Skip to content
Confir.
Prueba gratuita
Blog

Marco de evaluación de proveedores de IA para los responsables del despliegue de la Ley de IA de la UE

Template9 February 2026· 18 min de lectura

Guía para responsables del despliegue de la Ley de IA de la UE: verifique la conformidad del art. 43, la documentación del Anexo IV, los arts. 47 a 49 y la trampa del cambio de papel del art. 25 antes del despliegue. Plazo: 2 de diciembre de 2027.

Cuando usted despliega un sistema de IA de un tercero —un cribador de candidatos, una herramienta de calificación crediticia, un gestor automatizado de siniestros—, está actuando como responsable del despliegue con arreglo al Artículo 26 del Reglamento (UE) 2024/1689. Usted no construyó el sistema. No controla los datos de entrenamiento. Pero es jurídicamente responsable de cómo funciona en su entorno. Esa responsabilidad no se transfiere al proveedor.

Esto significa que la diligencia debida del responsable del despliegue no es un trámite opcional. Es el mecanismo mediante el cual usted confirma que el proveedor (el proveedor con arreglo al Artículo 16) ha hecho su parte, y que su documentación respalda realmente sus obligaciones en la práctica. Un proveedor que entrega un sistema con marcado CE, con una declaración UE de conformidad e instrucciones demasiado escuetas para implementar la supervisión humana del Artículo 14 no ha hecho lo suficiente. La evaluación del proveedor es donde usted lo descubre antes del despliegue, no después.

El marco que figura a continuación organiza la diligencia debida en seis fases. Cada fase incluye el anclaje normativo, la pregunta práctica que se intenta responder y una lista de comprobación de lo que hay que pedir al proveedor.

Paso 1: determinar el nivel de riesgo para su uso concreto

El mismo sistema de IA puede situarse en niveles de riesgo distintos según cómo pretenda usted utilizarlo. Clasifique el sistema para su contexto; no se fíe de la etiqueta comercial del proveedor.

Empiece por el Artículo 5. Si el sistema entra dentro de cualquier práctica prohibida —reconocimiento de emociones en lugares de trabajo o centros educativos, identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho sin una excepción estricta, puntuación social por organismos públicos, categorización biométrica que infiere características protegidas—, deténgase. La prohibición se aplica con independencia de las garantías del proveedor. El Artículo 5 está en vigor desde el 2 de febrero de 2025.

Después aplique el Artículo 6 y el Anexo III. Un sistema es de alto riesgo si se utiliza en uno de los ocho ámbitos del Anexo III: biometría; componentes de seguridad de infraestructuras críticas; educación y formación profesional; empleo y gestión de los trabajadores (Anexo III, punto 4); acceso a servicios esenciales, incluida la solvencia/calificación crediticia (punto 5, letra b)) y el riesgo y la fijación de precios de los seguros de salud y de vida (5, letra c)); garantía del cumplimiento del Derecho; migración y control fronterizo; o administración de justicia.

El Artículo 6, apartado 3, establece una excepción estrecha: un sistema de un ámbito del Anexo III no es de alto riesgo si desempeña únicamente una tarea procedimental, mejora el resultado de una actividad humana previamente realizada, detecta patrones sin sustituir la evaluación humana, o realiza solo un trabajo preparatorio. Todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo. Para los sistemas de riesgo limitado, consulte el Artículo 50: los chatbots y las herramientas de contenido sintético conllevan deberes de información sobre transparencia a partir del 2 de agosto de 2026.

Lista de comprobación — Paso 1

  • ¿Ha confirmado que el sistema no entra dentro de ninguna prohibición del Artículo 5 para su uso previsto?
  • ¿Ha identificado el punto concreto del Anexo III (y su subletra) que se aplica, o ha confirmado que el sistema queda fuera del Anexo III?
  • Si el proveedor invoca la exención del Artículo 6, apartado 3, ¿ha revisado su evaluación documentada?
  • ¿Ha documentado su propia justificación de la clasificación?

Paso 2: verificar el paquete de cumplimiento de alto riesgo del proveedor

Usted no realiza la evaluación de la conformidad por sí mismo: verifica que se hizo y que la documentación es adecuada para respaldar sus obligaciones.

Evaluación de la conformidad (Artículo 43). La mayoría de los sistemas del Anexo III utilizan la autoevaluación interna del Anexo VI; la categoría de biometría (Anexo III, punto 1) requiere por lo general un organismo notificado con arreglo al Anexo VII. Confirme qué vía se siguió.

Declaración UE de conformidad (Artículo 47). Una declaración firmada de que el sistema cumple el Reglamento (UE) 2024/1689. Verifique que hace referencia al Reglamento correcto y describe el sistema que usted adquiere.

Marcado CE (Artículo 48). Debe colocarse antes de la introducción en el mercado. Confirme su ubicación.

Documentación técnica (Artículo 11 y Anexo IV). El corazón sustantivo del paquete de cumplimiento. Debe cubrir la finalidad prevista del sistema, la gobernanza de datos con arreglo al Artículo 10 (procedencia de los datos de entrenamiento, mitigación de sesgos, representatividad), las métricas de rendimiento desglosadas por grupo demográfico, el sistema de gestión de riesgos del Artículo 9 y los procedimientos de supervisión humana.

Registro (Artículo 49). Los sistemas de IA de alto riesgo autónomos deben registrarse en la base de datos de la UE (establecida con arreglo al Artículo 71) antes de su introducción en el mercado. Solicite el número de registro.

Instrucciones de uso (Artículo 13). Deben ser lo bastante específicas para permitirle implementar la supervisión del Artículo 14: finalidad prevista, niveles de exactitud, limitaciones conocidas, medidas de supervisión y restricciones de despliegue.

Representante autorizado (Artículo 22). Si el proveedor es extracomunitario, debe existir un representante establecido en la UE antes de la introducción en el mercado.

Lista de comprobación — Paso 2

  • ¿Vía de evaluación de la conformidad (Anexo VI o VII) confirmada y documentada?
  • ¿Declaración del Artículo 47 recibida y que hace referencia al Reglamento (UE) 2024/1689?
  • ¿Ubicación del marcado CE confirmada?
  • Documentación del Anexo IV: ¿finalidad prevista, gobernanza de datos del Artículo 10, métricas de rendimiento desglosadas por grupo demográfico, registro de riesgos del Artículo 9, diseño técnico de la supervisión humana, limitaciones conocidas?
  • ¿Número de registro del Artículo 49 en la base de datos de la UE confirmado?
  • Si el proveedor es extracomunitario: ¿representante autorizado del Artículo 22 designado?

Paso 3: confirmar que las instrucciones respaldan sus deberes del Artículo 14 y del Artículo 26

Un marcado CE confirma que el proveedor siguió un proceso. No le dice si la documentación es operativamente utilizable para su equipo. Este es el paso que la mayoría de los responsables del despliegue omite y que la mayoría de los reguladores examina.

Con arreglo al Artículo 26, usted debe utilizar el sistema únicamente para su finalidad prevista, implementar las medidas de supervisión humana que especifique el proveedor, supervisar el rendimiento y conservar los registros durante al menos seis meses con arreglo al Artículo 26. Antes del despliegue en el lugar de trabajo, el Artículo 26 exige informar a los representantes de los trabajadores.

Con arreglo al Artículo 14, el sistema debe diseñarse para permitir una supervisión eficaz, y sus protocolos de supervisión deben poder construirse a partir de las instrucciones del proveedor. Si las instrucciones se limitan a decir «los usuarios deben revisar los resultados antes de actuar», sin especificar el formato de la revisión ni el umbral de escalado, no respaldan su deber del Artículo 14. Hágalo notar antes de firmar.

Lista de comprobación — Paso 3

  • ¿Las instrucciones definen con precisión el límite del uso permitido?
  • ¿Las medidas de supervisión humana se describen de forma concreta, no solo en principio?
  • ¿El diseño técnico del sistema respalda la conservación de registros del Artículo 26 (mínimo seis meses)?
  • ¿Se ha abordado la notificación a los representantes de los trabajadores del Artículo 26 para los despliegues en el lugar de trabajo?

Paso 4: gobernanza de datos, RGPD y procedencia de los datos de entrenamiento

La mayoría de los sistemas de IA de alto riesgo tratan datos personales. Usted tiene obligaciones con arreglo al RGPD como responsable del tratamiento o corresponsable, y esas obligaciones interactúan con los requisitos de datos de la Ley de IA de la UE.

El Artículo 10 exige a los proveedores que apliquen prácticas de gobernanza de datos a los datos de entrenamiento, validación y prueba, abarcando la procedencia de los datos, la representatividad y la evaluación de sesgos. Usted no es responsable de realizar esa evaluación, pero sí de desplegar un sistema en el que se haya hecho. La documentación técnica del Anexo IV debe revelar lo suficiente para que usted se forme una opinión razonable.

En cuanto al RGPD, determine si necesita un acuerdo de tratamiento de datos (ATD) con el proveedor. Determine si el sistema implica transferencias transfronterizas de datos y, en su caso, qué mecanismo de transferencia se aplica. Para las categorías sensibles de datos (salud, biometría, antecedentes penales), compruebe que las bases jurídicas y las salvaguardias están en su sitio.

La procedencia de los datos de entrenamiento es cada vez más relevante más allá del cumplimiento. La litigiosidad en materia de derechos de autor en torno a los datos de entrenamiento de la IA está activa en todas las jurisdicciones de la UE. Pregunte al proveedor si sus datos de entrenamiento se obtuvieron lícitamente y si dispone de una política de derechos de autor documentada —un requisito para los proveedores de GPAI con arreglo al artículo 53, apartado 1, letra c), pero una petición razonable para cualquier proveedor cuyo modelo se haya entrenado con datos extraídos de la web o de terceros.

Lista de comprobación — Paso 4

  • Gobernanza de datos del Artículo 10: ¿la documentación del Anexo IV revela las fuentes de datos, la metodología de recopilación y la evaluación de sesgos?
  • RGPD: ¿existe un ATD? ¿Quién es el responsable del tratamiento y quién el encargado?
  • ¿Se han identificado las transferencias internacionales de datos y están cubiertas por un mecanismo adecuado (decisión de adecuación, CCT)?
  • Para los datos personales sensibles: ¿bases jurídicas y salvaguardias técnicas documentadas?
  • ¿Ha revelado el proveedor las fuentes de los datos de entrenamiento y confirmado su adquisición lícita?
  • ¿Dispone el proveedor de una política de derechos de autor para los datos de entrenamiento?

Paso 5: evaluar las dependencias de GPAI y la documentación para proveedores posteriores del Artículo 53

Muchos sistemas de IA comerciales se construyen sobre modelos fundacionales de proveedores como OpenAI, Mistral, Google o Meta. Las obligaciones de los modelos de GPAI con arreglo al capítulo V se aplican desde el 2 de agosto de 2025.

Con arreglo al artículo 53, apartado 1, letra b), los proveedores de GPAI deben facilitar a los proveedores posteriores documentación adecuada para construir un producto conforme sobre su modelo. La documentación técnica del Anexo IV de su proveedor debe reflejar cómo tuvo en cuenta las capacidades y limitaciones del modelo de GPAI. Una laguna en esa cadena es una laguna en su panorama de cumplimiento.

Los modelos de GPAI con riesgo sistémico (Artículo 51, presumido para los modelos entrenados con más de 10²⁵ operaciones de coma flotante) conllevan obligaciones adicionales con arreglo al Artículo 55. Si el sistema de su proveedor se basa en un modelo de GPAI de riesgo sistémico, ese contexto pertenece a su evaluación de riesgos. El riesgo de la cadena de GPAI es una línea de trabajo separada del alcance actual de Confir.

Lista de comprobación — Paso 5

  • ¿El sistema del proveedor incorpora un modelo de GPAI? ¿Qué modelo y qué proveedor?
  • ¿Ha confirmado el proveedor la recepción de la documentación para proveedores posteriores del Artículo 53?
  • ¿El modelo de GPAI es potencialmente de riesgo sistémico (Artículo 51)? ¿Se han identificado obligaciones adicionales?
  • ¿La contribución del modelo de GPAI está documentada en el expediente técnico del Anexo IV?

Paso 6: la trampa del Artículo 25, cuándo se convierte usted en el proveedor

El Artículo 25 convierte a un responsable del despliegue en proveedor si usted: introduce el sistema en el mercado bajo su propio nombre o marca; realiza una modificación sustancial (artículo 3, punto 23); o cambia la finalidad prevista de modo que el sistema pase a ser de alto riesgo cuando antes no lo era.

La modificación sustancial no requiere reentrenar el modelo. Ampliar el alcance a un nuevo caso de uso, integrar otras fuentes de datos de un modo que cambie la función del sistema, o cambiar la marca del sistema de un proveedor por la suya propia: cualquiera de estas cosas puede cruzar la línea. La pregunta no es «¿estamos cambiando el modelo?», sino «¿estamos cambiando la finalidad prevista o asumiendo la titularidad de cómo se presenta ante los usuarios?».

Cuando usted se convierte en el proveedor con arreglo al Artículo 25, hereda toda la pila: evaluación de la conformidad (Artículo 43), documentación técnica del Anexo IV (Artículo 11), declaración UE de conformidad (Artículo 47), marcado CE (Artículo 48), registro (Artículo 49), sistema de gestión de riesgos (Artículo 9), SGC (Artículo 17) y vigilancia poscomercialización (Artículo 72). Plazo para los sistemas autónomos del Anexo III: 2 de diciembre de 2027.

Lista de comprobación — Paso 6

  • ¿Se desplegará el sistema bajo su nombre o marca?
  • ¿La integración o personalización constituye una modificación sustancial con arreglo al artículo 3, punto 23?
  • ¿Cambia la finalidad prevista como consecuencia de cómo va a desplegar el sistema?
  • Si entra en el terreno del proveedor: ¿ha cartografiado todo el conjunto de obligaciones del Artículo 16 / Artículo 25 y ha recabado asesoramiento jurídico?

Sanciones por equivocarse

Los incumplimientos del responsable del despliegue —incluidos desplegar un sistema de alto riesgo sin verificar la documentación del Artículo 11 y la evaluación de la conformidad del Artículo 43, no implementar la supervisión humana del Artículo 14 y no conservar los registros del Artículo 26 durante seis meses— están sujetos a multas con arreglo al artículo 99, apartado 4: hasta 15.000.000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas, la multa se calcula sobre los ingresos mundiales, no sobre los ingresos en la UE.

Para las empresas emergentes y las pymes, el artículo 99, apartado 6, establece que las multas se limitan al menor de los dos importes, el porcentaje o la cantidad fija: una protección genuina que conviene conocer.

Si usted se convierte en proveedor al activar el Artículo 25 y no cumple las obligaciones del proveedor, se aplica el mismo nivel del artículo 99, apartado 4. Si facilita información incorrecta o engañosa a las autoridades nacionales competentes durante una inspección, ese es un nivel independiente: 7.500.000 EUR o el 1 % con arreglo al artículo 99, apartado 5.

El plazo de alto riesgo es el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III. Es posterior a la fecha original del 2 de agosto de 2026. No es, sin embargo, lejano. Reunir la documentación técnica del Anexo IV, realizar una evaluación de la conformidad y asegurarse de que las instrucciones respaldan genuinamente la supervisión del Artículo 14 lleva tiempo, sobre todo para los responsables del despliegue que necesitan negociar documentación revisada con sus proveedores.

Cómo ayuda Confir

La evaluación del proveedor empieza por saber a qué se enfrenta. La lógica de derivación de papeles de Confir le hace preguntas en lenguaje sencillo sobre su relación con cada sistema de IA —si lo construyó, lo licenció o lo está desplegando bajo un contrato con un proveedor— y deriva su papel normativo (responsable del despliegue con arreglo al Artículo 26, o proveedor con arreglo al Artículo 16, o algo intermedio a través del Artículo 25). La misma admisión deriva el nivel de riesgo utilizando los Artículos 5 y 6 con la lógica del Anexo III.

A partir de ahí, Confir mantiene un registro de proveedores y sistemas en el que usted anota cada sistema de tercero, adjunta pruebas documentales y hace un seguimiento del estado de la evaluación. La evaluación estructurada cubre las cuatro áreas de cumplimiento pertinentes para los responsables del despliegue —AIRC (clasificación de riesgo), AITR (datos y robustez técnica), AITO (transparencia y supervisión humana) y AIGM (gobernanza y vigilancia poscomercialización)—, con cada control asociado a artículos concretos, de modo que la lista de comprobación de este marco se corresponde directamente con lo que Confir sigue.

La lógica de clasificación y evaluación es determinista y basada en reglas. Las mismas entradas producen la misma conclusión, y la regla activada es legible. Para un registro de cumplimiento que debe resistir una inspección regulatoria, ese es el tipo de motor adecuado.

Preguntas frecuentes

¿Exige el Artículo 26 a los responsables del despliegue verificar la documentación de la evaluación de la conformidad del proveedor?

El Artículo 26 no emplea la expresión «verificar la evaluación de la conformidad», pero el efecto práctico es idéntico. Desplegar un sistema sin confirmar que se completó la evaluación de la conformidad del Artículo 43 —y que la documentación respalda sus obligaciones de supervisión del Artículo 14— le expone a las sanciones del artículo 99, apartado 4. La verificación es tanto su protección como un deber normativo.

¿Cuál es la diferencia entre la obligación del proveedor y la del responsable del despliegue en la evaluación de proveedores?

El proveedor debe completar la evaluación de la conformidad (Artículo 43), compilar la documentación técnica del Anexo IV (Artículo 11), emitir la declaración de conformidad del Artículo 47, colocar el marcado CE (Artículo 48) y registrar el sistema (Artículo 49). Su trabajo como responsable del despliegue es verificar que esos pasos se hicieron y que la documentación respalda sus obligaciones operativas, no repetir los pasos usted mismo.

¿En qué momento personalizar el sistema de IA de un proveedor le convierte en el proveedor con arreglo al Artículo 25?

El Artículo 25 se aplica si usted introduce el sistema en el mercado bajo su propio nombre, lo modifica sustancialmente (artículo 3, punto 23), o cambia su finalidad prevista de modo que pase a ser de alto riesgo. La modificación sustancial no requiere reentrenamiento: ampliar el sistema a un nuevo contexto de decisión o integrar datos adicionales de un modo que cambie su función puede cumplir el criterio. Documente su razonamiento. La pila de obligaciones del proveedor (Artículos 9, 11, 17, 43, 47, 48, 49, 72) es sustancialmente más gravosa que la del responsable del despliegue.

¿Necesita mi proveedor un representante autorizado si está establecido fuera de la UE?

Sí. Con arreglo al Artículo 22, un proveedor establecido fuera de la UE debe designar a un representante autorizado establecido en la UE antes de introducir un sistema de IA de alto riesgo en el mercado. El representante asume la responsabilidad jurídica y es el punto de contacto para las autoridades competentes. Un proveedor extracomunitario que no pueda demostrar esta designación tiene una laguna material de cumplimiento en su evaluación.

¿Se aplica la evaluación de proveedores a los sistemas de IA que no son de alto riesgo?

Los requisitos formales —evaluación de la conformidad del Artículo 43, documentación del Anexo IV, declaración del Artículo 47, registro del Artículo 49— se aplican solo a los sistemas de alto riesgo. Para los sistemas de riesgo limitado con arreglo al Artículo 50, las obligaciones del proveedor son de información sobre transparencia. Para los sistemas de riesgo mínimo, no se aplican obligaciones obligatorias. Aun así, revisar la documentación del proveedor sobre el uso previsto y las limitaciones es prudente si la clasificación pudiera ser objeto de controversia o si los contextos de despliegue pudieran derivar hacia el Anexo III.

¿Cuál es el plazo para las obligaciones de alto riesgo del responsable del despliegue?

En virtud del Ómnibus Digital acordado en mayo de 2026, la fecha de aplicación para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, aplazada respecto de la fecha original del 2 de agosto de 2026. Para la IA de alto riesgo integrada en productos del Anexo I, la fecha es el 2 de agosto de 2028. Las prohibiciones del Artículo 5 están en vigor desde el 2 de febrero de 2025. Empiece las evaluaciones ahora: renegociar los contratos con los proveedores para obtener una divulgación adecuada del Anexo IV lleva meses.

¿Qué pasa si un proveedor se niega a facilitar la documentación técnica del Anexo IV?

La documentación del Anexo IV está sujeta principalmente a la inspección de las autoridades nacionales competentes, no es algo que usted reciba necesariamente íntegro como responsable del despliegue. Lo que debe confirmar es que la documentación existe y que las instrucciones de uso son adecuadas para implementar la supervisión del Artículo 14. Un proveedor que no facilita ninguna de las dos cosas tiene un problema de cumplimiento: busque una alternativa o escale por vía contractual antes del despliegue.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Lista de materiales de IA (AI-BOM): qué es y cómo apoya el cumplimiento de la Ley de IA de la UE

La AI-BOM es una práctica emergente, no un término legal. Estructura los modelos base, los conjuntos de datos y las dependencias de GPAI para alimentar la documentación del Artículo 11 / Anexo IV.

Guide

Planificación presupuestaria del cumplimiento de la Ley de IA de la UE: motores de coste para la IA de alto riesgo

Presupueste el cumplimiento de la Ley de IA de la UE: Artículo 9, documentación técnica del Anexo IV, evaluación de la conformidad del Artículo 43, vigilancia del Artículo 72. Dic 2027.

Guide

Quién es el titular del cumplimiento de la Ley de IA de la UE en su organización

La Ley de IA de la UE crea obligaciones, no un puesto. Quién es el titular de los deberes de los Art. 9, 11, 14, 72 y 73 — estructura RACI, división DPD/CISO y la realidad de la pequeña empresa.