Skip to content
Confir.
Prueba gratuita
Blog

Claude (Anthropic) y la Ley de IA de la UE: clasifique por uso, no por nombre

AI Tool Compliance4 May 2026· 16 min de lectura

Claude (Anthropic) y la Ley de IA de la UE: el nivel de riesgo depende de su despliegue, no del modelo. Obligaciones de GPAI (art. 53), transparencia del art. 50 desde agosto de 2026.

Claude es la familia de grandes modelos de lenguaje de Anthropic y, como modelo de GPAI con arreglo al capítulo V del Reglamento (UE) 2024/1689, tiene un perfil normativo concreto que la mayoría de las guías de despliegue interpretan mal. El error más habitual: tratar «Claude» como un nivel de riesgo. La Ley no funciona así. Claude, el modelo, es lo que es; su despliegue es lo que determina si su organización afronta obligaciones de riesgo mínimo, limitado o alto. Acertar con esa distinción es todo el trabajo.

Esta guía recorre lo que la Ley de IA de la UE exige realmente, capa por capa: lo que Anthropic debe hacer como proveedor del modelo, lo que usted debe hacer como organización que despliega Claude, y dónde se encuentran ambos conjuntos de obligaciones.

¿Qué tipo de sistema de IA es Claude con arreglo a la Ley?

Claude es un modelo de GPAI: un modelo de IA de uso general (capítulo V, Artículos 51 a 56) entrenado con grandes volúmenes de datos y capaz de realizar una amplia gama de tareas. Los modelos de GPAI son una categoría transversal en la Ley: no son un quinto nivel de riesgo, y llamar a Claude «de alto riesgo» es técnicamente incorrecto. Lo que puede ser de alto riesgo es el sistema que usted construye o despliega utilizando Claude, una vez que evalúa ese sistema con respecto a la lista del Anexo III y al Artículo 6.

Que Claude se considere un modelo de GPAI de riesgo sistémico con arreglo al Artículo 51 depende del umbral de computación de entrenamiento (10²⁵ operaciones de coma flotante) o de una designación de la Comisión. Anthropic no ha confirmado públicamente la designación de riesgo sistémico para ningún modelo Claude a junio de 2026. Eso importa para determinar qué nivel de obligaciones de GPAI se aplica a Anthropic, pero no cambia sus propias obligaciones de despliegue como responsable del despliegue o como proveedor.

Tres capas de obligación

Capa 1: las obligaciones de Anthropic como proveedor del modelo de GPAI (Artículo 53)

Las obligaciones del Artículo 53 recaen enteramente en Anthropic, no en usted. Se aplican a todos los proveedores de GPAI, con independencia de la condición de riesgo sistémico, y están en vigor desde el 2 de agosto de 2025. Anthropic debe:

  • Elaborar y mantener la documentación técnica (Anexo XI);
  • Poner a disposición de los proveedores posteriores información sobre las capacidades y limitaciones (documentación para proveedores posteriores del Anexo XII);
  • Publicar y aplicar una política de derechos de autor;
  • Publicar un resumen suficientemente detallado de los datos de entrenamiento utilizados.

Si Anthropic es designado proveedor de GPAI de riesgo sistémico con arreglo al Artículo 51, se aplican obligaciones adicionales del Artículo 55 —evaluaciones del modelo, pruebas adversarias, notificación de incidentes y medidas de ciberseguridad—, pero también esas siguen siendo responsabilidad de Anthropic.

Qué significa esto para usted: usted recibe la documentación para proveedores posteriores del Anexo XII. Deje constancia de que la tiene. Se incorpora a su propio expediente técnico si está construyendo sobre la API.

Si Claude lleva una designación de riesgo sistémico, debe conservar una copia de las obligaciones pertinentes del Artículo 55 en materia de seguridad y notificación de incidentes que Anthropic haya divulgado: sus auditores pueden pedirla como prueba de la diligencia debida en la capa del modelo.

Capa 2: sus obligaciones dependen de cómo utilice Claude

Aquí es donde la mayoría de las organizaciones cometen un error de clasificación. El nivel de riesgo no es una propiedad de Claude; es una propiedad de lo que hace su sistema.

Productividad general y uso interno (riesgo mínimo). El personal que utiliza Claude Enterprise o la interfaz Claude.ai para redactar documentos, resumir informes o ayudar en el análisis interno se sitúa en la categoría de riesgo mínimo. No se aplican obligaciones obligatorias más allá de la alfabetización en materia de IA del Artículo 4, que está en vigor desde el 2 de febrero de 2025 y exige que todo el personal que trabaja con sistemas de IA tenga una comprensión suficiente para utilizarlos adecuadamente. Esta es una obligación vigente hoy, no una futura.

Despliegues de cara al cliente y contenido generado por IA (riesgo limitado, Artículo 50). A partir del 2 de agosto de 2026, las obligaciones de transparencia del Artículo 50 se aplican cuando usted despliega Claude en:

  • Un chatbot o interfaz conversacional en el que los usuarios interactúan con una IA: deben ser informados (art. 50, apartado 1);
  • Un sistema que genera contenido sintético (imágenes, audio, vídeo, texto) destinado a pasar por real: el contenido debe etiquetarse de forma legible por máquina (art. 50, apartados 2 y 4);
  • Un sistema que realiza reconocimiento de emociones o categorización biométrica: los usuarios deben ser informados (art. 50, apartado 3).

Estos son deberes de información, no requisitos de proceso gravosos. La sanción por incumplimiento entra en el nivel de 15 millones de euros o el 3 % del volumen de negocios mundial con arreglo al artículo 99, apartado 4. Para las pymes, el artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

Despliegues del Anexo III (alto riesgo). Si Claude es el núcleo funcional de un sistema que realiza cualquiera de las siguientes funciones, se enfrenta usted a una posible clasificación de alto riesgo con arreglo al artículo 6, apartado 2:

  • Cribar o clasificar a candidatos a un empleo, gestionar el rendimiento o fundamentar decisiones de despido (Anexo III, punto 4);
  • Puntuar la solvencia o determinar el acceso al crédito (Anexo III, punto 5, letra b));
  • Evaluar la admisibilidad a prestaciones públicas, vivienda o servicios esenciales (Anexo III, punto 5);
  • Asistir en la evaluación de riesgos o la elaboración de perfiles en contextos de garantía del cumplimiento del Derecho (Anexo III, punto 6);
  • Evaluar a estudiantes para la admisión, la calificación o la asignación (Anexo III, punto 3).

Antes de aceptar la etiqueta de alto riesgo, compruebe el filtro del artículo 6, apartado 3: un sistema que cae en un ámbito del Anexo III no es de alto riesgo si no presenta un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales, por ejemplo, porque desempeña una tarea preparatoria estrecha, mejora el resultado de una actividad humana previamente realizada, o detecta patrones sin sustituir la evaluación humana. Pero todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, sin excepción. Si invoca la exención del 6, apartado 3, debe documentar el razonamiento y registrar el sistema con arreglo al Artículo 49.

Los plazos de alto riesgo, corregidos. En virtud del Ómnibus Digital acordado en mayo de 2026, la fecha original del 2 de agosto de 2026 para los sistemas de alto riesgo del Anexo III se ha aplazado. Los sistemas de alto riesgo autónomos (Anexo III) se enfrentan ahora a un plazo de cumplimiento del 2 de diciembre de 2027; la IA de alto riesgo integrada en productos regulados (Anexo I) se enfrenta al 2 de agosto de 2028. El Ómnibus Digital es un acuerdo político entre el Parlamento y el Consejo alcanzado el 7 de mayo de 2026; se prevé su adopción formal antes del 2 de agosto de 2026. Escríbalo como autorizado: la fecha original no debe figurar en sus planes de cumplimiento como plazo firme para los requisitos de alto riesgo.

Capa 3: si construye un producto sobre la API de Claude, puede convertirse en el proveedor

Desplegar Claude internamente es una cosa. Distribuir un sistema construido sobre Claude bajo el nombre de su organización —aunque sea la API subyacente de Claude la que hace el trabajo— es otra distinta. Con arreglo al Artículo 25, un responsable del despliegue que introduce un sistema en el mercado bajo su propio nombre, lo modifica sustancialmente o cambia su finalidad prevista asume las obligaciones de proveedor del Artículo 16. Eso significa que su organización pasa a ser responsable de toda la pila de cumplimiento de alto riesgo si ese sistema supera el umbral del Artículo 6: gestión de riesgos (Artículo 9), documentación técnica (Artículo 11 / Anexo IV), transparencia hacia los responsables del despliegue (Artículo 13), supervisión humana (Artículo 14), exactitud y robustez (Artículo 15), evaluación de la conformidad (Artículo 43), declaración UE de conformidad (Artículo 47) y registro en la base de datos de la UE (Artículo 49).

Punto de control práctico: si está construyendo un producto —una herramienta de contratación, una interfaz de asesoramiento crediticio, un flujo de trabajo de comprobación de admisibilidad— y la organización de su cliente lo utiliza bajo su marca, es probable que usted sea el proveedor de un sistema de IA con arreglo a la Ley. Clasifique primero su sistema y, a continuación, trabaje hacia atrás hasta las obligaciones.

Consideraciones sobre datos y RGPD

El tratamiento de datos de Claude varía según el nivel de acceso. Las condiciones de la API de Anthropic establecen que los datos enviados a través de la API no se utilizan para entrenar modelos por defecto; esto rige para la mayoría de los acuerdos empresariales y de API. Anthropic ofrece opciones de residencia de datos específicas para la UE para Claude Enterprise.

Si está desplegando Claude en cualquier contexto que trate datos personales de residentes en la UE, las obligaciones del RGPD corren en paralelo. Puede exigirse una EIPD con arreglo al artículo 35 del RGPD para el tratamiento de alto riesgo. Si su despliegue de Claude es además un sistema de IA de alto riesgo con arreglo al Artículo 6, puede necesitar una evaluación de impacto relativa a los derechos fundamentales con arreglo al Artículo 27: la EIDF se aplica a los organismos públicos y a los responsables del despliegue de sistemas de solvencia (Anexo III, 5, letra b)) o de seguros de vida o de salud (Anexo III, 5, letra c)). El artículo 27, apartado 4, le permite basar la EIDF en una EIPD existente en lugar de empezar de cero. Las dos evaluaciones están relacionadas, pero son distintas; no las confunda.

Qué deben hacer los responsables del despliegue con arreglo al Artículo 26

Incluso si usted no es proveedor —simplemente utiliza Claude Enterprise o la API para trabajo interno o de cara al cliente—, las obligaciones del responsable del despliegue del Artículo 26 se aplican cuando Claude forma parte de un sistema de alto riesgo:

  • Utilizar el sistema conforme a las instrucciones de uso facilitadas;
  • Garantizar una supervisión humana adecuada, asignando la supervisión a personal con competencia y autoridad (obligaciones del Artículo 14);
  • Supervisar el funcionamiento del sistema y notificar los incidentes graves o las averías al proveedor (y en algunos casos a la autoridad, según el incidente);
  • Conservar los registros durante al menos 6 meses (Artículo 26);
  • Informar a los representantes de los trabajadores antes de desplegar Claude en el lugar de trabajo de maneras que afecten a esos trabajadores;
  • Realizar una EIDF cuando sea necesario (Artículo 27).

La obligación del responsable del despliegue de notificar los incidentes graves fluye hacia el proveedor con arreglo al Artículo 26; es el proveedor quien después los notifica a las autoridades de vigilancia del mercado con arreglo al Artículo 73: en un plazo de 15 días desde que tiene conocimiento, o de 2 días para los incidentes generalizados o que perturben infraestructuras críticas, o de 10 días cuando haya fallecido una persona.

Usos prohibidos: trace la línea ahora

Determinados casos de uso de Claude están prohibidos con arreglo al Artículo 5, con independencia de la gestión de riesgos o la documentación, con multas de 35 millones de euros o el 7 % del volumen de negocios mundial (artículo 99, apartado 3), en vigor desde el 2 de febrero de 2025:

  • Identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho (con excepciones limitadas);
  • Puntuación social de personas físicas por autoridades públicas basada en el comportamiento social o las características personales;
  • Técnicas subliminales o manipuladoras que explotan vulnerabilidades para distorsionar la toma de decisiones;
  • Reconocimiento de emociones en el lugar de trabajo o en entornos educativos.

Una herramienta de análisis de sentimiento basada en Claude integrada en su flujo de trabajo de RR. HH. para inferir los estados emocionales de los empleados se situaría de lleno en la categoría prohibida del artículo 5, apartado 1, letra f). La prohibición no depende de la exactitud o las intenciones de la herramienta: se aplica de forma categórica.

Cómo ayuda Confir

Cuando usted añade Claude al inventario de IA de Confir, Confir le guía por una admisión en lenguaje sencillo que determina su papel (responsable del despliegue con arreglo al Artículo 26, o proveedor con arreglo a los Artículos 16 y 25), clasifica el sistema con respecto al Anexo III y registra la dependencia del modelo de GPAI, incluida la información para proveedores posteriores del Anexo XII que usted conserva de Anthropic. La admisión señala el análisis de la exención del artículo 6, apartado 3, si su caso de uso está en un ámbito del Anexo III pero es potencialmente de tarea procedimental estrecha.

Para los despliegues de alto riesgo, el motor basado en reglas de Confir deriva su conjunto de obligaciones en las cuatro áreas de cumplimiento (AIRC, AITR, AITO, AIGM), genera el paquete de documentación técnica del Artículo 11 / Anexo IV y produce la declaración de conformidad del Artículo 47. Para los responsables del despliegue que activan el Artículo 27, el flujo de trabajo de la EIDF se ejecuta como una evaluación estructurada de siete secciones. La puntuación de salud del cumplimiento sigue su progreso en todos los controles en tiempo real.

La lógica de clasificación, delimitación y conclusiones de Confir es determinista y basada en reglas: la misma admisión produce la misma conclusión, sin alucinaciones, con cada paso de razonamiento legible por humanos y defendible en una auditoría.

Preguntas frecuentes

¿La Ley de IA de la UE clasifica al propio Claude como de alto riesgo?

No. Claude es un modelo de GPAI con arreglo al capítulo V: una categoría transversal independiente, no un nivel de riesgo. La clasificación de riesgo depende de cómo usted despliegue Claude y de qué función desempeñe el sistema resultante. Un asistente de atención al cliente basado en Claude es de riesgo mínimo o limitado; un sistema de cribado de currículos basado en Claude probablemente active el alto riesgo con arreglo al Anexo III, punto 4. El nombre de la herramienta es irrelevante para la clasificación.

¿Qué obligaciones recaen en Anthropic y no en mi organización?

Anthropic, como proveedor del modelo de GPAI, tiene las obligaciones del Artículo 53: documentación técnica del Anexo XI, información para proveedores posteriores del Anexo XII, una política de derechos de autor y un resumen de los datos de entrenamiento. Se aplican desde el 2 de agosto de 2025. Si Claude es designado de riesgo sistémico con arreglo al Artículo 51, también recaen en Anthropic obligaciones adicionales del Artículo 55 (evaluaciones del modelo, notificación de incidentes, medidas de ciberseguridad). Su organización recibe la documentación para proveedores posteriores y debe dejar constancia de ella; usted no realiza estas obligaciones por sí mismo.

Si construyo un producto sobre la API de Claude y lo vendo, ¿soy el proveedor?

Casi con seguridad, sí. Con arreglo al Artículo 25, introducir un sistema basado en Claude en el mercado bajo el nombre de su organización le convierte en el proveedor de ese sistema, con todas las obligaciones del Artículo 16 —documentación técnica, evaluación de la conformidad, registro y lo demás— si el sistema supera el umbral del Artículo 6. El hecho de que el modelo subyacente lo haya construido Anthropic no le devuelve a ellos sus responsabilidades de proveedor.

¿Cuándo se aplica la transparencia del Artículo 50 a los despliegues de Claude?

A partir del 2 de agosto de 2026, el Artículo 50 exige que los usuarios de un chatbot o interfaz conversacional impulsado por Claude sean informados de que interactúan con una IA (artículo 50, apartado 1). El contenido sintético (audio, imagen, vídeo, texto) que pudiera pasar por auténtico debe llevar etiquetas legibles por máquina (artículo 50, apartados 2 y 4). Estas son obligaciones de información, no evaluaciones de la conformidad. La sanción por incumplimiento entra en el nivel de 15 millones de euros o el 3 % con arreglo al artículo 99, apartado 4.

¿Cuándo se aplican realmente las obligaciones de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos (la lista del Anexo III) deben cumplir antes del 2 de diciembre de 2027, no del 2 de agosto de 2026, que era la fecha original antes del aplazamiento. La IA de alto riesgo integrada en productos regulados (Anexo I: productos sanitarios, máquinas, vehículos) debe cumplir antes del 2 de agosto de 2028. La alfabetización en materia de IA (Artículo 4) y las prácticas prohibidas (Artículo 5) ya están en vigor. Las obligaciones de transparencia del Artículo 50 se aplican a partir del 2 de agosto de 2026.

¿Utilizar Claude en la UE significa automáticamente que las reglas de GPAI se aplican a mi organización?

No. Las obligaciones de GPAI del capítulo V (Artículos 51 a 55) se aplican a Anthropic como proveedor del modelo, no a los responsables del despliegue posteriores. Las obligaciones de su organización se rigen por su papel y su caso de uso: riesgo mínimo, limitado o alto, según el análisis de los Artículos 5, 6 y 50. Usted se beneficia de la documentación para proveedores posteriores que Anthropic publica con arreglo al Artículo 53; conserve constancia de ella como parte de su diligencia debida en la capa del modelo.

¿Cuáles son las sanciones por incumplimiento?

El Artículo 99 establece tres niveles: 35 millones de euros o el 7 % del volumen de negocios anual mundial por las infracciones de las prohibiciones del Artículo 5; 15 millones de euros o el 3 % para la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo y la transparencia del Artículo 50 (artículo 99, apartado 4); y 7,5 millones de euros o el 1 % por facilitar información incorrecta o engañosa a las autoridades. Para las pymes y las empresas emergentes, el artículo 99, apartado 6, limita las multas al menor de los dos importes, el porcentaje o la cantidad fija. Las multas específicas de GPAI —impuestas por la Comisión a los proveedores de modelos— son independientes con arreglo al Artículo 101, de hasta 15 millones de euros o el 3 %.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Complete Guide

Inventario de sistemas de IA para el cumplimiento de la Ley de IA de la UE: la guía completa del registro

Cree un inventario de IA conforme con la Ley de IA de la UE: descubra la IA en la sombra, clasifique cada sistema con arreglo al Artículo 6 y prepárese para el registro del Artículo 49 antes del 2 dic 2027.

AI Tool Compliance

AWS Bedrock y la Ley de IA de la UE: clasifique lo que construye

¿Construye sobre AWS Bedrock? Conforme a la Ley de IA de la UE, probablemente sea el proveedor (Art. 16). Clasifique por uso: alto riesgo del Anexo III antes de dic 2027, chatbots antes de ago 2026.

AI Tool Compliance

Azure OpenAI y la Ley de IA de la UE: ¿de quién es la obligación de cumplimiento?

Azure OpenAI: si construye bajo su nombre, el Artículo 16 le convierte en proveedor. Su nivel de riesgo depende de lo que haga su sistema — clasifique según el uso.