I
Impetora

Lista de implementación del Reglamento de IA de la UE para proveedores y responsables del despliegue

By Impetora -

El Reglamento (UE) 2024/1689, conocido como Reglamento de IA, se aplica a proveedores, responsables del despliegue, importadores y distribuidores de sistemas de IA introducidos en el mercado de la UE o cuya salida se utilice en la Unión, con independencia del lugar de establecimiento del operador [1]. El cumplimiento es escalonado: en vigor desde el 1 de agosto de 2024, las prácticas prohibidas se aplican desde el 2 de febrero de 2025, las obligaciones para modelos de IA de uso general desde el 2 de agosto de 2025, y la mayor parte de las obligaciones de alto riesgo desde el 2 de agosto de 2026 [1]. Esta lista recoge los doce pasos concretos que todo operador debería completar antes del corte de agosto de 2026.

Ago 2026
se aplican la mayoría de obligaciones de alto riesgo
EUR-Lex
35 M EUR / 7 %
multa máxima por prácticas prohibidas (art. 99)
EUR-Lex
Anexo III
ocho categorías de uso de alto riesgo
EUR-Lex

Paso 1. Determine su rol bajo el Reglamento

El artículo 3 define cuatro roles de operador, y la misma organización puede ostentar más de uno. Un proveedor desarrolla un sistema de IA o lo manda desarrollar y lo introduce en el mercado o lo pone en servicio bajo su propio nombre. Un responsable del despliegue usa un sistema de IA bajo su autoridad en un contexto profesional. Un importador introduce en el mercado de la UE un sistema con el nombre de un proveedor de fuera de la UE. Un distribuidor pone a disposición un sistema sin afectar a sus propiedades [1].

Punto crítico: un responsable del despliegue que modifique sustancialmente un sistema de alto riesgo, lo reetiquete o cambie su finalidad prevista pasa a ser proveedor del sistema modificado a tenor del artículo 25. Mapee cada sistema de IA de su cartera contra estos cuatro roles antes de hacer cualquier otra cosa, porque el resto de la lista depende de la respuesta.

Paso 2. Clasifique cada sistema de IA

El Reglamento divide los sistemas en cuatro niveles de riesgo. Las prácticas prohibidas del artículo 5 incluyen la manipulación subliminal, la explotación de grupos vulnerables, la puntuación social por autoridades públicas, el rastreo no dirigido de imágenes faciales, la categorización biométrica por atributos sensibles, la identificación biométrica remota en tiempo real en espacios públicos (con excepciones acotadas para las fuerzas del orden) y el reconocimiento de emociones en lugares de trabajo y centros educativos [1]. Los sistemas de alto riesgo están definidos en el artículo 6 y el anexo III, que cubren ocho categorías: biometría, infraestructura crítica, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios públicos y privados esenciales (incluida la calificación crediticia), aplicación de la ley, migración y control fronterizo, y administración de justicia y procesos democráticos. Los sistemas de riesgo limitado activan los deberes de transparencia del artículo 50 (chatbots, ultrafalsificaciones, contenido generado por IA). Los sistemas de riesgo mínimo no llevan obligaciones específicas más allá de códigos de conducta voluntarios.

Documente la decisión de clasificación por sistema y su justificación. La Oficina Europea de IA publica orientaciones de clasificación, y ese documento es la referencia, no los materiales de marketing de los proveedores [2].

Paso 3. Implante un sistema de gestión de riesgos (artículo 9)

Para cada sistema de alto riesgo, el artículo 9 exige un sistema de gestión de riesgos escrito, continuo e iterativo a lo largo de todo el ciclo de vida. Debe identificar y analizar los riesgos previsibles para la salud, la seguridad y los derechos fundamentales, estimar y evaluar los riesgos que puedan surgir en el uso previsto y en el uso indebido razonablemente previsible, evaluar otros riesgos sobre la base de los datos de seguimiento posterior a la comercialización y adoptar medidas de gestión de riesgos adecuadas.

El documento del SGR no es un entregable único. Se revisa y actualiza sistemáticamente, y las pruebas deben verificar que las medidas elegidas funcionan en el contexto operativo correspondiente. Trátelo como un artefacto vivo a cargo de una persona responsable nombrada.

Paso 4. Gobernanza de datos (artículo 10)

Los datos de entrenamiento, validación y prueba deben ser pertinentes, suficientemente representativos, libres de errores y completos en relación con la finalidad prevista. El artículo 10 exige prácticas documentadas de gobernanza de datos: decisiones de diseño, procesos de recopilación, operaciones de preparación (anotación, etiquetado, limpieza, enriquecimiento, agregación), formulación de hipótesis, evaluación previa de la disponibilidad, examen de sesgos que puedan afectar a la salud, la seguridad o los derechos fundamentales e identificación de carencias relevantes con medidas de mitigación.

Cuando sea estrictamente necesario, el tratamiento de categorías especiales de datos personales está permitido por el artículo 10, apartado 5, para detectar y corregir sesgos, con garantías adecuadas. Documente cada decisión: la evaluación de la conformidad no se supera sin ello.

Paso 5. Documentación técnica (artículo 11 y anexo IV)

La documentación técnica debe elaborarse antes de introducir el sistema en el mercado y mantenerse actualizada. El anexo IV fija el contenido mínimo: descripción general del sistema, diseño detallado y arquitectura, supervisión y control, datos y procedimientos de validación y prueba, resultados de evaluación incluidos métricas y limitaciones conocidas, medidas de ciberseguridad, procedimientos de gestión de cambios y declaración UE de conformidad.

Las pymes y empresas emergentes pueden utilizar un formulario simplificado del anexo IV publicado por la Oficina de IA, pero las obligaciones de fondo no cambian. Mantenga la documentación en una forma que la autoridad nacional competente pueda consultar a petición.

Paso 6. Registro automático (artículo 12)

Los sistemas de alto riesgo deben registrar automáticamente eventos (logs) durante toda su vida útil, en un grado adecuado a la finalidad prevista. Los registros deben permitir identificar situaciones que puedan dar lugar a un riesgo en el sentido del artículo 79, facilitar el seguimiento posterior a la comercialización y posibilitar la supervisión del responsable del despliegue conforme al artículo 26. El artículo 12, apartado 3, exige registros mínimos específicos para sistemas de identificación biométrica remota (periodo de uso, base de datos de referencia, datos de entrada, personal identificador).

Defina un periodo de conservación proporcional a la finalidad y al menos seis meses, salvo que otro derecho de la Unión o nacional disponga lo contrario.

Paso 7. Transparencia hacia los responsables del despliegue (artículo 13)

Los sistemas de alto riesgo deben diseñarse de modo que los responsables del despliegue puedan interpretar las salidas y usarlas adecuadamente. Se acompañarán de instrucciones de uso concisas, completas, correctas y claras que incluyan: identidad del proveedor, características y finalidad del sistema, nivel de exactitud y robustez, circunstancias previsibles que puedan dar lugar a riesgos, capacidades técnicas pertinentes para explicar las salidas, rendimiento respecto a personas o grupos específicos, especificaciones de los datos de entrada, medidas de supervisión humana, vida útil esperada y mantenimiento necesario.

Para los sistemas de riesgo limitado, el artículo 50 impone deberes adicionales de transparencia: los usuarios deben ser informados de que interactúan con un sistema de IA, los contenidos sintéticos generados por IA deben ser identificables como tales por medios automatizados, las ultrafalsificaciones deben divulgarse.

Paso 8. Supervisión humana (artículo 14)

Los sistemas de alto riesgo deben diseñarse para que personas físicas puedan supervisarlos eficazmente durante su uso. Las medidas de supervisión deben permitir a la persona designada: comprender las capacidades y limitaciones relevantes del sistema, mantenerse consciente del sesgo de automatización, interpretar correctamente las salidas, decidir no usar el sistema o desestimar, anular o revertir su salida, e intervenir para detener el funcionamiento mediante un botón de parada o procedimiento equivalente.

Para la identificación biométrica remota del anexo III, punto 1, letra a), no podrá adoptarse ninguna medida ni decisión basándose únicamente en la identificación sin verificación y confirmación por al menos dos personas físicas con la competencia, formación y autoridad necesarias.

Paso 9. Exactitud, robustez y ciberseguridad (artículo 15)

El artículo 15 exige que los sistemas de alto riesgo alcancen, atendiendo a su finalidad, un nivel adecuado de exactitud, robustez y ciberseguridad y funcionen de manera coherente durante todo su ciclo de vida. Los niveles de exactitud y métricas pertinentes se declararán en las instrucciones de uso.

La robustez debe abordar bucles de retroalimentación, errores e incoherencias. La ciberseguridad debe ser resistente a intentos de alterar el uso, el comportamiento o el rendimiento, incluidos envenenamiento de datos, envenenamiento de modelos, ejemplos adversariales, evasión de modelo y ataques contra la confidencialidad. La Oficina de IA está desarrollando especificaciones técnicas con ENISA [3].

Paso 10. Evaluación de la conformidad, marcado CE, base de datos de la UE

Antes de introducir un sistema de alto riesgo en el mercado, el proveedor debe completar la evaluación de la conformidad. La mayoría de sistemas del anexo III pueden recurrir al control interno del anexo VI. Los sistemas biométricos del anexo III, punto 1, deben usar el procedimiento con organismo notificado del anexo VII salvo aplicación de normas armonizadas. Una evaluación favorable conduce a: declaración UE de conformidad (artículo 47), colocación del marcado CE (artículo 48) y registro en la base de datos de la UE (artículo 49) antes de la puesta en servicio. Los responsables del despliegue del sector público registran además su uso conforme al artículo 49, apartado 1 bis.

Las obligaciones del proveedor se establecen en los artículos 16 a 26 y abarcan la gestión de la calidad, la conservación de documentos, la conservación de los registros generados automáticamente, las medidas correctoras, la cooperación con las autoridades y la accesibilidad.

Paso 11. Seguimiento posterior a la comercialización y notificación de incidentes graves (artículos 72-73)

Los proveedores deben implantar un sistema documentado de seguimiento posterior a la comercialización proporcional a la naturaleza de las tecnologías de IA y a los riesgos del sistema de alto riesgo. El plan forma parte de la documentación técnica. Los datos se recogen, documentan y analizan activa y sistemáticamente durante toda la vida útil, y el proveedor evalúa la conformidad continuada con los requisitos del Reglamento.

El artículo 73 exige notificar los incidentes graves a la autoridad de vigilancia del mercado del Estado miembro en el que se haya producido el incidente, inmediatamente después de que el proveedor haya establecido un nexo causal o su probabilidad razonable, y a más tardar en un plazo de 15 días desde su conocimiento. El fallecimiento o un perjuicio grave activan un plazo de 10 días. Una infracción generalizada o la perturbación de infraestructuras críticas activan un plazo de 2 días.

Paso 12. Responsables del despliegue del sector público - Evaluación de impacto en los derechos fundamentales (artículo 27)

Antes de desplegar un sistema de alto riesgo del anexo III (con excepciones limitadas), los organismos de Derecho público y las entidades privadas que prestan servicios públicos, así como los responsables del despliegue de sistemas de calificación crediticia o de evaluación de riesgos en seguros de vida y salud, deben realizar una Evaluación de Impacto en los Derechos Fundamentales (EIDF). La EIDF debe describir: el proceso de despliegue, la duración y frecuencia de uso, las categorías de personas físicas que probablemente se vean afectadas, los perjuicios concretos razonablemente esperables, las medidas de supervisión humana y las medidas a adoptar si los riesgos se materializan.

El resultado se notifica a la autoridad de vigilancia del mercado mediante una plantilla publicada por la Oficina de IA. Si cambia sustancialmente cualquier elemento, se requiere una nueva EIDF.

Calendario de aplicación

  • 1 de agosto de 2024 - Entra en vigor el Reglamento.
  • 2 de febrero de 2025 - Aplicación de las prácticas prohibidas (artículo 5) y de la obligación de alfabetización en IA (artículo 4) a proveedores y responsables del despliegue.
  • 2 de agosto de 2025 - Aplicación de las obligaciones para modelos de IA de uso general (artículos 51-55), estructura de gobernanza, sanciones, marco de autoridades notificantes y organismos notificados.
  • 2 de agosto de 2026 - Aplicación de la mayor parte de obligaciones, incluidos sistemas de alto riesgo conforme al artículo 6, apartado 2, y al anexo III, obligaciones del responsable del despliegue (artículo 26), EIDF (artículo 27), registro en la base de datos de la UE (artículo 49).
  • 2 de agosto de 2027 - Aplicación a sistemas de alto riesgo que sean componentes de seguridad de productos cubiertos por la legislación sectorial del anexo I.

Sanciones (artículo 99)

Las sanciones son escalonadas. El incumplimiento de las prohibiciones del artículo 5 acarrea multas de hasta 35 M EUR o el 7 % del volumen de negocios anual mundial total, lo que sea mayor. El incumplimiento de la mayoría de las demás obligaciones (artículos 16-26 para proveedores, artículo 26 para responsables del despliegue, artículos 31, 33 y 34 para organismos notificados) acarrea multas de hasta 15 M EUR o el 3 %. Aportar a las autoridades información incorrecta, incompleta o engañosa acarrea multas de hasta 7,5 M EUR o el 1 %. Para pymes y empresas emergentes el tope es la menor de las dos cifras.

Los proveedores de modelos de IA de uso general se rigen por un régimen separado del artículo 101, con tope de 15 M EUR o 3 % del volumen de negocios.

Preguntas frecuentes

El Reglamento de IA se aplica a un proveedor de fuera de la UE que vende en Europa?
Sí. El artículo 2, apartado 1, letra c), extiende el Reglamento a proveedores y responsables del despliegue establecidos fuera de la UE cuando la salida producida por el sistema se utilice en la Unión. Un proveedor estadounidense o británico que venda un sistema de IA de alto riesgo a un cliente de la UE debe designar un representante autorizado conforme al artículo 22 antes de introducir el sistema en el mercado y satisfacer todas las obligaciones del proveedor de los artículos 16 a 26. Una delegación contractual al cliente de la UE no funciona; el Reglamento trata el rol de proveedor como una cuestión de hecho, no de contrato.
Cómo se solapan las obligaciones de IA de uso general y las del anexo III de alto riesgo?
Son dos regímenes distintos. Las obligaciones de IA de uso general (artículos 51-55) se aplican al proveedor del modelo con independencia del uso aguas abajo, con reglas más estrictas para modelos con riesgo sistémico por encima del umbral de entrenamiento de 10^25 FLOPs. Si dicho modelo se integra en un sistema aguas abajo que cumple los criterios de alto riesgo del anexo III, el proveedor aguas abajo asume además las obligaciones plenas del artículo 6 y hereda documentación del proveedor del modelo a través del deber de información del artículo 53, apartado 1, letra b). Los compradores deben exigir pruebas de las dos capas en la contratación.
Son útiles los espacios controlados de pruebas de IA para el cumplimiento?
Para muchos proveedores, sí. El artículo 57 obliga a los Estados miembros a establecer al menos un espacio controlado de pruebas nacional de IA antes del 2 de agosto de 2026 (la Comisión también puede organizar espacios conjuntos). Los espacios controlados aportan seguridad jurídica para probar sistemas innovadores bajo supervisión del regulador, y la prueba de participación apoya la posterior evaluación de la conformidad. El artículo 59 ofrece una base jurídica específica para tratar datos personales recogidos lícitamente con otros fines en el desarrollo de IA de interés público en el espacio controlado, con garantías estrictas.
Cuándo muerde realmente agosto de 2026 para un comprador empresarial?
En la práctica, ya en el cuarto trimestre de 2025. Los ciclos de compra de sistemas que deben estar en producción en verano de 2026 empiezan 9-12 meses antes, y cualquier proveedor que no pueda presentar entonces un plan de evaluación de la conformidad, un esquema de documentación del anexo IV y un enfoque de seguimiento posterior a la comercialización es un riesgo de compra. La respuesta honesta es que las organizaciones que arrancan en 2026 ya van tarde. El primer entregable razonable es un inventario del portafolio de IA y la clasificación del paso 2 por sistema; ese trabajo solo suele llevar 3-4 semanas.
Sustituye la certificación ISO/IEC 42001 al cumplimiento del Reglamento de IA?
No, pero es una base sólida. ISO/IEC 42001:2023 es una norma de sistema de gestión de IA y todavía no es norma armonizada en el sentido del Reglamento. La certificación demuestra una madurez de gobernanza que se mapea limpiamente sobre las obligaciones de gestión de la calidad del artículo 17 y reduce la distancia hasta una evaluación de la conformidad limpia. Cuando las organizaciones europeas de normalización armonizada (CEN-CENELEC JTC 21) publiquen las normas armonizadas del Reglamento, su aplicación dará lugar a la presunción de conformidad del artículo 40.
Quién es la autoridad nacional competente del Reglamento de IA?
Cada Estado miembro debe designar al menos una autoridad notificante y al menos una autoridad de vigilancia del mercado antes del 2 de agosto de 2025 (artículo 70). Las listas se publican en la página de la Oficina de IA; varios Estados miembros han designado a su autoridad de protección de datos, su regulador de telecomunicaciones o una nueva agencia dedicada de IA. En España, la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) actúa como autoridad coordinadora, en colaboración con la AEPD para los aspectos de datos personales. Para despliegues multipaís, identifique la autoridad en cada Estado miembro de operación, ya que las notificaciones de incidente y los registros son nacionales.
Qué es la obligación de alfabetización en IA del artículo 4?
Proveedores y responsables del despliegue deben adoptar medidas para asegurar, en la medida de sus posibilidades, un nivel suficiente de alfabetización en IA del personal y de otras personas que operen y usen sistemas de IA en su nombre, considerando los conocimientos técnicos, la experiencia, la formación y el contexto de uso. Se aplica desde el 2 de febrero de 2025 y no se limita a los sistemas de alto riesgo. Documente programa, contenido y entrega de la formación, porque las autoridades pueden requerirlo.
Dónde se registra un sistema de alto riesgo en la base de datos de la UE?
La base de datos de la UE para sistemas de IA de alto riesgo, prevista en el artículo 71, la opera la Comisión y se accede a través del portal de la Oficina de IA. El proveedor registra el sistema antes de introducirlo en el mercado (artículo 49, apartado 1). Los responsables del despliegue del sector público registran su uso por separado conforme al artículo 49, apartado 1 bis, antes de la puesta en servicio. La mayoría de los campos son públicos; algunos campos relativos a seguridad, protección y aplicación de la ley están restringidos.
Impetora

¿Listo para definir su proyecto? Envíe un resumen breve - respondemos en un día hábil.

Fuentes citadas

Fuentes citadas (7) - mostrar
  1. Reglamento (UE) 2024/1689 (Reglamento de IA) - texto consolidado. EUR-Lex, Diario Oficial de la Unión Europea, 2024-07-12. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  2. Oficina Europea de IA - directrices y actos de ejecución. Comisión Europea, 2025-01. https://digital-strategy.ec.europa.eu/en/policies/ai-office
  3. Multilayer framework for good cybersecurity practices for AI. ENISA, 2023-06. https://www.enisa.europa.eu/publications/multilayer-framework-for-good-cybersecurity-practices-for-ai
  4. ISO/IEC 42001:2023 - Sistemas de gestión de IA. Organización Internacional de Normalización, 2023-12. https://www.iso.org/standard/81230.html
  5. Lista de autoridades notificantes y organismos notificados nacionales. Comisión Europea, base NANDO, 2025-08. https://single-market-economy.ec.europa.eu/single-market/european-standards/notified-bodies_en
  6. Plantilla de EIDF (artículo 27). Oficina Europea de IA, 2026-02. https://digital-strategy.ec.europa.eu/en/policies/ai-office
  7. Reglamento (UE) 2016/679 (RGPD). EUR-Lex, Diario Oficial de la Unión Europea, 2016-04-27. https://eur-lex.europa.eu/eli/reg/2016/679/oj
Sobre Impetora
Impetora diseña, construye y despliega sistemas de inteligencia artificial a medida para empresas en sectores regulados. Operamos desde Vilnius y trabajamos en cinco idiomas.
Llamada de descubrimiento

Reserva una llamada de descubrimiento

Cuéntanos qué quieres construir. Respondemos en un día hábil.

Llamada de 30 minutos. Gratis. Sin compromiso.