Gestión de políticas de IA para el cumplimiento de la Ley de IA de la UE
Seis políticas internas de IA que evidencian el cumplimiento de la Ley de IA de la UE — correlacionadas con los Artículos 4, 17, 26 y 73. Controle la IA en la sombra, construya su SGC. Plazo: 2 dic 2027.
La mayoría de las organizaciones que despliegan herramientas de IA ya tienen algunas políticas establecidas — normas de uso aceptable, estándares de seguridad de TI, listas de comprobación de contratación. La Ley de IA de la UE no inventa la gobernanza interna desde cero. Convierte las prácticas informales en obligaciones documentadas, controladas por versiones y con una línea directa a la rendición de cuentas regulatoria.
Qué es realmente una política de IA — y qué no es
Una política es la norma interna de su organización. Indica a los empleados qué pueden y qué no pueden hacer con los sistemas de IA, quién aprueba las decisiones de despliegue, cómo se escalan los incidentes y qué ocurre cuando la herramienta de un proveedor se marca como de alto riesgo.
Una política no es en sí misma cumplimiento. Redactar una «política de uso aceptable de la IA» y publicarla en su intranet no satisface el Artículo 17. Lo que satisface el Artículo 17 es un sistema de gestión de la calidad en funcionamiento — uno en el que las políticas y los procedimientos documentados se implementan, supervisan y mantienen actualizados realmente. La política es la prueba de que el SGC existe; no es un sustituto de él. Las autoridades reguladoras pedirán el documento y la prueba de que funciona: un registro del historial de versiones, registros de declaración del personal y un registro de auditoría de las decisiones desencadenadas por la política.
Esa distinción — una política como tejido conectivo entre una obligación legal y la realidad operativa, no como sustituto de ninguna de las dos — es el punto de partida conceptual para cualquier programa de gobernanza de la IA.
Las políticas centrales que necesita su organización
Política de uso aceptable de las herramientas de IA
Este es el requisito más inmediato, con el desencadenante a corto plazo más claro: el Artículo 4 (alfabetización en materia de IA) se aplica desde el 2 de febrero de 2025. Exige que las organizaciones garanticen que el personal tenga conocimientos suficientes para utilizar los sistemas de IA de forma competente, segura y con conciencia de los riesgos.
Una política de uso aceptable formaliza ese requisito. Define qué herramientas de IA pueden utilizar los empleados, cuáles requieren aprobación previa y cuáles están directamente prohibidas porque entran dentro de las prácticas prohibidas del Artículo 5. Sin ella, no puede demostrar la alfabetización del Artículo 4 — y no puede controlar la IA en la sombra.
La IA en la sombra es la situación en la que los empleados conectan datos del negocio a herramientas de IA externas sin ninguna aprobación o clasificación organizativa. Toda herramienta no autorizada es un sistema de IA sin clasificar. Si una entra en una categoría del Anexo III — por ejemplo, puntúa la calidad de los candidatos o marca reclamaciones para su revisión —, la organización está operando un sistema potencialmente de alto riesgo sin un sistema de gestión de riesgos, sin procedimientos de supervisión humana ni documentación. Una política de uso aceptable combinada con un inventario de herramientas aprobadas es el control práctico que mantiene visible la IA en la sombra.
Política de gobernanza y supervisión de la IA
Esta política define cómo se toman las decisiones sobre la IA: quién tiene autoridad para aprobar el despliegue de un nuevo sistema, cómo es la vía de escalado cuando un sistema se comporta de forma inesperada y cómo se asignan las responsabilidades de supervisión.
Para los responsables del despliegue de alto riesgo, el Artículo 26 exige una supervisión humana apropiada, el seguimiento del funcionamiento del sistema y la conservación de los registros durante al menos seis meses (Artículo 26). Una política de gobernanza operativiza esas obligaciones. Nombra los roles responsables de la supervisión, fija la cadencia de revisión y especifica qué desencadena el escalado al proveedor o, cuando se requiera, una notificación a la autoridad pertinente.
Funciones y responsabilidades
La Ley de IA de la UE distingue cuatro funciones — proveedor (Artículo 16), responsable del despliegue (Artículo 26), importador (Artículo 23) y distribuidor (Artículo 24) — con obligaciones diferentes asociadas a cada una. El Artículo 25 añade una complicación más: si pone su nombre en un sistema de alto riesgo, lo modifica sustancialmente o cambia su finalidad prevista, se convierte en proveedor con independencia de cuál creyera que era su función.
Un documento de funciones y responsabilidades correlaciona cada sistema de IA de su inventario con la función que ostenta su organización y las obligaciones específicas que se derivan. Cuando un proveedor actualiza un modelo, cuando amplía el uso de un sistema a una nueva función o cuando integra una función de IA en su propio producto, esa correlación necesita revisarse.
Política de gobernanza de datos y modelos
El Artículo 10 fija requisitos para la gobernanza de datos: los datos de entrenamiento, validación y prueba deben estar sujetos a prácticas de gobernanza apropiadas, que cubran la recopilación, el tratamiento de datos y un examen de los sesgos. Esta es una obligación de gobernanza de datos, no de formación del personal — los requisitos de competencia del personal residen en el Artículo 4, y los dos se confunden con frecuencia.
Para los responsables del despliegue que no tocan los datos de entrenamiento, la obligación pertinente es garantizar que solo se despliegan sistemas cuya procedencia de datos se comprende lo bastante bien como para cumplir sus deberes del Artículo 26. Una política de gobernanza de datos documenta esos estándares y su proceso para verificar las afirmaciones del proveedor.
Política de contratación y de proveedores
Antes de firmar un contrato con un proveedor de IA, ya está tomando decisiones de cumplimiento. Si el sistema del proveedor es de alto riesgo en virtud del Anexo III, debe haber completado una evaluación de la conformidad (Artículo 43), elaborado la documentación técnica del Artículo 11 / Anexo IV, emitido una declaración de conformidad del Artículo 47, registrado el sistema en virtud del Artículo 49 y colocado el marcado CE (Artículo 48). Un proveedor que no puede suministrar estos no es conforme.
Una política de contratación fija el estándar de diligencia debida: qué documentos exige antes del despliegue, qué declaraciones contractuales debe hacer el proveedor y cómo las verifica. Para los modelos de IA de uso general en concreto, las obligaciones del Artículo 53 (documentación técnica, política de derechos de autor, resumen de los datos de entrenamiento para los usuarios aguas abajo) se aplican desde el 2 de agosto de 2025. Exija que los proveedores de IA de uso general demuestren el cumplimiento del Capítulo V antes de desplegar.
Política de incidentes y escalado
Para los sistemas de IA de alto riesgo, el Artículo 73 crea un deber del lado del proveedor de notificar los incidentes graves a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente. Los plazos son estrictos: 15 días desde el conocimiento en la mayoría de los casos (Artículo 73, apartado 2), 2 días en caso de alteración de una infraestructura crítica o infracción generalizada (Artículo 73, apartado 3), 10 días si ha fallecido una persona (Artículo 73, apartado 4).
Como responsable del despliegue, su deber en virtud del Artículo 26 es supervisar el funcionamiento y notificar al proveedor (y, cuando se requiera, a la autoridad) los riesgos o incidentes. Una política de incidentes conecta esas obligaciones: define qué constituye un incidente, quién hace la valoración inicial de gravedad, qué información debe capturarse de inmediato y cuándo arranca el reloj de la notificación regulatoria.
Las políticas y el SGC del Artículo 17
El Artículo 17 exige a los proveedores de sistemas de IA de alto riesgo establecer un sistema de gestión de la calidad — nombrando explícitamente las políticas y procedimientos documentados entre sus componentes requeridos, que cubren la estrategia, el diseño, el control de calidad y la vigilancia poscomercialización.
Los responsables del despliegue no tienen una obligación directa del Artículo 17, pero quienes operan conforme a la ISO/IEC 42001 (la norma del sistema de gestión de IA, que se corresponde estrechamente con la estructura del SGC de la Ley) comprobarán que allí también se requiere la misma infraestructura de políticas. La correlación con la ISO/IEC 42001 es una forma eficiente de construir una gobernanza que satisfaga tanto la Ley como una norma reconocida por el mercado.
El requisito estructural clave es que todas las políticas sean documentos vivos: controlados por versiones, revisados a intervalos definidos, actualizados cuando cambian las obligaciones. Una política que sigue refiriéndose al 2 de agosto de 2026 como el plazo de alto riesgo es objetivamente errónea y potencialmente engañosa.
En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo de cumplimiento para los sistemas de IA de alto riesgo autónomos (la lista del Anexo III) es ahora el 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados (Anexo I) tiene hasta el 2 de agosto de 2028. Eso es un plazo de margen significativo. Construir un SGC en funcionamiento — con políticas, registros de riesgos, documentación técnica y una evaluación de la conformidad — sigue llevando más tiempo del que la mayoría de las organizaciones esperan.
Correlacionar las políticas con las obligaciones
El resultado práctico de un programa de gestión de políticas es una matriz que vincula cada política interna con los artículos que evidencia, los sistemas que cubre y las funciones responsables de la revisión.
| Política | Artículos principales | Cubre | Titular |
|---|---|---|---|
| Política de uso aceptable | Art. 4, Art. 5 | Todas las herramientas de IA | TI / Jurídico |
| Política de gobernanza y supervisión | Art. 17, Art. 26 | Sistemas de alto riesgo | Cumplimiento |
| Funciones y responsabilidades | Art. 16, Art. 25, Art. 26 | Todos los sistemas, todas las funciones | Jurídico |
| Gobernanza de datos y modelos | Art. 10 | Sistemas que utilizan datos de entrenamiento | Equipo de datos |
| Política de contratación y de proveedores | Art. 43, Art. 47, Art. 49 | Proveedores de IA de terceros | Contratación |
| Política de incidentes y escalado | Art. 26, Art. 73 | Sistemas de alto riesgo | Cumplimiento |
Mantener esta correlación actualizada cuando se despliegan nuevos sistemas o cambian las obligaciones es el corazón operativo de un programa de gobernanza de la IA.
Cómo ayuda Confir
Las políticas necesitan un inventario y una clasificación antes de poder correlacionarse. Sin saber qué sistemas de IA ejecuta su organización, no puede asignarles políticas ni verificar que los controles correctos estén establecidos.
El motor de clasificación basado en reglas de Confir registra cada sistema de IA que construye o despliega, clasifica cada uno en virtud de los Artículos 5 y 6 utilizando la lógica del Anexo III y deriva su función (proveedor, responsable del despliegue, importador, distribuidor) a partir de escenarios de admisión en lenguaje sencillo. El resultado es un registro de riesgos de toda la organización — el fundamento fáctico sobre el que se asienta la correlación de políticas. El registro de auditoría inmutable anota después cada decisión de clasificación, acción de supervisión y versión de documento, convirtiendo un marco de políticas en algo auditable en lugar de meramente aspiracional.
El plazo es el 2 de diciembre de 2027. Es tiempo suficiente para construir esto adecuadamente si empieza ahora.
Preguntas frecuentes
¿Cuál es la diferencia entre una política de IA y una obligación de la Ley de IA de la UE?
Una obligación es el deber legal impuesto por el Reglamento (UE) 2024/1689 — por ejemplo, el requisito del sistema de gestión de riesgos del Artículo 9 o la conservación de registros durante seis meses del Artículo 26. Una política de IA es su norma interna que operativiza ese deber: indica al personal qué hacer, nombra a quién es responsable y especifica qué se documenta. La política evidencia que la obligación se está cumpliendo; no sustituye la práctica operativa subyacente. Las autoridades reguladoras pedirán tanto el documento como la prueba de que funciona.
¿Necesita mi organización políticas de IA aunque solo utilicemos herramientas de IA de terceros?
Sí. Como responsable del despliegue en virtud del Artículo 26, usted es responsable de garantizar una supervisión humana apropiada, mantener registros, vigilar los incidentes y verificar que los sistemas que utiliza fueron debidamente clasificados y documentados por el proveedor. Una política de uso aceptable y una política de contratación son los controles mínimos que hacen manejables esas obligaciones — y son lo que evita que los empleados introduzcan herramientas no autorizadas que su organización nunca ha evaluado.
¿Qué artículo exige un sistema de gestión de la calidad?
El Artículo 17 exige a los proveedores de sistemas de IA de alto riesgo establecer un SGC. Reclama explícitamente políticas y procedimientos documentados que cubran el diseño, el desarrollo, el control de calidad y la vigilancia poscomercialización. Los responsables del despliegue no tienen una obligación directa del Artículo 17, pero quienes operan conforme a la ISO/IEC 42001 comprobarán que la norma se corresponde estrechamente con la misma infraestructura de políticas.
¿Qué es la IA en la sombra y por qué crea un riesgo en virtud de la Ley de IA de la UE?
La IA en la sombra se refiere a las herramientas que los empleados utilizan sin aprobación o clasificación organizativa — asistentes de nivel de consumo, API externas o herramientas de productividad conectadas a datos del negocio. Toda herramienta sin clasificar es una posible exposición de cumplimiento: si entra en una categoría del Anexo III (decisiones de empleo, puntuación de solvencia, etc.), la organización puede estar operando un sistema de alto riesgo sin un sistema de gestión de riesgos, sin supervisión humana ni documentación técnica. Una política de uso aceptable combinada con un inventario de herramientas aprobadas es el control principal frente a esto.
¿Cuándo se aplican estas obligaciones de política?
El Artículo 4 (alfabetización en materia de IA, que incluye la infraestructura de políticas que permite al personal utilizar la IA de forma competente) se aplica desde el 2 de febrero de 2025. Toda la pila de obligaciones de alto riesgo — incluido el requisito del SGC del Artículo 17 — se aplica a partir del 2 de diciembre de 2027 para los sistemas autónomos del Anexo III, en virtud del Ómnibus Digital acordado en mayo de 2026 (que aplaza la fecha original del 2 de agosto de 2026). La IA de alto riesgo integrada en productos regulados del Anexo I tiene hasta el 2 de agosto de 2028.
¿Cuáles son las sanciones por unas políticas de gobernanza de IA inadecuadas?
El Artículo 99 asocia las sanciones a las infracciones de obligaciones, no a las lagunas de política como tales — pero un SGC que no funciona (Artículo 17), unos procedimientos de supervisión inadecuados (Artículo 26) o la falta de la documentación requerida son infracciones sustantivas. El techo sancionador para la mayoría de los incumplimientos de obligaciones de alto riesgo es de 15.000.000 € o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor (Artículo 99, apartado 4). El Artículo 99, apartado 6, limita las multas para las empresas más pequeñas al menor del porcentaje o de la cantidad fija — una protección de proporcionalidad, no una exención.
¿Con qué frecuencia deben revisarse las políticas de IA?
La Ley no fija un intervalo único, pero el requisito del SGC del Artículo 17 implica que los procedimientos deben mantenerse adecuados y actualizados. En la práctica, revise siempre que se despliegue un nuevo sistema, un proveedor actualice un modelo, cambie el marco regulatorio o una auditoría interna revele una laguna. Las revisiones anuales son un mínimo. Para las organizaciones con una adopción activa de IA, las comprobaciones trimestrales del inventario de sistemas son realistas.
Guías relacionadas
- clasificación de riesgo en virtud de los Artículos 6 a 11
- obligaciones de cumplimiento para pymes
- lista de comprobación de cumplimiento de la Ley de IA de la UE
- compare las plataformas de software de gobernanza
- herramienta de clasificación de riesgo del Artículo 6
- requisitos de infraestructura de gobernanza de la IA
- comparación de herramientas de gestión de riesgos
- sistemas de IA sanitaria de alto riesgo
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →