I
Impetora
Regulación

Lista de comprobación de la Ley de IA de la UE para CIOs

Por Impetora -

Las 18 preguntas operativas que un CIO debe responder antes de agosto de 2026 para sistemas de IA de alto riesgo bajo el Reglamento (UE) 2024/1689.

Qué hace el CIO ante la Ley de IA

El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024 con aplicación escalonada. Las prohibiciones aplican desde febrero de 2025; las obligaciones para modelos de propósito general desde agosto de 2025; las obligaciones plenas para sistemas de alto riesgo desde agosto de 2026. El CIO no es responsable jurídico final, pero sí del inventario, la arquitectura y la trazabilidad. Esta lista convierte el texto del Reglamento en preguntas operativas.

Inventario y clasificación

  1. Tiene un inventario completo de sistemas de IA en uso o en desarrollo, incluyendo proveedores de terceros.
  2. Cada sistema está clasificado por nivel de riesgo (inaceptable, alto, limitado, mínimo) con justificación documentada.
  3. Los sistemas que caen en el Anexo III (alto riesgo) están identificados y tienen un dueño nominado.
  4. El inventario distingue entre proveedor, desplegador, importador y distribuidor según el artículo 3.

Datos y entrenamiento

  1. Para cada sistema de alto riesgo, los conjuntos de entrenamiento, validación y prueba están documentados (origen, calidad, sesgos conocidos).
  2. Si el modelo se entrena con datos personales, la base jurídica del RGPD está documentada y la DPIA aprobada.
  3. Las transferencias internacionales de datos están cubiertas por mecanismos válidos del RGPD (cláusulas, decisiones de adecuación).

Documentación técnica y registros

  1. Para cada sistema de alto riesgo, la documentación técnica del Anexo IV está iniciada o completada.
  2. Los registros automáticos del artículo 12 cubren entradas, salidas, rendimiento y eventos de funcionamiento, con retención de al menos seis meses.
  3. Existe un sistema de gestión de calidad documentado conforme al artículo 17 (mapea con ISO 9001 o ISO 42001).

Supervisión humana y robustez

  1. Cada sistema de alto riesgo tiene definidos los puntos de supervisión humana con roles, responsabilidades y procedimientos de override.
  2. Los umbrales de precisión, robustez y ciberseguridad están documentados y se monitorizan continuamente.
  3. Existe un procedimiento de manejo de incidentes con notificación a la autoridad competente dentro de los plazos del artículo 73.

Transparencia y conformidad

  1. Las instrucciones de uso, las limitaciones conocidas y las advertencias para el desplegador están escritas y entregadas.
  2. El sistema lleva el marcado CE y la declaración UE de conformidad cuando corresponda.
  3. El sistema está registrado en la base de datos de la UE para sistemas de alto riesgo.

Gobernanza y formación

  1. El personal que despliega o supervisa el sistema tiene formación documentada en alfabetización de IA conforme al artículo 4.
  2. Existe un comité interno (legal, IT, riesgos, negocio) que revisa cambios sustanciales antes del despliegue.

Si responde no a más de tres preguntas, el sistema no está listo para agosto de 2026. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) actuará como autoridad competente en España junto con las autoridades sectoriales (Banco de España, DGSFP, AEPD según el caso).

Impetora

Listo para definir su programa de IA? Envíenos un resumen corto y responderemos en un día laborable.

Reservar una llamada de descubrimiento
Llamada de descubrimiento

Reserva una llamada de descubrimiento

Cuéntanos qué quieres construir. Respondemos en un día hábil.

Llamada de 30 minutos. Gratis. Sin compromiso.