 2024, però la seva aplicació és escalonada: no tot obliga alhora.
  • El 2 d'agost del 2026 és la data general d'aplicació del Reglament per a la qual cosa no té calendari específic, incloent-hi l'article 50 (transparència i marcatge de contingut sintètic).
  • El Digital Omnibus ha desplaçat les obligacions d'alt risc de l'Annex III al 2 de desembre de 2027 i ha donat 16 mesos addicionals respecte al calendari original.
  • La prohibició de contingut íntim/sexual no consentit i CSAM generat per IA entra en vigor el 2 de desembre de 2026 , data nova introduïda per l'Omnibus.
  • Les empreses que ja operen amb IA tenen feina pendent abans del 2 d'agost del 2026: inventari, classificació de riscos, documentació i polítiques de supervisió humana.

Un reglament vigent, però que s'aplica per capes

El Reglament (UE) 2024/1689, conegut com a AI Act o Reglament d'Intel·ligència Artificial, va ser publicat al Diari Oficial de la Unió Europea el 12 de juliol de 2024 i va entrar en vigor l'1 d'agost de 2024. Tanmateix, «estar en vigor» no significa «aplicar-se íntegrament des d'aquell moment».

A diferència d'un reglament ordinari que produeix efectes l'endemà de la publicació, l'AI Act estableix un règim transitori deliberadament esglaonat. El legislador europeu va reconèixer que l‟adaptació de les organitzacions, el desenvolupament d‟estàndards tècnics harmonitzats i la construcció de la infraestructura institucional de supervisió requerien temps. El resultat és un calendari d'implantació que s'estén des del febrer del 2025 fins al 2031.

Aquest escalonament té una conseqüència directa per a les empreses: no hi ha un únic moment de «compliment o no compliment». Cada tipologia d'ús d'IA té el propi termini, les obligacions i la lògica de supervisió. Entendre aquest mapa és la primera tasca de qualsevol responsable legal, tècnic o directiu que vulgui gestionar el risc regulatori de manera informada.

Nota sobre fonts

Aquesta anàlisi es basa en el text consolidat del Reglament (UE) 2024/1689 (EUR-Lex, CELEX 02024R1689-20240712) i en els canvis aprovats pel Consell de la UE al Digital Omnibus sobre IA (PE-CONS 30/26). la versió consolidada a EUR-Lex a la data d'utilització.

Les dates clau de l'AI Act: de l'origen al 2031

La taula següent recull les dates i fites principals del Reglament (UE) 2024/1689 en la versió base, abans de les modificacions del Digital Omnibus. S'hi indica la base normativa i la lectura pràctica per a organitzacions que despleguen o utilitzen IA.

Data Base normativa Obligació / fita Lectura pràctica
13 jun. 2024 Reglament (UE) 2024/1689 Data de lacte legislatiu del Parlament Europeu i del Consell. Text base de l'AI Act. Referència per a qualsevol interpretació legal.
12 jul. 2024 DOUE L 2024/1689 Publicació oficial al Diari Oficial de la Unió Europea. Inici del còmput per a l'entrada en vigor (20 dies després).
1 ag. 2024 Art. 113 Entrada en vigor del Reglament. La norma existeix i comença el desplegament esglaonat.
Des d'ago. 2024, anual Art. 112.1 Comissió: avaluació anual de la necessitat de modificar l'Annex III i la llista de pràctiques prohibides. Rellevant per a supervisió institucional i possibles ampliacions regulatòries.
Feb. 2025 Art. 113.a; arts. 1-5 Aplicació de capítols I i II: disposicions generals, definicions, alfabetització a IA i pràctiques prohibides. Data clau: formació del personal (art. 4) i exclusió de pràctiques prohibides (art. 5). Ja en vigor.
2 mai. 2025 Art. 56.9 Codis de bones pràctiques sobre models dIA dús general: data prevista de finalització. Suport per a proveïdors de models GPAI i compliment voluntari.
2 ag. 2025 Arts. 113.b; arts. 70.2 i 70.6 Aplicació del capítol III, secció 4; caps. V, VII, VIII, XII, art. 78. Comunicació dautoritats nacionals competents. Models GPAI, governança institucional, confidencialitat. Permet identificar supervisors i estructura de control.
2 febr. 2026 Arts. 6.5 i 72.3 Comissió: directrius sobre classificació de sistemes d'alt risc i model de pla de vigilància postcomercialització. Suports dinterpretació. L'art. 72.3 va quedar afectat per l'Omnibus.
2 ag. 2026 ★ Art. 113, regla general Data general d'aplicació del Reglament per a allò no subjecte a calendari específic. Inclou art. 50 (transparència i marcatge de contingut sintètic). Transparència de l'art. 50 obliga des d'avui. L'alt risc (Annex III) ha estat ajornat per l'Omnibus al 2 des. 2027.
2 ag. 2027 Art. 113.c original; art. 111.3 Aplicació darts. 6.1 i obligacions de sistemes dalt risc introduïts abans del 2 ag. 2025. (Modificat per Omnibus: Annex III → 2 des. 2027.) Data desplaçada. Vegeu Taula 2 per detall d'ajornaments.
2 ag. 2028 Art. 112.2; arts. 112.5-7 Primeres avaluacions de la Comissió sobre GPAI, transparència, governança, Oficina d'IA i eficiència energètica. Fita de revisió institucional; pot donar lloc a modificacions.
2 ag. 2029 Art. 112.3 Primer informe general davaluació i revisió del Reglament. Seguiment dexecució i possible proposta de modificació.
2 ag. 2030 Art. 111.2 Sistemes dIA dalt risc destinats a ús per autoritats públiques: mesures de compliment obligatòries. Règim transitori específic per a usos públics preexistents.
31 des. 2030 Art. 111.1 Sistemes d'IA components de sistemes informàtics de gran magnitud de l'Annex X, posats al mercat abans del 2 ag. 2025. Data límit per a grans sistemes informàtics regulats.
2 ag. 2031 Art. 112.13 Avaluació de lexecució del Reglament després dels primers anys daplicació. Possible obertura de revisió estructural del model daplicació.

★ Data de referència d'aquesta anàlisi. La data general inclou art. 50 exclou l'alt risc de l'Annex III, ajornat pel Digital Omnibus.

Els canvis del Digital Omnibus: què s'ha desplaçat i per què importa

El 29 de juny del 2026, el Consell de la UE va aprovar el Digital Omnibus sobre IA (PE-CONS 30/26), un paquet de modificacions a l'AI Act que ajusta terminis, introdueix noves prohibicions i simplifica alguns requisits. La seva entrada en vigor es produeix tres dies després de la seva publicació al DOUE.

El canvi més rellevant per a la majoria de les empreses és el desplaçament de les obligacions de l'alt risc de l'Annex III des del 2 d'agost del 2026 al 2 de desembre del 2027 . Això dóna 16 mesos addicionals a proveïdors i implementadors de sistemes que operen en categories com ara biometria, infraestructures crítiques, ocupació, educació, serveis essencials, migració i administració de justícia.

Atenció: l'ajornament de l'Annex III no és universal

El desplaçament a 2 de desembre de 2027 aplica a l'Annex III en conjunt, però no afecta l'article 50 (transparència i marcatge de contingut sintètic), que manté la data d'aplicació general del 2 d'agost de 2026. Tampoc no s'ajorna la prohibició de pràctiques de manipulació o les obligacions d'alfabetització (art. 4) ja vigent.

Matèria Data inicial prevista Nova data / canvi Base normativa Abast pràctic
Alt risc de l'Annex III 2 ag. 2026 2 des. 2027 Art. 113.c modificat; PE-CONS 30/26 Biometria, infraestructures crítiques, ocupació, educació, serveis essencials, migració, justícia, processos democràtics.
Alt risc integrat en productes de l'Annex I 2 ag. 2027 2 ag. 2028 Art. 113.c modificat; PE-CONS 30/26 Sistemes de IA en productes de seguretat (directives sectorials preexistents).
Pràctiques prohibides noves: contingut íntim/sexual no consentit i CSAM No previst en text inicial 2 des. 2026 Art. 5 modificat; PE-CONS 30/26; PE 16/06/2026 Nova prohibició específica per a generació o manipulació de contingut íntim/sexual no consentit i material dabús sexual infantil.
Marcatge de contingut sintètic per a sistemes ja comercialitzats 2 ag. 2026 2 des. 2026 Art. 111.4 nou; art. 50.2; PE-CONS 30/26 Proveïdors de sistemes, inclosos GPAI, que generessin àudio, imatge, vídeo o text sintètic i ja estiguessin al mercat abans del 2 ag. 2026 disposen de quatre mesos addicionals.
Sandbox regulatori nacional d'IA 2 ag. 2026 2 ag. 2027 Art. 57.1 modificat; Consell 29/06/2026 Cada Estat membre ha de tenir almenys un espai controlat de proves; termini ampliat un any.
Pla de vigilància postcomercialització Obligatori abans del 2 febr. 2026 Guia voluntària abans del 2 set. 2027 Art. 72.3 modificat; PE-CONS 30/26 Se substitueix el model obligatori per orientació de la Comissió més flexible per a proveïdors d'alt risc.
Maquinària i solapament normatiu Règim de l'Annex I de l'AI Act Actes delegats aplicables abans del 2 ag. 2028 PE-CONS 30/26; Reglament (UE) 2023/1230 Es reordena la interacció entre AI Act i Reglament de Màquines per evitar doble càrrega reguladora.
"No s'aprecia ajornament general de l'alfabetització a IA: continua aplicant des del 2 de febrer de 2025. Tampoc no es desplaça el bloc de models d'IA d'ús general, aplicable des del 2 d'agost de 2025, sense perjudici de règims transitoris específics." - Taula 2 de l'informe Actiaris, Governança d'IA · Juliol 2026

Què han de controlar les organitzacions, i quan

El valor del calendari no és a memoritzar dates, sinó a ordenar el compliment per capes. Una organització que desplega IA té tres tasques diferents: saber quins usos de l'IA hi ha i qui els utilitza; decidir si cada ús encaixa en alguna categoria regulada; i conservar evidències suficients per demostrar que opera amb supervisió humana, controls adequats i documentació traçable.

Des de feb. 2025 — ja obligatori
Alfabetització a IA i prohibició de pràctiques de manipulació
L'art. 4 exigeix ​​que proveïdors, implementadors i operadors garanteixin que el seu personal tingui un nivell adequat de competència a IA. L'art. 5 prohibeix tècniques de manipulació del comportament humà, explotació de vulnerabilitats i sistemes de puntuació social per part dautoritats públiques.
Des d'ago. 2025 — ja obligatori
Models dIA dús general (GPAI): governança i documentació
Els proveïdors de GPAI han de complir les obligacions de transparència, documentació tècnica i drets d'autor. Els models amb impacte sistèmic (llindar 10²⁵ FLOP) tenen requisits addicionals davaluació de riscos i notificació dincidents.
2 agost 2026 — aplicació general
Article 50: transparència i marcatge de contingut sintètic
Els sistemes d'IA que interactuen amb persones físiques han d'informar clarament d'aquesta condició. Els sistemes que generen contingut sintètic (imatge, àudio, vídeo, text) han de marcar aquest contingut de forma detectable per màquina. Aquesta obligació aplica des d'avui per a sistemes posats al mercat a partir d'aquesta data; els ja comercialitzats tenen fins al 2 de desembre del 2026.
2 desembre 2026
Nova prohibició: contingut íntim/sexual no consentit i CSAM
Introdueix el Digital Omnibus. Qualsevol sistema d‟IA utilitzat per generar o manipular material d‟aquest tipus queda expressament prohibit des d‟aquesta data.
2 desembre 2027 — ajornat per Omnibus
Alt risc de l'Annex III: obligacions completes
Documentació tècnica (Annex IV), gestió de riscos, qualitat de dades, registres d'activitat, supervisió humana, precisió i ciberseguretat, avaluació de conformitat i seguiment postcomercialització. Aplica a biometria, ocupació, educació, serveis essencials, administració de justícia, migració i infraestructures crítiques.

Les quatre obligacions estructurals que no tenen ajornament

Més enllà de les dates, el Reglament articula quatre blocs d'obligacions que, en diferent mesura, ja apliquen o apliquen sense pròrroga des de l'agost del 2026:

Art. 4 · En vigor des de feb. 2025

Alfabetització a IA

Els operadors i els implementadors han de garantir que el personal que treballa amb sistemes d'IA té competències adequades. No exigeix ​​titulació, però sí evidència de formació i capacitació.

Ja obligatori
Art. 50 · En vigor des d'ago. 2026

Transparència i marcatge de contingut sintètic

Obligació d'informar l'usuari quan interactua amb una IA i de marcar tècnicament detectable qualsevol contingut generat artificialment (imatges, vídeo, àudio, text).

Des de 2 ag. 2026
Art. 14 · Alt risc · Des. 2027

Supervisió humana efectiva

S'han de dissenyar els sistemes d'alt risc per permetre la supervisió per persones físiques. La intervenció humana ha de poder interrompre, modificar o rebutjar els outputs del sistema en temps real.

Ajornat a des. 2027
Arts. 9-17 · Alt risc · Des. 2027

Documentació tècnica i gestió de riscos

Sistema de gestió de riscos, qualitat de dades, documentació tècnica de lannex IV, registres dactivitat automàtics, transparència, precisió, solidesa i ciberseguretat.

Ajornat a des. 2027

El que les organitzacions no poden ignorar abans de finals del 2026

L'ajornament de l'Annex III no elimina el risc; ho desplaça. Les empreses que esperen el desembre del 2027 per començar a construir traçabilitat, documentació i supervisió humana arribaran tard. L'experiència del GDPR va mostrar que les organitzacions que van començar l'adaptació amb dos o tres anys d'antelació van ser les que van demostrar compliment real; les que van esperar el darrer mes van optar per solucions formals que no van resistir una auditoria.

Hi ha tres accions que qualsevol organització hauria de tenir completades o en marxa abans del gener del 2027:

1 · Inventari d'usos d'IA

Identificar tots els sistemes de IA desplegats o en ús: proveïdor, funció, dades processades, si pren o assisteix decisions, si afecta persones físiques. Sense inventari, no hi ha cap classificació possible.

2 · Classificació de risc regulatori

Per a cada sistema de l'inventari: és general (GPAI)? Encaixa en alguna categoria de l'Annex III? Genera contingut sintètic? Pren decisions sobre persones? La classificació determina quin règim aplica i en quina data.

3 · Documentació de supervisió humana i traçabilitat

Per als usos de més impacte, començar a documentar: qui supervisa l'output de la IA, com es registren les intervencions humanes, quina evidència hi ha que el procés té control real. Aquesta documentació val tant per a una auditoria del regulador com per a una disputa contractual o un litigi.

Aquestes tres accions no són obligacions formals de l'AI Act per a tots els sistemes, però són la base mínima per poder respondre davant de qualsevol autoritat supervisora ​​o contrapart que exigeixi acreditar la governança del sistema d'IA utilitzat.

V-PROOF PROTOCOL · Referència

L'evidència criptogràfica com a resposta a les obligacions de l'article 50

L'obligació de transparència de l'article 50 —marcat tècnicament detectable del contingut generat per IA— exigeix ​​una cosa que els sistemes de gestió documental tradicionals no proporcionen: evidència verificable i independent que un contingut té un origen determinat, que va ser revisat per un humà, i que aquesta evidència no ha estat alterada.

V-PROOF Protocol opera com a capa d'evidència criptogràfica sobre els outputs d'IA: genera un hash SHA-256 del document o contingut, l'ancora a través d'IPFS i el registra a Base L2, creant un segell on-chain verificable per qualsevol tercer sense necessitat de credencials ni dependència del proveïdor. L?evidència no caduca. No requereix que el regulador confiï en el sistema de lempresa; podeu verificar-la de forma independent.

A més de l'article 50, V-PROOF cobreix la dimensió probatòria de l'article 14 (supervisió humana: registre immutable d'intervencions i autoritzacions crítiques) i de l'article 16 (traçabilitat i integritat de dades en sistemes d'alt risc).

Més informació a vproofprotocol.com →
V-PROOF PROTOCOL · Anàlisi de cobertura

Què cobreix V-PROOF en el marc del EU AI Act ?

Fortaleses, limitacions, oportunitats regulatòries i riscos d'adopció

F Fortaleses · El que cobreix
  • Evidència criptogràfica immutable d'outputs d'IA — hash SHA-256 + IPFS + Base L2, verificable per qualsevol tercer sense credencials ni dependència del proveïdor. Art. 50 · Marcat de contingut generat per IA
  • Registre immutable d‟intervencions i autoritzacions de supervisió humana sobre sistemes d‟IA. Art. 14 · Supervisió humana
  • Segell d'integritat i traçabilitat de dades processades per sistemes d'alt risc, amb timestamp on-chain . Art. 16 · Obligacions proveïdors alt risc
  • Documentació tècnica verificable i audit trail de logs d'esdeveniments crítics del sistema. Art. 12 · Registre de logs · Art. 13 · Transparència
  • Sense infraestructura addicional. Sense onboarding complex. Integració sobre outputs existents. Tots els articles aplicables · Implementació transversal
O Oportunitats · On actua el mercat
  • L'art. 50 està vigent des del 2 ag. 2026: qualsevol organització que generi contingut sintètic necessita marcatge tècnic detectable. Art. 50 · Vigència immediata
  • Digital Omnibus: 16 mesos addicionals per preparar l'evidència d'alt risc. Finestra per a implantació sense pressió. Art. 113 modificat · PE-CONS 30/26
  • Sectors regulats -salut, finances, RRHH, educació- sota Annex III amb obligacions de traçabilitat demostrable davant de supervisors. Annex III · Sistemes d'alt risc
  • Contractes B2B amb clàusules d'audit trail d'IA: els implementadors exigeixen evidència als proveïdors de models. Art. 25 · Responsabilitats a la cadena de valor
D Debilitats · Fora de scope
  • No substitueix l'avaluació de conformitat per organisme notificat per a sistemes d'alt risc. Art. 43 · Avaluació de conformitat
  • No cobreix l'auditoria de l'arquitectura tècnica del model ni la validació de dades d'entrenament. Art. 10 · Governança de dades
  • No s'aplica a sistemes que no generen outputs documentables o que operen sense outputs intermedis registrables. Sistemes embeguts o sense output estructurat
  • No realitza l'inventari inicial de sistemes IA de l'organització — és el punt de partida previ a V-PROOF . Art. 4 · Alfabetització · Pas zero de compliance
A Amenaces · Riscos de mercat
  • Organitzacions que posterguen el compliance fins al 2027 per l'ajornament de l'Annex III, sense considerar que l'art. 50 ja obliga. Art. 50 vs. Art. 113 modificat · Risc de confusió
  • Confusió entre «avaluació de conformitat» i «evidència probatòria»: les empreses creuen que una auditoria puntual els cobreix davant del regulador. Art. 43 vs. Art. 12-14-16 · Malentès estructural
  • Plataformes GRC i documentals que ofereixen compliance d'IA sense garantia criptogràfica, creant falsa sensació de cobertura. Mercat · Competència no equivalent
  • Incertesa sobre la data de publicació del Digital Omnibus al DOUE pot generar paràlisi en decisions d'inversió en compliance. PE-CONS 30/26 · Pendent publicació DOUE
V-PROOF PROTOCOL · Pròxim pas

Sap la seva organització en quin punt és davant de l'AI Act?

Identifiquem-ne l'exposició reguladora, classifiquem els seus sistemes d'IA i generem l'evidència criptogràfica que exigeix ​​el Reglament. Sense inventari previ, sense infraestructura addicional.

Parlem →

Fonts oficials i referències

  1. Text consolidat del Reglament (UE) 2024/1689 — EUR-Lex · CELEX 02024R1689-20240712
  2. Publicació oficial de l'AI Act a DOUE — EUR-Lex · ELI / OJ
  3. Article 113 i calendari base - AI Act Service Desk · Comissió Europea
  4. Pàgina oficial d'implementació de l'AI Act — Comissió Europea · Shaping Europe's digital future
  5. Text aprovat del Digital Omnibus sobre IA — Consell de la UE · PE-CONS 30/26
  6. Aprovació final del Consell, 29 de juny de 2026 — Consell de la UE · comunicat oficial


Anterior
Anterior

Per què la vostra organització necessita V-PROOF i no una plataforma aliena a la Unió Europea

Següent
Següent

IPFS i Computació Quàntica: per què l'evidència que segelles avui amb V-PROOF seguirà sent vàlida el 2035