Skip to content
Confir.
Prueba gratuita
Blog

Plantilla de política de uso de IA para el cumplimiento de la Ley de IA de la UE

Template16 March 2026· 19 min de lectura

Plantilla de política de uso de IA para la Ley de IA de la UE: 12 secciones que abarcan las prácticas prohibidas del Art. 5, la clasificación de riesgo del Art. 6, la supervisión del Art. 14 y los plazos de incidentes del Art. 73.

Toda organización que utilice herramientas de IA necesita una política de uso de IA por escrito antes de que los reguladores llamen a la puerta — y la mayoría no la tiene. No porque la ley exija explícitamente un documento con ese título, sino porque las obligaciones del Reglamento (UE) 2024/1689 (la Ley de IA de la UE) solo funcionan si su personal sabe qué puede desplegar, qué no debe tocar y quién es responsable cuando algo sale mal.

Esta página le ofrece un esquema de política estructurado y adaptable copiando. No es por sí solo un entregable legal. Considérelo el instrumento de gobernanza que respalda su sistema de gestión de la calidad (SGC) del Artículo 17 y que demuestra la alfabetización en materia de IA del Artículo 4 en toda su organización. Una buena política interna engarza esas obligaciones en un único lugar que el personal puede utilizar realmente.

Antes de redactar, una distinción importa: esta página cubre la política interna de uso de IA — el documento que siguen sus empleados. El proceso separado de gestionar, actualizar y hacer cumplir esa política a lo largo del tiempo se trata en nuestra guía de gestión de políticas de IA.

Qué debe lograr una política de uso de IA conforme

Una política de uso de IA tiene dos cometidos. Primero, mantiene a su organización dentro de las normas del Reglamento — en particular las prácticas prohibidas del Artículo 5 (en vigor desde el 2 de febrero de 2025) y las obligaciones de tratamiento de datos y supervisión que se aplican cuando despliega sistemas de alto riesgo. Segundo, crea un rastro documental: la prueba de que su organización ejerce una gobernanza significativa sobre la IA, lo que respalda tanto el SGC del Artículo 17 (para los proveedores) como las obligaciones del responsable del despliegue del Artículo 26.

La política no es la evaluación de la conformidad, el sistema de gestión de riesgos ni la documentación técnica. Esos son artefactos separados exigidos en virtud de los Artículos 9, 11 y 43. La política indica a su personal cómo comportarse; el expediente técnico indica al regulador cómo funciona el sistema.

Plantilla de política: esquema sección por sección

Las 12 secciones siguientes se corresponden directamente con las obligaciones del Reglamento. Utilícelas como esqueleto de redacción — adapte el lenguaje, el alcance y los ejemplos a su organización.

1. Finalidad y ámbito de aplicación

Indique que esta política rige el uso, la adquisición, el desarrollo y el despliegue de sistemas de IA dentro de la organización. Nombre la base jurídica — el Reglamento (UE) 2024/1689 — y confirme que se aplica a todos los empleados, contratistas y terceros que actúen por cuenta de la organización. No limite el ámbito a la «IA de alto riesgo»: las prácticas prohibidas del Artículo 5 se aplican a todos los sistemas de IA, y las obligaciones de alfabetización del Artículo 4 se aplican a toda la organización.

2. Definiciones

Defina «sistema de IA» (artículo 3, punto 1) y los cuatro niveles de riesgo: riesgo inaceptable (prohibido, Artículo 5), alto riesgo (Artículo 6 + Anexo III), riesgo limitado (obligaciones de información del Artículo 50) y riesgo mínimo (sin obligaciones imperativas). Defina la función o funciones de la organización: proveedor (Artículo 16), responsable del despliegue (Artículo 26), importador (Artículo 23), distribuidor (Artículo 24). Las funciones pueden cambiar en virtud del Artículo 25 si la organización modifica sustancialmente un sistema o lo reutiliza para otro fin. La mayoría de las empresas son responsables del despliegue de herramientas de terceros; una empresa que comercializa funciones de IA con su propio nombre es proveedor.

3. Funciones y responsabilidades

Asigne una responsabilidad nominal. Como mínimo: un Responsable de IA/Cumplimiento que sea titular de la política y del SGC del Artículo 17; un DPO (si está nombrado) que cubra el solapamiento entre el RGPD y la Ley de IA y los desencadenantes de EIPD/EIDF; propietarios de sistema responsables de cada sistema del inventario (gestión de riesgos del Artículo 9 para proveedores, supervisión del Artículo 26 para responsables del despliegue); TI/Adquisiciones, que examina las nuevas herramientas antes de cualquier licencia; y todo el personal, que completa la formación de alfabetización en IA del Artículo 4 y notifica las anomalías. Sin titulares nominales, la política no es exigible.

4. Usos de IA aprobados y prohibidos

Esta es la sección más crítica operativamente de cualquier política interna.

4a. Usos aprobados

Mantenga una lista viva de herramientas y sistemas de IA que hayan superado el proceso de admisión de la Sección 6. Para cada herramienta, especifique: el caso de uso aprobado, el nivel de riesgo, las obligaciones pertinentes del responsable del despliegue o del proveedor y cualquier restricción de uso (p. ej., «no podrá utilizarse para la evaluación del desempeño sin un revisor humano en el bucle»).

4b. Usos prohibidos — categorías del Artículo 5 (en vigor desde el 2 de febrero de 2025)

El Reglamento prohíbe rotundamente ocho categorías de IA. Su política debe hacerlas explícitas e innegociables:

  1. Puntuación social — IA que evalúa o clasifica a personas físicas en función de su comportamiento social o sus características personales de modos que conducen a un trato perjudicial no relacionado con el contexto en el que se generaron los datos (Artículo 5, apartado 1, letra c)).
  2. Técnicas subliminales o manipuladoras — IA que explota vulnerabilidades subconscientes o debilidades psicológicas para distorsionar el comportamiento, causando un perjuicio (Artículo 5, apartado 1, letras a) y b)).
  3. Identificación biométrica remota en tiempo real en espacios públicos — uso de reconocimiento facial en directo o biometría similar en espacios de acceso público con fines de garantía del cumplimiento del Derecho, fuera de las excepciones tasadas (Artículo 5, apartado 1, letra h)).
  4. Extracción no selectiva de imágenes faciales — creación o ampliación de bases de datos de reconocimiento facial mediante la extracción de rostros de internet o de CCTV (Artículo 5, apartado 1, letra e)).
  5. Categorización biométrica sensible — inferencia de la raza, las opiniones políticas, la afiliación sindical, las convicciones religiosas o la orientación sexual a partir de datos biométricos (Artículo 5, apartado 1, letra g)).
  6. Reconocimiento de emociones en el lugar de trabajo y en centros educativos — cualquier IA que infiera los estados emocionales de los empleados o estudiantes (Artículo 5, apartado 1, letra f)).
  7. Predicción de la comisión de delitos basada únicamente en la elaboración de perfiles — IA que evalúa el riesgo de que una persona cometa un delito basándose únicamente en la elaboración de perfiles, sin fundamento en hechos objetivos y verificables (Artículo 5, apartado 1, letra d)).
  8. Manipulación cognitivo-conductual de personas vulnerables — IA que explota la edad, la discapacidad o la vulnerabilidad social para eludir la toma de decisiones racional (Artículo 5, apartado 1, letra b)).

La infracción del Artículo 5 conlleva la sanción más elevada del Reglamento: hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 3); para las pymes y empresas emergentes, limitada a la cifra menor (Artículo 99, apartado 6). La política debe indicar con claridad: todo empleado que descubra que una herramienta puede incurrir en una práctica prohibida lo escala de inmediato, y el despliegue no continúa mientras se investiga.

5. Desencadenante de la clasificación de riesgo — Artículo 6 y Anexo III

Explique cómo determina la organización si un sistema de IA nuevo o existente es de alto riesgo. La prueba de clasificación tiene dos pasos:

Paso 1 — Componente de seguridad de un producto del Anexo I (Artículo 6, apartado 1): ¿Es el sistema un componente de seguridad de un producto que requiere a su vez una evaluación de la conformidad por terceros con arreglo a la legislación de productos de la UE (p. ej., el reglamento sobre máquinas, el reglamento sobre los productos sanitarios)? En caso afirmativo: alto riesgo, con el plazo del 2 de agosto de 2028.

Paso 2 — Sistema autónomo del Anexo III (Artículo 6, apartado 2): ¿Entra el sistema en una de las ocho categorías del Anexo III — biometría; infraestructuras críticas; educación; empleo y gestión de los trabajadores; acceso a servicios esenciales (incluidas la calificación de la solvencia, la evaluación del riesgo y la fijación de precios de los seguros de salud/vida); garantía del cumplimiento del Derecho; migración y control fronterizo; administración de justicia? En caso afirmativo: provisionalmente de alto riesgo.

Filtro del Artículo 6, apartado 3: Un sistema de un ámbito del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, si desempeña una tarea procedimental limitada, mejora el resultado de una actividad humana previamente realizada, detecta patrones de toma de decisiones sin influir en la evaluación humana, o solo realiza un trabajo preparatorio. Todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia del filtro. Los proveedores que reclamen la exención deben documentar su evaluación y registrar el sistema.

El plazo para los sistemas autónomos de alto riesgo del Anexo III: 2 de diciembre de 2027 (en virtud del acuerdo político del Ómnibus Digital de mayo de 2026, que aplazó la fecha original del 2 de agosto de 2026). Eso no es una razón para retrasar el trabajo de gobernanza. La documentación por sí sola lleva meses.

6. Proceso de aprobación y admisión de nuevas herramientas de IA — control de la IA en la sombra

Ninguna herramienta de IA puede desplegarse profesionalmente sin completar este proceso de admisión. La IA en la sombra (shadow AI) — herramientas adoptadas sin aprobación — crea una exposición jurídica directa: en virtud del Artículo 26, los responsables del despliegue soportan obligaciones de supervisión y de notificación de incidentes con independencia de que el despliegue se hubiera autorizado.

La admisión abarca seis pasos: (1) registro del sistema en el inventario de IA (nombre, proveedor, caso de uso, tipos de datos); (2) clasificación de riesgo con arreglo al Artículo 6/Anexo III; (3) diligencia debida sobre el proveedor para los sistemas de alto riesgo — verifique la evaluación de la conformidad del Artículo 43, la declaración de conformidad del Artículo 47 y el registro en la base de datos de la UE del Artículo 49; (4) comprobación del RGPD — confirme si se requiere una EIPD (artículo 35 del RGPD); (5) evaluación de la supervisión humana con arreglo al Artículo 14; (6) visto bueno de aprobación por parte del Responsable de Cumplimiento. Adapte la profundidad de la revisión al nivel de riesgo.

7. Tratamiento de datos y RGPD

La Ley de IA y el RGPD son marcos separados; el cumplimiento de uno no satisface el otro. Aborde cuatro intersecciones: (1) datos personales en las entradas de la IA — confirme que el proveedor es un encargado del tratamiento en virtud de un DPA válido; (2) desencadenante de la EIPD — los sistemas de alto riesgo que tratan datos personales suelen satisfacer el umbral del artículo 35 del RGPD; realice la EIPD antes del despliegue; (3) decisiones exclusivamente automatizadas — puede aplicarse el artículo 22 del RGPD; establezca una vía de revisión humana; (4) EIDF frente a EIPD — la evaluación de impacto relativa a los derechos fundamentales del Artículo 27 es distinta de una EIPD y se aplica a los organismos públicos y a los responsables del despliegue de sistemas de solvencia (Anexo III, punto 5, letra b)) o de seguros de vida/salud (punto 5, letra c)); el Artículo 27, apartado 4, permite que la EIDF se apoye en una EIPD existente.

8. Supervisión humana — Artículo 14

Para cada sistema de IA de alto riesgo, el Artículo 14 exige medidas que permitan a los humanos comprender los resultados, evaluar la fiabilidad, intervenir o suspender el sistema e identificar a las personas o grupos en riesgo. Para cada sistema de alto riesgo del inventario, nombre a la persona responsable y documente el punto de decisión para anular el resultado del sistema. El «humano en el bucle» no es un control sin un humano nombrado, un punto de decisión definido y un procedimiento de anulación registrado.

9. Transparencia y comunicación — Artículo 50

El Artículo 50 impone obligaciones de transparencia a los sistemas de IA que interactúan directamente con personas físicas, aplicables a partir del 2 de agosto de 2026. Cuatro categorías:

  1. Chatbots e IA conversacional — los usuarios deben ser informados de que interactúan con un sistema de IA, salvo que resulte obvio por el contexto (Artículo 50, apartado 1).
  2. Sistemas de reconocimiento de emociones — las personas sometidas a reconocimiento de emociones deben ser informadas (Artículo 50, apartado 2). Nota: este requisito de comunicación se aplica únicamente a los usos lícitos de reconocimiento de emociones fuera del lugar de trabajo y de los centros educativos — el uso en el lugar de trabajo y en la educación está enteramente prohibido en virtud del Artículo 5, apartado 1, letra f).
  3. Ultrafalsificaciones (deepfakes) y contenido sintético — las imágenes, el audio o el vídeo generados o manipulados por IA deben etiquetarse como tales (Artículo 50, apartado 3).
  4. Texto generado por IA sobre asuntos de interés público — el texto generado por IA para informar al público sobre elecciones, salud pública y temas similares debe etiquetarse (Artículo 50, apartado 4).

Especifique qué sistemas de cara al cliente o de cara al público activan estas obligaciones, y cómo se comunican y registran las divulgaciones.

10. Alfabetización y formación en IA — Artículo 4

El Artículo 4 exige a proveedores y responsables del despliegue garantizar que el personal tenga la suficiente alfabetización en materia de IA para su función — en vigor desde el 2 de febrero de 2025. Calibre la formación por función: el personal general necesita conocer las prácticas prohibidas del Artículo 5 y los procedimientos de notificación de la política; los propietarios de sistema y el personal de cumplimiento necesitan el marco de clasificación (Artículos 5, 6, Anexo III) y los plazos de incidentes (Artículo 73); los desarrolladores necesitan la pila de obligaciones del proveedor (Artículos 9 a 15, 16 y 17). Especifique la frecuencia de la formación, cómo se registra su finalización y cómo se mantiene actualizada a medida que cambia la cartera.

11. Conservación de registros y notificación de incidentes — Artículo 73

Aquí convergen tres obligaciones.

Registros del responsable del despliegue (Artículo 26): Conserve los registros del funcionamiento del sistema de alto riesgo durante al menos seis meses. Especifique dónde se almacenan los registros, quién tiene acceso y el calendario de conservación.

Registros del proveedor (Artículo 12): Los proveedores deben garantizar que los sistemas de alto riesgo generen automáticamente registros de funcionamiento a lo largo de toda su vida útil. La conservación de la documentación técnica se extiende a diez años (Artículo 18).

Notificación de incidentes graves (Artículo 73): Los proveedores notifican los incidentes graves a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente. Plazos: 15 días desde que se tiene conocimiento (Artículo 73, apartado 2); 2 días para una perturbación generalizada o irreversible de una infraestructura crítica (Artículo 73, apartado 3); 10 días cuando una persona haya fallecido (Artículo 73, apartado 4). Se permite una notificación inicial incompleta, que debe completarse a medida que llega la información (Artículo 73, apartado 5). Los responsables del despliegue supervisan y notifican al proveedor en virtud del Artículo 26; el proveedor escala a las autoridades. La política debe nombrar a quién clasifica los incidentes y cómo se redacta la notificación del Artículo 73.

12. Periodicidad de la revisión

Tres desencadenantes: (1) anual — compruebe si la política refleja la cartera de IA actual y las actualizaciones regulatorias; (2) desencadenado — la adopción de un nuevo sistema de alto riesgo, un incidente grave en virtud del Artículo 73, un cambio legislativo, o una modificación sustancial (artículo 3, punto 23) que convierta una función de responsable del despliegue en una función de proveedor; (3) posterior a un incidente — revise las secciones pertinentes en un plazo de 30 días desde la resolución. Registre la versión de la política, la fecha de revisión y el aprobador en el documento y en el registro del inventario de IA.

Qué hace — y qué no hace — esta política

Una política de uso de IA no es un entregable legal por su nombre. El Reglamento no le exige presentar un documento con este título. Lo que sí hace es respaldar obligaciones reales: evidencia el SGC del Artículo 17; pone en práctica la alfabetización en IA del Artículo 4 en un único lugar que el personal puede utilizar; hace viable la supervisión del responsable del despliegue del Artículo 26; y controla la IA en la sombra — la fuente más común de incumplimiento involuntario.

La evaluación de la conformidad (Artículo 43), el sistema de gestión de riesgos (Artículo 9) y la documentación técnica (Artículo 11) son artefactos separados a nivel de sistema a los que la política apunta pero que no sustituye.

Cómo ayuda Confir

Cuando su inventario de IA crece más allá de un puñado de herramientas, contrastar manualmente la política con el registro se convierte en la limitación. Confir suministra los dos artefactos de los que depende la política: el inventario de IA (cada sistema registrado, clasificado con arreglo a los Artículos 5 y 6, función derivada de una admisión en lenguaje sencillo) y la evaluación estructurada (sistema de gestión de riesgos del Artículo 9, comprobaciones del responsable del despliegue del Artículo 26, EIDF del Artículo 27 — todo ello impulsado por una lógica determinista y basada en reglas que es reproducible y defendible en auditoría). Sin necesidad de consultores.

Preguntas frecuentes

¿Exige la Ley de IA de la UE que las organizaciones tengan una política de uso de IA por escrito?

No con ese nombre. El Reglamento no impone un documento con este título. Pero el Artículo 4 (alfabetización en IA, en vigor desde el 2 de febrero de 2025) exige que el personal tenga conocimientos suficientes de IA para su función, y el Artículo 17 exige a los proveedores documentar los procesos del SGC. Una política interna por escrito es la forma más directa de demostrar ambos. Los reguladores que investiguen un incidente preguntarán qué gobernanza había implantada.

¿Qué es la IA en la sombra y por qué la convierte el Reglamento en un riesgo?

La IA en la sombra es cualquier herramienta que el personal utiliza profesionalmente sin un proceso de aprobación formal — un chatbot gratuito, un complemento de navegador, un complemento de productividad. En virtud del Artículo 26, los responsables del despliegue soportan obligaciones de supervisión para cada sistema de IA de alto riesgo que utilizan, con independencia de que el despliegue se hubiera autorizado internamente. Una herramienta en la sombra que resulta ser de alto riesgo significa que la organización ya está en situación de incumplimiento.

¿Cómo interactúa la política de uso de IA con nuestra documentación del RGPD?

Remita en la política a su registro de actividades de tratamiento del RGPD. Los sistemas de IA de alto riesgo que tratan datos personales suelen requerir una EIPD del RGPD (artículo 35 del RGPD) antes del despliegue. Los organismos públicos y los responsables del despliegue de sistemas de solvencia (Anexo III, punto 5, letra b)) o de seguros de vida/salud (punto 5, letra c)) también deben realizar una EIDF del Artículo 27; el Artículo 27, apartado 4, permite que la EIDF se apoye en una EIPD existente.

¿Cuándo se aplican realmente las obligaciones de IA de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, se aplazó el plazo original de alto riesgo del 2 de agosto de 2026. Sistemas autónomos del Anexo III: 2 de diciembre de 2027. IA de alto riesgo en productos regulados (Anexo I): 2 de agosto de 2028. Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025; la transparencia de riesgo limitado del Artículo 50 se aplica a partir del 2 de agosto de 2026. Ninguna de las dos se aplazó.

¿Cuáles son las sanciones por equivocarse en esto?

Tres niveles en virtud del Artículo 99. Infracciones del Artículo 5: 35 M EUR o el 7 % (Art. 99, apdo. 3). Incumplimientos de las obligaciones del proveedor/responsable del despliegue: 15 M EUR o el 3 % (Art. 99, apdo. 4). Información incorrecta a las autoridades: 7,5 M EUR o el 1 % (Art. 99, apdo. 5). Las pymes y empresas emergentes quedan limitadas al menor de los dos importes, el porcentaje o la cantidad fija (Art. 99, apdo. 6).

¿Deben figurar siquiera en la política las herramientas de IA de riesgo mínimo?

Sí. La alfabetización en IA del Artículo 4 se aplica a todas las herramientas, no solo a las de alto riesgo. El nivel de riesgo depende del uso, no del nombre: un chatbot es de riesgo mínimo para la redacción y de riesgo limitado cuando es de cara al cliente con arreglo al Artículo 50 — pero pasa a ser de alto riesgo si se utiliza para fundamentar decisiones de solvencia (Anexo III, punto 5, letra b)). El proceso de admisión evita esa deriva de clasificación.

¿Satisface una política interna de IA el requisito del SGC del Artículo 17 para los proveedores?

No — pero es un componente significativo. El Artículo 17 exige un SGC que abarque el diseño, las pruebas, la supervisión, la evaluación de la conformidad, la respuesta a incidentes y el control de la documentación. La política aporta la capa de gobernanza. El SGC también requiere artefactos a nivel de sistema — el registro de gestión de riesgos del Artículo 9, la documentación técnica del Artículo 11, la conservación de registros del Artículo 12 — a los que la política apunta pero que no puede sustituir.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Template

Declaración UE de conformidad para IA de alto riesgo: el Artículo 47 y el Anexo V explicados

Declaración UE de conformidad para IA de alto riesgo: plantilla del Artículo 47 y del Anexo V, los 7 campos obligatorios, un ejemplo práctico y las reglas de conservación durante 10 años.

Template

Plantilla de documentación técnica del Anexo IV para IA de calificación crediticia

Plantilla práctica del Anexo IV para IA de calificación crediticia con arreglo al Anexo III, punto 5, letra b), de la Ley de IA de la UE. Las 9 áreas de contenido con ejemplos de calificación crediticia. Plazo: 2 dic 2027.

Template

Plantilla de inventario de IA: guía campo a campo para el cumplimiento de la Ley de IA de la UE

Plantilla de inventario de IA para la Ley de IA de la UE — cada campo explicado: función, nivel de riesgo, categoría del Anexo III, dependencia de GPAI y fechas clave. Plazo: 2 dic 2027.