Planificación presupuestaria del cumplimiento de la Ley de IA de la UE: motores de coste para la IA de alto riesgo

La Ley de IA de la UE no viene con una etiqueta de precio. Viene con obligaciones — y el coste de cumplirlas depende casi por completo de si sus sistemas de IA son de alto riesgo con arreglo al Artículo 6, de qué papel ocupe en la cadena de valor y de cuánta infraestructura de gobernanza ya tenga. Una empresa que despliega una herramienta de cribado de RR. HH. de un tercero afronta una factura muy distinta de la de una que construye e introduce su propio sistema de calificación crediticia en el mercado.

En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III es el 2 de diciembre de 2027. La IA integrada como componente de seguridad en productos regulados (Anexo I — productos sanitarios, máquinas, aviación) sigue el 2 de agosto de 2028. Ese margen ampliado hace posible una presupuestación por fases, pero no reduce la carga de trabajo. El sistema de gestión de riesgos del Artículo 9, el paquete de documentación técnica del Anexo IV, la evaluación de la conformidad del Artículo 43, el registro del Artículo 49 y la vigilancia poscomercialización del Artículo 72 requieren cada uno un trabajo real. Planificar el gasto ahora — a lo largo de los ejercicios fiscales y no como un único presupuesto de crisis — es lo que permite el calendario.

Por qué la clasificación es la primera decisión presupuestaria

No puede planificar el coste del cumplimiento sin saber primero qué tiene. El Artículo 6 crea dos vías hacia la condición de alto riesgo. La primera cubre los sistemas de IA que funcionan como componentes de seguridad de productos al amparo de la legislación de armonización de la UE (Anexo I — piense en la IA de diagnóstico regulada por el MDR). La segunda, y la que la mayoría de las empresas encuentran, cubre las ocho categorías del Anexo III: biometría, infraestructuras críticas, educación, empleo y gestión de los trabajadores, acceso a servicios esenciales (incluida la calificación de la solvencia con arreglo al punto 5, letra b), y la fijación de precios de los seguros de vida/salud con arreglo al punto 5, letra c)), garantía del cumplimiento del Derecho, migración y control fronterizo, y administración de justicia y procesos democráticos.

El filtro del Artículo 6, apartado 3, importa aquí. Un sistema que entra en un ámbito del Anexo III sigue sin ser automáticamente de alto riesgo — si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales, el proveedor puede documentar esa evaluación y salir del conjunto completo de obligaciones. Pero todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, y la reclamación de exención debe a su vez documentarse y registrarse con arreglo al Artículo 49. Equivocarse en la clasificación en cualquiera de las dos direcciones tiene un coste: sobreclasificar desperdicia gasto de cumplimiento; infraclasificar crea una subsanación retroactiva y una posible exposición a la ejecución.

El primer paso práctico es un inventario de IA. Enumere cada sistema que construye o despliega en un contexto profesional, coteje cada uno frente a las categorías del Anexo III, aplique el filtro del Artículo 6, apartado 3, cuando sea discutible, y derive su papel — proveedor con arreglo al Artículo 16 o responsable del despliegue con arreglo al Artículo 26 — para cada uno. La mayoría de las empresas que despliegan herramientas de IA de terceros son responsables del despliegue; las empresas que comercializan productos habilitados con IA a los clientes son proveedores. Las obligaciones, y los costes, difieren sustancialmente.

El sistema de gestión de riesgos del Artículo 9

El Artículo 9 es un compromiso operativo continuo, no un documento que se archiva una vez. Exige que los proveedores establezcan un sistema de gestión de riesgos que funcione a lo largo de todo el ciclo de vida del sistema — identificando los riesgos conocidos y razonablemente previsibles, evaluándolos, implementando medidas de mitigación y comprobando que los riesgos residuales son aceptables.

El tiempo de personal es el coste dominante. Las empresas que ya disponen de procesos de riesgo del RGPD o de un marco ISO/IEC 42001 afrontan costes de implantación más bajos que las que parten de cero. El sistema del Artículo 9 alimenta todo lo posterior: los riesgos residuales identificados aquí condicionan los requisitos de supervisión humana del Artículo 14, las obligaciones de exactitud y robustez del Artículo 15 y el alcance de la notificación de incidentes graves del Artículo 73. El mantenimiento anual continuo — el ciclo de revisión trimestral, la actualización de la documentación cuando el sistema cambia, la incorporación de los datos de vigilancia del Artículo 72 — es una partida recurrente, no puntual.

El paquete de documentación técnica del Anexo IV (Artículo 11)

Los proveedores deben compilar documentación técnica antes de introducir un sistema de alto riesgo en el mercado o ponerlo en servicio. Las nueve áreas de contenido establecidas en el Anexo IV — una descripción general del sistema, las especificaciones de diseño, la gobernanza de los datos de entrenamiento y validación, los resultados de las pruebas de rendimiento, los registros de gestión de riesgos y las disposiciones de supervisión humana — forman la base de cualquier evaluación de la conformidad y el paquete probatorio que las autoridades de vigilancia del mercado pueden solicitar en cualquier momento.

Para una empresa que construye sobre modelos o API de IA de terceros, parte de esta documentación tiene que provenir del proveedor aguas arriba con arreglo al Artículo 13 y a las disposiciones sobre GPAI. Coteje lo que puede obtener del proveedor del modelo frente a lo que debe generar usted mismo. Las carencias son un riesgo de cumplimiento. El Artículo 18 exige que los proveedores conserven el paquete del Anexo IV durante diez años desde que introducen el sistema en el mercado — un coste de gestión de documentos y de control de versiones que es fácil subestimar.

La evaluación de la conformidad con arreglo al Artículo 43: control interno frente a organismo notificado

La evaluación de la conformidad (Artículo 43) es donde la diferencia de coste entre tipos de sistemas es más acusada. Para la mayoría de las categorías del Anexo III — infraestructuras críticas, educación, empleo, servicios esenciales, garantía del cumplimiento del Derecho, migración, justicia —, los proveedores utilizan la vía de autoevaluación interna del Anexo VI. Esto significa que el propio proveedor comprueba el sistema frente a los requisitos, documenta el resultado y emite la declaración UE de conformidad con arreglo al Artículo 47. No hay que pagar a ningún organismo externo.

La excepción es el punto 1 del Anexo III: los sistemas biométricos. Cuando no se ha aplicado una norma armonizada que cubra los requisitos pertinentes (o se ha aplicado solo en parte), se aplica la vía del organismo notificado del Anexo VII. Las tarifas de los organismos notificados varían según el organismo, la complejidad del sistema y el alcance de la evaluación, pero son materialmente más altas que una autoevaluación interna. Si opera en el ámbito de la biometría — identificación biométrica remota, categorización biométrica, reconocimiento de emociones cuando esté permitido —, incorpore explícitamente las tarifas del organismo notificado al presupuesto y prevea tiempo para la programación, porque la capacidad de los organismos notificados está limitada.

Para el Anexo I (IA integrada en productos), la evaluación de la conformidad se integra en el procedimiento de seguridad del producto existente; la Ley de IA no añade una segunda evaluación autónoma, pero sí añade requisitos específicos de la IA a lo que la evaluación del producto debe cubrir.

Registro (Artículo 49) y la base de datos de la UE

Antes de introducir un sistema de alto riesgo en el mercado, los proveedores deben registrarlo en la base de datos de la UE establecida con arreglo al Artículo 71. El registro con arreglo al Artículo 49 no es solo una formalidad administrativa — es lo que hace que el sistema sea públicamente responsable y lo que las autoridades de vigilancia del mercado utilizan para rastrear la población desplegada. Los responsables del despliegue de determinados sistemas del Anexo III (en particular en los ámbitos del sector público y de la garantía del cumplimiento del Derecho) tienen obligaciones de registro separadas.

El coste es principalmente el tiempo de personal interno para compilar la información de registro y mantenerla a medida que el sistema evoluciona. Los sistemas que se modifican sustancialmente con arreglo al Artículo 3, apartado 23, deben reevaluarse y volver a registrarse.

Supervisión humana (Artículo 14) y alfabetización en materia de IA (Artículo 4)

El Artículo 14 exige que los proveedores diseñen los sistemas de alto riesgo de modo que los responsables del despliegue puedan supervisarlos eficazmente — incluida la capacidad de comprender los resultados, intervenir y anular. Los responsables del despliegue deben luego asignar a personas competentes a ese papel de supervisión y garantizar que disponen de lo que necesitan para ejercerlo. La obligación del lado del diseño es un coste del proveedor; la obligación del lado operativo es un coste del responsable del despliegue.

El Artículo 4 se sitúa aparte. Se aplica desde el 2 de febrero de 2025 y exige que los proveedores y los responsables del despliegue garanticen que el personal que trabaja con sistemas de IA tenga un nivel adecuado de alfabetización en materia de IA. Esto no es lo mismo que la función de supervisión humana — es una base de competencia más amplia. Los presupuestos de formación, ya sea para programas internos o para proveedores externos, deben cubrir ambos: las habilidades de supervisión técnica que exige el Artículo 14 y la alfabetización general que exige el Artículo 4.

Para las empresas con equipos de cumplimiento o jurídicos pequeños, la formación en alfabetización en materia de IA suele ser la partida presupuestaria más inmediatamente visible porque se aplica ahora y alcanza a toda la organización.

Sistema de gestión de la calidad (Artículo 17)

Los proveedores deben implementar un sistema de gestión de la calidad que cubra las políticas, los procesos y los procedimientos necesarios para el cumplimiento continuo. El Artículo 17 se proyecta estrechamente sobre lo que la ISO/IEC 42001 proporciona organizativamente — las empresas que ya poseen esa certificación tienen una ventaja estructural. El SGC integra el sistema de gestión de riesgos del Artículo 9, el proceso de documentación del Anexo IV, el programa de vigilancia del Artículo 72 y los registros de la evaluación de la conformidad en una única estructura de gobernanza. Cuando hoy no existe ningún SGC, construir uno es una inversión inicial significativa; ampliar una estructura de gobernanza de ISO 27001 o del RGPD existente es considerablemente más barato.

Vigilancia poscomercialización (Artículo 72)

La obligación no termina en el lanzamiento. El Artículo 72 exige que los proveedores vigilen activamente los sistemas desplegados en busca de riesgos, comportamientos inesperados y deriva del rendimiento. El plan de vigilancia debe formar parte de la documentación técnica y retroalimentar el sistema de gestión de riesgos del Artículo 9.

Los incidentes graves activan la notificación con arreglo al Artículo 73, con plazos de 2, 10 o 15 días según la gravedad. La detección y la respuesta a incidentes no es opcional — planifíquela antes del despliegue. La cuestión presupuestaria es si la vigilancia es automatizada (coste de herramientas), manual (tiempo de personal) o una combinación.

Herramientas frente a consultores: la decisión de hacer o comprar

Los bufetes de abogados externos y las consultorías especializadas proporcionan resultados de alta confianza para la clasificación, la documentación del Anexo IV y el apoyo a la evaluación de la conformidad, pero las tarifas se acumulan rápidamente — en particular para los elementos continuos (revisiones del Artículo 9, vigilancia del Artículo 72, programas de formación del Artículo 4). Un encargo de consultoría que cubra un único sistema de alto riesgo desde la clasificación hasta el registro suele costar materialmente más al año que las herramientas de cumplimiento de autoservicio.

El software de cumplimiento de autoservicio codifica la lógica de las obligaciones en flujos de trabajo estructurados que el equipo de cumplimiento, jurídico o de TI ejecuta directamente. Para la mayoría de las empresas que despliegan de uno a cinco sistemas de alto riesgo, un enfoque liderado por herramientas con aportaciones externas selectivas para las decisiones de clasificación controvertidas o la coordinación con el organismo notificado es la estructura más eficiente en cuanto a costes.

Proporcionalidad para las pymes y el límite de multas del Artículo 99, apartado 6

La Ley incorpora cierta proporcionalidad para las empresas más pequeñas. El Artículo 99, apartado 6, limita las multas para las pymes y las empresas emergentes al menor del techo del importe fijo o el porcentaje del volumen de negocios anual mundial. Así, para el nivel de 15 millones de euros / 3 % que se aplica a la mayoría de los incumplimientos de obligaciones de alto riesgo — el nivel que afrontan la mayoría de las empresas —, una empresa con 2 millones de euros de volumen de negocios anual estaría limitada a 60 000 euros, no a 15 millones. Eso sigue siendo una cifra material, y se sitúa junto a las consecuencias no financieras: la intervención de la autoridad de vigilancia del mercado, la retirada del sistema y los costes de auditoría y subsanación que se derivan.

La protección de proporcionalidad no es una razón para aplazar la inversión en cumplimiento — es un dato de calibración. Una empresa con un bajo volumen de negocios sigue necesitando un sistema del Artículo 9 funcional y la documentación del Anexo IV; simplemente afronta una exposición a multas en el peor de los casos más baja si se queda corta.

Cómo ayuda Confir

Confir es una herramienta de cumplimiento de la Ley de IA de la UE de autoservicio diseñada para los equipos de cumplimiento, jurídicos y de TI de las empresas que no pueden absorber el coste de un programa completo dirigido por consultores para cada sistema. Sustituye una parte significativa del trabajo manual que implican la clasificación, la documentación técnica y la preparación de la EIDF. El motor de clasificación es determinista y basado en reglas — la misma admisión produce el mismo resultado, fundamentado en la lógica explícita del Artículo 6 y del Anexo III, con la regla que se ha activado visible y auditable. Genera el paquete de documentación del Artículo 11 / Anexo IV, la declaración de conformidad del Artículo 47 / Anexo V y apoya el flujo de trabajo de la EIDF del Artículo 27. Para las empresas con hasta cinco sistemas de alto riesgo, cubre el trabajo de cumplimiento estructurado que de otro modo requeriría semanas de personal o tarifas de consultoría.

Lo que Confir no sustituye es el juicio jurídico sobre las decisiones de clasificación genuinamente controvertidas, la interacción con el organismo notificado para las evaluaciones de biometría del Anexo VII o el compromiso de liderazgo interno que exige un SGC con arreglo al Artículo 17. Trátelo como la columna vertebral estructurada para el trabajo de documentación y evaluación, con aportaciones de expertos externos reservadas para las decisiones que realmente lo necesitan.

El plazo del ejercicio 2027 significa que hay aproximadamente tres ciclos presupuestarios antes de la fecha de la obligación del Anexo III. La secuencia que funciona: inventariar y clasificar en el primer año, construir la infraestructura del Artículo 9 y del Anexo IV en el segundo año, completar la evaluación de la conformidad y el registro antes del 2 de diciembre de 2027. Cada año tiene un perfil de gasto distinto y entrega algo auditable.

Preguntas frecuentes

¿Cuáles son los principales motores de coste del cumplimiento de la Ley de IA de la UE?

La clasificación va primero — no puede presupuestar nada más hasta que sepa qué sistemas son de alto riesgo con arreglo al Artículo 6 y qué papel desempeña. Después: el sistema de gestión de riesgos del Artículo 9, la documentación técnica del Anexo IV (Artículo 11), la evaluación de la conformidad (Artículo 43 — autoevaluación para la mayoría de las categorías del Anexo III; tarifas del organismo notificado para la biometría), la vigilancia poscomercialización (Artículo 72), el registro (Artículo 49), el SGC (Artículo 17) y la formación en alfabetización en materia de IA (Artículo 4, en vigor desde el 2 de febrero de 2025).

¿Cuándo es el plazo de cumplimiento para los sistemas de IA de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III deben cumplir antes del 2 de diciembre de 2027. La IA de alto riesgo integrada como componente de seguridad en productos cubiertos por la legislación de armonización de la UE (Anexo I — productos sanitarios, máquinas, aviación) debe cumplir antes del 2 de agosto de 2028. El plazo original del 2 de agosto de 2026 se ha aplazado para el nivel de alto riesgo. Las prácticas prohibidas con arreglo al Artículo 5 se aplican desde el 2 de febrero de 2025; no se aplazan.

¿Necesitan la mayoría de las empresas un organismo notificado, o pueden autoevaluarse?

La mayoría de las empresas pueden autoevaluarse. La vía de autoevaluación interna del Anexo VI se aplica a las categorías 2 a 8 del Anexo III — infraestructuras críticas, educación, empleo, servicios esenciales, garantía del cumplimiento del Derecho, migración y administración de justicia. La vía del organismo notificado del Anexo VII se aplica al punto 1 del Anexo III (biometría) cuando no se han aplicado normas armonizadas. Para la IA integrada en productos del Anexo I, la evaluación de la conformidad sigue el régimen de seguridad del producto. Si no está en el ámbito de la biometría y no construye productos regulados, casi con seguridad se autoevalúa.

¿Qué significa el límite de multas del Artículo 99, apartado 6, para las empresas más pequeñas?

El Artículo 99, apartado 6, limita las multas para las pymes y las empresas emergentes al menor del porcentaje o el techo del importe fijo en cada nivel. Para el principal nivel de alto riesgo — 15 millones de euros o el 3 % del volumen de negocios anual mundial —, una empresa con 3 millones de euros de volumen de negocios anual afrontaría un máximo de 90 000 euros, no de 15 millones. El límite es una protección de proporcionalidad genuina, pero no altera la obligación en sí. Una empresa pequeña con un sistema de alto riesgo sigue necesitando el sistema de gestión de riesgos del Artículo 9, la documentación del Anexo IV y la evaluación de la conformidad del Artículo 43.

¿En qué se diferencia el sistema de gestión de riesgos del Artículo 9 del SGC del Artículo 17?

El sistema de gestión de riesgos del Artículo 9 es específico del sistema — se ejecuta a lo largo del ciclo de vida de cada sistema de IA de alto riesgo individual, identificando y mitigando los riesgos específicos de ese sistema. El sistema de gestión de la calidad del Artículo 17 es de ámbito organizativo — es la estructura de gobernanza que integra los procesos de cumplimiento, la gestión de la documentación, la vigilancia poscomercialización y la notificación de incidentes de todos los sistemas de alto riesgo del proveedor. Piense en el Artículo 9 como la prueba técnica y en el Artículo 17 como la envoltura organizativa. La ISO/IEC 42001 proporciona un marco reconocido para el SGC del Artículo 17, aunque la certificación es voluntaria.

¿Es el cumplimiento un coste puntual o recurrente?

Ambos. Hay una inversión inicial sustancial en clasificación, documentación del Anexo IV, evaluación de la conformidad y registro. Pero el Artículo 9 exige una revisión continua del riesgo; el Artículo 72 exige una vigilancia poscomercialización continua; la alfabetización en materia de IA del Artículo 4 es una obligación permanente; y el SGC del Artículo 17 necesita mantenimiento a medida que los sistemas evolucionan. Presupueste un gasto más elevado el primer año seguido de una tasa de ejecución anual más baja pero real para la vigilancia, los ciclos de revisión y la formación.

¿Qué puede sustituir de forma realista una herramienta de autoservicio, y qué sigue necesitando experiencia externa?

Las herramientas gestionan bien el trabajo estructurado: la clasificación del Artículo 6, la generación de documentación del Anexo IV, la declaración de conformidad del Artículo 47 y los flujos de trabajo de EIDF del Artículo 27. Las aportaciones externas siguen añadiendo valor para las reclamaciones de exención del Artículo 6, apartado 3, controvertidas, la coordinación con el organismo notificado para las evaluaciones de biometría del Anexo VII y la revisión jurídica de las cuestiones de papel transfronterizas con arreglo al Artículo 25. La economía favorece las herramientas para el trabajo de documentación estructurado y las tarifas de asesoramiento selectivas para las decisiones que son genuinamente controvertidas.

Guías relacionadas

• requisitos de cumplimiento de alto riesgo del Artículo 8
• árbol de decisión de clasificación de riesgo
• guía de los niveles de clasificación de riesgo
• software de cumplimiento de la Ley de IA de la UE