Skip to content
Confir.
Prueba gratuita
Blog

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

Industry Guide9 April 2026· 17 min de lectura

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

La Ley de IA de la UE se le aplica en el momento en que introduce un sistema de IA en el mercado de la UE o utiliza uno en un contexto profesional. Para las empresas de SaaS, la pregunta más útil no es si se aplica — casi con seguridad lo hace —, sino en qué papel y con qué intensidad.

La Ley reparte sus posibles obligaciones en dos papeles principales: proveedor y responsable del despliegue. El que ocupe determina si debe elaborar la documentación técnica del Anexo IV, realizar una evaluación de la conformidad con arreglo al Artículo 43, o simplemente seguir las instrucciones que le facilite su proveedor. Equivocarse en el papel desde el principio encamina en la dirección equivocada todo esfuerzo de cumplimiento posterior.

¿Proveedor o responsable del despliegue? La decisión que lo condiciona todo

Con arreglo al Artículo 16, un proveedor es una organización que desarrolla un sistema de IA y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca. Si ha lanzado una funcionalidad — un módulo de clasificación de candidatos, un motor de decisión crediticia, un asistente de análisis de documentos — bajo la marca de su producto, usted es el proveedor de ese sistema. A la Ley no le importa si entrenó usted mismo el modelo subyacente o si construyó sobre una API de un tercero. Le puso su nombre; suyas son las obligaciones.

Con arreglo al Artículo 26, un responsable del despliegue es una organización que utiliza un sistema de IA de un tercero en un contexto profesional. Si ejecuta el modelo de otro proveedor dentro de sus operaciones internas — utilizando, por ejemplo, una herramienta de selección de personal desarrollada por otra empresa para cribar a sus propios candidatos —, usted es el responsable del despliegue de ese sistema.

La mayoría de las empresas de SaaS son ambas cosas a la vez: proveedoras de las funcionalidades de IA que lanzan a sus clientes, y responsables del despliegue de las herramientas de IA que utilizan internamente. Clasifique cada sistema de IA por separado.

La trampa del Artículo 25

El Artículo 25 convierte a un responsable del despliegue (o distribuidor, o importador) en proveedor en el momento en que:

  • pone su nombre o marca en un sistema de IA de alto riesgo, o
  • modifica sustancialmente un sistema de alto riesgo (cambiando su finalidad prevista, reentrenándolo o alterándolo de modo que cambie su perfil de riesgo — la «modificación sustancial» se define en el Artículo 3, punto 23), o
  • cambia la finalidad prevista de un sistema de modo que pase a una categoría de riesgo distinta.

La implicación práctica para las empresas de SaaS: si llama a una API de IA de uso general (GPAI) de OpenAI o Mistral y expone a sus clientes el sistema resultante bajo su marca, usted es el proveedor de ese sistema con arreglo al Artículo 25. El proveedor del modelo GPAI sigue siendo responsable de sus propias obligaciones del Capítulo V (Artículo 53 — documentación técnica, información para los agentes posteriores, política de derechos de autor, resumen de los datos de entrenamiento), pero el sistema que ha construido sobre él es suyo en cuanto a su clasificación, documentación y cumplimiento. Esto pilla a los fundadores que dan por hecho que utilizar un modelo de un tercero significa que el proveedor del modelo se encarga del cumplimiento. No es así.

¿En qué nivel de riesgo se sitúa su funcionalidad de IA?

Una vez que conoce su papel, necesita conocer el nivel de riesgo. La Ley tiene cuatro:

Riesgo inaceptable (Artículo 5) — prohibido. Una breve lista de prácticas prohibidas desde el 2 de febrero de 2025: la manipulación subliminal, la explotación de vulnerabilidades, la puntuación social, la identificación biométrica remota en tiempo real en espacios públicos por parte de las fuerzas y cuerpos de seguridad (con excepciones estrechas), determinada actuación policial predictiva y el reconocimiento de emociones en los entornos laboral y educativo. Son barreras infranqueables. No hay vía de cumplimiento — no las desarrolle ni las despliegue.

Alto riesgo (Artículo 6 + Anexo III) — el nivel de obligaciones intensas. Si su sistema de IA entra dentro de una de las ocho categorías del Anexo III, se aplica la pila completa de obligaciones del proveedor o del responsable del despliegue. Para las empresas de SaaS, los ámbitos del Anexo III más relevantes son:

  • Punto 4 — Empleo, gestión de los trabajadores y acceso al autoempleo: contratación y cribado de currículos, recomendaciones de promoción y despido, supervisión del rendimiento, asignación de tareas. Una empresa de tecnología de RR. HH. de 30 personas que vende un módulo de clasificación de currículos está plenamente aquí.
  • Punto 5 — Acceso a servicios privados y públicos esenciales: evaluación de la solvencia y calificación crediticia (excluyendo la detección de fraude), evaluación y fijación de precios de riesgos en los seguros de salud y de vida. Una fintech que integra un modelo de decisión crediticia está aquí. Téngase en cuenta que el punto 5 también cubre el envío de servicios de emergencia y la admisibilidad a prestaciones públicas.
  • Punto 3 — Educación y formación profesional: admisión y asignación, evaluación de los resultados del aprendizaje, sistemas de supervisión de exámenes.
  • Punto 1 — Biometría: categorización biométrica, reconocimiento de emociones (cuando no esté ya prohibido) e identificación biométrica remota.

Filtro del Artículo 6, apartado 3: aunque el caso de uso de su sistema toque un ámbito del Anexo III, no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. La Ley enumera cuatro formas de acogerse a este filtro: que el sistema desempeñe una tarea procedimental limitada; que mejore el resultado de una actividad humana previamente realizada; que detecte patrones de toma de decisiones sin sustituir ni influir en el juicio humano; o que realice únicamente un trabajo preparatorio. Sin embargo — y esta es la disposición que más importa en la práctica —, todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de estas condiciones. Los proveedores que se acojan a la exención del Artículo 6, apartado 3, deben documentar su razonamiento y, aun así, registrar el sistema con arreglo al Artículo 49.

Riesgo limitado (Artículo 50) — solo obligaciones de transparencia. Los chatbots, los sistemas que generan texto o audio sintético, los sistemas de reconocimiento de emociones no ya prohibidos y las herramientas generadoras de ultrafalsificaciones (deepfakes) deben divulgar que los usuarios están interactuando con una IA o que el contenido está generado por IA. Estas obligaciones se aplican a partir del 2 de agosto de 2026. Para las empresas de SaaS, un asistente de IA orientado al cliente es casi con seguridad, como mínimo, de riesgo limitado; el requisito de divulgación es real pero sencillo.

Riesgo mínimo — sin obligaciones obligatorias. Un modelo de detección de anomalías en el backend que nunca toma decisiones autónomas que afecten a personas físicas, una canalización interna de tratamiento de datos, un optimizador de infraestructura — estos no conllevan requisitos específicos de la Ley, aunque siguen siendo de aplicación las buenas prácticas de gobernanza.

Qué le deben los proveedores de GPAI, y qué no

Si construye sobre un modelo de IA de uso general (OpenAI, Mistral, Google, Meta), ese proveedor del modelo es el proveedor de GPAI. Con arreglo al Artículo 53, los proveedores de GPAI deben facilitar a empresas posteriores como la suya documentación técnica, la información necesaria para identificar y abordar los riesgos en su sistema, y una política de derechos de autor. Tiene derecho a esa información; solicítela.

Lo que los proveedores de GPAI no asumen: las obligaciones que recaen sobre el sistema de IA que usted construye. La clasificación de su sistema, su documentación técnica, su evaluación de la conformidad — esas son suyas. El proveedor del modelo no puede cumplir en su nombre, y su cumplimiento del Artículo 53 no satisface sus obligaciones como proveedor con arreglo al Artículo 16.

Un flujo práctico de decisión

Ejecútelo para cada sistema de IA que su empresa desarrolle o utilice:

  1. ¿Está prohibida la práctica del sistema con arreglo al Artículo 5? En caso afirmativo, deténgase. No lo desarrolle ni lo despliegue.
  2. ¿Entra el uso previsto del sistema dentro del Anexo III? Compruebe los puntos 1 a 8. Sea preciso con el subpunto y la subletra (un clasificador de selección de personal es el punto 4, letra a); la calificación crediticia es el punto 5, letra b)).
  3. En caso afirmativo al paso 2, ¿se aplica el filtro del Artículo 6, apartado 3? Documente su razonamiento. Si el sistema elabora perfiles de personas físicas en cualquier nivel, el filtro no se aplica.
  4. ¿Cuál es su papel? ¿Lanzó esto con su nombre (proveedor, Artículo 16)? ¿Está utilizando un sistema de un tercero de forma profesional (responsable del despliegue, Artículo 26)? ¿Construyó sobre un modelo de un tercero y lo expuso a sus clientes (proveedor en virtud del Artículo 25)?
  5. Para los sistemas de riesgo limitado no comprendidos en el Anexo III: ¿genera el sistema contenido sintético o interactúa con los usuarios como un chatbot? En caso afirmativo, la divulgación del Artículo 50 se aplica a partir del 2 de agosto de 2026.

Resumen de obligaciones por papel

Como proveedor de un sistema de alto riesgo (Artículo 16 + Anexo III):

Establezca un sistema de gestión de riesgos (Artículo 9). Documente los datos de entrenamiento y validación (Artículo 10). Elabore la documentación técnica con el formato del Anexo IV (Artículo 11). Conserve los registros (Artículo 12). Garantice que la información de transparencia llegue a los responsables del despliegue (Artículo 13). Diseñe la supervisión humana en el propio sistema (Artículo 14). Cumpla los requisitos de exactitud y robustez (Artículo 15). Realice una evaluación de la conformidad antes de introducir el sistema en el mercado (Artículo 43 — autoevaluación mediante el Anexo VI para la mayoría de las categorías del Anexo III; organismo notificado mediante el Anexo VII para la biometría cuando no se apliquen normas armonizadas). Emita una declaración UE de conformidad (Artículo 47). Coloque el marcado CE (Artículo 48). Registre el sistema en la base de datos de la UE sobre IA (Artículo 49). Realice la vigilancia poscomercialización (Artículo 72). Notifique los incidentes graves a la autoridad nacional de vigilancia del mercado pertinente (Artículo 73 — en un plazo de 15 días tras tener conocimiento, 2 días si se trata de infraestructuras críticas o de un daño irreversible, 10 días en caso de fallecimiento).

El plazo para los sistemas autónomos del Anexo III: 2 de diciembre de 2027, en virtud del Ómnibus Digital acordado en mayo de 2026 (que aplazó la fecha original del 2 de agosto de 2026). Para la IA integrada en productos regulados con arreglo al Anexo I (máquinas, productos sanitarios, etc.), el plazo es el 2 de agosto de 2028.

Como responsable del despliegue de un sistema de alto riesgo (Artículo 26):

Siga las instrucciones de uso del proveedor. Garantice la supervisión humana. Supervise el sistema en su contexto operativo. Conserve los registros durante al menos seis meses (Artículo 26). Informe a los representantes de los trabajadores antes del despliegue en el lugar de trabajo (Artículo 26). Para los organismos públicos, y para los responsables del despliegue de sistemas de solvencia o de seguros de vida/salud (Anexo III, puntos 5, letra b), y 5, letra c)), realice una evaluación de impacto relativa a los derechos fundamentales antes de la puesta en marcha (Artículo 27). Notifique los incidentes y los riesgos al proveedor. No utilice el sistema para fines distintos de su uso previsto.

Cuestionarios de los compradores empresariales

Los equipos de compras de las empresas de sectores regulados — banca, seguros, tecnología de RR. HH., sanidad — envían cada vez con más frecuencia cuestionarios a los proveedores de IA antes de firmar contratos. Estos cuestionarios preguntan si ha clasificado su sistema de IA con arreglo al Artículo 6, si dispone de un paquete de documentación técnica del Artículo 11 y si ha realizado una evaluación de la conformidad con arreglo al Artículo 43. Si no puede responder a estas preguntas, perderá operaciones en los verticales regulados.

La lógica subyacente es sencilla: con arreglo al Artículo 26, un responsable del despliegue debe verificar que el sistema que utiliza cumple la Ley. Sus compradores empresariales están haciendo su diligencia debida como responsables del despliegue. Su paquete de cumplimiento forma parte de su dinámica de ventas, no es solo una obligación jurídica.

Sanciones

El incumplimiento de las obligaciones de alto riesgo — como proveedor con arreglo al Artículo 16 o como responsable del despliegue con arreglo al Artículo 26 — conlleva un techo sancionador de 15 millones de euros o el 3 % del volumen de negocios anual mundial total del ejercicio financiero anterior, si esta última cifra es mayor (Artículo 99, apartado 4).

Infringir las prohibiciones del Artículo 5 eleva el techo a 35 millones de euros o el 7 % (Artículo 99, apartado 3).

Para las empresas que entran dentro de la definición de pymes y empresas emergentes de la Ley, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el basado en el porcentaje o la cantidad fija — una protección de proporcionalidad significativa, aunque no una licencia para ignorar las normas.

El plazo del 2 de diciembre de 2027 no está tan lejos como suena. Solo la documentación técnica del Anexo IV requiere meses de trabajo sistemático — rastrear los datos de entrenamiento, documentar la arquitectura del modelo, ejecutar las pruebas de supervisión humana, completar la evaluación de la conformidad. Las empresas que empiecen a finales de 2027 no terminarán antes del plazo.

Cómo ayuda Confir

El proceso de admisión de Confir recorre la distinción entre proveedor y responsable del despliegue con escenarios en lenguaje sencillo — sin necesidad de vocabulario de la normativa de la UE. Para cada sistema de IA que registre, el motor de clasificación basado en reglas deriva su papel (proveedor Artículo 16 / responsable del despliegue Artículo 26 / ambos en virtud del Artículo 25) y determina el nivel de riesgo (inaceptable / alto / limitado / mínimo). Si su sistema cae en el Anexo III, el conjunto de obligaciones pertinente se activa automáticamente. El motor es determinista: las mismas respuestas producen el mismo resultado siempre, lo que hace que la clasificación sea reproducible y defendible ante una auditoría.

Para los proveedores de sistemas de alto riesgo, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración de conformidad del Artículo 47 / Anexo V. Para los responsables del despliegue, ejecuta la EIDF del Artículo 27 y hace seguimiento de la obligación de conservación de registros del Artículo 26.

Preguntas frecuentes

¿Se aplica la Ley de IA de la UE a mi empresa de SaaS si solo utilizo IA internamente, no en mi producto?

Sí, si utiliza IA en un contexto profesional — por ejemplo, utilizar una herramienta de selección de personal de un tercero para cribar candidatos a sus propias vacantes —, es un responsable del despliegue con arreglo al Artículo 26. Si esa herramienta está clasificada como de alto riesgo (Anexo III, punto 4), se aplican las obligaciones del responsable del despliegue: seguir las instrucciones, supervisión humana, conservación de registros durante seis meses (Artículo 26) y, en algunos contextos, una EIDF del Artículo 27. La Ley no se limita a los sistemas de IA vendidos a los clientes; cubre también el uso profesional interno.

Construí una funcionalidad de IA utilizando una API de GPAI. ¿Soy yo el proveedor o lo es el proveedor de la API?

Usted es el proveedor. Con arreglo al Artículo 25, cuando pone su nombre en un sistema — aunque esté construido enteramente sobre un modelo de un tercero —, asume las obligaciones del proveedor con arreglo al Artículo 16. El proveedor de GPAI conserva sus propias obligaciones del Capítulo V (documentación del Artículo 53, información para los agentes posteriores, política de derechos de autor), que debe facilitarle a petición. Pero esas no sustituyen a su documentación técnica del Artículo 11, su evaluación de la conformidad del Artículo 43 ni su registro del Artículo 49. Usted construye sobre su modelo; el sistema es suyo.

Mi funcionalidad de IA toca decisiones de empleo, ¿es definitivamente de alto riesgo con arreglo al Anexo III?

Probablemente, pero compruebe primero el filtro del Artículo 6, apartado 3. Un sistema del punto 4 del Anexo III no es de alto riesgo si únicamente desempeña una tarea procedimental limitada, mejora una actividad humana previamente realizada, detecta patrones de toma de decisiones sin influir en el juicio humano, o realiza un trabajo puramente preparatorio. La excepción clave: si su sistema elabora perfiles de personas físicas en cualquier fase, el filtro no se aplica y el sistema es de alto riesgo con independencia de ello. Documente su razonamiento en cualquier caso — los proveedores que se acogen a la exención del Artículo 6, apartado 3, deben registrarse igualmente con arreglo al Artículo 49.

¿Cuál es el plazo de cumplimiento de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas de IA de alto riesgo autónomos del Anexo III es el 2 de diciembre de 2027 — aplazado respecto de la fecha original del 2 de agosto de 2026. Para la IA de alto riesgo integrada en productos regulados con arreglo al Anexo I (máquinas, productos sanitarios, etc.), la fecha es el 2 de agosto de 2028. Las obligaciones de transparencia de riesgo limitado del Artículo 50 no se aplazaron y se aplican a partir del 2 de agosto de 2026.

¿Qué necesitan de mí los compradores empresariales como proveedor de IA?

Los equipos de compras de los sectores regulados exigen cada vez más pruebas de cumplimiento de la Ley de IA de la UE antes de firmar. Por lo general, pedirán: su clasificación de riesgo del Artículo 6 (y la documentación de apoyo), su paquete de documentación técnica del Artículo 11 / Anexo IV, su declaración de conformidad del Artículo 47 y la confirmación de que se ha completado la evaluación de la conformidad del Artículo 43. Con arreglo al Artículo 26, los responsables del despliegue deben verificar que los sistemas que utilizan cumplen — de modo que sus compradores están cumpliendo su deber jurídico cuando preguntan. Tratar su documentación de cumplimiento como un activo de ventas, y no solo como una tarea regulatoria, acorta las operaciones empresariales.

¿Cuáles son las sanciones por incumplimiento?

Por el incumplimiento de las obligaciones de alto riesgo — deberes del proveedor con arreglo al Artículo 16 o deberes del responsable del despliegue con arreglo al Artículo 26 —, la multa máxima es de 15 millones de euros o el 3 % del volumen de negocios anual mundial total del ejercicio financiero anterior, si esta última cifra es mayor (Artículo 99, apartado 4). Las infracciones de las prohibiciones del Artículo 5 conllevan un techo más alto: 35 millones de euros o el 7 % (Artículo 99, apartado 3). Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita las multas al menor de los dos importes, el de la cantidad fija o el basado en el porcentaje.

¿Necesito un organismo notificado para la evaluación de la conformidad?

Para la mayoría de las categorías del Anexo III (empleo, educación, servicios esenciales, garantía del cumplimiento del Derecho, migración, justicia, infraestructuras críticas), la autoevaluación interna con arreglo al Anexo VI es suficiente — no necesita un organismo notificado externo. La vía del organismo notificado (Anexo VII con arreglo al Artículo 43) se aplica principalmente a los sistemas de identificación biométrica (punto 1) cuando no puede acogerse a las normas armonizadas. Para todas las demás categorías del Anexo III, una evaluación interna rigurosa documentada en su expediente técnico del Anexo IV cumple el requisito.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

Industry Guide

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.

Industry Guide

Gobernanza de la Ley de IA de la UE para organizaciones sanitarias

Gobernanza de la Ley de IA de la UE para la sanidad: clasifique la IA clínica con arreglo al artículo 6, cumpla las obligaciones del responsable del despliegue y realice la EIDF. Plazo del Anexo III: 2 de diciembre de 2027.