Gobernanza de la IA para el cumplimiento de la Ley de IA de la UE: el modelo operativo para pymes

La gobernanza de la IA es el conjunto de políticas, funciones, procesos y controles que una organización establece para gestionar sus sistemas de IA de forma responsable y conforme a la legislación aplicable. En virtud del Reglamento (UE) 2024/1689 — la Ley de IA de la UE —, la gobernanza no es opcional para las organizaciones que desarrollan o despliegan IA en contextos de alto riesgo. Es un requisito previo a la comercialización, exigido por las autoridades nacionales competentes y respaldado por multas que alcanzan los 15 millones de euros o el 3 % del volumen de negocios anual mundial para la mayoría de los incumplimientos de obligaciones de alto riesgo.

Esta guía explica qué aspecto tiene realmente un programa de gobernanza de la IA para una empresa pequeña o mediana en 2026: quién debe qué, qué Artículos se corresponden con qué obligaciones, cómo dotar de personal a una función mínima de gobernanza y qué documentos hay que tener listos. Cuando procede, señala cómo interactúan las normas con la ISO/IEC 42001 y el RGPD, e indica dónde encajan las herramientas de cumplimiento basadas en reglas de Confir.

---

Por qué la Ley de IA de la UE hace que la gobernanza no sea opcional

La mayoría de las pymes creen que la Ley de IA de la UE es un problema de las grandes empresas — algo para los grandes bancos y los sistemas hospitalarios. El ámbito de aplicación de la Ley no funciona así.

La Ley se aplica a todo proveedor que introduzca un sistema de IA en el mercado de la UE o lo ponga en servicio, con independencia de dónde esté establecido el proveedor. Se aplica a todo responsable del despliegue que utilice un sistema de IA cubierto en un contexto profesional dentro de la UE. Una empresa alemana de tecnología de RR. HH. de 30 personas que vende una herramienta de cribado de currículos a clientes neerlandeses y españoles es un proveedor. Un corredor de seguros belga de 50 personas que despliega un modelo de riesgo crediticio de un tercero es un responsable del despliegue. Ambos tienen obligaciones de gobernanza.

El calendario es concreto. Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025. Las obligaciones generales — incluida la transparencia para los sistemas de riesgo limitado del Artículo 50 — se aplican desde el 2 de agosto de 2026. Para toda la pila de alto riesgo (Artículos 9 a 15, 16 a 27, 43, 47 a 49, 72 a 73), el plazo original era también el 2 de agosto de 2026, pero el Ómnibus Digital, sobre el que el Parlamento y el Consejo alcanzaron un acuerdo político el 7 de mayo de 2026, aplazó esa fecha. Los sistemas de IA de alto riesgo autónomos cubiertos por el Anexo III — contratación, crédito, biometría, garantía del cumplimiento del Derecho y los demás — deben cumplir antes del 2 de diciembre de 2027. La IA de alto riesgo integrada como componente de seguridad en productos sujetos a la legislación de la UE sobre productos (Anexo I) debe cumplir antes del 2 de agosto de 2028.

Eso suena a margen. No lo es. Reunir el expediente técnico del Artículo 11 / Anexo IV para un solo sistema, poner en marcha un sistema de gestión de riesgos del Artículo 9, realizar una evaluación de la conformidad del Artículo 43 y registrarse en la base de datos de la UE pueden requerir fácilmente de nueve a doce meses de trabajo estructurado. Si está desarrollando, adquiriendo o desplegando cualquier sistema que toque categorías del Anexo III, el diseño de la gobernanza debería empezar ahora.

---

Quién debe gobernar: proveedor frente a responsable del despliegue con arreglo a la Ley

La Ley de IA de la UE asigna las obligaciones por función, no por sector. Acertar con su función es la primera decisión de gobernanza.

Los proveedores (Artículo 16) son entidades que desarrollan un sistema de IA de alto riesgo y lo introducen en el mercado de la UE — o lo ponen en servicio — con su propio nombre o marca. Los proveedores soportan las obligaciones más pesadas: deben implantar un sistema completo de gestión de riesgos del Artículo 9, compilar la documentación técnica del Artículo 11, incorporar las capacidades de supervisión humana del Artículo 14 en el diseño del sistema, mantener un sistema de gestión de la calidad del Artículo 17, llevar a cabo o encargar una evaluación de la conformidad del Artículo 43, emitir una declaración UE de conformidad del Artículo 47, colocar el marcado CE (Artículo 48) y registrar el sistema en la base de datos de la UE (Artículo 49). Tras la comercialización, deben efectuar la vigilancia del Artículo 72 y notificar los incidentes graves con arreglo al Artículo 73.

Los responsables del despliegue (Artículo 26) son organizaciones que utilizan un sistema de IA de alto riesgo en un contexto profesional bajo su propia autoridad. Sus obligaciones son más ligeras, pero no triviales. Los responsables del despliegue deben seguir las instrucciones de uso del proveedor, garantizar que la supervisión humana del Artículo 14 se implemente en su flujo de trabajo operativo, conservar los registros que prescribe el Artículo 12 (durante tres años en la mayoría de los casos), informar a sus propios trabajadores cuando se utilice IA para supervisarlos, realizar una evaluación de impacto relativa a los derechos fundamentales (EIDF) del Artículo 27 si son un organismo del sector público o determinados operadores privados regulados, y notificar los incidentes al proveedor.

La frontera se desplaza en virtud del Artículo 25. Un responsable del despliegue que ponga su propio nombre a un sistema de alto riesgo, lo modifique sustancialmente o cambie su finalidad prevista se convierte en proveedor — y hereda toda la pila de obligaciones del proveedor. Esta es la trampa más peligrosa para las empresas SaaS que integran modelos de IA de terceros y luego revenden el resultado con su propia marca de producto.

En la práctica, la mayoría de las pymes se dividen en dos grupos: empresas SaaS o tecnológicas que desarrollan y comercializan sistemas de IA con su propia marca (proveedores) y empresas que se suscriben y despliegan herramientas de IA de terceros (responsables del despliegue). El modelo operativo de gobernanza viene determinado por el grupo en el que se encuentre — pero ambos necesitan un programa que funcione.

---

El mapa de obligaciones de gobernanza: artículo por artículo

Un programa de gobernanza de la IA bien diseñado asigna cada obligación a un responsable de proceso concreto, a un conjunto de controles y a un resultado documentado. He aquí el conjunto completo de obligaciones de alto riesgo con las referencias correctas a los Artículos.

Artículo 9 — Sistema de gestión de riesgos

El sistema de gestión de riesgos es un proceso continuo que abarca todo el ciclo de vida, no una evaluación puntual. El Artículo 9 exige a los proveedores identificar y analizar los riesgos conocidos y previsibles asociados a la finalidad prevista del sistema de alto riesgo y a su uso indebido razonablemente previsible; estimar y evaluar los riesgos cuando el sistema se despliega de acuerdo con su finalidad prevista y en condiciones de uso indebido razonablemente previsible; adoptar medidas de eliminación o mitigación de riesgos; y probar el riesgo residual frente a la población de usuarios, incluidos los subgrupos que puedan verse afectados de forma desproporcionada.

De manera crítica, el Artículo 9 exige que el riesgo residual — tras la mitigación — sea considerado aceptable por una persona responsable antes de que el sistema entre en funcionamiento. Ese juicio debe documentarse.

Resultados de gobernanza: un registro de riesgos vivo, con control de versiones para cada versión del sistema, que vincule cada riesgo identificado con su mitigación, su responsable y la decisión de aceptación del riesgo residual.

Artículo 10 — Datos y gobernanza de datos

El Artículo 10 abarca los datos de entrenamiento, validación y prueba. Los proveedores deben aplicar prácticas adecuadas de gobernanza de datos: recogida y origen de los datos, preparación de los datos (etiquetado, depuración, enriquecimiento, agregación), una evaluación de la disponibilidad, la cantidad y la idoneidad, un análisis de posibles sesgos y medidas para abordar esos sesgos. Los datos deben ser pertinentes, suficientemente representativos y, en la medida de lo posible, exentos de errores.

Este Artículo suele etiquetarse erróneamente como formación del personal. No lo es. La competencia del personal es una obligación independiente del Artículo 4 (alfabetización en materia de IA), que se aplica desde el 2 de febrero de 2025 y exige a las organizaciones garantizar que su personal que trabaja con sistemas de IA tenga un nivel adecuado de alfabetización en materia de IA — pertinente a su función y al riesgo implicado.

Resultados de gobernanza: una política de gobernanza de datos que cubra cada conjunto de datos de entrenamiento; registros de análisis de sesgos; un registro de alfabetización del personal en materia de IA que muestre qué funciones han recibido qué formación y cuándo.

Artículo 11 — Documentación técnica

El Artículo 11 exige a los proveedores compilar la documentación técnica antes de introducir un sistema de alto riesgo en el mercado, y mantenerla actualizada. La especificación figura en el Anexo IV. Incluye: una descripción general del sistema y su finalidad prevista; el proceso de diseño, incluidas las decisiones de diseño, las hipótesis y los resultados de las pruebas; información sobre la vigilancia, el funcionamiento y el control; descripciones de la validación y las pruebas; las normas aplicadas; y una copia de la declaración UE de conformidad. Un sistema que cambie materialmente requiere una actualización de la documentación.

En los escenarios de evaluación de la conformidad por organismo notificado (necesarios para algunas categorías del Anexo III, como la biometría utilizada por las autoridades de garantía del cumplimiento del Derecho), el expediente técnico es lo que revisa el organismo notificado. Hacer esto mal no es un tecnicismo — es motivo para denegar la emisión de un certificado.

Resultado de gobernanza: un expediente técnico del Anexo IV mantenido para cada sistema de alto riesgo, con control de versiones y trazable a la versión del sistema evaluada.

Artículo 12 — Conservación de registros

El Artículo 12 exige que los sistemas de IA de alto riesgo dispongan de capacidad de registro automático para permitir la trazabilidad de su funcionamiento a lo largo de todo su ciclo de vida. La Ley exige específicamente que los registros permitan, en la medida proporcionada al riesgo, la identificación de situaciones que puedan dar lugar a riesgos o desencadenar la necesidad de acciones de vigilancia poscomercialización.

Los responsables del despliegue deben conservar los registros durante tres años. Los proveedores deben conservar sus propios registros en consonancia con las obligaciones de vigilancia poscomercialización del Artículo 72.

Resultado de gobernanza: un registro de auditoría inalterable para cada sistema, con una política de conservación definida y controles de acceso.

Artículo 13 — Transparencia e información a los responsables del despliegue

El Artículo 13 exige a los proveedores facilitar a los responsables del despliegue información suficiente sobre la finalidad prevista del sistema, el nivel de exactitud y sus limitaciones, cualquier circunstancia conocida o previsible que pueda dar lugar a riesgos para la salud, la seguridad o los derechos fundamentales, y las medidas de supervisión humana que el sistema está diseñado para acomodar. Esta información debe facilitarse en las instrucciones de uso.

Para los responsables del despliegue, este Artículo es importante de otra manera: es la base jurídica sobre la que puede exigir información sustantiva a su proveedor de IA. Si un proveedor no puede o no quiere suministrar un conjunto de instrucciones conforme al Artículo 13, eso es una señal de alarma en la cadena de suministro con consecuencias jurídicas.

Resultado de gobernanza: un documento de instrucciones de uso revisado y archivado para cada sistema desplegado; para los proveedores, un documento de instrucciones de uso conforme que acompañe al producto.

Artículo 14 — Supervisión humana

El Artículo 14 exige que los sistemas de IA de alto riesgo se diseñen y desplieguen de modo que las personas físicas puedan supervisarlos eficazmente. En la práctica, esto significa que el sistema debe poder ser detenido o anulado por un humano; los usuarios deben poder comprender qué hace el sistema y reconocer anomalías; y debe haber alguien designado que tenga la autoridad y la competencia para intervenir. La versión antigua de este artículo a lo largo del texto anterior se atribuía incorrectamente al «Artículo 6» — el Artículo correcto es el 14.

Para los responsables del despliegue, el Artículo 14 es operativo: no basta con tener un botón de anulación. Debe asegurarse de que los humanos que operan el sistema tengan realmente el contexto para usarlo de forma significativa — lo que enlaza de nuevo con la obligación de alfabetización en materia de IA del Artículo 4.

Resultado de gobernanza: procedimientos de supervisión humana específicos para cada sistema desplegado; un responsable de supervisión designado; registros de las decisiones de revisión, anulación y escalado humanas.

Artículo 15 — Exactitud, robustez y ciberseguridad

El Artículo 15 establece requisitos de rendimiento: los sistemas de IA de alto riesgo deben alcanzar un nivel adecuado de exactitud, robustez y ciberseguridad, y deben rendir de manera coherente a lo largo de todo su ciclo de vida. También exige resiliencia frente a los intentos de terceros de alterar los resultados del sistema mediante entradas adversarias.

Esta es la obligación de ingeniería técnica. No es vigilancia poscomercialización — eso es el Artículo 72. El Artículo 15 trata de construir el sistema correctamente: definir parámetros de referencia de exactitud, protocolos de prueba de robustez frente a ataques adversarios y análisis de modos de fallo antes del lanzamiento.

Resultado de gobernanza: registros de prueba de exactitud y robustez; líneas de base de rendimiento documentadas; evaluación de ciberseguridad.

Artículo 17 — Sistema de gestión de la calidad

Los proveedores deben establecer un sistema de gestión de la calidad (SGC). El Artículo 17 especifica su contenido mínimo: una estrategia de cumplimiento, incluidos procedimientos de verificación y validación del diseño; procedimientos para vigilar el cumplimiento de los sistemas desplegados; procedimientos para la notificación de incidentes graves; prácticas de gestión de datos; controles de ciberseguridad; y procedimientos de auditoría interna.

El SGC es la columna vertebral organizativa del programa de gobernanza. No necesita estar certificado conforme a la ISO 9001, pero debe estar documentado, revisarse periódicamente y ser capaz de demostrar un cumplimiento sistemático en lugar de esfuerzos puntuales.

Resultado de gobernanza: un SGC por escrito que abarque los elementos del Artículo 17; registros de las auditorías y revisiones del SGC.

Artículo 43 — Evaluación de la conformidad

Antes de introducir un sistema de IA de alto riesgo en el mercado, los proveedores deben llevar a cabo una evaluación de la conformidad. El Artículo 43 especifica dos vías. Para la mayoría de las categorías del Anexo III, se permite la evaluación de la conformidad interna: el proveedor realiza la evaluación él mismo, la documenta en el expediente técnico y emite la declaración UE de conformidad. Para determinadas categorías de alta sensibilidad — en particular los sistemas de identificación biométrica remota desplegados por las autoridades de garantía del cumplimiento del Derecho — se requiere un organismo notificado tercero.

El texto antiguo atribuía la evaluación de la conformidad al «Artículo 27». Eso es erróneo. El Artículo 27 es la evaluación de impacto relativa a los derechos fundamentales — una obligación independiente para determinados responsables del despliegue. La evaluación de la conformidad es el Artículo 43.

Resultado de gobernanza: un registro de evaluación de la conformidad completado dentro del expediente técnico del Artículo 11; la declaración UE de conformidad del Artículo 47; el marcado CE colocado en el sistema.

Artículos 47 a 49 — Declaración, marcado CE, registro

El Artículo 47 exige a los proveedores emitir una declaración UE de conformidad antes de la introducción en el mercado — un documento firmado que declara que el sistema cumple los requisitos de la Ley. El Artículo 48 exige que se coloque el marcado CE, que indica al mercado y a los reguladores que el sistema ha sido evaluado. El Artículo 49 exige el registro en la base de datos de la Ley de IA de la UE, un registro público alojado en la UE y mantenido por la Comisión.

Para los responsables del despliegue de sistemas de alto riesgo desplegados por organismos del sector público, el Artículo 49, apartado 2, impone su propia obligación de registro.

Resultado de gobernanza: declaración UE de conformidad firmada y fechada; registro con la referencia de la entrada en la base de datos de la UE.

Artículo 72 — Vigilancia poscomercialización

El Artículo 72 impone a los proveedores la obligación continua de recopilar y revisar activamente datos sobre el rendimiento de los sistemas de alto riesgo después de su introducción en el mercado. Los proveedores deben tener un plan de vigilancia poscomercialización y, cuando surjan problemas de rendimiento, deben actualizar la documentación de riesgos y adoptar medidas correctoras. La Ley no especifica una frecuencia mínima de vigilancia, pero el plan de vigilancia debe calibrarse en función del nivel de riesgo y del volumen de despliegue.

Esto se atribuía incorrectamente al «Artículo 15» y al «Artículo 26» en contenidos anteriores. El Artículo 15 trata de los requisitos técnicos previos al lanzamiento; el Artículo 26 trata de las obligaciones del responsable del despliegue. La vigilancia poscomercialización por parte de los proveedores es el Artículo 72.

Resultado de gobernanza: un plan de vigilancia poscomercialización; informes periódicos de vigilancia; actualizaciones con control de versiones del expediente técnico del Artículo 11 cuando surjan problemas.

Artículo 73 — Notificación de incidentes graves

El Artículo 73 exige a los proveedores notificar los incidentes graves — definidos como incidentes que causan o pueden causar la muerte, daños graves a la salud, daños a la propiedad o interrupciones de servicios críticos, o que constituyen una infracción grave de los derechos fundamentales — a la autoridad nacional pertinente. El plazo de notificación se define por categoría: inmediatamente para los incidentes potencialmente mortales, quince días naturales para otros incidentes graves, y en el plazo de tres meses para las secuencias de incidentes graves que surgen con el tiempo.

Los responsables del despliegue deben notificar los incidentes graves al proveedor, no directamente a la autoridad (salvo que el proveedor esté fuera de la UE y no tenga representante autorizado, o salvo que el propio responsable del despliegue sea un organismo del sector público).

Resultado de gobernanza: una matriz de clasificación de incidentes; un flujo de trabajo de notificación; informes de incidentes documentados y archivados con marcas de tiempo.

---

Funciones de gobernanza y un RACI mínimo

Un programa de gobernanza necesita responsables con nombre y apellidos, no solo políticas. La tabla siguiente muestra la estructura mínima de funciones para una pyme — las cinco funciones pueden cubrirse con dos o tres personas en una empresa de 40 personas, siempre que esas personas tengan suficiente alfabetización en materia de IA con arreglo al Artículo 4.

En las organizaciones sin una función de cumplimiento específica, el DPD (cuando existe en virtud del RGPD) es el ancla natural. La función de DPD no se extiende automáticamente al cumplimiento de la Ley de IA, pero el solapamiento en gobernanza de datos, evaluación de riesgos y conservación de registros es lo bastante sustancial como para que combinar las funciones sea, por lo general, el punto de partida pragmático.

Una función que vigilar: si tiene un sistema de IA que trata datos personales y toma decisiones sobre personas o contribuye materialmente a ellas, casi con seguridad necesita tanto una evaluación de impacto relativa a la protección de datos del Artículo 35 del RGPD como una evaluación de riesgos de la Ley de IA de la UE. Pueden ejecutarse en paralelo con datos de entrada compartidos, pero son documentos jurídicamente distintos. Si el sistema es de alto riesgo y lo despliega un organismo del sector público, el Artículo 27 añade una tercera capa — la evaluación de impacto relativa a los derechos fundamentales.

---

Los cinco artefactos de gobernanza que debe tener

1. Inventario de IA

Todo sistema de IA que su organización desarrolle o despliegue, con independencia de su nivel de riesgo. Como mínimo: nombre del sistema, proveedor (si es externo), versión, finalidad prevista, datos de entrada, contexto de despliegue, resultado de la clasificación (nivel de riesgo y función), evaluación del filtro del Artículo 6, apartado 3, si procede, y el nombre del responsable de la rendición de cuentas.

El inventario es la base sobre la que descansa todo lo demás. Sin él, no puede saber qué sistemas están dentro del ámbito de aplicación, ni puede demostrar a un auditor que tiene una visión sistemática de su huella de IA.

2. Registro de riesgos

Para cada sistema de alto riesgo, el registro de riesgos del Artículo 9 documenta: el riesgo identificado, su estimación de probabilidad y gravedad, las medidas de mitigación adoptadas, el nivel de riesgo residual tras la mitigación, la persona que aceptó el riesgo residual y la fecha de aceptación. Debe actualizarse en cada cambio material del sistema y revisarse al menos una vez al año.

El registro de riesgos no es lo mismo que un registro de riesgos del RGPD. El objeto se solapa — ambos cubren riesgos para las personas —, pero el registro del Artículo 9 también debe abordar los riesgos técnicos de seguridad, los fallos de robustez y los escenarios de uso indebido previsible que van más allá de los datos personales.

3. Expediente técnico (paquete del Anexo IV)

El expediente técnico del Artículo 11 es la columna vertebral del cumplimiento para los sistemas de alto riesgo. Contiene todo lo que un auditor u organismo notificado necesita para evaluar la conformidad: la descripción del sistema, las decisiones de diseño, los registros de gobernanza de datos (Artículo 10), los resultados de las pruebas (Artículo 15), el registro de riesgos (Artículo 9), los procedimientos de supervisión humana (Artículo 14), la referencia del SGC (Artículo 17) y el registro de evaluación de la conformidad (Artículo 43). El expediente técnico debe conservarse durante diez años después de que el sistema se introduzca en el mercado o se ponga en servicio.

4. Registro de auditoría

El Artículo 12 exige el registro automático. El programa de gobernanza debe especificar qué se registra, dónde, durante cuánto tiempo y quién tiene acceso. Para la mayoría de los sistemas de alto riesgo, esto significa registrar cada evento de decisión (entrada, salida, marca de tiempo, ID de usuario), cada anulación humana (con su justificación) y cada cambio de configuración del sistema. El registro debe ser a prueba de manipulaciones — no solo una hoja de cálculo que alguien pueda editar.

5. Políticas de gobernanza

Como mínimo: una política de uso de la IA que defina qué herramientas de IA puede usar el personal y en qué condiciones; una política de gobernanza de datos que cubra los requisitos de datos de entrenamiento del Artículo 10; un procedimiento de supervisión humana para cada sistema de alto riesgo; y un procedimiento de respuesta a incidentes que conecte las obligaciones de notificación del Artículo 73 con la realidad operativa. No necesitan ser documentos extensos. Necesitan ser específicos, tener un responsable y cumplirse de verdad.

---

Ejemplo práctico: una empresa de tecnología de RR. HH. de 45 personas que despliega una herramienta de cribado de currículos

Una empresa de tecnología de RR. HH. de 45 personas con sede en Múnich desarrolla un producto de cribado de candidatos que analiza currículos y clasifica a los solicitantes para sus clientes. Los clientes son empleadores europeos del comercio minorista, la logística y los servicios financieros. La empresa introduce el producto en el mercado con su propia marca.

Paso 1: Determinar la función y la clasificación. La empresa es un proveedor con arreglo al Artículo 16. El producto entra en el Anexo III, apartado 4 (empleo, gestión de los trabajadores, acceso al autoempleo — concretamente el cribado y la preselección para la contratación). En virtud del filtro del Artículo 6, apartado 3: el sistema elabora una preselección ordenada que un seleccionador humano revisa después. ¿Elabora perfiles de personas físicas? Sí — evalúa a los candidatos individualmente frente a los criterios del puesto. Eso hace que la exención del Artículo 6, apartado 3, no esté disponible. El sistema es de alto riesgo.

Paso 2: Delimitar el conjunto de obligaciones. Como proveedor de un sistema de alto riesgo del Anexo III, la empresa debe cumplir los Artículos 9, 10, 11, 12, 13, 14, 15, 16, 17, 43, 47, 48, 49, 72 y 73. Sus clientes, como responsables del despliegue, tienen obligaciones del Artículo 26 — y las instrucciones de uso del Artículo 13 de la empresa deben capacitarlos para cumplirlas.

Paso 3: Elaborar el expediente técnico. El equipo de producto documenta la arquitectura del modelo, los datos de entrenamiento (origen, preprocesamiento, análisis de sesgos por género, edad y nacionalidad), los resultados de las pruebas de validación por subgrupos demográficos y las limitaciones conocidas. El registro de riesgos identifica tres riesgos materiales: sesgo de género derivado de los patrones históricos de contratación en los datos de entrenamiento; sesgo de edad por la ponderación de la duración de la antigüedad; y degradación del rendimiento cuando el conjunto de solicitantes está fuera de los idiomas representados en los datos de entrenamiento. Las mitigaciones se documentan; las decisiones de riesgo residual las firma el responsable de producto.

Paso 4: Diseñar la supervisión humana. El sistema presenta una preselección ordenada. El Artículo 14 exige que el responsable del despliegue (el cliente empleador) pueda supervisarlo de forma significativa. El proveedor construye una interfaz de explicación que muestra qué factores influyeron en la clasificación de cada candidato. Sus instrucciones de uso del Artículo 13 especifican que los responsables del despliegue deben tener un revisor de RR. HH. designado que haya completado la formación en alfabetización en materia de IA, y que ningún solicitante debe ser rechazado únicamente sobre la base de la clasificación del sistema. Las instrucciones especifican un umbral mínimo de revisión: todo candidato situado en el 30 % superior de la clasificación debe ser revisado por un humano antes de su rechazo.

Paso 5: Evaluación de la conformidad y registro. La evaluación de la conformidad interna está disponible para los sistemas de contratación del Anexo III (no se exige un organismo notificado). La empresa realiza la evaluación, la documenta en el expediente técnico, emite la declaración de conformidad del Artículo 47, coloca el marcado CE y registra el sistema en la base de datos de la UE antes del plazo del 2 de diciembre de 2027.

Paso 6: Vigilancia poscomercialización. El plan de vigilancia del Artículo 72 de la empresa especifica revisiones trimestrales del rendimiento del sistema en los grupos demográficos identificados en el registro de riesgos. Si las métricas de sesgo se deterioran más allá de los umbrales definidos, se activa una actualización del modelo y el expediente técnico se actualiza en consecuencia.

El Artículo 4 en la práctica. Los dos responsables de cumplimiento de la empresa y su equipo de producto han completado un programa de alfabetización en materia de IA calibrado a sus funciones: los responsables de cumplimiento entienden la estructura de obligaciones; el equipo de producto entiende los requisitos técnicos; el personal de cara al cliente puede explicar a los clientes responsables del despliegue qué hace el sistema y cuáles son sus obligaciones del Artículo 26.

El plazo para todo esto: 2 de diciembre de 2027 para los sistemas autónomos del Anexo III. La empresa no debería tratar eso como margen — una versión materialmente modificada del producto requerirá un nuevo ciclo de evaluación de la conformidad.

---

Sus primeros 90 días: un plan de construcción de la gobernanza

Los programas de gobernanza fracasan no porque las normas sean complicadas, sino porque nadie empieza. He aquí una secuencia pragmática de 90 días que puede seguir una función de cumplimiento de dos personas en una pyme.

Días 1 a 30: Inventariar y clasificar

Organice un taller interfuncional — ingeniería, producto, jurídico, compras — y enumere todos los sistemas de IA que la organización desarrolla o despliega. Para cada sistema, aplique la lógica de clasificación de los Artículos 5 y 6: ¿entra dentro de una categoría del Anexo III? ¿Se aplica el filtro del Artículo 6, apartado 3? ¿Qué función tiene la organización? Resultado: un inventario de IA completado con los niveles de riesgo y las funciones asignados. Señale cualquier posible práctica prohibida del Artículo 5 para su revisión jurídica inmediata — esas obligaciones están vigentes desde febrero de 2025.

Días 31 a 60: Evaluación de carencias frente al conjunto de obligaciones

Para cada sistema de alto riesgo, contraste la documentación y los procesos existentes con el conjunto de obligaciones de los Artículos 9 a 15, 17, 43, 47 a 49, 72 a 73. ¿Dónde no hay nada? ¿Dónde hay algo que no superaría el escrutinio regulatorio? Priorice las carencias por plazo y por la gravedad de la exposición al incumplimiento. Resultado: un análisis de carencias por sistema, con prioridades de subsanación y responsables.

Días 61 a 90: Cerrar las carencias de máxima prioridad

Ponga en marcha la estructura del registro de riesgos (Artículo 9). Inicie el proceso de recopilación del expediente técnico (Artículo 11, Anexo IV). Redacte el procedimiento de supervisión humana para el sistema de mayor riesgo (Artículo 14). Defina la arquitectura de registro (Artículo 12). Redacte el esquema del SGC (Artículo 17). Asigne las funciones de gobernanza utilizando el RACI de esta guía. Resultado: artefactos de gobernanza en borrador para el primer sistema, revisados por el departamento jurídico.

Después de 90 días debería tener visibilidad de toda su huella de IA, un análisis de carencias documentado y artefactos en borrador para su sistema más expuesto. Eso no es cumplimiento completo — pero es un programa de gobernanza defendible en construcción, lo que es materialmente distinto de la nada.

---

Alineación multimarco: ISO 42001, RGPD y la Ley en conjunto

La Ley de IA de la UE no es el único marco que rige la IA. Para la mayoría de las pymes, al menos dos de estos tres son relevantes de forma simultánea.

La ISO/IEC 42001 es la norma internacional para los sistemas de gestión de la IA. Define los elementos de un sistema de gestión de la IA: contexto de la organización, liderazgo, planificación, apoyo, operación, evaluación del desempeño y mejora — la clásica estructura del Anexo SL. La ISO 42001 no refleja la Ley de IA de la UE artículo por artículo, pero hay un solapamiento sustancial. Un sistema de gestión de la IA alineado con la ISO 42001 cubre la gestión de riesgos, la gobernanza de datos, la supervisión humana y la vigilancia de maneras que se corresponden estrechamente con los Artículos 9, 10, 14 y 72. Si su organización ya está certificada según la ISO 27001, ampliarse a la ISO 42001 es una vía de menor esfuerzo que construir el cumplimiento de la Ley de IA de la UE de forma aislada.

El Artículo 22 del RGPD cubre las decisiones individuales automatizadas: cuando una decisión se basa únicamente en el tratamiento automatizado y produce efectos jurídicos o de modo similar significativos, el interesado tiene derechos, incluido el derecho a la revisión humana. El Artículo 22 es directamente relevante para la gobernanza de la IA de alto riesgo porque muchos sistemas del Anexo III (contratación, crédito, admisibilidad a prestaciones) producen exactamente estos efectos. Su diseño de supervisión humana del Artículo 14 debe ser coherente con la obligación de derecho a la revisión humana del Artículo 22 — si entran en conflicto, tiene una carencia de cumplimiento en ambos regímenes.

El Artículo 35 del RGPD — evaluación de impacto relativa a la protección de datos — se exige cuando es probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas. El tratamiento a gran escala de categorías especiales de datos, la supervisión sistemática de zonas de acceso público y las decisiones automatizadas con efectos significativos activan todos ellos el Artículo 35. Los datos de entrada de una EIPD y de una evaluación de riesgos del Artículo 9 se solapan sustancialmente: finalidad, fuentes de datos, riesgo para las personas, medidas de mitigación. Ejecutarlas en paralelo, con una taxonomía de riesgos compartida, es más eficiente que ejecutarlas de forma secuencial.

Una nota práctica: si está certificado según la ISO 42001 y cumple el RGPD con EIPD documentadas para los sistemas pertinentes, entrará en una auditoría de la Ley de IA de la UE con sustancialmente más pruebas que una organización que parte de cero. Las certificaciones no sustituyen a la evaluación de la conformidad del Artículo 43, pero demuestran una gobernanza sistemática que los reguladores tienen el mandato de tener en cuenta al calibrar una ejecución proporcionada.

---

Cómo ayuda Confir

Construir y mantener manualmente los artefactos de gobernanza anteriores requiere mucho tiempo y es propenso a errores. Los cálculos — qué categoría del Anexo III, qué exenciones del Artículo 6, apartado 3, se aplican, qué conjunto de obligaciones se deriva — están regidos por reglas y son mecánicos, y equivocarse tiene consecuencias materiales.

Confir codifica la lógica de clasificación y de obligaciones de la Ley de IA de la UE en reglas explícitas y deterministas — las mismas entradas producen siempre las mismas salidas, con el razonamiento visible y auditable. No hay inferencia de IA implicada; el motor es determinista basado en reglas por diseño, lo que importa para un producto de cumplimiento en el que la reproducibilidad y la explicabilidad son propiedades que los reguladores y auditores exigen.

En la práctica, Confir cubre el flujo de trabajo de gobernanza a través de cuatro áreas de cumplimiento estructuradas: AIRC (Clasificación de Riesgos y Cumplimiento de la IA — Artículos 5, 6, 43, 50), AITR (Datos y Robustez Técnica de la IA — Artículos 10, 11, 15), AITO (Transparencia y Supervisión Humana de la IA — Artículos 13, 14, 27, 50) y AIGM (Gobernanza y Vigilancia Poscomercialización de la IA — Artículos 9, 72, 73). Para cada sistema que registre, la herramienta le guía a través de escenarios en lenguaje sencillo, deriva su nivel de riesgo y su función, e impulsa la evaluación estructurada en las cuatro áreas.

Los resultados son los artefactos que esta guía ha venido describiendo: el inventario de IA y el registro de riesgos, el paquete de documentación técnica del Artículo 11 / Anexo IV (el «Paquete de Conformidad»), la declaración UE de conformidad del Artículo 47, la EIDF del Artículo 27 para los responsables del despliegue que cumplan los requisitos, la Puntuación de Salud de Cumplimiento que muestra dónde quedan carencias, y un registro de auditoría inalterable. Establece correspondencias con la ISO/IEC 42001, el NIST AI RMF y el RGPD.

Autoservicio, sin consultores, alojado en la UE.

---

Preguntas frecuentes

¿Qué es exactamente la gobernanza de la IA con arreglo a la Ley de IA de la UE?

La gobernanza de la IA en virtud del Reglamento (UE) 2024/1689 es el sistema documentado de políticas, funciones, procesos y controles que una organización utiliza para gestionar sus sistemas de IA cumpliendo la Ley. Para los sistemas de IA de alto riesgo, el programa de gobernanza debe cubrir, como mínimo: un sistema de gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica (Artículo 11), conservación de registros (Artículo 12), transparencia hacia los responsables del despliegue (Artículo 13), supervisión humana (Artículo 14), exactitud y robustez (Artículo 15) y un sistema de gestión de la calidad (Artículo 17). La gobernanza es una condición previa para la evaluación de la conformidad (Artículo 43) que debe completarse antes de que un sistema de alto riesgo llegue al mercado.

¿Cuándo tiene que cumplir realmente mi organización?

Depende de la categoría de su sistema de IA. Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025. Las obligaciones para los sistemas de riesgo limitado del Artículo 50 se aplican desde el 2 de agosto de 2026. Para los sistemas de IA de alto riesgo autónomos del Anexo III — la lista que cubre la contratación, el crédito, la biometría, la garantía del cumplimiento del Derecho y otros —, el plazo es el 2 de diciembre de 2027, aplazado respecto de la fecha original del 2 de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026. La IA de alto riesgo integrada en productos regulados (Anexo I) debe cumplir antes del 2 de agosto de 2028. La alfabetización en materia de IA del Artículo 4 se aplica desde el 2 de febrero de 2025 y exige una alfabetización adecuada en materia de IA para el personal que trabaja con sistemas de IA.

¿Cuál es la diferencia entre un proveedor y un responsable del despliegue a efectos de gobernanza?

Un proveedor (Artículo 16) desarrolla e introduce el sistema de IA en el mercado. Los proveedores tienen el conjunto completo de obligaciones: gestión de riesgos, documentación técnica, evaluación de la conformidad, registro, SGC y vigilancia poscomercialización. Un responsable del despliegue (Artículo 26) utiliza un sistema de alto riesgo en un contexto profesional. Los responsables del despliegue deben implementar la supervisión humana en sus operaciones, conservar los registros y, en algunos casos, realizar una evaluación de impacto relativa a los derechos fundamentales (Artículo 27). Si su organización modifica sustancialmente un sistema de terceros o lo cambia de marca como producto propio, el Artículo 25 lo convierte de responsable del despliegue en proveedor — con todas las obligaciones del proveedor que se derivan de ello.

¿Cuáles son las sanciones por incumplir las obligaciones de gobernanza de la IA?

El techo de las multas por incumplir las obligaciones de alto riesgo — incluidos los requisitos de gestión de riesgos, documentación técnica, supervisión humana y SGC — es de 15 millones de euros o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor (Artículo 99). Infringir las prohibiciones del Artículo 5 (prácticas prohibidas, vigentes desde febrero de 2025) conlleva un techo más elevado: 35 millones de euros o el 7 %. Facilitar información incorrecta a un organismo notificado o a una autoridad conlleva un techo de 7,5 millones de euros o el 1 %. Las pymes y las empresas emergentes se benefician de un límite de proporcionalidad con arreglo al Artículo 99, apartado 6: su multa se limita al menor de los dos importes, el porcentaje o la cantidad fija.

¿Necesita mi empresa un responsable de gobernanza de la IA específico?

La Ley de IA de la UE no impone un título de función de gobernanza específico. Lo que sí exige, funcionalmente, es que alguien sea responsable de mantener el sistema de gestión de riesgos (Artículo 9), el SGC (Artículo 17) y el programa de vigilancia poscomercialización (Artículo 72), y que alguien garantice que la alfabetización en materia de IA del Artículo 4 esté implantada en toda la plantilla. Para la mayoría de las pymes, esta persona es el DPD, el responsable de cumplimiento o un líder de producto sénior. Las responsabilidades de gobernanza del RACI anterior pueden distribuirse entre dos o tres personas en una empresa de 40 a 50. Lo que no puede permitirse es que la función de gobernanza sea informal — los auditores pedirán responsables con nombre y procedimientos documentados.

¿Se solapa la gobernanza de la IA con el RGPD?

Sustancialmente, sí. Cualquier sistema de IA de alto riesgo que trate datos personales para tomar decisiones sobre personas o fundamentarlas activa ambos regímenes. El Artículo 35 del RGPD (evaluación de impacto relativa a la protección de datos) y el Artículo 9 de la Ley de IA de la UE (gestión de riesgos) comparten datos de entrada y análisis. El Artículo 22 del RGPD (decisiones automatizadas con efectos significativos) interactúa directamente con el requisito de supervisión humana del Artículo 14. Ejecutar estas evaluaciones en paralelo — con una taxonomía de riesgos compartida y documentación enlazada — reduce la duplicación y cierra carencias en ambos regímenes de forma simultánea. Son documentos jurídicos separados, pero el esfuerzo para elaborarlos converge significativamente cuando se organiza adecuadamente.

¿Puede el filtro del Artículo 6, apartado 3, eximir a mi sistema de la clasificación de alto riesgo?

Posiblemente. El Artículo 6, apartado 3, dispone que un sistema que entra dentro de un ámbito del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, porque desempeña una tarea procedimental limitada, mejora el resultado de una actividad humana previamente realizada, o detecta patrones de decisión sin sustituir ni influir en la evaluación humana. Sin embargo, todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia del filtro. Y los proveedores que reclamen la exención deben documentar la evaluación y registrar el sistema — el filtro no elimina la obligación de cumplimiento; la reclasifica. Si se equivoca respecto de la exención y no ha documentado su razonamiento, se enfrentará tanto a un fallo de clasificación como a un fallo de conservación de registros en una auditoría.

---

Guías relacionadas

• compare las soluciones de cumplimiento de la Ley de IA de la UE
• comparación de software de gobernanza de la IA