Volver al blogArquitectura de Agentes IA

Checklist de cumplimiento de la Ley de IA de la UE

GuruSup

El cumplimiento de la Ley de IA de la UE no es una acción única. Es una secuencia de pasos que varía según la clasificación de riesgo de tu sistema de IA. Este checklist te da un camino concreto desde la evaluación hasta la conformidad, organizado por lo que necesitas hacer y cuándo.

Si todavía no has clasificado tus sistemas, empieza con nuestra guía de clasificación de riesgos.

Paso 1: Inventario de sistemas de IA

Antes de cumplir, necesitas saber qué tienes.

  • Lista cada sistema de IA que tu organización desarrolla, despliega o adquiere.
  • Documenta el propósito, tipos de datos de entrada, decisiones de salida y grupos de usuarios afectados de cada uno.
  • Identifica si actúas como proveedor, implementador, importador o distribuidor para cada sistema.
  • Asigna cada sistema a un nivel de riesgo (inaceptable, alto, limitado, mínimo).

Este inventario se convierte en la columna vertebral de tu cumplimiento. Actualízalo cada vez que añadas, modifiques o retires un sistema de IA.

Paso 2: Eliminar sistemas prohibidos

La prohibición sobre IA de riesgo inaceptable entró en vigor el 2 de febrero de 2025. Si tu inventario incluye algún sistema prohibido, descomisiónalo inmediatamente.

Comprueba: mecanismos de puntuación social, recopilación biométrica indiscriminada, técnicas de manipulación subliminal, reconocimiento de emociones en el trabajo (salvo que sea crítico para la seguridad) e identificación biométrica remota en tiempo real en espacios públicos (salvo las excepciones limitadas de aplicación de la ley). Consulta el resumen completo de la Ley de IA para la lista completa de prohibiciones.

Paso 3: Requisitos para sistemas de alto riesgo

Aquí está el grueso del trabajo de cumplimiento. Cada requisito a continuación se corresponde con un artículo específico de la regulación.

3.1 Sistema de gestión de riesgos (Artículo 9)

  • Establece un proceso de gestión de riesgos que funcione durante todo el ciclo de vida del sistema de IA.
  • Identifica y analiza riesgos conocidos y previsibles.
  • Implementa medidas de mitigación y prueba su efectividad.
  • Documenta los riesgos residuales y comunícalos a los implementadores.
  • Revisa y actualiza la evaluación de riesgos cuando el sistema o su contexto cambien.

3.2 Gobernanza de datos (Artículo 10)

  • Define criterios para conjuntos de datos de entrenamiento, validación y pruebas.
  • Asegúrate de que los conjuntos de datos sean relevantes, representativos y tan libres de errores como sea razonablemente posible.
  • Aborda sesgos potenciales, especialmente al procesar categorías especiales de datos personales.
  • Documenta la procedencia de los datos, métodos de recopilación y pasos de preprocesamiento.
  • Si hay datos personales involucrados, asegura el cumplimiento del RGPD en paralelo. Consulta nuestra comparación Ley de IA vs RGPD.

3.3 Documentación técnica (Artículo 11)

  • Prepara la documentación antes de que el sistema entre en el mercado.
  • Incluye: descripción general del sistema, especificaciones de diseño, proceso de desarrollo, medidas de gestión de riesgos, prácticas de gobernanza de datos, métricas de rendimiento y limitaciones conocidas.
  • Mantén la documentación actualizada durante toda la vida comercial del sistema más 10 años.

3.4 Registro y trazabilidad (Artículo 12)

  • Implementa el registro automático de eventos del sistema.
  • Los registros deben permitir rastrear operaciones hasta entradas y decisiones específicas.
  • Conserva los registros durante un periodo apropiado al propósito del sistema, como mínimo el definido por la ley sectorial aplicable.

3.5 Transparencia e información (Artículo 13)

  • Proporciona a los implementadores instrucciones claras de uso.
  • Documenta el propósito previsto del sistema, nivel de precisión y limitaciones conocidas.
  • Especifica las medidas de supervisión humana necesarias para una operación segura.
  • Incluye información sobre las características esperadas de los datos de entrada.

3.6 Supervisión humana (Artículo 14)

  • Diseña los sistemas para que los humanos puedan supervisar eficazmente su operación.
  • Permite al supervisor comprender las capacidades y limitaciones del sistema.
  • Proporciona herramientas para interpretar la salida del sistema y anular o revertir decisiones.
  • Incluye una función de parada o la capacidad de intervenir en tiempo real cuando sea apropiado.

3.7 Precisión, robustez y ciberseguridad (Artículo 15)

  • Declara los niveles de precisión y métricas en la documentación técnica.
  • Prueba la resiliencia contra errores, fallos y ataques adversariales.
  • Implementa medidas de ciberseguridad proporcionales al riesgo.
  • Aborda vulnerabilidades potenciales por envenenamiento de datos, manipulación de modelos y explotación de entradas.

Paso 4: Evaluación de conformidad

Antes de introducir un sistema de alto riesgo en el mercado, debes completar una evaluación de conformidad.

  • Para la mayoría de sistemas del Anexo III: autoevaluación siguiendo los procedimientos del Anexo VI.
  • Para sistemas de identificación biométrica: evaluación por un organismo notificado (tercero).
  • Para sistemas del Anexo I: seguir la evaluación de conformidad sectorial existente, actualizada para requisitos de IA.
  • Resultado: una declaración de conformidad y marcado CE.

Paso 5: Obligaciones de transparencia (riesgo limitado)

Si tu sistema es de riesgo limitado, el cumplimiento es más ligero pero sigue siendo obligatorio:

  • Chatbots e IA conversacional: revelar la naturaleza de IA a los usuarios antes o al inicio de la interacción. Detalles en nuestra guía de requisitos para chatbots.
  • Contenido generado por IA (texto, audio, imágenes, vídeo): etiquetarlo como generado artificialmente.
  • Reconocimiento de emociones: informar a los sujetos de que el sistema está operando.
  • Para equipos de atención al cliente, esto normalmente significa un banner o mensaje de divulgación al inicio de la conversación.

Paso 6: Registro y monitorización

  • Registra los sistemas de IA de alto riesgo en la base de datos de la UE antes de su introducción en el mercado.
  • Implementa monitorización post-mercado proporcional al riesgo del sistema.
  • Reporta incidentes graves a las autoridades nacionales en un plazo de 15 días desde que tengas conocimiento.
  • Coopera con las autoridades de vigilancia del mercado cuando lo soliciten.

Paso 7: Cumplimiento continuo

  • Programa revisiones periódicas de las evaluaciones de riesgos y la documentación técnica.
  • Monitoriza el rendimiento del sistema frente a los niveles de precisión declarados.
  • Actualiza la evaluación de conformidad del sistema tras modificaciones sustanciales.
  • Sigue las actualizaciones regulatorias de la Oficina Europea de IA y las autoridades nacionales.
  • Forma al personal involucrado en la operación y supervisión de sistemas de IA.

El cronograma de aplicación gobierna cuándo cada requisito se hace exigible. La estructura de sanciones muestra el coste del incumplimiento.

Explorar más

Comparativas IA 2026

ChatGPT vs Claude vs Gemini vs DeepSeek — precios, rendimiento y mejores usos

Ver el producto

Explora cómo nuestros agentes IA gestionan soporte, ventas y ops

Chatbot IA

Despliega chatbots inteligentes que resuelven consultas de forma autónoma

Artículos relacionados