Quién es el titular del cumplimiento de la Ley de IA de la UE en su organización
La Ley de IA de la UE crea obligaciones, no un puesto. Quién es el titular de los deberes de los Art. 9, 11, 14, 72 y 73 — estructura RACI, división DPD/CISO y la realidad de la pequeña empresa.
La Ley de IA de la UE no crea un puesto de trabajo. Crea obligaciones — y cada una recae sobre alguien. El Artículo 9 exige un sistema de gestión de riesgos con una rendición de cuentas identificada. El Artículo 17 exige un sistema de gestión de la calidad. El Artículo 14 exige personas designadas que puedan intervenir cuando un sistema de IA de alto riesgo necesite una corrección humana. El Artículo 73 exige que alguien tome la decisión de que un incidente es lo bastante grave como para notificarlo a la autoridad competente en un plazo de 15 días.
El término «responsable de cumplimiento de IA» ha surgido como la etiqueta práctica para quienquiera que soporte todo esto. Esta página explica qué requiere realmente la función: de qué es titular, cómo interactúa con el DPD y el CISO, cómo es el RACI y qué ocurre en organizaciones de distintos tamaños.
¿Exige la Ley un puesto titulado «responsable de cumplimiento de IA»?
No. El Reglamento (UE) 2024/1689 no utiliza la expresión «responsable de cumplimiento de IA», y no exige a las organizaciones crear una función independiente con ningún nombre específico. Lo que sí hace es asignar obligaciones concretas a la organización como proveedor o responsable del despliegue — y esas obligaciones requieren que un humano con nombre y apellidos sea su titular.
El análogo legal más cercano es el representante autorizado del Artículo 22: una designación obligatoria para los proveedores no establecidos en la UE que introducen un sistema de IA de alto riesgo en el mercado de la UE. Pero para los proveedores con base en la UE y para los responsables del despliegue, la Ley no exige por su nombre ninguna designación comparable. La respuesta práctica es que alguien dentro de su entidad jurídica debe ser el titular del programa. Cómo llame a esa persona depende de usted.
Las obligaciones centrales que la función debe cubrir
Construir y mantener el inventario de IA
La función de cumplimiento de IA es titular del registro. Para cada sistema, debe documentar la finalidad prevista, el contexto de despliegue, el perfil técnico y la función de la organización (proveedor en virtud del Artículo 16, responsable del despliegue en virtud del Artículo 26, importador en virtud del Artículo 23 o distribuidor en virtud del Artículo 24). La función no es evidente por sí misma — una empresa que construye un sistema de IA sobre un modelo de terceros y lo comercializa bajo su propio nombre es el proveedor en virtud del Artículo 25, con independencia de quién haya entrenado el modelo subyacente.
La IA en la sombra es el reto operativo persistente: equipos que despliegan herramientas sin supervisión central. La función necesita un proceso permanente para sacar a la luz esas herramientas e incorporarlas al registro antes de que se conviertan en una responsabilidad sin documentar.
Impulsar la clasificación en virtud del Artículo 6
Una vez que existe el inventario, la clasificación es la puerta crítica. El Artículo 6 fija las reglas: ¿cumple el sistema los criterios que lo hacen de alto riesgo? ¿Entra dentro de los ámbitos del Anexo III — biometría, infraestructuras críticas, educación, empleo y gestión de los trabajadores, acceso a servicios esenciales, garantía del cumplimiento del Derecho, migración o administración de justicia? Y si lo hace, ¿se aplica el filtro del Artículo 6, apartado 3 — es el sistema genuinamente lo bastante estrecho, lo bastante procedimental, como para que no plantee un riesgo significativo para la salud, la seguridad o los derechos fundamentales?
Equivocarse en cualquiera de las dos direcciones es costoso. Sobreclasificar como de alto riesgo y sobredimensionar el cumplimiento para herramientas de riesgo mínimo desperdicia recursos. Infraclasificar y saltarse la pila de alto riesgo en un sistema que realmente cumple los requisitos expone a la organización a multas de hasta 15 millones de euros o el 3 % del volumen de negocios mundial en virtud del Artículo 99, apartado 4. La función de cumplimiento de IA es titular de estas determinaciones, con aportaciones del área jurídica (para la evaluación del Art. 6, apdo. 3) y de la ciencia de datos (para la delimitación de las capacidades del sistema).
Coordinar el sistema de gestión de riesgos del Artículo 9
El Artículo 9 exige un sistema de gestión de riesgos para cada sistema de IA de alto riesgo: identificación de riesgos, análisis, evaluación y controles del riesgo residual — ejecutado a lo largo de todo el ciclo de vida del sistema. El responsable de cumplimiento de IA no ejecuta las evaluaciones de riesgos de forma independiente. Es titular del proceso: la metodología, el estándar de documentación, el calendario y la cadena de aprobación. Los responsables de ciencia de datos aportan las evaluaciones de capacidad; los responsables de las unidades de negocio identifican los riesgos operativos; el área jurídica cubre la exposición regulatoria. La función sintetiza esto y mantiene el registro del Artículo 9.
Asignar la supervisión humana conforme al Artículo 26 y al Artículo 14
El Artículo 14 exige que los sistemas de IA de alto riesgo se desplieguen con medidas de supervisión humana que permitan a las personas responsables comprender, supervisar y, cuando sea necesario, anular el resultado del sistema. El Artículo 26 hace al responsable del despliegue responsable de asignar a personas cualificadas a esa función. El responsable de cumplimiento de IA identifica qué roles de personal interactúan con los resultados de un modo que requiere una autoridad interpretativa real, y garantiza que ese personal tenga la formación y el acceso para intervenir. Esto alimenta directamente el programa de alfabetización del Artículo 4.
Ser titular de la documentación técnica del Artículo 11
El Artículo 11, leído junto con el Anexo IV, exige documentación técnica para cada sistema de IA de alto riesgo antes de que salga al mercado o entre en servicio — nueve áreas de contenido que cubren el diseño, los datos de entrenamiento, los resultados de rendimiento, los registros de gestión de riesgos y las disposiciones de supervisión humana. Esta debe conservarse durante diez años en virtud del Artículo 18.
El responsable de cumplimiento de IA es el custodio: fija el estándar de documentación, hace un seguimiento de las secciones pendientes de ingeniería y ciencia de datos, mantiene el control de versiones y garantiza que el paquete sea accesible para las autoridades de vigilancia del mercado. Para los proveedores, esta documentación es el fundamento de la declaración de conformidad del Artículo 47 y de la evaluación de la conformidad en virtud del Artículo 43.
Gestionar la alfabetización en materia de IA del Artículo 4
El Artículo 4 está en vigor desde el 2 de febrero de 2025. La función de cumplimiento de IA suele ser titular del programa de alfabetización: cartografiar qué roles de personal interactúan con los sistemas de IA en niveles de riesgo pertinentes para el cumplimiento, diseñar una formación apropiada al rol (concienciación de la dirección, usuario operativo, profesional técnico) y mantener los registros de finalización a efectos de auditoría. El estándar del Artículo 4 ya está vigente — es una de las obligaciones que las autoridades nacionales de supervisión tienen más probabilidades de examinar antes de que lleguen los plazos de alto riesgo.
Vigilancia poscomercialización en virtud del Artículo 72
El Artículo 72 exige a los proveedores de sistemas de IA de alto riesgo operar un sistema de vigilancia poscomercialización a lo largo del ciclo de vida del sistema — recopilando y revisando datos sobre el rendimiento, identificando riesgos posteriores al despliegue y actualizando el sistema de gestión de riesgos del Artículo 9 en consecuencia. El responsable de cumplimiento de IA no suele ser titular de la infraestructura de seguimiento (eso reside en ingeniería y ciencia de datos), pero es titular del marco de gobernanza: el plan de seguimiento dentro de la documentación técnica, los umbrales de escalado y el calendario de revisión.
Notificación de incidentes en virtud del Artículo 73
Los incidentes graves — aquellos que provocan la muerte, daños graves o plantean una amenaza de daños graves — deben notificarse a la autoridad competente del Estado miembro donde se produjo el incidente. En virtud del Artículo 73, el informe inicial debe presentarse en un plazo de 15 días desde que se tiene conocimiento del incidente; 2 días si el incidente implica una infracción generalizada o una alteración grave de una infraestructura crítica; 10 días si ha fallecido una persona.
El responsable de cumplimiento de IA es titular del proceso de triaje: los criterios de lo que constituye un incidente grave en virtud del Artículo 3, apartado 49, la cadena de escalado interna, la decisión de umbral y la gestión del plazo de notificación regulatoria. Esto requiere procesos preconstruidos — no una respuesta improvisada después de que algo ya haya salido mal.
RACI entre funciones
En la mayoría de las organizaciones, el cumplimiento de la Ley de IA no es un ejercicio de una sola función. Así es como suele dividirse el trabajo:
| Responsabilidad | Cumplimiento de IA | Jurídico | DPD | CISO/Seguridad TI | Ciencia de datos/Ingeniería | Unidad de negocio |
|---|---|---|---|---|---|---|
| Registro de IA — descubrimiento y mantenimiento | Responsable último (A) | Consultado | Informado | Consultado | Responsable (herramientas) | Consultado |
| Clasificación del Art. 6 y filtro del Art. 6, apdo. 3 | Responsable último (A) | Responsable | Consultado | — | Consultado | Consultado |
| Gestión de riesgos del Art. 9 | Responsable último (A) | Consultado | Consultado | Consultado | Responsable (aportación) | Responsable (aportación) |
| Documentación técnica del Art. 11 | Responsable último (A) | Consultado | — | Consultado | Responsable (contenido) | Informado |
| Asignación de la supervisión humana del Art. 14 (Art. 26, apdo. 2) | Responsable último (A) | Informado | — | Consultado | Consultado | Responsable |
| Programa de alfabetización en IA del Art. 4 | Responsable último (A) | Informado | Informado | Informado | Informado | Responsable (finalización) |
| EIDF del Art. 27 (responsables del despliegue que son organismos públicos / Anexo III 5, letras b)/c)) | Responsable último (A) | Consultado | Responsable | — | Consultado | Consultado |
| Vigilancia poscomercialización del Art. 72 | Responsable último (A) | Informado | — | Consultado | Responsable (datos) | Responsable (operativo) |
| Triaje y notificación de incidentes graves del Art. 73 | Responsable último (A) | Responsable | Consultado | Consultado | Consultado | Responsable (detección) |
Relación con el DPD y el CISO
El DPD
El delegado de protección de datos (DPD) — obligatorio para muchas organizaciones en virtud del Artículo 37 del RGPD — es el análogo estructural más cercano a la función de cumplimiento de IA. Ambos se sitúan en la intersección entre la tecnología y la regulación, ambos necesitan autoridad multifuncional y ambos interactúan con una autoridad de control. Pero los mandatos difieren: el DPD opera en virtud del RGPD 2016/679 con independencia estatutaria y designación formal; la función de cumplimiento de IA no tiene un requisito de independencia equivalente.
El solapamiento sustantivo es real. Las EIDF del Artículo 27 se apoyan en las EIPD del RGPD — el Artículo 27, apartado 4, permite expresamente que la EIDF se apoye en una EIPD existente. Cuando un sistema de IA trata datos personales, el DPD debe participar en la evaluación de riesgos del Artículo 9 y en la EIDF del Artículo 27. Para las organizaciones con varios sistemas de alto riesgo, la carga de trabajo combinada requiere o bien una capacidad de cumplimiento de IA dedicada o bien una priorización explícita — no el supuesto de que una sola persona pueda absorber ambas.
El CISO
El mandato del CISO se solapa con el Artículo 15 (exactitud, robustez y ciberseguridad) y con la dimensión de seguridad de las evaluaciones de riesgos del Artículo 9. Para los sistemas de IA cubiertos por la NIS2 — los que son componentes de infraestructuras críticas —, las obligaciones de la NIS2 del CISO y el Artículo 15 corren en paralelo. El responsable de cumplimiento de IA no es titular directamente de los controles de seguridad, pero debe verificar que esos controles satisfacen el estándar de la Ley de IA y garantizar que ese hallazgo quede documentado en los registros de los Artículos 9 y 11. Una relación de trabajo, no una entrega de testigo.
Reportar al consejo de administración
Un hallazgo de vigilancia del mercado, un incidente grave en virtud del Artículo 73 o una multa significativa en virtud del Artículo 99 — estos son eventos de nivel de consejo de administración. El responsable de cumplimiento de IA necesita una línea de reporte que llegue a la alta dirección antes de que las preocupaciones se conviertan en asuntos de ejecución. En la práctica: un informe trimestral al equipo ejecutivo o al comité de auditoría, que cubra el estado del registro, las brechas de cumplimiento abiertas por sistema, el estado del programa de alfabetización y cualquier evento de cuasi accidente. El formato importa menos que el hecho de que la información llegue a los responsables de la toma de decisiones que pueden actuar sobre ella.
La realidad en las empresas más pequeñas
Para una empresa de 20 a 80 empleados, un responsable de cumplimiento de IA dedicado a tiempo completo rara vez es económico. El arreglo práctico es una persona designada — a menudo del área jurídica, de cumplimiento o de TI — que soporta el mandato de la Ley de IA junto con sus responsabilidades existentes. Esto funciona cuando la cartera de IA es pequeña y de riesgo relativamente bajo. Funciona menos bien cuando la organización tiene varios sistemas de alto riesgo en desarrollo activo.
El suelo práctico para un arreglo competente a tiempo parcial es, aproximadamente: un sistema en el ámbito de alto riesgo, una metodología de documentación clara y herramientas que automaticen el flujo de trabajo de evaluación en lugar de exigir que todo se construya desde cero en hojas de cálculo. Sin esa infraestructura de apoyo, solo la carga de documentación del rol excede lo que una designación a tiempo parcial puede absorber.
Cómo ayuda Confir
Confir ofrece a la persona que soporta la función de cumplimiento de IA — ya sea un responsable dedicado o un responsable jurídico o de TI con un mandato paralelo — un sistema estructurado para ejecutar el programa. La clasificación y la determinación de funciones siguen la lógica del Artículo 6 y del Anexo III mediante un cuestionario en lenguaje sencillo; la regla que se activa es visible y explicable. La documentación se construye y se controla por versiones en el sistema. La EIDF del Artículo 27 y el paquete de documentación técnica del Artículo 11 / Anexo IV se generan directamente a partir del registro de evaluación. El registro de riesgos y la puntuación de salud del cumplimiento ofrecen la vista de cara al consejo de administración sin un informe manual independiente. El motor es determinista y basado en reglas — la misma admisión produce el mismo hallazgo — lo que importa para un producto de cumplimiento que puede ser él mismo objeto de escrutinio.
De autoservicio, sin proyecto de implementación.
Preguntas frecuentes
¿Es legalmente obligatorio designar a un responsable de cumplimiento de IA en virtud de la Ley de IA de la UE?
No, no con ese título. El Reglamento (UE) 2024/1689 asigna obligaciones concretas a los proveedores y a los responsables del despliegue — incluidos un sistema de gestión de riesgos en virtud del Artículo 9, la asignación de la supervisión humana en virtud del Artículo 26, la documentación técnica en virtud del Artículo 11, la vigilancia poscomercialización en virtud del Artículo 72 y la notificación de incidentes en virtud del Artículo 73 — pero no exige un puesto llamado «responsable de cumplimiento de IA». Lo que exige es que se cumplan estas obligaciones. En la práctica, asignarlas a una función con nombre y apellidos es la única forma de garantizar la rendición de cuentas. El representante autorizado del Artículo 22 es la única designación formal que la Ley sí exige — pero solo para los proveedores no establecidos en la UE que introducen sistemas en el mercado de la UE.
¿Puede nuestro DPD cubrir también la función de cumplimiento de IA?
Para muchas organizaciones más pequeñas, sí — especialmente si la cartera de IA es modesta y se concentra en sistemas de menor riesgo. El DPD ya tiene experiencia regulatoria, posición multifuncional y una relación con la alta dirección. El conocimiento adicional requerido — la estructura de la Ley de IA de la UE, la lógica de clasificación del Artículo 6, la metodología de gestión de riesgos del Artículo 9, los plazos de incidentes del Artículo 73 — puede adquirirse. La verdadera limitación es el tiempo: una cartera de alto riesgo con varios sistemas crea un trabajo continuo de documentación, seguimiento y gobernanza que puede entrar en conflicto con las obligaciones existentes del DPD en virtud del RGPD. Cuando ambos mandatos están vigentes, sea explícito sobre la capacidad y priorice en consecuencia.
¿Cuál es la relación entre el responsable de cumplimiento de IA y el CISO?
El Artículo 15 exige que los sistemas de IA de alto riesgo alcancen niveles apropiados de exactitud, robustez y ciberseguridad. El CISO suele ser titular de los controles de seguridad. El papel del responsable de cumplimiento de IA es verificar que esos controles satisfacen el estándar de la Ley de IA y garantizar que el hallazgo quede recogido en el sistema de gestión de riesgos del Artículo 9 y en la documentación técnica del Artículo 11. En las organizaciones sujetas a la NIS2, el solapamiento se profundiza — los sistemas de IA integrados en infraestructuras críticas soportan simultáneamente las obligaciones de seguridad de la NIS2 y los requisitos del Artículo 15 de la Ley de IA. Planifique evaluaciones conjuntas en lugar de paralelas.
¿Cuándo se aplica la obligación de alfabetización en materia de IA del Artículo 4?
El Artículo 4 se aplica desde el 2 de febrero de 2025. No hay un aplazamiento adicional para esta obligación — ya está vigente. Exige a los proveedores y a los responsables del despliegue garantizar que el personal tenga una alfabetización en materia de IA suficiente para sus funciones. El estándar es proporcionado: un directivo que aprueba despliegues de IA necesita un nivel de comprensión diferente del de un científico de datos que construye modelos o un agente de atención al cliente que utiliza una herramienta de IA. El responsable de cumplimiento de IA debería tener completada una cartografía de la alfabetización, la formación establecida y los registros de finalización documentados. Esta es una de las áreas que las autoridades de supervisión pueden auditar sin esperar al plazo de alto riesgo.
¿Qué cualificaciones existen para los profesionales del cumplimiento de IA?
La profesión todavía está formándose, y no existe una credencial asentada equivalente al CIPP/E para el RGPD. Opciones pertinentes a mediados de 2026: la IAPP AIGP (AI Governance Professional), el Implementador o Auditor Líder de ISO/IEC 42001 (valioso para la metodología del SGC y de gestión de riesgos) y los programas específicos de la Ley de IA de proveedores especializados de formación jurídica. En la práctica, la experiencia demostrada trabajando con el Reglamento — haber construido un programa de clasificación, gestionado la documentación técnica o navegado un triaje de incidentes — se pondera más que las credenciales formales en las decisiones de contratación. Eso cambiará a medida que el mercado madure.
¿Cómo es el RACI para una empresa de 30 personas que no puede permitirse un responsable de cumplimiento de IA dedicado?
A esa escala, el rol casi siempre recae en una persona como responsabilidad secundaria — normalmente un director jurídico, un responsable de cumplimiento o un gestor sénior de TI. La clave es ser explícito sobre quién es titular de cada obligación legal en lugar de dejarla difusa. Asigne un titular con nombre y apellidos para el registro de IA, para la gestión de riesgos del Artículo 9, para los registros de alfabetización del Artículo 4 y para la cadena de triaje de incidentes del Artículo 73. Incluso con 30 personas, un incidente grave que queda sin notificar porque nadie era claramente responsable crea una exposición regulatoria directa.
¿Cómo afecta el plazo de cumplimiento de alto riesgo a la planificación ahora?
En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos (Anexo III) deben cumplir a partir del 2 de diciembre de 2027, y la IA de alto riesgo integrada en productos regulados (Anexo I) a partir del 2 de agosto de 2028 — aplazando la fecha original de agosto de 2026. Pero dos obligaciones ya están vigentes: la alfabetización en materia de IA del Artículo 4 (desde el 2 de febrero de 2025) y las obligaciones de vigilancia poscomercialización del Artículo 72 que se aplican a los sistemas ya desplegados. Empezar el programa de inventario y clasificación ahora significa que, cuando llegue 2027, la documentación y el marco de gobernanza ya existirán. Empezar a finales de 2027 significa construir bajo presión, con las autoridades reguladoras ya en posición.
Guías relacionadas
- plantilla de política de IA para el cumplimiento del Artículo 5
- lista de comprobación de obligaciones del proveedor y del responsable del despliegue
- requisitos de cumplimiento para pymes
- visión general del marco de la Ley de IA de la UE
- comparación de herramientas de gestión de riesgos de IA
- guía de cumplimiento de IA para tecnología jurídica
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →