La IA agéntica y la Ley de IA de la UE: clasificación, supervisión y cumplimiento

Un sistema de IA agéntica es aquel que actúa de forma autónoma a lo largo de secuencias de pasos —planificando, ejecutando llamadas a herramientas, recuperando información y produciendo resultados que se reincorporan a la siguiente acción— con una intervención humana limitada entre pasos. Un agente de atención al cliente que busca en bases de datos, redacta respuestas y envía correos electrónicos sin que un humano apruebe cada paso es agéntico. También lo es un asistente de desarrollo de software que lee código, escribe pruebas, las ejecuta y confirma los resultados.

El comportamiento agéntico es un patrón arquitectónico, no una categoría de riesgo. La Ley de IA de la UE de 2024 (Reglamento (UE) 2024/1689) no denomina a la «IA agéntica» como una clasificación distinta. Las obligaciones de cumplimiento se derivan de lo que el sistema hace y a quién afecta —su caso de uso, el tipo de resultado y si entra en la lista de prácticas prohibidas del artículo 5 o en la clasificación de alto riesgo del artículo 6 / Anexo III—. Un agente de varios pasos que ayuda a redactar correos internos es de riesgo mínimo. Un agente que asigna tareas laborales a trabajadores (Anexo III, punto 4, letra d)) es de alto riesgo con independencia de cuántos pasos autónomos dé para alcanzar su resultado.

Comprender cómo se mapea la IA agéntica sobre el marco existente de la Ley es cada vez más urgente. Los modelos GPAI de proveedores como OpenAI, Mistral y Google son la base habitual de los sistemas agénticos. La capa de agente —la lógica de orquestación, las integraciones de herramientas, la gestión de la memoria y del contexto— suele construirla la organización que lo despliega. La condición de cumplimiento de esa capa la determina la lógica de papeles y de niveles de riesgo de la Ley, no la novedad de la arquitectura.

---

La clasificación es lo primero: el nivel de riesgo y el papel determinan las obligaciones

La pregunta de partida para cualquier despliegue agéntico es la misma que para cualquier otro sistema de IA: ¿entra en el artículo 5 (prohibido), el artículo 6 / Anexo III (alto riesgo), el artículo 50 (transparencia de riesgo limitado) o en el valor por defecto de riesgo mínimo?

Los usos prohibidos siguen prohibidos con independencia de la arquitectura. Un agente que realiza identificación biométrica remota en tiempo real en espacios de acceso público (art. 5, apdo. 1, letra h)), o que infiere características sensibles a partir de datos biométricos con fines de categorización (art. 5, apdo. 1, letra g)), está prohibido opere o no de forma autónoma. La arquitectura no crea exenciones.

Los usos de alto riesgo del Anexo III son de alto riesgo, estén automatizados o no. Un sistema agéntico que toma o influye materialmente en decisiones de selección de personal (Anexo III, punto 4, letra a)), evalúa la solvencia (punto 5, letra b)), prioriza llamadas a servicios de emergencia (punto 5, letra d)) o asiste a las autoridades judiciales en la investigación y aplicación del Derecho (punto 8, letra a)) es de alto riesgo. Se aplica la pila completa de requisitos del artículo 8 —los artículos 9 a 15—.

Clasifique el resultado y la población afectada, no la arquitectura. Los sistemas agénticos suelen combinar múltiples pasos, de los cuales solo algunos tocan un uso regulado. Un agente de investigación jurídica que recupera jurisprudencia y la resume para un abogado humano tiene un perfil de riesgo distinto al de un agente que redacta y presenta de forma autónoma documentos en nombre de personas físicas ante un tribunal. Analice cada tipo de resultado distinto y su efecto en la cadena posterior.

Filtro del artículo 6, apartado 3. Aun cuando el resultado de un agente toque un ámbito del Anexo III, puede aplicarse la exención del artículo 6, apartado 3, si el sistema no plantea un riesgo significativo de perjuicio —por ejemplo, desempeña una tarea preparatoria limitada, mejora el resultado de una decisión humana previamente realizada o detecta patrones de decisión sin sustituir ni influir en la evaluación humana—. Los proveedores que reclamen esta exención deben documentarla y registrarse en virtud del artículo 49 en todo caso.

---

La GPAI como capa fundacional

La mayoría de los sistemas agénticos desplegados comercialmente se construyen sobre modelos de IA de uso general (modelos GPAI con arreglo al Capítulo V de la Ley). El proveedor del modelo GPAI —OpenAI, Mistral, Google, Meta y otros— tiene su propio conjunto de obligaciones en virtud del artículo 53 (todos los proveedores de GPAI) y del artículo 55 (proveedores de modelos con riesgo sistémico, los entrenados por encima del umbral de 10²⁵ FLOP presumido en el artículo 51).

Esas obligaciones de GPAI recaen en el proveedor del modelo, no en la organización que construye un agente sobre el modelo. La empresa que despliega un sistema agéntico no hereda las obligaciones del artículo 53 ni del artículo 55 por el mero hecho de utilizar una API. Lo que sí hereda —o asume— depende de lo que construya y comercialice.

Clarificación del papel a través del artículo 25. Si una organización accede a un modelo GPAI a través de una API y construye un producto agéntico que introduce en el mercado con su propio nombre, es el proveedor de ese sistema de IA en virtud del artículo 16, clasificable frente al Anexo III por lo que el sistema hace. El proveedor del modelo GPAI conserva sus propias obligaciones de nivel GPAI; el constructor del agente asume las obligaciones de proveedor del sistema que comercializa. Este cambio de papel se rige por el artículo 25.

Si la organización utiliza el sistema agéntico internamente —para sus propios procesos, no vendido ni licenciado a terceros—, es el responsable del despliegue en virtud del artículo 26, con obligaciones más ligeras: seguir las instrucciones de uso, mantener una supervisión adecuada, conservar los registros y (para determinadas categorías de alto riesgo) realizar una evaluación de impacto relativa a los derechos fundamentales con arreglo al artículo 27.

---

El problema de la supervisión humana en los sistemas agénticos

El artículo 14 exige que los sistemas de IA de alto riesgo se diseñen para permitir que personas físicas designadas comprendan sus capacidades y limitaciones, detecten fallos y —de forma crítica— decidan no utilizar o no tener en cuenta el resultado del sistema. Este es el requisito que las arquitecturas agénticas ponen más directamente bajo presión.

Cuando un agente ejecuta un plan de cinco pasos —recuperar datos, evaluar opciones, seleccionar un curso de acción, actuar e informar—, el humano puede recibir únicamente el resultado final. Los pasos intermedios suelen ser invisibles en tiempo real. Para las aplicaciones de alto riesgo esto no es aceptable: el mecanismo de supervisión debe diseñarse de modo que un humano pueda intervenir en momentos significativos, no meramente observar el resultado a posteriori.

Implicaciones prácticas para el cumplimiento del artículo 14 en los despliegues agénticos:

• Puntos de control para acciones de consecuencias relevantes. Los pasos de alto riesgo —enviar comunicaciones en nombre de una persona, comprometer fondos, realizar un cambio de configuración del sistema— deben requerir una confirmación humana, aunque los pasos de menor riesgo estén totalmente automatizados.
• Interpretabilidad del razonamiento. El sistema debe poder explicar en qué información se basó y por qué eligió una acción concreta, en términos que un usuario no experto pueda valorar. Es el requisito del artículo 14, apartado 4, de que el sistema permita a las personas que ejercen la supervisión «interpretar correctamente» los resultados.
• Capacidad de anulación. Debe existir un mecanismo para detener, corregir o revertir la acción de un agente en cualquier fase. Para los sistemas que ejecutan en entornos externos (API, bases de datos, sistemas de archivos), esto significa registrar cada acción con información suficiente para revertirla.
• Competencia de las personas que ejercen la supervisión. El artículo 14, apartado 3, exige que las personas que ejercen la supervisión tengan la competencia, la formación y la autoridad necesarias. Para los sistemas agénticos que operan en dominios técnicos, esto puede significar que la persona designada para la supervisión deba tener experiencia en el dominio, no solo acceso a un panel de control.

---

Arquitecturas multiagente: ¿quién es el proveedor?

Muchos despliegues agénticos de producción implican múltiples modelos: un agente orquestador que llama a subagentes especializados, cada uno de los cuales puede a su vez llamar a herramientas o API externas. Esto genera una cuestión de atribución: si un episodio de sesgo o un resultado perjudicial surge de la decisión de un subagente, ¿qué entidad soporta el deber de notificación de incidentes del artículo 73?

La respuesta depende del artículo 25 y del papel que desempeña cada entidad. La entidad que introduce el sistema agéntico final en el mercado con su propio nombre es el proveedor de ese sistema. Si construye el orquestador conectando subagentes propios y API de terceros, asume las obligaciones de proveedor de todo el sistema ensamblado. Los proveedores de subagentes de terceros son a su vez proveedores de sus sistemas componentes, cada uno sujeto a su propia pila de cumplimiento si esos componentes se introducen en el mercado.

Esto tiene varias consecuencias prácticas:

• El proveedor del sistema ensamblado debe asegurarse de disponer de documentación técnica suficientemente detallada con arreglo al artículo 11 para cubrir el sistema completo, incluido el comportamiento de los componentes de terceros en la medida en que afecten a los resultados del sistema.
• Los acuerdos contractuales con los proveedores de subcomponentes deben incluir cláusulas sobre los plazos de notificación de incidentes, porque el plazo de notificación del artículo 73 del proveedor de nivel superior corre desde su propio conocimiento, y necesita saber con rapidez si un subcomponente ha causado un incidente grave.
• El sistema de gestión de riesgos del artículo 9 debe tener en cuenta los modos de fallo que surgen de las interacciones entre componentes, no solo de cada subcomponente de forma aislada.

---

La IA agéntica en despliegues que no son de alto riesgo

No todo sistema agéntico es de alto riesgo. Un agente interno de recuperación de conocimiento que responde a preguntas de los empleados utilizando la documentación de la empresa es de riesgo mínimo si no afecta a las personas físicas de un modo que toque un caso de uso del Anexo III. Un agente de chatbot de cara al cliente que puede responder preguntas e iniciar un proceso de devolución es probablemente de riesgo limitado (artículo 50): el cliente debe saber que está interactuando con un sistema de IA.

Para los despliegues agénticos de riesgo limitado, la obligación es la transparencia del artículo 50: revelar que el sistema es IA, permitir a los usuarios solicitar la derivación a un humano y (para los agentes que generan contenidos) etiquetar adecuadamente el material generado por IA. Las obligaciones del artículo 50 se aplican desde el 2 de agosto de 2026.

Para los despliegues de riesgo mínimo no se aplica ninguna obligación obligatoria en virtud de la Ley, aunque los códigos de buenas prácticas voluntarios y las políticas internas de gobernanza siguen siendo una buena práctica.

---

Referencias clave a artículos para despliegues agénticos

---

Gobernanza interna para los despliegues de IA agéntica

Más allá de las obligaciones legales, las organizaciones que despliegan IA agéntica internamente se enfrentan a una laguna práctica de gobernanza: los controles habituales —revisar el resultado de un modelo antes de que vaya a ninguna parte— no funcionan cuando el modelo ya está actuando.

Un modelo de gobernanza interna viable para la IA agéntica tiene cuatro elementos.

Un inventario de IA que recoja el comportamiento del agente, no solo la identidad del modelo. La entrada de inventario de un sistema agéntico debe registrar a qué sistemas externos puede llamar el agente (API, bases de datos, correo electrónico, sistemas de archivos), qué acciones puede realizar (solo lectura frente a escritura frente a ejecución) y la longitud máxima de cadena autónoma antes de que se requiera un punto de control humano. Un registro que solo anota «utilizamos GPT-4» no es adecuado para un despliegue agéntico.

Límites de alcance definidos antes del despliegue, no descubiertos después. Cada agente debe tener una lista explícita de acciones permitidas, un límite máximo de gasto o de transacción cuando proceda, y un límite claro sobre lo que no puede hacer sin autorización humana explícita. Estos límites deben aplicarse a nivel de infraestructura, no solo en la instrucción (prompt). Las barreras de protección a nivel de instrucción no son lo bastante fiables para una acción automatizada de alto riesgo.

Detección de incidentes ajustada a los fallos autónomos. La supervisión estándar de aplicaciones señala caídas. Los fallos agénticos son más sutiles: el agente se completa con éxito pero da una secuencia de pasos individualmente plausibles que conducen a un resultado no deseado. La supervisión debe incluir la auditoría semántica de las secuencias de acciones, no solo el seguimiento de la tasa de errores.

Una vía de escalado clara. Cuando un agente encuentra una situación fuera de su alcance, el comportamiento por defecto debe ser detenerse y notificar a un humano, no intentar una aproximación. Para las aplicaciones de alto riesgo es un requisito del artículo 14; para todas las aplicaciones es una buena práctica.

---

Cómo gestiona Confir la clasificación de la IA agéntica

Dado que «agéntico» es una arquitectura, no una categoría de cumplimiento, el flujo de trabajo de clasificación de Confir se centra en lo que el sistema hace y no en cómo lo hace. El proceso de admisión en lenguaje sencillo pregunta sobre el tipo de resultado del sistema, quién resulta afectado, si el resultado influye en decisiones sobre personas físicas y qué ámbitos de casos de uso del Anexo III toca el resultado. Un agente de varios pasos que criba a candidatos a un empleo en el quinto paso de su flujo de trabajo se clasifica como de alto riesgo con arreglo al Anexo III, punto 4, letra a) —igual que un clasificador de un solo paso que hace lo mismo—.

La lógica determinista y basada en reglas produce la misma clasificación para la misma admisión, con independencia del número de pasos automatizados implicados. Esta coherencia es deliberada: la defensibilidad del cumplimiento exige conclusiones reproducibles.

---

Preguntas frecuentes

¿Es la IA agéntica una categoría de riesgo separada en la Ley de IA de la UE?

No. La Ley no define la «IA agéntica» ni la trata como un nivel de riesgo distinto. La clasificación sigue el marco estándar: prohibido (artículo 5), alto riesgo (artículo 6 y Anexo III), riesgo limitado (artículo 50) o riesgo mínimo. La autonomía y el comportamiento de varios pasos de un agente no cambian su clasificación de riesgo; lo hacen el caso de uso y la población afectada.

Si construyo un agente sobre GPT-4 u otro modelo GPAI, ¿heredo las obligaciones del proveedor de GPAI?

No. Las obligaciones de los artículos 53 y 55 del proveedor del modelo GPAI permanecen en ese proveedor. Cuando construye un sistema agéntico sobre un modelo GPAI y lo introduce en el mercado con su nombre, pasa a ser el proveedor de ese sistema en virtud de los artículos 16 y 25, con obligaciones que se derivan de lo que el sistema hace —su nivel de riesgo y su finalidad prevista—. No asume obligaciones de nivel GPAI a menos que también esté desarrollando e introduciendo usted mismo un modelo GPAI en el mercado.

¿Qué artículo rige la supervisión humana en la IA agéntica?

El artículo 14. Exige que los sistemas de IA de alto riesgo se diseñen de modo que las personas designadas para la supervisión puedan comprender sus capacidades y limitaciones, detectar fallos y decidir no utilizar los resultados. Para los sistemas agénticos, esto significa incorporar puntos de control, trazas de razonamiento interpretables y mecanismos de anulación en la arquitectura, no meramente observar los resultados finales.

¿Cuáles son las sanciones si un sistema de IA agéntica de alto riesgo incumple un requisito?

El incumplimiento de los requisitos de los artículos 9 a 15 (activados por el artículo 8) se sitúa en el artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

¿Cuándo se aplican las obligaciones de alto riesgo a los sistemas agénticos?

Se aplican las mismas fechas que a cualquier sistema de IA de alto riesgo. Para los sistemas autónomos del Anexo III: 2 de diciembre de 2027 (en virtud del Ómnibus Digital acordado en mayo de 2026). Para los sistemas que son componentes de seguridad de productos del Anexo I: 2 de agosto de 2028. Las obligaciones de transparencia de riesgo limitado del artículo 50 se aplican desde el 2 de agosto de 2026 para los despliegues agénticos de cara al cliente.

¿Requieren los sistemas multiagente documentación de cumplimiento separada para cada agente?

Depende de cómo se introduzcan los componentes en el mercado. Si una sola entidad ensambla y comercializa el sistema multiagente completo con su nombre, esa entidad es el proveedor del sistema ensamblado y la documentación técnica del artículo 11 cubre el conjunto. Si otras entidades introducen de forma independiente subagentes de terceros en el mercado, esas entidades son a su vez proveedores con sus propias obligaciones de documentación para sus componentes.

---

Guías relacionadas

• Ley de IA de la UE, artículo 14: supervisión humana
• Ley de IA de la UE, artículo 6: clasificación de la IA de alto riesgo
• Clasificación de riesgo de los modelos GPAI
• Ley de IA de la UE, artículo 25: cambios de papel a lo largo de la cadena de valor
• Sistema de gestión de riesgos de la IA con arreglo al artículo 9
• Requisitos de supervisión humana para la IA de alto riesgo