Skip to content
Confir.
Prueba gratuita
Blog

Software de cumplimiento de la Ley de IA de la UE: una guía de compra para 2027

Comparison28 April 2026· 18 min de lectura

Guía de compra de software de cumplimiento de la Ley de IA de la UE: clasificación del Artículo 6, registro de riesgos del Art. 9, documentación del Art. 11, conformidad del Art. 43. Plazo: 2 dic 2027.

Tiene hasta el 2 de diciembre de 2027 para satisfacer las obligaciones de IA de alto riesgo en virtud del Reglamento (UE) 2024/1689 — ese plazo se aplica a los sistemas autónomos del Anexo III en virtud del Ómnibus Digital acordado en mayo de 2026. Si su IA toca la contratación, la calificación crediticia, la biometría o cualquiera de las otras ocho categorías del Anexo III, necesita un sistema de gestión de riesgos del Artículo 9, documentación técnica del Artículo 11 y una evaluación de la conformidad del Artículo 43. La cuestión no es si utilizar software — es qué software cubre realmente el terreno.

Esta guía es un marco de compra, no una clasificación con tabla de líderes: qué exige el Reglamento, las categorías de herramientas disponibles, las dimensiones que importan y una lista de comprobación de selección.

Qué necesita hacer realmente el software de cumplimiento de la Ley de IA de la UE

El Reglamento impone obligaciones por capas. Su software necesita cubrir cada capa que se aplica al rol y al nivel de riesgo de su organización. Así es como se ve en la práctica.

Criba de prácticas prohibidas del Artículo 5

Antes de nada, un sistema debe comprobarse frente a las prohibiciones del Artículo 5 — manipulación subliminal, puntuación social, extracción no selectiva de imágenes faciales, identificación biométrica remota en tiempo real en espacios públicos para la garantía del cumplimiento del Derecho, categorización biométrica sensible y reconocimiento de emociones en entornos laborales o educativos. Están en vigor desde el 2 de febrero de 2025; el techo sancionador es de 35 000 000 EUR o el 7 % del volumen de negocios anual mundial (Artículo 99, apartado 3). Cualquier herramienta que merezca comprarse criba el Artículo 5 en primer lugar, antes de encaminar hacia el flujo de trabajo de alto riesgo.

Clasificación del Artículo 6 y del Anexo III

El Artículo 6 determina si un sistema es de alto riesgo. Dos vías: 1) componentes de seguridad en productos regulados del Anexo I — plazo 2 de agosto de 2028; o 2) sistemas enumerados en el Anexo III (biometría, infraestructuras críticas, educación, empleo, acceso a servicios esenciales, incluidas la solvencia y los seguros de salud y de vida, garantía del cumplimiento del Derecho, migración, administración de justicia).

El filtro del Artículo 6, apartado 3, importa: un sistema en un ámbito del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio — por ejemplo, una tarea procedimental limitada o trabajo preparatorio. Solo es necesario cumplir una de las cuatro condiciones, pero los proveedores que la reclamen deben documentar la evaluación y registrarse igualmente en virtud del Artículo 49. Un software que etiqueta todo caso de uso del Anexo III como de alto riesgo sobredimensionará sus obligaciones.

El resultado de la clasificación debe ser explícito: inaceptable / alto / limitado / mínimo — no una puntuación propietaria que oculte la base reglamentaria.

Sistema de gestión de riesgos del Artículo 9

Los proveedores de alto riesgo deben mantener un sistema de gestión de riesgos continuo — no una evaluación única. El Artículo 9 exige la identificación y el análisis de los riesgos conocidos y previsibles, la estimación de los riesgos de uso indebido, la evaluación frente a los datos poscomercialización y la adopción de medidas de mitigación adecuadas. El registro de riesgos es la forma operativa de esta obligación.

Documentación técnica del Artículo 11 / Anexo IV

El Anexo IV enumera nueve ámbitos: descripción general del sistema; proceso de desarrollo; vigilancia y control; gestión de riesgos; gobernanza de datos; cambios a lo largo del ciclo de vida; transparencia e instrucciones de uso; medidas de supervisión humana; exactitud, robustez y ciberseguridad. Es un expediente técnico estructurado, no un único documento — debe sobrevivir a una auditoría de una autoridad nacional de vigilancia del mercado. Un software que genera un resumen en PDF no es lo mismo que un software que construye y controla las versiones del expediente estructurado.

Evaluación de impacto relativa a los derechos fundamentales (EIDF) del Artículo 27

La EIDF es una obligación del responsable del despliegue. Se aplica a los organismos públicos que despliegan sistemas de IA de alto riesgo, y a los responsables del despliegue de sistemas de solvencia (Anexo III, punto 5, letra b)) y de seguros de salud o de vida (Anexo III, punto 5, letra c)). El Artículo 27, apartado 4, permite que la EIDF se base en una EIPD del RGPD existente (artículo 35 del RGPD) — obligaciones distintas que pueden compartir infraestructura. No dé por hecho que todo empleador que despliega IA de contratación debe una EIDF; la obligación es más estrecha de lo que muchas guías afirman.

Evaluación de la conformidad del Artículo 43 y declaración de conformidad del Artículo 47

El Artículo 43 es el mecanismo de la UE para demostrar, antes de que un sistema de alto riesgo salga al mercado, que cumple los Artículos 9 a 15. La mayoría de las categorías del Anexo III utilizan la autoevaluación interna del Anexo VI — no se requiere ningún organismo notificado. La excepción es el Anexo III, punto 1 (biometría), que generalmente requiere la vía del organismo notificado del Anexo VII cuando no se aplican normas armonizadas.

El resultado de la evaluación de la conformidad es la declaración de conformidad del Artículo 47 / Anexo V, que debe conservarse durante diez años (Artículo 18). El software debe generar este documento y enlazarlo con el expediente de pruebas subyacente — una evaluación de la conformidad no es solo un flujo de trabajo, es una declaración firmada.

Registro del Artículo 49

Los sistemas de IA de alto riesgo deben registrarse en la base de datos de la UE (establecida en virtud del Artículo 71) antes de la introducción en el mercado — el Artículo 49 regula el deber. Los datos de registro incluyen la identidad del proveedor, la descripción del sistema, la finalidad prevista, la clasificación de riesgo y el estado de la evaluación de la conformidad. El software debe hacer seguimiento de los requisitos de datos de registro y señalar cuándo están listos para su presentación.

Vigilancia poscomercialización del Artículo 72 y notificación de incidentes del Artículo 73

El Artículo 72 exige a los proveedores establecer y mantener un sistema de vigilancia poscomercialización, que recopile y revise los datos de los sistemas de IA de alto riesgo desplegados a lo largo de toda su vida. El Artículo 73 regula la notificación de incidentes graves: a más tardar 15 días desde que se tiene conocimiento (2 días en caso de infracción generalizada o perturbación de infraestructura crítica; 10 días cuando se haya producido una muerte). Los responsables del despliegue señalan los incidentes a los proveedores en virtud del Artículo 26; los proveedores los notifican a las autoridades de vigilancia del mercado en virtud del Artículo 73.

Un software que cubre el período previo al despliegue pero se detiene en la entrada en funcionamiento es incompleto. Los flujos de trabajo de vigilancia e incidentes son obligaciones posteriores a la entrada en funcionamiento que se extienden a toda la vida operativa del sistema.

Pista de auditoría

El Reglamento no etiqueta la «pista de auditoría» como una obligación autónoma, pero recorre múltiples disposiciones: el Artículo 12 (registro automático por los sistemas de alto riesgo), el Artículo 17 (registros del SGC) y el Artículo 18 (conservación de la documentación técnica durante diez años). Un registro inmutable, con marca de tiempo, de qué se evaluó, por quién y cuándo es la base de pruebas práctica para cualquier interacción de ejecución.

Dimensiones de idoneidad para el comprador: qué evaluar

Autoservicio frente a implementación empresarial

Algunas herramientas están diseñadas para uso de autoservicio — formularios de admisión en lenguaje sencillo, sin consultores, pago con tarjeta de crédito. Otras se dirigen a clientes empresariales: implementaciones de seis a doce meses, equipos dedicados de éxito del cliente, precios a medida. Ningún modelo es intrínsecamente mejor — la elección correcta depende del tamaño, la capacidad técnica y la urgencia de su organización.

Una empresa de tecnología de RR. HH. de 30 personas con un único sistema de contratación de alto riesgo no necesita una implementación empresarial. Una entidad financiera regulada con cuarenta despliegues de IA en múltiples jurisdicciones puede beneficiarse genuinamente de herramientas empresariales que se integren con la infraestructura de GRC existente. El riesgo de desajuste corta en ambos sentidos: sobredimensionar malgasta presupuesto; infradimensionar deja lagunas de obligaciones.

Alojamiento en la UE y residencia de los datos

Los requisitos de documentación del Reglamento implican que información técnica sensible — descripciones de los datos de entrenamiento, arquitectura del modelo, modos de fallo conocidos, evaluaciones de riesgos — reside dentro de la herramienta de cumplimiento. Para las empresas sujetas al RGPD, la residencia de los datos no es una preferencia. Verifique el alojamiento en la UE/EEE, qué entidad jurídica firma el acuerdo de tratamiento de datos y qué subencargados gestionan la infraestructura.

Correspondencia cruzada multimarco

Muchas empresas ya operan bajo obligaciones de la ISO/IEC 42001, el NIST AI RMF o el RGPD. Una herramienta que correlaciona la gestión de riesgos del Artículo 9 con los controles del Anexo A de la ISO 42001, o que vincula la gobernanza de datos del Artículo 10 con los registros de las actividades de tratamiento del artículo 30 del RGPD, reduce la duplicación y construye un argumento coherente ante los auditores. La certificación ISO/IEC 42001 es voluntaria — sustenta el sistema de gestión de la calidad del Artículo 17, pero no sustituye a la evaluación de la conformidad del Artículo 43. La correspondencia cruzada es una eficiencia de flujo de trabajo, no un atajo de cumplimiento.

Resultados deterministas frente a generados por LLM

Existen dos enfoques. Los motores deterministas y basados en reglas producen el mismo resultado de clasificación a partir de la misma admisión, siempre. La regla que se activó es legible por humanos, el resultado es reproducible — esencial cuando un auditor pregunta por qué un sistema se clasificó como de alto riesgo. Los resultados basados en LLM pueden redactar documentación más rápido, pero los resultados pueden variar de una ejecución a otra, son más difíciles de rastrear hasta una base reglamentaria concreta y conllevan riesgo de alucinación.

Pregunte a cualquier proveedor: «Si ejecuto la misma admisión dos veces, ¿obtengo la misma clasificación?». Si la respuesta es «depende», tenga eso en cuenta en la defendibilidad ante auditoría de la documentación que produce.

Precio y tiempo hasta el valor

En el extremo de autoservicio del mercado, los precios anuales empiezan en cientos a pocos miles de euros. Las herramientas empresariales tienen precios por contrato. La cuestión más importante que la cuota anual es el tiempo hasta el valor: cuánto se tarda desde el registro hasta una clasificación completada, un primer borrador de documentación técnica y un registro de riesgos en funcionamiento.

Para las empresas que afrontan el plazo de diciembre de 2027, el tiempo de implementación no es una variable menor. Una herramienta que tarda seis meses en configurarse consume una fracción significativa del margen disponible.

Categorías de herramientas y sus compromisos

Herramientas dedicadas a la Ley de IA de la UE / gobernanza de la IA

Las herramientas construidas a propósito ofrecen flujos de trabajo asignados a artículos, gestión del inventario de IA y generación de documentación estructurada. La variación dentro de la categoría es amplia: algunas son nativas de la UE y de autoservicio; otras tienen su sede en EE. UU. con cobertura de la UE añadida después; algunas se centran en los proveedores, otras en los responsables del despliegue. El riesgo es elegir un proveedor cuya hoja de ruta diverja de donde la ejecución realmente recaiga.

Suites amplias de GRC / gobernanza

Los proveedores de GRC establecidos han añadido módulos de la Ley de IA de la UE. El atractivo es la consolidación — un único sistema para el RGPD, la ISO 27001, el SOC 2 y la Ley de IA. El compromiso: el módulo de la Ley de IA suele ser más superficial que una herramienta dedicada, adecuado para el registro de riesgos del Artículo 9 pero escaso en la generación de documentación del Artículo 11 / Anexo IV o la EIDF del Artículo 27. Verifique qué entregables concretos produce el módulo, no solo qué artículos menciona.

Herramientas puntuales y flujos de trabajo manuales

Los registros de IA basados en hojas de cálculo y los expedientes técnicos ensamblados manualmente cuestan menos por adelantado, pero no escalan. Una hoja de cálculo no aporta pista de auditoría, ni registro inmutable, ni aplicación del flujo de trabajo. Para una empresa que avanza hacia una evaluación de la conformidad, un enfoque manual requiere una reconstrucción completa a un formato estructurado antes de la presentación.

Servicios jurídicos y de consultoría

Los despachos de abogados y las consultoras pueden asesorar sobre los casos límite de clasificación y revisar las declaraciones de conformidad antes de que se firmen. No son un sustituto de las herramientas — no pueden mantener un sistema de gestión de riesgos continuo ni mantener un registro de auditoría en tiempo real. La combinación práctica es una herramienta de software de autoservicio o de empresa ligera para las obligaciones operativas continuas, con asesoría jurídica incorporada para la revisión específica de la declaración de conformidad y los datos de registro.

Cómo encaja Confir en este panorama

Confir es una herramienta de cumplimiento de la Ley de IA de la UE basada en reglas para los equipos de cumplimiento, jurídicos e informáticos de empresas más pequeñas. Su motor de clasificación es determinista: criba de prácticas prohibidas del Artículo 5, después clasificación del Artículo 6 / Anexo III con el filtro del Artículo 6, apartado 3, y después derivación del rol (proveedor del Artículo 16 / responsable del despliegue del Artículo 26 / importador del Artículo 23 / distribuidor del Artículo 24). La misma admisión produce siempre el mismo resultado.

La cobertura abarca toda la pila de obligaciones: sistema de gestión de riesgos y registro de riesgos del Artículo 9, paquete de documentación técnica del Artículo 11 / Anexo IV, EIDF del Artículo 27 para los responsables del despliegue que cumplen los requisitos, apoyo a la evaluación de la conformidad del Artículo 43, declaración de conformidad del Artículo 47 / Anexo V, datos de registro del Artículo 49, flujos de trabajo de vigilancia poscomercialización del Artículo 72 y de notificación de incidentes del Artículo 73, y un registro de auditoría inmutable. Correspondencia cruzada con la ISO/IEC 42001 y el NIST AI RMF. Alojado en la UE, de autoservicio.

Lista de comprobación de selección

Utilice esta lista antes de comprometerse con cualquier herramienta.

Cobertura de obligaciones

  • ¿Criba las prácticas prohibidas del Artículo 5 antes de encaminar hacia la clasificación del Artículo 6?
  • ¿Saca a la luz el filtro de exención del Artículo 6, apartado 3, y documenta la evaluación?
  • ¿Genera un expediente técnico estructurado del Artículo 11 / Anexo IV — no solo un resumen?
  • ¿Produce la declaración de conformidad del Artículo 47 / Anexo V?
  • ¿Sustenta la EIDF del Artículo 27 para los responsables del despliegue de IA de solvencia y de seguros de salud o de vida?
  • ¿Mantiene un registro de riesgos del Artículo 9 y cubre los plazos de vigilancia e incidentes de los Artículos 72 / 73?
  • ¿Mantiene un registro de auditoría inmutable?

Técnica y operativa

  • ¿Misma admisión = mismo resultado? (determinista frente a generado por IA)
  • ¿Alojamiento de datos en la UE/EEE? ¿Con quién firma el acuerdo de tratamiento de datos?
  • ¿Cuánto se tarda desde el registro hasta un primer registro de cumplimiento completado?
  • ¿Gestiona múltiples sistemas de IA en una sola cuenta?
  • ¿Con qué rapidez refleja la herramienta las orientaciones reglamentarias actualizadas?

Comercial y de idoneidad

  • ¿Es el modelo de implementación adecuado para el tamaño de su equipo?
  • ¿Cuáles son los costes totales, incluidas la implementación, la formación y la licencia anual?
  • ¿Hace correspondencia cruzada con la ISO/IEC 42001, el NIST AI RMF o el RGPD si lo necesita?

Si una herramienta no puede responder a las preguntas de cobertura de obligaciones con referencias a artículos concretos en lugar de afirmaciones de capacidad vagas, no está lista para ser su sistema de cumplimiento de referencia.

Preguntas frecuentes

¿Cuál es la diferencia entre una herramienta de cumplimiento y un consultor de cumplimiento a efectos de la Ley de IA de la UE?

Las herramientas mantienen las obligaciones operativas de forma continua — el registro de riesgos del Artículo 9, el expediente técnico del Artículo 11, el registro de auditoría, la vigilancia poscomercialización. Los consultores aportan juicio jurídico sobre los casos límite: si un caso de uso concreto activa la clasificación del Anexo III, si se aplica la exención del Artículo 6, apartado 3, si su declaración de conformidad resistirá el escrutinio. La mayoría de las organizaciones necesitan ambos. Una empresa con un despliegue de alto riesgo claro puede ejecutar el programa con herramientas de autoservicio e incorporar asesoría para una revisión específica de la declaración de conformidad antes de que se firme.

La fuente dice «Anexo II» — ¿es lo mismo que la lista de casos de uso de alto riesgo?

No. La Ley de IA de la UE utiliza el Anexo III para la lista de casos de uso de IA de alto riesgo (ocho ámbitos, incluidos la biometría, el empleo, la calificación crediticia y la garantía del cumplimiento del Derecho). El Anexo II enumera la legislación armonizada de la UE para los productos en los que la IA utilizada como componente de seguridad activa la clasificación de alto riesgo en virtud del Artículo 6, apartado 1 — máquinas, productos sanitarios, ferrocarriles y similares. Cualquier guía o herramienta que cite el «Anexo II» para la lista de casos de uso de alto riesgo tiene un error. La referencia correcta es siempre el Anexo III.

¿Necesita mi herramienta de cumplimiento cubrir tanto el conjunto de obligaciones del proveedor como el del responsable del despliegue?

Debería. Muchas empresas SaaS son proveedores — comercializan IA bajo su propia marca — pero también responsables del despliegue de herramientas de IA de terceros a nivel interno. Los conjuntos de obligaciones difieren: los proveedores soportan toda la pila de los Artículos 9 a 15 más la conformidad del Artículo 43; los responsables del despliegue soportan los deberes del Artículo 26 (supervisión, vigilancia, conservación de registros durante 6 meses) y, en algunos casos, la EIDF del Artículo 27. Una herramienta que gestiona un solo rol deja lagunas.

¿Por qué importa en la práctica el resultado determinista para una auditoría?

Una autoridad nacional de vigilancia del mercado que examine su declaración de conformidad querrá comprender cómo se alcanzó la clasificación de riesgo. Un motor determinista y basado en reglas produce una conclusión rastreable: «de alto riesgo en virtud del Artículo 6 / Anexo III, punto 4, letra a), porque criba solicitantes de empleo». Una conclusión generada por un modelo de lenguaje puede variar según la formulación, puede no citar la base reglamentaria concreta y no puede reproducirse de forma idéntica — lo que la hace más difícil de defender. La defendibilidad ante auditoría es la razón de ser de construir el expediente de documentación.

¿Qué significa realmente el plazo de diciembre de 2027 para mi plan de implementación?

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de alto riesgo autónomos del Anexo III deben cumplir antes del 2 de diciembre de 2027; los sistemas de componente de seguridad del Anexo I tienen hasta el 2 de agosto de 2028. «Cumplir antes de» significa que se satisface toda la pila de obligaciones de los Artículos 9 a 15, que la evaluación de la conformidad del Artículo 43 está completa, que la declaración de conformidad del Artículo 47 está firmada y que el sistema está registrado en virtud del Artículo 49. Reunir esa documentación lleva normalmente de cuatro a doce meses — empezar una evaluación de software ahora es el ritmo adecuado.

¿Puede la certificación ISO/IEC 42001 satisfacer la evaluación de la conformidad del Artículo 43?

No. La certificación ISO/IEC 42001 es voluntaria y sustenta el sistema de gestión de la calidad del Artículo 17 y las pruebas de gestión de riesgos del Artículo 9. Contribuye al expediente técnico y puede simplificar la autoevaluación interna del Anexo VI. No sustituye a la evaluación de la conformidad del Artículo 43. Una herramienta que afirma que la ISO 42001 «satisface el Artículo 43» es incorrecta.

¿Qué sistemas de IA activan con más frecuencia la pila de alto riesgo para una empresa de software?

Cualquier sistema que criba o clasifica solicitantes de empleo (Anexo III, punto 4, letra a)), influye en las decisiones de solvencia (punto 5, letra b)), asiste en la fijación de precios de seguros de salud o de vida (punto 5, letra c)) o trata datos biométricos para la identificación (punto 1) es casi con seguridad de alto riesgo. Los chatbots de cara al cliente y las herramientas internas de productividad son por lo general de riesgo mínimo o limitado (se aplican los deberes de divulgación del Artículo 50). La clasificación debe hacerse sistema por sistema — «no hacemos IA de alto riesgo» no es defendible sin evaluaciones documentadas.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Complete Guide

Inventario de sistemas de IA para el cumplimiento de la Ley de IA de la UE: la guía completa del registro

Cree un inventario de IA conforme con la Ley de IA de la UE: descubra la IA en la sombra, clasifique cada sistema con arreglo al Artículo 6 y prepárese para el registro del Artículo 49 antes del 2 dic 2027.

AI Tool Compliance

AWS Bedrock y la Ley de IA de la UE: clasifique lo que construye

¿Construye sobre AWS Bedrock? Conforme a la Ley de IA de la UE, probablemente sea el proveedor (Art. 16). Clasifique por uso: alto riesgo del Anexo III antes de dic 2027, chatbots antes de ago 2026.

AI Tool Compliance

Azure OpenAI y la Ley de IA de la UE: ¿de quién es la obligación de cumplimiento?

Azure OpenAI: si construye bajo su nombre, el Artículo 16 le convierte en proveedor. Su nivel de riesgo depende de lo que haga su sistema — clasifique según el uso.