Gobernanza de IA responsable: cómo la Ley de IA de la UE convierte los principios en obligaciones vinculantes

La «IA responsable» lleva años siendo una expresión de los consejos de administración. Las empresas publicaron documentos de principios. Los organismos sectoriales emitieron directrices. La OCDE codificó cinco principios en 2019. Nada de ello era exigible. La Ley de IA de la UE (Reglamento (UE) 2024/1689) cambió eso para los sistemas de alto riesgo. Varios de los principios fundamentales de la IA responsable — equidad, transparencia, rendición de cuentas, supervisión humana, seguridad y robustez — están ahora escritos en derecho vinculante con un techo sancionador de 15 millones de euros o el 3 % del volumen de negocios mundial por incumplimiento (Artículo 99, apartado 4).

Qué abarca la «IA responsable» — y qué abarca la ley

Seis principios aparecen prácticamente en todos los marcos de IA responsable:

1. Equidad y no discriminación — la IA no debe producir resultados discriminatorios entre características protegidas.
2. Transparencia — las decisiones de la IA deben ser explicables para las personas afectadas.
3. Rendición de cuentas — alguien debe ser identificable como responsable del comportamiento de un sistema de IA.
4. Supervisión humana — las decisiones trascendentes de la IA deben seguir sometidas a una revisión humana significativa.
5. Seguridad y robustez — los sistemas de IA deben comportarse de forma fiable, resistir las entradas adversarias y fallar de forma segura.
6. Privacidad — la IA que trata datos personales debe respetar los derechos de los interesados.

La Ley de IA de la UE no utiliza este lenguaje al pie de la letra — es un reglamento de seguridad de los productos, no un marco de valores. Lo que hace es tomar el nivel de alto riesgo y adjuntar obligaciones firmes que se asignan directamente a cinco de los seis principios. La privacidad reside principalmente en el RGPD (Reglamento (UE) 2016/679), que discurre junto a la Ley de IA, no dentro de ella.

Para los sistemas de riesgo mínimo, las obligaciones del Capítulo III no se aplican. La IA responsable sigue siendo voluntaria ahí, moldeada por la ISO/IEC 42001:2023 (la norma de sistema de gestión de la IA) y los Principios sobre la IA de la OCDE. Para los sistemas de alto riesgo, la ley es el suelo — los marcos voluntarios le ayudan a ir más allá, pero no sustituyen el cumplimiento de los Artículos.

Equidad y no discriminación — Artículo 10

El principio de equidad se traduce en gobernanza de datos. El Artículo 10 exige a los proveedores de sistemas de IA de alto riesgo someter los conjuntos de datos de entrenamiento, validación y prueba a prácticas adecuadas de gobernanza de datos. El Artículo 10, apartado 2 exige específicamente el examen en busca de posibles sesgos. El Artículo 10, apartado 5 crea un permiso de alcance estricto para tratar datos personales de categorías especiales — incluidos la raza, el origen étnico y los datos de salud — cuando sea estrictamente necesario para detectar y corregir el sesgo.

En la práctica: si su modelo se entrena con datos históricos de contratación o de préstamos, no puede pasar esos datos sin cambios y dar por supuesta la equidad. Debe examinarlos, documentar los sesgos identificados y lo que hizo al respecto, e incluir ese registro en su documentación técnica del Artículo 11 / Anexo IV.

El principio de no discriminación también aparece en el Artículo 5, que prohíbe los sistemas de categorización biométrica que infieren la raza, las opiniones políticas, la afiliación sindical, las convicciones religiosas o filosóficas, la vida sexual o la orientación sexual (Artículo 5, apartado 1, letra g)). Eso no es un requisito de documentación — es una prohibición absoluta en vigor desde el 2 de febrero de 2025.

Transparencia — Artículos 13 y 50

La transparencia opera en dos vías distintas con arreglo al Reglamento.

El Artículo 13 se aplica a los sistemas de IA de alto riesgo y se dirige al responsable del despliegue. Los proveedores deben facilitar información suficiente para que los responsables del despliegue comprendan la finalidad del sistema, sus limitaciones, sus características de rendimiento, los requisitos de supervisión humana y las instrucciones para un funcionamiento seguro. Es transparencia B2B: un responsable del despliegue no puede operar un sistema de alto riesgo sin comprenderlo.

El Artículo 50 se aplica a los sistemas de riesgo limitado — chatbots, contenido sintético generado por IA, herramientas de reconocimiento de emociones y ultrafalsificaciones. Exige la divulgación a los usuarios finales de que están interactuando con una IA o consumiendo contenido generado por IA. El Artículo 50 se aplica a partir del 2 de agosto de 2026.

Ninguno de los dos artículos exige la plena explicabilidad de los mecanismos internos del modelo. La transparencia aquí es funcional: información suficiente para que la siguiente persona de la cadena ejerza un juicio y una supervisión informados. La explicabilidad genuina a nivel individual es en parte una cuestión de diseño de producto impulsada por la obligación de supervisión humana del Artículo 14 y en parte por el derecho del Artículo 22 del RGPD a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado.

Rendición de cuentas — Artículos 17 y 12

La rendición de cuentas en derecho significa trazabilidad: quién decidió qué, cuándo y sobre qué base. Dos artículos operativizan esto para los sistemas de alto riesgo.

El Artículo 17 exige a los proveedores implantar un sistema de gestión de la calidad (SGC) que cubra todo el ciclo de vida del desarrollo — gestión de riesgos, gobernanza de datos, diseño y desarrollo, documentación técnica, gestión de cambios y vigilancia poscomercialización. Debe estar documentado y accesible para las autoridades competentes.

El Artículo 12 exige la conservación de registros. Los sistemas de IA de alto riesgo deben registrar automáticamente los eventos en la medida en que sea técnicamente factible — lo suficiente para reconstruir las decisiones e identificar la causa de los incidentes. Los responsables del despliegue conservan los registros de su uso durante al menos seis meses (Artículo 26). La documentación técnica debe conservarse durante diez años tras la introducción en el mercado (Artículo 18).

Juntos, los Artículos 12 y 17 crean un rastro de pruebas: el SGC muestra que existía una infraestructura de gobernanza; los registros muestran cómo se comportó realmente el sistema.

Supervisión humana — Artículo 14

El Artículo 14 es la codificación directa del principio de supervisión humana en el Reglamento. Los sistemas de IA de alto riesgo deben diseñarse de modo que las personas puedan supervisarlos eficazmente durante el funcionamiento. En concreto, el sistema debe permitir la supervisión por personas físicas identificadas; las personas deben poder comprender las capacidades y las limitaciones, detectar anomalías y rendimientos inesperados, e intervenir o interrumpir mediante una función de parada; y el diseño debe impedir la dependencia excesiva de los resultados de la IA cuando un humano toma la decisión final.

Las obligaciones recaen tanto en los proveedores (que incorporan los mecanismos) como en los responsables del despliegue (que deben garantizar que se utilizan). Un responsable del despliegue que despliega una herramienta de contratación de alto riesgo sin formar a los responsables en la función de anulación no cumple el Artículo 14 — aunque el proveedor haya construido la anulación correctamente.

El Artículo 14 es supervisión humana. El Artículo 15 — que se confunde con frecuencia con él — cubre la exactitud, la robustez y la ciberseguridad.

Seguridad y robustez — Artículos 9 y 15

Dos artículos entrelazados operativizan la seguridad.

El Artículo 9 exige un sistema de gestión de riesgos: un proceso continuo e iterativo que discurre a lo largo de todo el ciclo de vida de un sistema de IA de alto riesgo. Debe identificar y analizar los riesgos previsibles para la salud, la seguridad y los derechos fundamentales; estimar los riesgos derivados del uso previsto y del uso indebido razonablemente previsible; adoptar medidas de gestión de riesgos proporcionadas; e incluir pruebas previas a la comercialización frente a métricas definidas. El sistema de gestión de riesgos debe estar documentado y mantenido.

El Artículo 15 exige que los sistemas de IA de alto riesgo alcancen niveles adecuados de exactitud, robustez y ciberseguridad a lo largo de todo su ciclo de vida. La robustez tiene su significado legal: resiliencia frente a errores, fallos e incoherencias — incluidas las entradas adversarias — que pudieran afectar al rendimiento o a la seguridad. Los umbrales de exactitud y robustez deben declararse en la documentación técnica y defenderse como adecuados para el contexto del sistema.

Privacidad — el RGPD y la Ley de IA juntos

La privacidad no es principalmente una obligación de la Ley de IA de la UE. El RGPD rige los derechos de los interesados y sigue siendo el instrumento principal. Lo que ambos marcos comparten es la limitación de la finalidad y la minimización de datos aplicadas al desarrollo de la IA. El Artículo 10 de la Ley de IA exige que los conjuntos de datos de entrenamiento sean pertinentes, representativos y, en la medida de lo posible, exentos de errores — en línea con los Artículos 5, apartado 1, letras b) y c) del RGPD.

Si su sistema de IA de alto riesgo trata datos personales — como hacen la mayoría de los sistemas del Anexo III — ambos marcos se aplican simultáneamente. Su documentación técnica del Artículo 11 debe abordar la gobernanza de datos, y su registro de actividades de tratamiento del RGPD debe ser coherente con lo que describe esa documentación.

Anclajes voluntarios: ISO/IEC 42001 y Principios sobre la IA de la OCDE

La ISO/IEC 42001:2023 proporciona una estructura de gobernanza — política, tratamiento de riesgos, evaluación del desempeño, mejora continua — que se solapa significativamente con los requisitos de los Artículos 9 y 17 de la Ley de IA. Implementarla construye una infraestructura que respalda el cumplimiento de los Artículos. Pero la certificación ISO/IEC 42001 no es conformidad con la Ley de IA de la UE. Para los sistemas de alto riesgo, la evaluación de la conformidad del Artículo 43 (autoevaluación interna con arreglo al Anexo VI, o evaluación por terceros con arreglo al Anexo VII para los sistemas biométricos) es el requisito legal.

Los Principios sobre la IA de la OCDE son un diagnóstico útil: contrastar sus sistemas con ellos revela lagunas de gobernanza que la Ley de IA de la UE acabará cubriendo, o que un contrato con un cliente puede exigir ya. Ninguna de las dos normas sustituye los artículos vinculantes.

Los plazos aplicables

Las prohibiciones del Artículo 5 se aplican desde el 2 de febrero de 2025. Si sus sistemas de IA utilizan técnicas prohibidas, ya está en situación de incumplimiento.

Para los sistemas autónomos de alto riesgo del Anexo III, el plazo es el 2 de diciembre de 2027, tras el aplazamiento del Ómnibus Digital acordado en mayo de 2026 — aplazado respecto de la fecha original del 2 de agosto de 2026. Para la IA de alto riesgo integrada en productos regulados del Anexo I, el plazo es el 2 de agosto de 2028. El aplazamiento es un respiro, no una absolución: la gestión de riesgos del Artículo 9 y la documentación del Artículo 11 tardan meses en ensamblarse correctamente, y deben estar completas antes de la introducción en el mercado.

Cómo ayuda Confir

Confir asigna los principios de la IA responsable a controles basados en reglas vinculados a artículos concretos. Su flujo de trabajo de clasificación determina si su sistema es de alto riesgo con arreglo al Artículo 6 y el Anexo III, deriva su papel (proveedor en virtud del Artículo 16 o responsable del despliegue en virtud del Artículo 26) y genera el conjunto de obligaciones correspondiente — incluido el paquete de documentación técnica del Artículo 11 / Anexo IV, la declaración de conformidad del Artículo 47 y la evaluación de impacto relativa a los derechos fundamentales del Artículo 27 para los responsables del despliegue que la necesiten.

El motor es determinista y basado en reglas: las mismas respuestas de admisión producen las mismas conclusiones cada vez. Esa reproducibilidad es deliberada — las pruebas de cumplimiento deben ser defendibles, no probabilísticas. Confir también asigna las conclusiones de forma cruzada a la ISO/IEC 42001 para las organizaciones que persiguen esa norma en paralelo.

Preguntas frecuentes

¿Es la «IA responsable» lo mismo que el cumplimiento de la Ley de IA de la UE?

No. La «IA responsable» es un amplio conjunto de principios formalizados por marcos voluntarios como la ISO/IEC 42001 y los Principios sobre la IA de la OCDE. La Ley de IA de la UE toma varios de esos principios y los convierte en obligaciones vinculantes para los sistemas de alto riesgo específicamente. Una política de IA responsable no sustituye el cumplimiento de los Artículos 9, 10, 13, 14 o 15. La ley es el mínimo; los principios le ayudan a pensar más allá de él.

¿Qué artículo de la Ley de IA de la UE cubre la supervisión humana?

El Artículo 14. Exige que los sistemas de IA de alto riesgo se diseñen de modo que las personas físicas puedan supervisarlos eficazmente durante el funcionamiento — detectando anomalías, interviniendo e interrumpiendo el sistema. Es distinto del Artículo 15 (exactitud, robustez, ciberseguridad) y del Artículo 13 (transparencia hacia los responsables del despliegue). Las referencias antiguas a la supervisión humana como «Artículo 6» o «Artículo 15» son erróneas.

¿Exige la Ley de IA de la UE pruebas de equidad de los datos de entrenamiento de la IA?

Sí, para los sistemas de alto riesgo. El Artículo 10, apartado 2 exige que los conjuntos de datos de entrenamiento, validación y prueba se examinen en busca de posibles sesgos. El Artículo 10, apartado 5 permite el tratamiento de datos personales de categorías especiales cuando sea estrictamente necesario para detectar y corregir el sesgo. Los resultados deben documentarse en el expediente técnico del Artículo 11 / Anexo IV. El requisito se aplica a las categorías de alto riesgo del Anexo III y a los sistemas integrados en productos del Anexo I — no a todos los sistemas de IA.

¿Cuál es el plazo para las obligaciones de IA responsable de alto riesgo?

Para los sistemas autónomos del Anexo III — contratación, calificación crediticia, biometría, garantía del cumplimiento del Derecho y las demás categorías — el plazo es el 2 de diciembre de 2027, tras el aplazamiento del Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo en productos regulados del Anexo I, es el 2 de agosto de 2028. Las prohibiciones del Artículo 5 están en vigor ahora. Los deberes de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026.

¿Cómo se relacionan la ISO/IEC 42001 y la Ley de IA de la UE?

La ISO/IEC 42001:2023 es una norma voluntaria de sistema de gestión de la IA cuya estructura de gobernanza — tratamiento de riesgos, evaluación del desempeño, mejora continua — se solapa con los Artículos 9 y 17 de la Ley de IA de la UE. Implementarla construye una infraestructura que respalda el cumplimiento de los Artículos. Pero no es un sustituto: para los sistemas de alto riesgo, la evaluación de la conformidad del Artículo 43 es el requisito legal, y la certificación ISO/IEC 42001 no lo satisface.

¿Cuál es la sanción por incumplir el requisito del sistema de gestión de riesgos del Artículo 9?

En virtud del Artículo 99, apartado 4, no implementar un sistema de gestión de riesgos exigido conlleva una multa máxima de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6 limita la multa a la menor de esas dos cifras. Un documento de política sin un proceso de gestión de riesgos funcional, documentado y que abarque todo el ciclo de vida no satisface el Artículo 9.

Guías relacionadas

• marco de clasificación de riesgo Artículos 6-11
• restricciones de identificación biométrica del Artículo 5
• visión general y ámbito de la Ley de IA de la UE
• árbol de decisión de clasificación del Artículo 6