Obligaciones del responsable del despliegue de la Ley de IA de la UE: qué exige realmente el Artículo 26

Si su empresa utiliza un sistema de IA de alto riesgo comprado a un proveedor —una herramienta de cribado de candidatos, un modelo de calificación crediticia, un motor de suscripción de seguros—, usted es un responsable del despliegue con arreglo al Reglamento (UE) 2024/1689. Ese rol conlleva su propio conjunto de obligaciones con arreglo al Artículo 26. Son más ligeras que las del proveedor, pero no son opcionales, y algunas de ellas muerden de formas que es fácil pasar por alto.

Este artículo recorre cada deber del Artículo 26 en términos prácticos, señala la trampa del cambio de rol del Artículo 25, explica quién debe realmente una evaluación de impacto relativa a los derechos fundamentales con arreglo al Artículo 27 y expone la exposición sancionadora y el plazo correctos.

---

Qué significa «responsable del despliegue» con arreglo a la Ley de IA de la UE

El Artículo 3, apartado 4, define al responsable del despliegue como toda persona física o jurídica que utiliza un sistema de IA bajo su autoridad en un contexto profesional. Las palabras clave son utiliza y bajo su autoridad. Una empresa de selección de personal que ejecuta el modelo de cribado de currículos de un proveedor en sus propios sistemas es un responsable del despliegue. También lo es una oficina de prestaciones públicas que utiliza una herramienta de puntuación de admisibilidad de un tercero.

La mayoría de las empresas son responsables del despliegue, no proveedores. Si compró o cedió bajo licencia el sistema de IA en lugar de construirlo usted mismo, casi con certeza ocupa el rol de responsable del despliegue. Eso importa porque es el Artículo 26 —y no la pila más pesada del proveedor de los Artículos 9 a 17— el que rige lo que debe hacer.

Una excepción importante: el Artículo 25 crea una trampa de cambio de rol. Si pone su propio nombre o marca en un sistema de alto riesgo de un tercero, lo modifica sustancialmente o cambia su finalidad prevista, se convierte en proveedor y hereda la totalidad de las obligaciones del proveedor (evaluación de la conformidad con arreglo al Artículo 43, documentación técnica con arreglo al Artículo 11, un sistema de gestión de la calidad con arreglo al Artículo 17). Antes de personalizar un modelo de proveedor o de comercializarlo con su marca, compruebe si la modificación es lo bastante sustancial como para activar el Artículo 25.

---

Las obligaciones del Artículo 26, una por una

Seguir las instrucciones de uso

El Artículo 26 exige a los responsables del despliegue utilizar un sistema de IA de alto riesgo de conformidad con las instrucciones de uso del proveedor. Esto no es un trámite burocrático. Las instrucciones definen el alcance del rendimiento validado del sistema: los tipos de datos, los casos de uso y las poblaciones frente a los que el proveedor lo probó. Desplegar un modelo fuera de esos límites significa que la evaluación de la conformidad del proveedor ya no cubre lo que usted está haciendo, y el riesgo se traslada a usted.

Una entidad prestamista regional que compra un modelo de evaluación de la solvencia validado para préstamos al consumo y después lo aplica a solicitudes de préstamos comerciales ya no está operando dentro de las instrucciones del proveedor. Si el modelo produce resultados discriminatorios en ese nuevo contexto, la entidad prestamista no puede señalar la declaración de conformidad del proveedor como defensa.

Encomendar la supervisión humana a personas competentes (Artículo 14)

El Artículo 26 remite al Artículo 14, que exige a los responsables del despliegue encomendar las tareas de supervisión humana a personas físicas que tengan la competencia, la autoridad y los recursos para llevarlas a cabo. La «competencia» no se satisface entregando el trabajo a quienquiera que administre el sistema. La persona debe comprender las capacidades y limitaciones del sistema, ser capaz de interpretar sus resultados de forma crítica y tener autoridad genuina para suspenderlo o anularlo.

Para un equipo de RR. HH. de 60 personas que utiliza una herramienta automatizada de preselección: la función de supervisión debe recaer en alguien que comprenda con qué se entrenó el modelo, qué patrones demográficos puede replicar y cómo detectar un resultado que merezca el rechazo. Un responsable de contratación bajo presión para cubrir puestos rápidamente no es automáticamente una persona competente de supervisión con arreglo al Artículo 14; su designación interna debe reflejarlo con honestidad.

Garantizar que los datos de entrada son pertinentes y representativos

Cuando los responsables del despliegue controlan los datos de entrada que se introducen en el sistema, el Artículo 26 les exige garantizar que esos datos son pertinentes y representativos para la finalidad prevista. Los proveedores rigen los datos de entrenamiento con arreglo al Artículo 10; los responsables del despliegue rigen las entradas operativas. Si su organización alimenta el modelo con datos obsoletos, sesgados o no representativos, la obligación es suya.

Vigilar el funcionamiento y notificar los riesgos

El Artículo 26 exige a los responsables del despliegue vigilar el funcionamiento del sistema. Si la vigilancia revela un riesgo para la salud, la seguridad o los derechos fundamentales —o un incidente grave—, el Artículo 26 obliga al responsable del despliegue a informar al proveedor y, cuando proceda, a la autoridad de vigilancia del mercado con arreglo al Artículo 79, apartado 1. La suspensión del uso es obligatoria si el riesgo es grave y no puede mitigarse.

«Incidente grave» se define en el Artículo 3, apartado 49: un incidente que causa o puede causar, directa o indirectamente, la muerte, un daño grave para la salud o una vulneración grave de los derechos fundamentales. No espere a que una autoridad le diga que se ha superado el umbral: establezca ya un proceso interno de revisión de incidentes.

Conservar los registros durante al menos seis meses

El Artículo 26 exige a los responsables del despliegue conservar los registros generados automáticamente por el sistema durante al menos seis meses, salvo que el Derecho de la UE o nacional establezca un periodo más largo. Seis meses, no tres años. El antiguo artículo de esta página decía tres años; esa cifra no aparece en el Reglamento.

Los responsables del despliegue no generan ellos mismos los registros; los sistemas de alto riesgo están obligados por el Artículo 12 a producir registros automáticamente. Su obligación es conservarlos y ponerlos a disposición de las autoridades competentes cuando lo soliciten.

Informar a los trabajadores y a sus representantes antes del despliegue en el lugar de trabajo

El Artículo 26 se aplica cuando un responsable del despliegue utiliza un sistema de IA de alto riesgo en el lugar de trabajo. Antes del despliegue, debe informar a los representantes de los trabajadores —y, en la medida en que el Derecho nacional lo exija, a los propios trabajadores— sobre el despliegue. Esta obligación es independiente de cualquier requisito de transparencia del RGPD. Se aplica en el momento del despliegue, no solo si el sistema cambia.

Una empresa de distribución que planea utilizar un sistema de asignación de tareas basado en IA para el personal de almacén debe notificarlo a los representantes de los trabajadores antes de que el sistema entre en funcionamiento. La notificación debe ser lo bastante significativa como para permitir una participación genuina, no un correo de tres líneas emitido el día del lanzamiento.

Registro de las autoridades públicas (Artículo 49)

Si usted es un organismo público o un organismo que ejerce poderes públicos y despliega un sistema de IA de alto riesgo, el Artículo 49 exige el registro en la base de datos de la UE para los sistemas de IA de alto riesgo antes del uso o en el momento de este. Este es un requisito independiente de la obligación de registro del proveedor. Los responsables del despliegue del sector privado no lo deben, pero sí toda autoridad pública u organismo con mandato público.

Transparencia con arreglo al Artículo 50

Cuando un responsable del despliegue utiliza un sistema de IA que interactúa con personas físicas —por ejemplo, un chatbot que atiende consultas de la ciudadanía—, el Artículo 50 exige al responsable del despliegue garantizar que las personas afectadas son informadas de que están interactuando con un sistema de IA, salvo que resulte evidente por el contexto. Los deberes de transparencia del Artículo 50 se aplican desde el 2 de agosto de 2026 y son distintos de las obligaciones de alto riesgo del Artículo 26.

EIPD del RGPD: utilice la información del Artículo 13

El Artículo 26 dispone que los responsables del despliegue que sean también responsables del tratamiento deben utilizar la información facilitada por el proveedor con arreglo al Artículo 13 para realizar cualquier evaluación de impacto relativa a la protección de datos (EIPD) del RGPD exigida por el Artículo 35 del RGPD. La documentación del Artículo 13 —que abarca la lógica del sistema, las características de los datos de entrenamiento y los indicadores de riesgo— está diseñada para alimentar directamente una EIPD. Si su proceso de compras no incluye la obtención de la documentación del Artículo 13 del proveedor, no puede descargar esta obligación transregulatoria.

Cooperar con las autoridades

Los responsables del despliegue deben cooperar con las autoridades de vigilancia del mercado cuando lo soliciten: facilitando el acceso a los registros, a la documentación y a la información sobre cómo se utiliza el sistema. El Artículo 26 establece este deber. No es discrecional.

---

¿Quién debe una evaluación de impacto relativa a los derechos fundamentales (Artículo 27)?

El Artículo 27 se lee con frecuencia, erróneamente, como una obligación general del responsable del despliegue. No lo es. La EIDF se aplica a dos categorías específicas:

1. Organismos públicos y organismos que ejercen poderes públicos que despliegan sistemas de IA de alto riesgo.
2. Responsables del despliegue de sistemas del punto 5, letra b), del Anexo III (calificación de la solvencia / calificación crediticia, excluida la detección de fraude) y del punto 5, letra c) (evaluación de riesgos y fijación de precios de los seguros de vida y de salud).

Los empleadores privados que utilizan IA de selección de personal o de gestión de la plantilla —incluso sistemas que son de alto riesgo con arreglo al punto 4 del Anexo III— no deben automáticamente una EIDF con arreglo al Artículo 27. La EIDF es específica para los contextos en los que la combinación de autoridad pública o de servicios financieros esenciales crea una exposición elevada a los derechos fundamentales.

Si usted es un empleador del sector público o una entidad prestamista o aseguradora que entra en las letras b) o c) del punto 5, la EIDF debe realizarse antes del despliegue y ponerse a disposición de la autoridad competente cuando lo solicite. La evaluación debe identificar los sistemas y su finalidad, el alcance geográfico y temporal, las personas y los grupos pertinentes que probablemente se vean afectados, y los riesgos específicos para los derechos fundamentales, con medidas de mitigación concretas documentadas.

---

El plazo y la exposición sancionadora

En virtud del Ómnibus Digital acordado en mayo de 2026, la fecha de aplicación de los sistemas autónomos de alto riesgo del Anexo III es el 2 de diciembre de 2027. La fecha original de agosto de 2026 se ha aplazado. La IA de alto riesgo integrada en productos regulados (Anexo I) sigue el 2 de agosto de 2028.

Las obligaciones de transparencia del Artículo 50 (riesgo limitado / chatbots / contenido sintético) se aplican desde el 2 de agosto de 2026 y no se aplazaron.

Para los responsables del despliegue que incumplan las obligaciones del Artículo 26, el techo sancionador con arreglo al Artículo 99, apartado 4, es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas que reúnen los requisitos de pymes o empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, la cantidad fija o el porcentaje —una protección relevante para las empresas más pequeñas, pero no una razón para despriorizar el cumplimiento—.

El plazo de diciembre de 2027 le da tiempo para construir un programa adecuado. No le da tiempo para empezar tarde. La obligación de conservación de registros de seis meses, los procedimientos de notificación a los trabajadores y una estructura de supervisión humana en funcionamiento requieren todos una preparación que va por delante del plazo, no por detrás de él.

---

Cómo ayuda Confir

El motor basado en reglas de Confir clasifica cada sistema que usted despliega frente a los Artículos 5 y 6 (con la lógica del Anexo III), deriva su rol como responsable del despliegue (o señala un cambio de rol del Artículo 25) y genera una lista de tareas de cumplimiento estructurada que se corresponde con sus obligaciones específicas del Artículo 26. Para los responsables del despliegue que deben una EIDF con arreglo al Artículo 27, Confir ejecuta el flujo de trabajo completo de evaluación. El sistema registra los sistemas desplegados en el inventario de IA de su organización, hace un seguimiento de las obligaciones de conservación de registros y produce un rastro de auditoría de las decisiones de supervisión, todo sin inferencia de IA: la misma admisión produce la misma conclusión cada vez.

---

Preguntas frecuentes

¿Quién es responsable del despliegue con arreglo a la Ley de IA de la UE?

Toda organización —empresa privada, organismo público, entidad sin ánimo de lucro— que utiliza un sistema de IA de alto riesgo en un contexto profesional bajo su propia autoridad es un responsable del despliegue con arreglo al Artículo 3, apartado 4. Si cedió bajo licencia o compró el sistema en lugar de construirlo desde cero, y no lo ha modificado sustancialmente ni le ha puesto su propio nombre, casi con certeza es un responsable del despliegue. El rol de responsable del despliegue conlleva las obligaciones del Artículo 26, y no la pila más pesada del proveedor.

¿Qué es la trampa del cambio de rol del Artículo 25 y cómo la evito?

El Artículo 25 convierte a un responsable del despliegue en proveedor si pone su propio nombre o marca en un sistema de alto riesgo de un tercero, lo modifica sustancialmente o cambia su finalidad prevista tras el despliegue. Si eso ocurre, hereda la totalidad de las obligaciones del proveedor: evaluación de la conformidad (Artículo 43), documentación técnica (Artículo 11), un sistema de gestión de la calidad (Artículo 17) y registro (Artículo 49). Evite la trampa manteniendo los sistemas del proveedor dentro de su alcance validado y no comercializándolos con su marca como producto propio sin una revisión jurídica de si el cambio es sustancial.

¿Necesita todo responsable del despliegue una evaluación de impacto relativa a los derechos fundamentales?

No. El Artículo 27 exige una EIDF a dos grupos específicos: los organismos públicos y los organismos que ejercen poderes públicos que despliegan cualquier sistema de alto riesgo, y los responsables del despliegue del sector privado de sistemas de calificación de la solvencia (punto 5, letra b), del Anexo III) o de evaluación de riesgos de seguros de vida/salud (punto 5, letra c), del Anexo III). Los empleadores privados que utilizan IA para la selección de personal o la gestión de la plantilla —sistemas del punto 4 del Anexo III— no deben automáticamente una EIDF con arreglo al Artículo 27, aunque siguen sujetos a todas las demás obligaciones del Artículo 26.

¿Durante cuánto tiempo deben los responsables del despliegue conservar los registros del sistema?

El Artículo 26 exige un periodo de conservación mínimo de seis meses para los registros generados automáticamente por el sistema de IA de alto riesgo, salvo que el Derecho de la UE o nacional exija un periodo más largo. Los registros los produce el propio sistema con arreglo al Artículo 12; la obligación del responsable del despliegue es conservarlos y ponerlos a disposición de las autoridades competentes cuando lo soliciten.

¿Cuándo debemos notificar a los trabajadores antes de desplegar un sistema de IA en el lugar de trabajo?

El Artículo 26 exige informar a los representantes de los trabajadores —y, cuando el Derecho laboral nacional lo exija, a los propios trabajadores— antes del despliegue de un sistema de IA de alto riesgo en el lugar de trabajo. Es una obligación previa al despliegue. Se aplica a cada despliegue, no solo cuando el sistema cambia o se introduce un nuevo sistema. El Derecho nacional de algunos Estados miembros impone requisitos de consulta adicionales más allá de la línea de base del Reglamento.

¿Cuál es la sanción correcta para un responsable del despliegue que incumple el Artículo 26?

Los incumplimientos del Artículo 26 entran en el Artículo 99, apartado 4, del Reglamento: una multa máxima de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. No existe un nivel de 20 millones de euros o el 4 %; esas cifras no existen en el Reglamento.

¿Cuándo se aplican realmente las obligaciones del Artículo 26?

Para los sistemas autónomos de alto riesgo del Anexo III, la fecha de aplicación es el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo integrada en productos regulados (Anexo I), es el 2 de agosto de 2028. Las obligaciones de transparencia del Artículo 50 (chatbots, contenido sintético) no se aplazan y se aplican desde el 2 de agosto de 2026. Las prohibiciones del Artículo 5 están en vigor desde el 2 de febrero de 2025.

Guías relacionadas

• obligaciones del responsable del despliegue del Artículo 26
• requisitos de transparencia del Artículo 13
• marco de cumplimiento para SaaS
• comparación de herramientas de gestión de riesgos
• guía de aplicación del Artículo 27