Skip to content
Confir.
Prueba gratuita
Blog

Modelo de madurez de gobernanza de la IA: 5 niveles para la preparación ante la Ley de IA de la UE

Guide21 April 2026· 23 min de lectura

Sitúe su preparación ante la Ley de IA de la UE en 5 niveles de madurez de gobernanza. Cubre los Artículos 9, 11, 14, 43, 72, la norma ISO 42001 y el plazo de alto riesgo del 2 de diciembre de 2027.

¿Qué es un modelo de madurez de gobernanza de la IA?

Un modelo de madurez de gobernanza de la IA traduce los requisitos técnicos y organizativos de la Ley de IA de la UE en niveles de capacidad observables que los equipos de cumplimiento pueden evaluar y mejorar con el tiempo. A diferencia de una comprobación binaria de apto/no apto, reconoce que la gobernanza se desarrolla de forma progresiva: una organización en el Nivel 1 no es per se no conforme — simplemente no ha construido las estructuras que tienen las organizaciones de Nivel 3 o Nivel 5.

Este marco se corresponde con los requisitos fundamentales de la Ley — gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica (Artículo 11 y Anexo IV), supervisión humana (Artículo 14), gestión de la calidad (Artículo 17), evaluación de la conformidad (Artículo 43), registro (Artículo 49), vigilancia poscomercialización (Artículo 72) y notificación de incidentes (Artículo 73) — y se apoya en la norma ISO/IEC 42001:2023 y en el Marco de Gestión de Riesgos de la IA del NIST como referencias complementarias.

El modelo de madurez de gobernanza de la IA de 5 niveles

Nivel 1 — Ad hoc

La gobernanza de la IA no existe como función formal. Los sistemas de IA se despliegan en función de la necesidad de negocio, sin clasificación de riesgos sistemática, documentación ni diseño de supervisión. No hay un responsable designado de la gobernanza de la IA, y las obligaciones de cumplimiento de la Ley de IA de la UE no se rastrean.

Lo que encontraría en este nivel:

  • Ningún inventario o registro de IA de ningún tipo
  • Adopción de IA aprobada a través de la gobernanza genérica de TI o de adquisiciones, si es que existe
  • Ninguna clasificación de los sistemas de IA frente a las categorías de alto riesgo del Anexo III o las prácticas prohibidas del Artículo 5
  • Datos de entrenamiento para la IA desarrollada internamente seleccionados de manera informal, sin gobernanza de datos documentada
  • Supervisión humana que se da por existente pero que no está diseñada en la arquitectura del sistema ni en los procedimientos operativos
  • El personal que opera los sistemas de IA no ha recibido ninguna formación específica en IA

Brecha de cumplimiento de la Ley de IA de la UE: Una organización de Nivel 1 no puede demostrar ningún requisito mínimo para los responsables del despliegue (Artículo 26) ni para los proveedores (Artículos 9 a 15, 17). Sin un inventario de IA, la organización no puede identificar qué sistemas requieren acción de cumplimiento, y menos aún abordarlos. La exposición regulatoria suele aflorar únicamente cuando un sistema desplegado causa un incidente visible — un resultado discriminatorio, una violación de datos o una decisión automatizada que atrae la atención de una autoridad.

Brecha de la ISO 42001: Todas las cláusulas. Las secciones 4 (Contexto), 5 (Liderazgo) y 6 (Planificación) están enteramente ausentes.

Nivel 2 — En desarrollo

La organización ha reconocido la gobernanza de la IA como un requisito diferenciado y ha comenzado una acción inicial. Existe un inventario de IA en alguna forma. Al menos una persona es responsable del cumplimiento en materia de IA — aunque normalmente no a tiempo completo, y sin autoridad real para actuar.

Lo que encontraría en este nivel:

  • Un inventario básico de sistemas de IA — una hoja de cálculo, una página wiki o un registro informal de activos
  • Conciencia de las obligaciones de la Ley de IA de la UE entre las partes interesadas clave: las áreas jurídica, de TI, de adquisiciones y el equipo de protección de datos
  • Clasificación inicial de algunos sistemas de IA frente al Anexo III — a menudo incompleta, no aplicada a los nuevos despliegues y no validada por una revisión jurídica
  • La adquisición de IA ha empezado a incluir preguntas básicas a los proveedores sobre documentación
  • Existe alguna documentación técnica para los sistemas de IA, pero carece de normalización y no resistiría el escrutinio regulatorio
  • A una persona designada — a menudo el DPD o un responsable sénior de TI — se le ha pedido que asuma el cumplimiento en materia de IA como responsabilidad secundaria

Brecha de cumplimiento de la Ley de IA de la UE: Las organizaciones de Nivel 2 han identificado el problema, pero carecen de los procesos para abordarlo de forma sistemática. El inventario pasa por alto los sistemas añadidos tras el ejercicio inicial de delimitación. La clasificación no se aplica de forma coherente a las nuevas adquisiciones. La calidad de la documentación se queda por debajo de la norma del Anexo IV. La Evaluación de Impacto relativa a los Derechos Fundamentales del Artículo 27 sigue sin abordarse para los responsables del despliegue que la deben.

La diferencia clave respecto del Nivel 1: la organización puede producir alguna documentación en una consulta regulatoria. Demostrar conciencia y un esfuerzo inicial cuenta en las evaluaciones de proporcionalidad — pero no mucho.

Vía de avance al Nivel 3: Asigne un responsable formal de la gobernanza de la IA con tiempo dedicado. Complete una auditoría íntegra de los sistemas de IA con clasificación estructurada. Establezca el registro de riesgos de IA como un documento vivo, no como un artefacto puntual.

Correspondencia con la ISO 42001: Satisfacción parcial de la Sección 4.1 (comprensión de la organización), la Sección 6.1 (identificación de riesgos iniciada) y la Sección 7.3 (concienciación). Las Secciones 5.1 (compromiso de liderazgo) y 8 (planificación y control operativos) no están satisfechas.

Nivel 3 — Definido

El Nivel 3 es la base mínima de cumplimiento efectivo para las organizaciones que despliegan IA de alto riesgo. Los procesos de gobernanza existen, están documentados y se aplican de forma coherente. Pueden ser reactivos más que proactivos, y la integración interfuncional es incompleta — pero el marco estructural está en su sitio.

Procesos fundamentales en este nivel:

  • Un inventario de IA mantenido que abarca los sistemas de IA desplegados, en desarrollo y planificados, revisado trimestralmente y en los eventos de adquisición
  • Un proceso sistemático de clasificación del Artículo 6 / Anexo III para toda nueva adquisición y desarrollo interno de IA, que produce determinaciones de nivel documentadas con citas jurídicas
  • Documentación técnica del Anexo IV completada para los sistemas de IA de alto riesgo en los que la organización actúa como proveedor; documentación facilitada por el proveedor obtenida y verificada para los sistemas en los que la organización es responsable del despliegue
  • Evaluaciones de Impacto relativas a los Derechos Fundamentales del Artículo 27 completadas para los responsables del despliegue aplicables (organismos públicos; responsables del despliegue de sistemas de solvencia con arreglo al punto 5, letra b), del Anexo III; responsables del despliegue de sistemas de fijación de precios de seguros de salud y de vida con arreglo al punto 5, letra c), del Anexo III), con todas las secciones exigidas documentadas
  • Protocolos de supervisión humana documentados, comunicados al personal operativo y reflejados en la incorporación (Artículo 26)
  • Vigilancia poscomercialización iniciada para la IA de alto riesgo con vías de escalado de incidentes definidas (Artículo 72)
  • Registros en la base de datos de la UE rastreados y gestionados (Artículo 49)

Estructuras de gobernanza en este nivel:

  • Un registro de riesgos de IA que vincula cada sistema a su clasificación, las obligaciones aplicables, el estado de la documentación, el responsable de la supervisión y el estado del seguimiento
  • Una política de gobernanza de la IA que abarca los principios de la organización, el apetito de riesgo y las normas mínimas
  • Un proceso de cumplimiento de IA para proveedores que exige a los proveedores que produzcan documentación y declaraciones de conformidad (Artículo 47) antes de desplegar los sistemas de alto riesgo

Postura de cumplimiento de la Ley de IA de la UE: Las organizaciones de Nivel 3 pueden demostrar el cumplimiento de las obligaciones fundamentales del responsable del despliegue y del proveedor. Una investigación de una autoridad de vigilancia del mercado encontraría procesos documentados. Pueden existir brechas en la eficacia del seguimiento y en la integridad de la respuesta a incidentes, pero el marco estructural está en su sitio.

El modo de fallo característico en el Nivel 3 es la brecha entre la intención documentada y la práctica real: la EIDF completada una vez y nunca actualizada, el inventario exacto a fin de año pero al que le faltan cinco herramientas adoptadas desde entonces, el protocolo de supervisión en un documento de política pero no aplicado por el personal operativo.

Correspondencia con la ISO 42001: Satisface las Secciones 4 a 8. No satisface plenamente la Sección 9 (evaluación del desempeño) ni la Sección 10 (mejora).

Nivel 4 — Gestionado

Las organizaciones de Nivel 4 han ido más allá del cumplimiento documental hacia la gestión del desempeño. Los procesos de gobernanza se miden, y los resultados — el rendimiento de los sistemas de IA, los indicadores de sesgo, las tasas de incidentes y la cobertura de cumplimiento — se rastrean y se comunican a la alta dirección.

Sistemas de medición en este nivel:

  • Una Puntuación de Salud de Cumplimiento o un KPI equivalente que rastrea la cobertura de cumplimiento en toda la cartera de IA, actualizado con regularidad y comunicado al consejo o al comité de auditoría
  • Métricas de rendimiento de los sistemas de IA (exactitud, tasas de error, paridad demográfica) supervisadas de forma continua con umbrales de alerta definidos
  • Vigilancia poscomercialización que produce informes de incidentes estructurados con análisis de causa raíz y datos de tendencias, revisados trimestralmente para evaluar la eficacia del programa (Artículo 72)
  • Eficacia de la supervisión humana auditada, no solo supuesta: pruebas periódicas verifican que los mecanismos de anulación funcionan y que el personal operativo los utiliza
  • Métricas de gobernanza de la IA integradas en la elaboración de informes de gestión de riesgos empresariales, no mantenidas como un artefacto de cumplimiento autónomo

Madurez del programa en este nivel:

  • Programas de formación para el personal que opera IA de alto riesgo impartidos, rastreados en cuanto a su finalización y actualizados a medida que cambian las capacidades del sistema
  • Cumplimiento de los proveedores supervisado activamente: declaraciones de conformidad de los proveedores verificadas frente a las versiones actuales del sistema, no recopiladas una sola vez en la adquisición y archivadas
  • El registro de incidentes capta los cuasi accidentes y los eventos de degradación del rendimiento, no solo los incidentes consumados — lo que permite una gestión proactiva del riesgo en lugar de una elaboración de informes retrospectiva
  • Auditorías internas de la eficacia de los procesos de gobernanza de la IA realizadas anualmente, con las conclusiones rastreadas hasta su cierre

Postura de cumplimiento de la Ley de IA de la UE: Las organizaciones de Nivel 4 pueden demostrar que los procesos funcionan según lo previsto, no meramente que existen. Esto se corresponde a grandes rasgos con la Sección 9 (Evaluación del Desempeño) de la ISO 42001. El diferenciador clave respecto del Nivel 3: «tenemos un proceso de EIDF» se convierte en «hemos completado 12 EIDF, identificado 23 riesgos para los derechos fundamentales, implementado 19 medidas de mitigación y verificamos la eficacia trimestralmente».

Correspondencia con la ISO 42001: Satisfacción plena de las Secciones 4 a 9, incluidas la Sección 9.1 (seguimiento y medición), 9.2 (auditoría interna) y 9.3 (revisión por la dirección).

Nivel 5 — Optimizado

La gobernanza de la IA está integrada en el modelo operativo de la organización y mejora de forma continua mediante un aprendizaje estructurado. La organización se anticipa al cambio regulatorio y trata la gobernanza como una señal de confianza demostrable — que, en los mercados B2B donde el cumplimiento de la Ley de IA es cada vez más un requisito de adquisición, se traduce directamente en ventaja comercial.

Mejora continua en este nivel:

  • Las conclusiones de la vigilancia poscomercialización se retroalimentan sistemáticamente en las mejoras del sistema de gestión de riesgos — los problemas descubiertos en producción desencadenan revisiones de procesos, no solo la subsanación del incidente
  • Las lecciones de las pruebas adversarias y las auditorías de sesgo actualizan los criterios de clasificación de riesgo de la IA y las normas de documentación
  • La vigilancia del horizonte regulatorio está formalizada: un responsable designado supervisa las orientaciones de la Oficina de IA, el desarrollo del Código de Buenas Prácticas de GPAI, las modificaciones del Ómnibus Digital y las decisiones de ejecución nacionales — y las traduce en actualizaciones del programa dentro de plazos definidos
  • La conformidad se vuelve a validar tras cambios significativos en los sistemas de IA (Artículo 43, apartado 4) como parte estándar de la gestión de cambios, no como una ocurrencia tardía

Integración estratégica en este nivel:

  • La gobernanza de la IA cuenta con patrocinio ejecutivo y está incorporada al ciclo de vida del desarrollo de productos, no añadida al final como una puerta de cumplimiento
  • El cumplimiento de la Ley de IA está incorporado a la diligencia debida de los proveedores en la fase de contratación, con cláusulas de salida por incumplimiento
  • Las pruebas adversarias — red teaming, sondeo de sesgos — son sistemáticas, y sus conclusiones se tratan como inteligencia de mejora del producto además de como prueba de cumplimiento
  • Las comunicaciones externas de transparencia de la IA (declaraciones de impacto, tarjetas de modelo, registros de transparencia) posicionan la gobernanza como una señal de confianza en la adquisición

Correspondencia con la ISO 42001: Satisfacción plena de la Sección 10 (Mejora). La certificación ISO 42001 suele ser alcanzable en un Nivel 4 sólido o en el Nivel 5.

Diagnóstico de autoevaluación

Puntúe a su organización del 1 al 5 en cada área de capacidad y calcule después su nivel de madurez medio.

Área de capacidadNivel 1Nivel 2Nivel 3Nivel 4Nivel 5
Inventario de IANingunoParcial/informalCompleto, mantenidoActualizaciones automatizadasPredictivo (señala nueva IA)
Clasificación del Anexo IIINingunaIniciada, incompletaSistemática, validadaValidada + revalidadaIntegrada en la política
Documentación técnicaNingunaAd hoc, incompletaNormalizada, completaAuditada, actualizadaContinua, con control de versiones
Proceso de EIDFNingunoSolo planificadoTodas las aplicables completadasEficacia medidaIntegrado, prospectivo
Supervisión humanaSupuestaPolítica documentadaAplicada, personal formadoEficacia auditadaIntegrada en el diseño
Vigilancia poscomercializaciónNingunaInformalEstructurada, incidentes registradosCuantificada, análisis de tendenciasAdaptativa, retroalimenta el riesgo
Formación y concienciaciónNingunaBásica, puntualEspecífica por rol, recurrenteRastreada, finalización verificadaCultural, integrada en la incorporación
Cumplimiento de proveedoresNingunoCuestionario enviadoDocumentación verificadaPrograma de auditoría continuaIncorporado al contrato
Visibilidad del consejo/direcciónNingunaInformación ocasionalElaboración de informes regularPanel de KPIPunto de agenda estratégica
Vigilancia del horizonte regulatorioNingunaLectura ad hocResponsable asignadoActualizaciones rastreadas y aplicadasPosición externa publicada

Interpretación:

  • Media 1,0-1,9: Brechas críticas. Priorice de inmediato el inventario y el cribado de IA prohibida del Artículo 5.
  • Media 2,0-2,9: Fase de construcción de cimientos. Complete el inventario y establezca los procesos de Nivel 3 antes de desplegar cualquier IA de alto riesgo adicional.
  • Media 3,0-3,9: Base de cumplimiento alcanzada. Céntrese en la medición, la cobertura de auditoría y el cierre de la brecha entre intención y práctica.
  • Media 4,0-4,9: Programa sólido. Céntrese en el cumplimiento de la cadena de proveedores y la comunicación externa.
  • Media 5,0: Práctica de referencia. Sosténgala y contribuya al desarrollo de normas.

Correspondencia con los plazos de cumplimiento

La Ley de IA de la UE se aplica por fases, y el nivel de madurez mínimo que necesita depende de qué fase sea pertinente para su cartera de IA.

PlazoQué cubreMadurez mínima exigida
2 de febrero de 2025 (ya en vigor)Prácticas prohibidas (Artículo 5); alfabetización en materia de IA (Artículo 4)Nivel 2 — inventario suficiente para identificar la IA prohibida; clasificación de los sistemas de mayor riesgo
2 de agosto de 2025 (ya en vigor)Obligaciones de los modelos de GPAI (Capítulo V, Artículos 51 a 55); gobernanza de la Oficina de IA; sanciones (Artículo 99)Nivel 3 para los sistemas de GPAI — documentación del proveedor verificada; pruebas adversarias iniciadas para la GPAI de riesgo sistémico
2 de agosto de 2026Aplicación general; transparencia de riesgo limitado (Artículo 50)Nivel 3 para los sistemas comprendidos en el Artículo 50 (chatbots, divulgación de ultrafalsificaciones, reconocimiento de emociones, etiquetado de contenido generado por IA)
2 de diciembre de 2027IA de alto riesgo autónoma (Anexo III), según el Ómnibus Digital acordado en mayo de 2026Nivel 3 mínimo; Nivel 4 para los sectores bajo escrutinio supervisor activo
2 de agosto de 2028IA de alto riesgo integrada en productos regulados (Anexo I)Nivel 3 mínimo con integración de la seguridad del producto

En virtud del Ómnibus Digital — un acuerdo político alcanzado por el Parlamento Europeo y el Consejo el 7 de mayo de 2026, con adopción formal prevista antes de agosto de 2026 — el plazo original para las obligaciones del Anexo III se aplazó de 2026 al 2 de diciembre de 2027 para los sistemas autónomos. Ese aplazamiento reduce la presión del plazo — no elimina el trabajo. Ensamblar la documentación técnica del Anexo IV, completar las evaluaciones de la conformidad con arreglo al Artículo 43 y registrarse en la base de datos de la UE con arreglo al Artículo 49 requieren, cada uno, meses de esfuerzo preparatorio.

Hoja de ruta de subsanación por nivel

Nivel 1 → Nivel 2 (0-3 meses)

Encargue un inventario íntegro de IA en todas las unidades de negocio. Asigne un responsable designado de gobernanza con tiempo dedicado. Informe a la dirección sobre el calendario de cumplimiento. Cribe el inventario en busca de prácticas prohibidas del Artículo 5 de inmediato — ese plazo ya ha pasado.

Nivel 2 → Nivel 3 (3-9 meses)

Complete la clasificación del Artículo 6 y el Anexo III para todos los elementos del inventario, con validación por revisión jurídica. Construya documentación normalizada del Anexo IV para los sistemas de alto riesgo de mayor prioridad. Inicie las EIDF del Artículo 27 para todos los despliegues aplicables. Establezca la vigilancia poscomercialización (Artículo 72). Exija a los proveedores que faciliten documentación y una declaración de conformidad antes de cualquier despliegue de alto riesgo.

Nivel 3 → Nivel 4 (6-12 meses)

Implemente una Puntuación de Salud de Cumplimiento con elaboración de informes a nivel de consejo. Establezca métricas de rendimiento de los sistemas de IA con umbrales de alerta definidos. Audite la eficacia de la supervisión humana — no solo la política, sino su uso real. Integre el cumplimiento de la Ley de IA en la elaboración de informes de riesgos empresariales. Verifique las declaraciones de los proveedores frente a las versiones actuales del sistema, no solo en la adquisición.

Nivel 4 → Nivel 5 (continuo)

Publique comunicaciones externas de transparencia de la IA. Incorpore puertas de cumplimiento al desarrollo de productos y a la diligencia debida de los proveedores. Formalice la vigilancia del horizonte regulatorio. Inicie pruebas adversarias sistemáticas. Persiga la certificación ISO/IEC 42001 — en un Nivel 4 sólido el sistema de gestión está en gran medida en su sitio.

Cómo ayuda Confir

La barrera más habitual para avanzar entre niveles de madurez no es la falta de intención — es la falta de una lectura objetiva de dónde se encuentra realmente.

La Puntuación de Salud de Cumplimiento de Confir ofrece a las organizaciones de los Niveles 2 y 3 una evaluación determinista y basada en reglas en cuatro áreas de obligaciones: AIRC (clasificación de riesgos, Artículos 5, 6, 43, 50), AITR (datos y robustez técnica, Artículos 10, 11, 15), AITO (transparencia y supervisión humana, Artículos 13, 14, 27, 50) y AIGM (gobernanza y vigilancia poscomercialización, Artículos 9, 72, 73). Los mismos datos de entrada, el mismo resultado — defendible en auditoría, sin necesidad de interpretación.

Para una organización de Nivel 2, la admisión estructurada sustituye los esfuerzos de inventario informales por una clasificación que produce determinaciones de nivel documentadas con citas de artículos. Para una organización de Nivel 3 que avanza hacia el Nivel 4, la Puntuación de Salud es el KPI que hace que la cobertura de cumplimiento sea comunicable al consejo.

Preguntas frecuentes

¿Existe un modelo de madurez de gobernanza de la IA exigido oficialmente con arreglo a la Ley de IA de la UE?

No. La Ley de IA de la UE especifica resultados y requisitos de documentación, pero no impone un marco de madurez específico. Este modelo de cinco niveles asigna esos requisitos a etapas de capacidad observables, apoyándose en la norma ISO/IEC 42001 y en el Marco de Gestión de Riesgos de la IA del NIST como referencias complementarias. Es una herramienta práctica de gobernanza, no un instrumento regulatorio — pero las áreas de capacidad que mide se corresponden directamente con las obligaciones de la Ley.

¿Cuánto se tarda en pasar del Nivel 1 al Nivel 3?

Para una empresa que despliega de 5 a 20 sistemas de IA, pasar del Nivel 1 al Nivel 3 suele llevar de 6 a 12 meses con recursos dedicados. El cuello de botella casi nunca son las plantillas de documentación — es el esfuerzo humano necesario para recopilar información de las unidades de negocio, validar las clasificaciones con el asesoramiento jurídico, completar las EIDF para cada despliegue aplicable y construir el proceso de cumplimiento de proveedores desde cero. Las empresas sin una herramienta estructurada o experiencia previa en gobernanza subestiman de forma sistemática este esfuerzo.

¿La certificación ISO/IEC 42001 se corresponde con un nivel de madurez concreto?

La certificación ISO/IEC 42001:2023 se corresponde a grandes rasgos con el Nivel 3-4. La norma exige un sistema de gestión de la IA documentado, procesos de gestión de riesgos y evaluación del desempeño — pero no exige la medición cuantitativa y la gestión de métricas que caracterizan a un programa maduro de Nivel 4. Una organización certificada tiene los cimientos estructurales en su sitio, pero puede no tener todavía el panel de rendimiento ni la cadencia de auditoría continua que distinguen al Nivel 4 en la práctica.

¿Cuál es el plazo para el cumplimiento de la Ley de IA en materia de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas de IA de alto riesgo autónomos (la lista del Anexo III — contratación, calificación crediticia, biometría y otros) es el 2 de diciembre de 2027. Para la IA de alto riesgo integrada en productos regulados con arreglo al Anexo I — productos sanitarios, máquinas — el plazo es el 2 de agosto de 2028. La fecha original de agosto de 2026 para estas obligaciones se ha aplazado. Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025; las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026.

¿Puede una empresa de 50 personas alcanzar de forma realista el Nivel 3 antes de diciembre de 2027?

Sí, si el trabajo está enfocado. La mayoría de las empresas de ese tamaño tendrán un número reducido de sistemas de IA, muchos de los cuales serán de riesgo limitado o de riesgo mínimo. La obligación de evaluación de la conformidad del Artículo 43 y el requisito de documentación completa del Anexo IV se concentran en los sistemas que realmente reúnen los requisitos de alto riesgo con arreglo al Anexo III — a menudo solo uno o dos. La clave está en aplicar el rigor del Nivel 3 de forma proporcionada a esos sistemas, no en construir una infraestructura de gobernanza a escala empresarial. Las multas para las empresas de la categoría de pymes y empresas emergentes se limitan al menor de los dos tramos, el porcentaje o la cantidad fija, con arreglo al Artículo 99, apartado 6, lo que es una genuina protección de proporcionalidad que conviene tener en cuenta en su priorización de riesgos.

¿Qué ocurre si una empresa sigue en el Nivel 1 cuando comienza la ejecución?

Una empresa que no puede demostrar un sistema de gestión de riesgos (Artículo 9), documentación técnica (Artículo 11) o medidas de supervisión humana (Artículo 14) para un sistema de IA de alto riesgo desplegado se enfrenta a multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor, con arreglo al Artículo 99, apartado 4. Para una empresa que haya desplegado un sistema que entra en las prácticas prohibidas del Artículo 5 — que se aplican desde el 2 de febrero de 2025 —, el techo es de 35 000 000 EUR o el 7 % con arreglo al Artículo 99, apartado 3. Las autoridades de vigilancia del mercado también ponderarán si la empresa adoptó medidas de buena fe hacia el cumplimiento. Un programa de Nivel 2 documentado es un atenuante débil pero real; el Nivel 1 sin documentación no ofrece nada que mostrar.

¿Dónde encaja el Marco de Gestión de Riesgos de la IA del NIST junto a la Ley de IA de la UE?

El Marco de Gestión de Riesgos de la IA del NIST utiliza una estructura de Gobernar-Mapear-Medir-Gestionar que se corresponde razonablemente bien con las obligaciones de la Ley, pero no constituye cumplimiento legal de la UE. Una organización que utiliza el Marco del NIST como su modelo operativo de gobernanza habrá desarrollado la mayor parte de la infraestructura de procesos necesaria para el Nivel 3 — identificación de riesgos, documentación, seguimiento —, pero tendrá que traducir ese trabajo en resultados específicos de la Ley de IA de la UE: documentación técnica del Anexo IV, EIDF del Artículo 27, evaluaciones de la conformidad del Artículo 43 y registros en la base de datos del Artículo 49. El Marco del NIST es un marco organizativo útil; no es un sustituto de los requisitos regulatorios.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

EIPD y EIDF para sistemas de IA: dos evaluaciones, un flujo de trabajo

La EIPD del Artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA de la UE son deberes distintos. Conozca cuándo se exige cada una, qué responsables del despliegue la deben y cómo realizar ambas a la vez.

Complete Guide

Gobernanza de la IA para el cumplimiento de la Ley de IA de la UE: el modelo operativo para pymes

Cree un programa de gobernanza de la Ley de IA de la UE para su pyme. Mapa de artículos correcto (Art. 9, 14, 43, 72), plazo del 2 dic 2027, sanciones, RACI y un plan a 90 días.

Guide

La guía de cumplimiento de la Ley de IA de la UE para el CISO

Los CISO y la Ley de IA de la UE: inventario de IA, ciberseguridad del Artículo 15, notificación de incidentes del Artículo 73, solapamiento con NIS2, informes al consejo. Plazo de alto riesgo: dic 2027.