Artículo 14 de la Ley de IA de la UE: requisitos de supervisión humana para los sistemas de IA de alto riesgo

El Artículo 14 del Reglamento (UE) 2024/1689 es uno de los requisitos operativamente más exigentes de la Ley de IA de la UE. No se limita a pedirle que mantenga informadas a las personas sobre lo que hace un sistema de IA —exige que el sistema se diseñe de modo que las personas físicas puedan comprenderlo genuinamente, detectar los problemas a medida que surgen, resistir la atracción del sesgo de automatización, interpretar correctamente los resultados y detener el sistema por completo si lo consideran necesario—. La obligación recae de lleno sobre los sistemas de IA de alto riesgo, y reparte el trabajo entre dos partes: el proveedor incorpora la capacidad; el responsable del despliegue la pone en práctica.

Qué exige realmente el Artículo 14

El texto legal del Artículo 14, apartado 4, establece cinco cosas distintas que un supervisor debe poder hacer. Cada una es un requisito funcional, no una casilla que marcar.

Comprender las capacidades y las limitaciones del sistema. El personal de supervisión debe saber para qué se diseñó el sistema, dónde rinde de forma fiable y dónde no. Un sistema de calificación crediticia que rinde bien con los empleados asalariados y mal con los solicitantes autónomos no es un genérico «sistema de IA en funcionamiento» —el supervisor debe comprender esa laguna específica y saber que ha de aplicar un escrutinio adicional en esa población—. La formación genérica en alfabetización en IA no satisface esto. El Artículo 4 (alfabetización en IA) cubre la competencia del personal a un nivel básico; el Artículo 14 va más allá, exigiendo una comprensión específica del sistema vinculada al caso de uso desplegado.

Vigilar las anomalías y los signos de mal funcionamiento. Los supervisores deben estar en condiciones de detectar cuándo el sistema se comporta de forma inesperada —distribuciones de los resultados que se desplazan, puntuaciones de confianza que divergen de las líneas de base históricas o decisiones que se agrupan de maneras que sugieren corrupción de datos o deriva del modelo—. Esto no requiere revisar manualmente todos los resultados. Sí requiere una infraestructura y unos procedimientos de vigilancia que afloren las anomalías para su investigación humana.

Mantenerse consciente del sesgo de automatización. El Reglamento nombra directamente el peligro cognitivo: la tendencia a deferir al resultado automatizado sin una verificación independiente adecuada. El Artículo 14 exige salvaguardias estructurales frente a él —umbrales de decisión documentados en los que el juicio humano prevalece sobre el resultado algorítmico, y bucles de retroalimentación que muestran cuándo las recomendaciones de la IA resultaron incorrectas—. La conciencia por sí sola no basta; el diseño de la supervisión debe contrarrestar el sesgo.

Interpretar correctamente el resultado del sistema. Una puntuación de probabilidad, una clasificación, un orden de prelación —cada uno debe ser comprendido en su contexto por la persona responsable de actuar sobre él—. Si el sistema produce un decil de riesgo crediticio, el supervisor debe saber qué representa ese decil, qué no tiene en cuenta y cuándo justifica una revisión adicional. Las herramientas de explicabilidad (importancia de las características, mapas de saliencia, intervalos de confianza) suelen situarse en esta capa.

Decidir no utilizar, ignorar o anular el resultado —e intervenir o detener el sistema—. Esta es la más concreta de las cinco capacidades. El supervisor debe tener autoridad real y mecanismos reales: la capacidad de pausar las decisiones antes de que surtan efecto, ajustar los umbrales, rechazar las recomendaciones de la IA o detener por completo el funcionamiento del sistema. El Artículo 14, apartado 4, establece explícitamente que las personas físicas deben poder «intervenir en el funcionamiento del sistema o interrumpir su funcionamiento». Esa capacidad debe diseñarse, no darse por supuesta.

El reparto proveedor/responsable del despliegue con arreglo al Artículo 26

El Artículo 14 construye el requisito de capacidad; el Artículo 26 asigna la parte del responsable del despliegue. El proveedor es responsable de diseñar el sistema con herramientas de interfaz humano-máquina adecuadas —los mecanismos de supervisión deben estar ingenierizados en el sistema antes de su comercialización—. El responsable del despliegue es responsable de aplicar efectivamente la supervisión en su contexto operativo: asignar personal cualificado, redactar procedimientos de supervisión, mantener la infraestructura de intervención y documentarlo todo.

Ninguna de las dos partes puede transferir su obligación a la otra. Un responsable del despliegue no puede reclamar el cumplimiento comprando un sistema comercializado como «listo para el Artículo 14». Un proveedor no puede cerrar el círculo entregando un manual. Ambos deben desempeñar activamente sus funciones.

Para la mayoría de las empresas que utilizan herramientas de IA de terceros —el escenario típico del responsable del despliegue—, esto significa examinar las herramientas que ya utiliza. ¿Expone el sistema del proveedor la información que sus supervisores necesitan para hacer su trabajo? ¿Tiene un mecanismo de anulación? Si no es así, esa es una laguna que le corresponde a usted, con independencia de lo que diga la documentación del proveedor.

La regla de la identificación biométrica remota: Artículo 14, apartado 5

Una disposición va más allá del marco general de las cinco capacidades. Para los sistemas de identificación biométrica remota —los enumerados en el Anexo III, punto 1, letra a)—, el Artículo 14, apartado 5, impone una regla procedimental estricta: no podrá adoptarse ninguna medida sobre la base de la identificación a menos que esta haya sido verificada y confirmada por al menos dos personas físicas competentes. La confirmación por dos personas se aplica a cada identificación individual, no al funcionamiento del sistema en su conjunto.

Existen salvedades restrictivas para la garantía del cumplimiento del Derecho, pero son excepciones, no la regla por defecto. Si está desplegando un sistema de identificación biométrica remota, dé por sentado que se aplica la regla de las dos personas hasta que haya confirmado por escrito, con revisión jurídica, que una de las exenciones restrictivas cubre su caso de uso.

El sesgo de automatización: el riesgo nombrado

La referencia explícita al sesgo de automatización en el Artículo 14 no es accidental. Los reguladores europeos vieron suficientes pruebas durante el proceso de redacción de que los humanos se fían en exceso de forma sistemática del resultado algorítmico —en el diagnóstico médico, en las herramientas de riesgo de la justicia penal, en los sistemas de contratación— como para optar por nombrar el fenómeno en el Reglamento y exigir contramedidas activas.

En la práctica, esto significa que el diseño de su supervisión debería incluir mecanismos que hagan de la verificación independiente la regla por defecto, no la excepción. Si un analista de crédito ve una puntuación antes de formarse su propia opinión, la puntuación anclará su juicio. Algunas organizaciones gestionan esto exigiendo a la persona que registre su propia evaluación antes de ver el resultado de la IA. Otras incorporan periodos de reflexión obligatorios para las decisiones de alto impacto. El mecanismo concreto lo decide usted; el requisito de tener uno no es opcional.

Qué significa el plazo de cumplimiento

Las obligaciones de alto riesgo —incluido el Artículo 14— se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos del Anexo III, en virtud del Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo integrada en productos críticos para la seguridad regulados con arreglo al Anexo I (productos sanitarios, máquinas, vehículos), la fecha es el 2 de agosto de 2028.

La fecha original del 2 de agosto de 2026 se ha aplazado. Anótela en sus documentos de planificación como el plazo que se movió, no como el objetivo actual.

El 2 de diciembre de 2027 es más tiempo del que daba el plazo original, pero no es tiempo de sobra. Diseñar un sistema con una capacidad de supervisión significativa —especialmente para los sistemas que ya están en producción y que no se construyeron pensando en el Artículo 14— requiere decisiones de arquitectura, conversaciones con los proveedores y el desarrollo de procedimientos operativos que llevan meses. Las empresas que esperen hasta mediados de 2027 para empezar se encontrarán construyendo bajo presión.

El incumplimiento del Artículo 14 entra en el Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas que cumplen las definiciones de pyme y de empresa emergente, el Artículo 99, apartado 6, limita la multa a la menor de las dos cifras, el porcentaje o el importe fijo —una protección significativa, pero no una razón para tratar el requisito como meramente indicativo—.

Distinguir el Artículo 14 del Artículo 22 del RGPD

Una pregunta que surge con regularidad: ¿cómo se relaciona el Artículo 14 con el Artículo 22 del RGPD, que otorga a las personas el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o similarmente significativos?

Abordan cosas diferentes. El Artículo 22 del RGPD otorga al interesado un derecho que puede invocar —el derecho a solicitar una revisión humana de una decisión automatizada que le afecte—. El Artículo 14 de la Ley de IA de la UE impone una obligación de diseño y operativa al proveedor y al responsable del despliegue —el sistema debe construirse de modo que la supervisión humana significativa sea posible como característica estructural, con independencia de que cualquier persona invoque su derecho del RGPD—.

El cumplimiento del Artículo 22 no sustituye al cumplimiento del Artículo 14. Un sistema que ofrece la revisión humana exigida por el RGPD a petición puede aun así incumplir el Artículo 14 si su supervisor no tiene una capacidad real de comprender los resultados del sistema o de intervenir en su funcionamiento. Las dos obligaciones son complementarias, no intercambiables.

Cómo ayuda Confir

La supervisión humana se sitúa dentro del área de cumplimiento AITO de Confir —Transparencia y Supervisión Humana— junto con el Artículo 13 y el Artículo 27. La evaluación AITO le guía a través de cada requisito del Artículo 14 con preguntas en lenguaje sencillo: ¿expone su sistema la información que necesitan los supervisores? ¿Abordan sus procedimientos de supervisión el sesgo de automatización? ¿Está documentado y es accesible el mecanismo de intervención?

La evaluación genera un registro de supervisión estructurado —control AITO con una puntuación de ≤2 controles— mediante lógica basada en reglas. La misma recopilación, la misma conclusión, siempre. El resultado se incorpora directamente al paquete de documentación técnica del Artículo 11 / Anexo IV y forma parte de las pruebas de conformidad que presenta en la evaluación.

Preguntas frecuentes

¿Exige el Artículo 14 que una persona revise todas las decisiones de la IA?

No. El Artículo 14 exige que las personas tengan la capacidad de comprender los resultados e intervenir —no que toda decisión reciba una revisión manual—. El muestreo basado en el riesgo, las revisiones activadas por anomalías y las auditorías periódicas son todas implementaciones legítimas para los sistemas de alto volumen. El Reglamento prohíbe la abdicación de la supervisión, no la eficiencia operativa.

¿Cuál es la diferencia entre la transparencia del Artículo 13 y la supervisión del Artículo 14?

El Artículo 13 rige qué información deben poner los proveedores a disposición de los responsables del despliegue sobre el sistema —su finalidad prevista, los niveles de rendimiento, las limitaciones conocidas y las instrucciones de uso—. El Artículo 14 rige qué debe estar diseñado el sistema para permitir operativamente: la capacidad de las personas físicas de comprender los resultados y ejercer un control real. El Artículo 13 informa; el Artículo 14 capacita. Ambos se aplican a los sistemas de alto riesgo y operan simultáneamente.

¿Quiénes son las «personas físicas» que llevan a cabo la supervisión con arreglo al Artículo 14?

En la práctica, empleados o representantes designados del responsable del despliegue que tienen la competencia y la autoridad para comprender los resultados del sistema y actuar sobre ellos. El Artículo 14 no especifica un número mínimo (salvo la regla de las dos personas para la identificación biométrica remota con arreglo al Artículo 14, apartado 5). El supervisor no necesita ser un experto técnico, pero debe comprender este sistema en particular —su lógica de decisión, sus límites de rendimiento y qué aspecto tiene un resultado anómalo—.

¿Se aplica el Artículo 14 si utilizamos una herramienta de IA de terceros en lugar de construir la nuestra?

Sí. Los responsables del despliegue de sistemas de IA de alto riesgo de terceros asumen las obligaciones del Artículo 14 con arreglo al Artículo 26. Debe aplicar procedimientos de supervisión adecuados a su contexto operativo, asignar personal competente y documentar todo el mecanismo. No puede externalizar la obligación al proveedor. Si el sistema del proveedor no da a sus supervisores el acceso que necesitan para hacer esto correctamente, eso es un problema de compras que debe resolver antes del despliegue.

¿Qué ocurre con el cumplimiento del Artículo 14 si el sistema se actualiza tras el despliegue?

Los cambios sustanciales de un sistema de IA de alto riesgo —cambios que afectan a su rendimiento, su finalidad prevista o su perfil de riesgo— pueden constituir una modificación sustancial con arreglo al Artículo 3, apartado 23. Si lo son, el sistema vuelve a entrar en el ciclo de evaluación de la conformidad. Aparte de eso, cualquier cambio lo bastante significativo como para afectar a la comprensión por parte del supervisor de las capacidades o las limitaciones del sistema debería activar una actualización de los registros de formación, los procedimientos de supervisión y la documentación técnica.

¿Cómo funciona en la práctica la regla de las dos personas con arreglo al Artículo 14, apartado 5?

Para los sistemas de identificación biométrica remota cubiertos por el Anexo III, punto 1, letra a): no podrá adoptarse ninguna medida sobre la base de un resultado de identificación a menos que al menos dos personas físicas competentes lo hayan verificado y confirmado de forma independiente cada una. La confirmación debe ser por identificación, no por sesión ni por lote. «Competente» significa formado y autorizado para este fin, no meramente presente. Documente quién confirmó cada identificación y cuándo.

¿Qué pruebas esperan los auditores para el cumplimiento del Artículo 14?

Documentación técnica que muestre los mecanismos de supervisión incorporados al sistema; procedimientos escritos que especifiquen cómo se lleva a cabo la supervisión en su organización; registros de formación y competencia del personal de supervisión; registros que muestren que las anulaciones, los rechazos y las intervenciones realmente se produjeron; y evaluaciones periódicas de la eficacia. Los auditores en la evaluación de la conformidad del Artículo 43 examinarán tanto las pruebas en el momento del diseño como las operativas —un sistema bien documentado que nadie supervisa realmente no superará la evaluación—.

Guías relacionadas

• requisitos de supervisión del Artículo 14
• obligaciones de alfabetización en IA del Artículo 4
• guía de cumplimiento de la Ley de IA de la UE
• lista de comprobación completa de cumplimiento
• requisitos de documentación del Artículo 11
• guía de implementación de la gobernanza de la IA