Skip to content
Confir.
Prueba gratuita
Blog

Artículo 13 de la Ley de IA de la UE: transparencia e información para los responsables del despliegue de IA de alto riesgo

Annex Guide26 January 2026· 37 min de lectura

Artículo 13 de la Ley de IA de la UE: los proveedores de IA de alto riesgo deben facilitar a los responsables del despliegue las instrucciones de uso antes del despliegue. Requisitos de contenido y plazo de diciembre de 2027.

El Artículo 13 del Reglamento (UE) 2024/1689 impone una obligación de transparencia específica y obligatoria a los proveedores de sistemas de IA de alto riesgo: antes de que un sistema se introduzca en el mercado o se ponga en servicio, el proveedor debe facilitar al responsable del despliegue información escrita suficiente para que este comprenda qué hace el sistema, con qué grado de eficacia lo hace y cuándo puede fallar. No se trata de un principio general de «sea transparente». Es un requisito operativo con un contenido definido, un destinatario definido y consecuencias reales de ejecución.

El incumplimiento conlleva multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio financiero anterior, si esta última cifra es mayor (Artículo 99, apartado 3). En virtud del Ómnibus Digital acordado en mayo de 2026, la obligación se aplica a los sistemas autónomos de alto riesgo del Anexo III a partir del 2 de diciembre de 2027 — aplazada respecto de la fecha original del 2 de agosto de 2026 — y a partir del 2 de agosto de 2028 para la IA de alto riesgo integrada en productos regulados del Anexo I. Ese respiro es real, pero ensamblar unas instrucciones de uso conformes lleva más tiempo del que la mayoría de los proveedores esperan.

Esta guía desgrana lo que realmente exigen el Artículo 13, apartados 1, 2 y 3; en qué se diferencia el Artículo 13 del Artículo 50 (la obligación de transparencia que se aplica a los sistemas de riesgo limitado y a los usuarios finales, no a los responsables del despliegue); cómo se relaciona con el Artículo 14 (supervisión humana); y las deficiencias prácticas que los equipos de auditoría detectan con más frecuencia. A continuación, aborda la ejecución, ejemplos sectoriales, las responsabilidades de la cadena de suministro y la estructura de la documentación.

Qué exige realmente el Artículo 13

El Artículo 13 rige la relación proveedor-responsable del despliegue para la IA de alto riesgo. Su finalidad es garantizar que la organización responsable de desplegar un sistema de IA de alto riesgo disponga de información suficiente para hacerlo correctamente — para interpretar el resultado del sistema, detectar cuándo no debe actuarse sobre ese resultado sin revisión y aplicar las medidas de supervisión humana que exige el Artículo 14.

Artículo 13, apartado 1: transparencia por diseño

El Artículo 13, apartado 1 establece la norma fundamental: los sistemas de IA de alto riesgo deben diseñarse y desarrollarse de manera que su funcionamiento sea lo suficientemente transparente para permitir que los responsables del despliegue interpreten el resultado del sistema y lo utilicen de forma adecuada. La transparencia con arreglo al Artículo 13 no es un documento que se produce a posteriori. Es un requisito de diseño. Un sistema que genera resultados que su responsable del despliegue no puede interpretar de forma significativa incumple el Artículo 13, apartado 1, con independencia de lo que diga la documentación que lo acompaña.

La disposición añade un matiz adicional: la transparencia debe ser «de un tipo y un grado adecuados» para lograr el cumplimiento de las obligaciones del proveedor y del responsable del despliegue en virtud del Reglamento. Esto significa que la norma de transparencia se calibra en función del contexto de despliegue concreto, no se fija en un único nivel universal. Un modelo de calificación crediticia suministrado al equipo de gestión de riesgos de un prestamista regional necesita exponer información distinta — con una profundidad técnica distinta — que el mismo modelo suministrado a una función de contratación no técnica de una autoridad pública. El proveedor debe pensar a fondo en quién leerá el resultado y qué necesita para utilizarlo de forma responsable.

Artículo 13, apartado 2: las instrucciones de uso — el vehículo de entrega

El Artículo 13, apartado 2 especifica cómo se cumple la obligación de transparencia: mediante las instrucciones de uso. Las instrucciones deben ser concisas, completas, correctas, claras, pertinentes, accesibles y comprensibles para el responsable del despliegue. Cada adjetivo tiene relevancia operativa.

«Concisas» descarta enterrar el contenido obligatorio en un apéndice técnico de 300 páginas. «Completas» descarta omitir los modos de fallo porque resulten comercialmente incómodos. «Correctas» significa que las afirmaciones de rendimiento deben reflejar el comportamiento real medido del sistema. «Accesibles» significa que el formato y el idioma deben corresponder al contexto de lectura real del responsable del despliegue — no solo disponibles técnicamente, sino alcanzables en la práctica. «Comprensibles» significa que el responsable del despliegue puede entender el contenido sin contratar a un experto para descifrarlo.

Las instrucciones deben facilitarse antes de que el sistema se introduzca en el mercado o se ponga en servicio. Un responsable del despliegue que recibe la documentación solo en el momento de la firma del contrato — o solo a través de un enlace enterrado en las condiciones de servicio que el equipo de despliegue nunca lee — no está recibiendo unas instrucciones de uso conformes.

Artículo 13, apartado 3: contenido obligatorio

El Artículo 13, apartado 3 especifica lo que deben contener las instrucciones. Los requisitos se dividen en cinco áreas sustantivas.

Identidad y datos de contacto del proveedor. El nombre legal, el domicilio social y los datos de contacto del proveedor y, en su caso, de cualquier representante autorizado en virtud del Artículo 22. Para un proveedor no perteneciente a la UE, el representante autorizado es el principal contacto de cumplimiento para los responsables del despliegue radicados en la UE. El contacto debe ser un contacto jurídico o de cumplimiento responsable — no una dirección genérica de servicio de asistencia.

Características, capacidades y limitaciones. Esta es la divulgación central y la sección que se hace de forma inadecuada con más frecuencia. Abarca:

  • La finalidad prevista del sistema — la tarea concreta, en el contexto operativo concreto, para la que el proveedor diseñó el sistema. Las descripciones vagas como «apoyo general a la toma de decisiones» no satisfacen este requisito. Si el sistema clasifica solicitudes de préstamo para decisiones de crédito al consumo en la UE, dígalo.
  • El nivel de exactitud, robustez y ciberseguridad tal como se define en el Artículo 15, incluidas las métricas utilizadas y las condiciones en las que se midieron. «Robustez» aquí es el término legal del Artículo 15 — significa resiliencia frente a entradas adversarias, entradas inesperadas y variación del entorno de funcionamiento. La dimensión de ciberseguridad significa que el proveedor debe divulgar si, y en qué grado, el sistema ha sido evaluado en cuanto a vulnerabilidades a nivel de modelo, como la manipulación de entradas o el envenenamiento de datos.
  • Circunstancias conocidas o previsibles que puedan afectar al rendimiento del sistema — el cambio de distribución entre los datos de entrenamiento y los de despliegue, el ruido en las entradas del mundo real, las poblaciones de casos límite, la degradación temporal a medida que el mundo cambia y el modelo no.
  • Uso indebido previsible: usos que el proveedor tiene motivos para anticipar aunque no fueran los previstos. Un proveedor que diseña una herramienta de cribado de contratación para preseleccionar candidatos debe divulgar si algunos responsables del despliegue están utilizando el resultado como una decisión definitiva de rechazo, y señalar que esto excede la finalidad prevista.
  • Variaciones de rendimiento entre personas o grupos concretos — la dimensión de equidad. El Artículo 13, apartado 3 convierte esto en una divulgación obligatoria, no en un apéndice opcional. Si el sistema rinde de forma diferente para las mujeres que para los hombres, para distintas cohortes de edad, para distintos orígenes lingüísticos, eso debe declararse.

Especificaciones de los datos de entrada. Una descripción técnica de los datos que el sistema requiere: formato, tipo, volumen y requisitos de calidad. Esto permite al responsable del despliegue evaluar si su entorno operativo de datos es apto para ejecutar el sistema. Un responsable del despliegue que alimenta a un sistema con datos para los que no fue diseñado, sin saberlo, no puede aplicar una supervisión significativa.

Medidas de supervisión humana. El Artículo 13, apartado 3 exige explícitamente que las instrucciones describan las medidas para apoyar las obligaciones de supervisión humana del Artículo 14. Esta es la conexión estructural entre ambos artículos: el Artículo 14 exige que los sistemas de alto riesgo se diseñen para permitir la intervención humana cualificada; el Artículo 13 exige que se informe al responsable del despliegue de cómo funciona esa intervención en su contexto concreto. Las instrucciones deben describir quién es responsable de la supervisión (por función, no solo por nombre), las condiciones en las que la revisión humana es obligatoria, el procedimiento de anulación y qué información debe consultar la persona encargada de la supervisión al decidir si actúa sobre el resultado del sistema.

Mecanismos de registro. Una descripción de las capacidades de conservación de registros y de registro de actividad incorporadas en el sistema de conformidad con el Artículo 12 — qué se registra, durante cuánto tiempo, en qué formato y cómo puede acceder el responsable del despliegue a los registros. El responsable del despliegue necesita esta información para cumplir sus obligaciones de supervisión del Artículo 26 y para sustentar cualquier notificación de incidente grave en virtud del Artículo 73. También importa para cualquier evaluación de impacto relativa a los derechos fundamentales del Artículo 27, que exige que un responsable del despliegue pueda trazar cómo se tomaron las decisiones.

El Artículo 13, apartado 3 también cubre la vida útil esperada del sistema y los recursos informáticos y de hardware necesarios para el funcionamiento y el mantenimiento. Estos son menos destacados, pero importan para los responsables del despliegue que toman decisiones de contratación plurianuales: un sistema que deja de tener soporte técnico en un plazo de dos años, o que requiere una infraestructura de hardware que el responsable del despliegue no puede mantener, genera un riesgo de cumplimiento que debe divulgarse antes de firmar el contrato.

Un aspecto de la divulgación de rendimiento del Artículo 13, apartado 3 que a menudo queda infraespecificado es la dimensión de ciberseguridad. El Artículo 15 establece las obligaciones de exactitud, robustez y ciberseguridad — y el Artículo 13, apartado 3 exige que el proveedor informe sobre esas propiedades. En cuanto a la ciberseguridad, esto significa que el proveedor debe divulgar qué evaluación de amenazas a nivel de modelo se ha llevado a cabo: si el sistema se ha probado frente a la manipulación adversaria de entradas, si es resiliente al envenenamiento de datos en el momento de la inferencia y qué controles de acceso rigen quién puede consultar el sistema. Los proveedores que nunca han realizado pruebas de seguridad a nivel de modelo no pueden alegar de forma creíble el cumplimiento del Artículo 15, lo que significa que tampoco pueden cumplimentar de forma creíble la divulgación de ciberseguridad del Artículo 13, apartado 3. Las dos obligaciones están vinculadas.

La dimensión de equidad de la divulgación de rendimiento merece especial atención porque es el área con más probabilidades de atraer la atención de la ejecución en sectores de alto perfil. En la IA de empleo, la IA policial y la IA de calificación crediticia, la variación de rendimiento entre grupos demográficos no es solo una métrica técnica — es directamente pertinente para las obligaciones del responsable del despliegue en virtud de la Carta de los Derechos Fundamentales de la UE y, en muchos Estados miembros, del Derecho nacional contra la discriminación. Un proveedor que oculta esos datos — o que no los ha producido — está impidiendo de hecho que el responsable del despliegue cumpla sus propias obligaciones legales. Eso es una exposición significativa, no una deficiencia menor.

Artículo 13 frente a Artículo 50: dos obligaciones de transparencia diferentes

Estos dos artículos se confunden con frecuencia. Abordan obligaciones diferentes dirigidas a públicos diferentes, y satisfacer uno no cumple el otro.

El Artículo 13 se aplica a los sistemas de IA de alto riesgo y se dirige al responsable del despliegue profesional — la organización que integrará, operará y será responsable del sistema en su contexto. Se presume que el responsable del despliegue es un actor comercial o del sector público sofisticado. La obligación de transparencia consiste en facilitarle la información técnica y operativa que necesita para desplegar de forma responsable. La obligación recae en el proveedor y debe cumplirse antes de que comience el despliegue. Su resultado es un conjunto de instrucciones de uso: detalladas, técnicas, operativas.

El Artículo 50 se aplica a los sistemas de IA de riesgo limitado y a interacciones concretas en las que los usuarios finales o las personas físicas afectadas necesitan saber que están interactuando con una IA. Exige la divulgación, a las personas que interactúan con un sistema de IA o que se ven afectadas por sus resultados, de que están tratando con una IA. Un chatbot debe revelar que no es humano. El audio o el vídeo generados por IA deben etiquetarse. Los sistemas que detectan o categorizan a personas físicas en función de estados emocionales deben informar a dichas personas. El Artículo 50 se aplica con carácter general a partir del 2 de agosto de 2026 — no fue aplazado por el Ómnibus Digital.

Las dos obligaciones operan en capas distintas de la pila de despliegue. El Artículo 13 discurre del proveedor al responsable del despliegue: es una obligación de información B2B sobre el propio sistema. El Artículo 50 discurre del responsable del despliegue (o del proveedor, en los despliegues directos al consumidor) al usuario final: es una divulgación de cara al consumidor sobre la naturaleza de IA de la interacción o el resultado. El público, el contenido y la finalidad jurídica son completamente distintos.

Un sistema de alto riesgo puede conllevar ambos conjuntos de obligaciones. Un sistema de calificación crediticia de alto riesgo que comunica resultados a los solicitantes de préstamos a través de una interfaz automatizada debe satisfacer el Artículo 13 (instrucciones al prestamista que lo despliega) y también puede tener deberes de divulgación del Artículo 50 hacia los solicitantes. Pero confundir las dos obligaciones crea deficiencias de cumplimiento reales: un proveedor que emite una ficha técnica detallada al prestamista no ha hecho nada por satisfacer el derecho del solicitante a saber que está sometido a un tratamiento automatizado. Y un prestamista que muestra una etiqueta de «apoyo a la decisión con IA» en la interfaz de solicitud no ha hecho nada por cumplir su obligación del Artículo 26 de utilizar realmente la información del Artículo 13 que recibió.

Otra confusión habitual: tratar el Artículo 13 como el «artículo de transparencia» para los modelos de IA de uso general (GPAI). No lo es. Las obligaciones del proveedor de GPAI se rigen por los Artículos 53 y 55. El Artículo 13 se aplica al sistema de IA de alto riesgo introducido en el mercado — que puede utilizar un modelo de GPAI como componente — pero la obligación del Artículo 13 recae en el proveedor del sistema de alto riesgo, no en el desarrollador del modelo de GPAI.

Artículo 13 y Artículo 14: información y supervisión como pareja

El Artículo 13 y el Artículo 14 son complementarios pero rigen cosas distintas. Acertar con la distinción importa porque exigen trabajos de cumplimiento distintos.

El Artículo 13 es una obligación de información. Discurre del proveedor al responsable del despliegue, antes de que el sistema esté en uso. Su resultado es documentación — las instrucciones de uso. La obligación se cumple en el punto de suministro, aunque debe actualizarse cuando el sistema cambia.

El Artículo 14 es una obligación de diseño y operativa. Exige que los sistemas de alto riesgo se construyan de modo que las personas que los supervisan puedan interpretar correctamente los resultados, detectar fallos, decidir no utilizar el resultado en una situación dada e intervenir o anular cuando sea necesario. El Artículo 14 también exige que la función de supervisión se asigne a personas físicas identificables con la competencia, autoridad y medios necesarios. El sistema debe diseñarse para permitir esto — no basta con decir a las personas que pueden anular si el sistema no proporciona ningún mecanismo para hacerlo.

La conexión es explícita en el Artículo 13, apartado 3: las instrucciones de uso deben describir las medidas existentes para ayudar a los responsables del despliegue a interpretar los resultados y apoyar la función de supervisión del Artículo 14. Dicho de otro modo, la documentación del Artículo 13 debe operativizar el Artículo 14 para el contexto concreto del responsable del despliegue. Un proveedor que entrega métricas de rendimiento sin explicar cuándo y cómo debe ejercer un humano su juicio sobre el resultado del sistema ha abordado el Artículo 13, apartado 3, letra a) pero no el Artículo 13, apartado 3, letra b).

La prueba práctica: ¿se informa al personal de supervisión del responsable del despliegue de quién es responsable, en qué condiciones, qué información utilizar y cómo actuar? Si la respuesta a alguna de ellas es «tendrían que averiguarlo por sí mismos», la documentación del Artículo 13 está incompleta.

Un ejemplo trabajado hace concreta la distinción. Una empresa de tecnología financiera que despliega un modelo de calificación crediticia para decisiones de préstamo al consumo debe:

  • En virtud del Artículo 13: facilitar al equipo de cumplimiento y operaciones del prestamista una ficha técnica que cubra las variables de entrada del modelo, la exactitud de predicción de impago por cohorte de prestatarios, el bajo rendimiento conocido en los solicitantes autónomos y el procedimiento para que un agente de crédito anule una solicitud rechazada.
  • En virtud del Artículo 14: diseñar el sistema de modo que el agente de crédito pueda ver la puntuación, las entradas que la determinaron y una señal de aviso cuando el solicitante se encuadre en una población en la que el modelo tiene una exactitud conocidamente menor — y de modo que la decisión de anulación quede registrada.

La documentación del Artículo 13 describe el mecanismo del Artículo 14. El mecanismo del Artículo 14 hace que la divulgación del Artículo 13 sea significativa en la práctica. Un proveedor que entrega una ficha técnica detallada pero un sistema que no proporciona visibilidad alguna sobre su razonamiento ha satisfecho la letra del Artículo 13 y ha vulnerado el fondo del Artículo 14. Un proveedor que construye las herramientas de supervisión pero no entrega documentación ha hecho lo contrario. Ambas situaciones producen un despliegue no conforme.

Una segunda distinción importa para los responsables del despliegue: la documentación del Artículo 13 no sustituye el propio análisis del Artículo 26 del responsable del despliegue. El responsable del despliegue debe evaluar si las instrucciones de uso del proveedor son realmente adecuadas para su contexto de despliegue concreto. Un hospital que despliega una IA de diagnóstico recibe la ficha técnica de un proveedor validada en un tipo de sistema de imagen. Si el hospital utiliza un tipo diferente, las instrucciones no son automáticamente adecuadas — el hospital debe obtener información complementaria o restringir el uso al alcance validado. La diligencia debida del responsable del despliegue no se cumple por la mera recepción de la documentación.

Clasificación de alto riesgo y el filtro del Artículo 6, apartado 3

El Artículo 13 se aplica únicamente a los sistemas de IA de alto riesgo tal como se definen en el Artículo 6 y el Anexo III. Antes de realizar cualquier trabajo del Artículo 13, confirme la clasificación. Un proveedor que prepara instrucciones de uso para un sistema que resulta no ser de alto riesgo ha malgastado esfuerzo; un proveedor que omite el Artículo 13 dando por sentado que el sistema no es de alto riesgo sin documentar esa evaluación ha creado una exposición a la ejecución.

Las ocho categorías del Anexo III son: biometría (identificación biométrica remota, categorización biométrica, reconocimiento de emociones); infraestructuras críticas (componentes de seguridad en la infraestructura digital, el tráfico rodado y los servicios públicos); educación y formación profesional; empleo y gestión de los trabajadores (contratación, cribado, promoción, despido, asignación de tareas, supervisión); acceso a servicios privados y públicos esenciales (calificación de la solvencia, evaluación de riesgos de seguros de salud y de vida, envío de servicios de emergencia, admisibilidad a prestaciones públicas); garantía del cumplimiento del Derecho; migración, asilo y control fronterizo; y administración de justicia y procesos democráticos.

Estar en una categoría del Anexo III no significa automáticamente que el sistema sea de alto riesgo. El Artículo 6, apartado 3 ofrece una exención genuina: un sistema de un ámbito del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. Cuatro supuestos pueden sustentar esta conclusión:

  • El sistema desempeña una tarea procedimental limitada — por ejemplo, una herramienta que da formato a las ofertas de empleo para su publicación, no una que clasifica o filtra solicitantes.
  • El sistema mejora el resultado de una actividad humana previamente realizada — por ejemplo, un corrector ortográfico aplicado a la evaluación escrita de un candidato por parte de un seleccionador, no una herramienta que produce esa evaluación en sí.
  • El sistema detecta patrones de toma de decisiones sin influir en la evaluación humana ni sustituirla — por ejemplo, un panel de analítica que muestra a un responsable de contratación sus propios patrones históricos de decisión, sin sugerir cambios.
  • El sistema realiza un trabajo preparatorio sin efecto operativo directo en la decisión — por ejemplo, un clasificador de documentos que encamina los currículos entrantes a la bandeja de entrada correcta.

La exención del Artículo 6, apartado 3 tiene un límite infranqueable: no se aplica a ningún sistema que elabore perfiles de personas físicas. La elaboración de perfiles — el tratamiento de datos personales para evaluar aspectos del desempeño, la situación económica, la salud, las preferencias o el comportamiento de una persona — es siempre de alto riesgo. Un sistema que puntúa o clasifica a personas en función de características de datos personales no cumple los requisitos de la exención, con independencia de cómo se posicione comercialmente.

Los proveedores que reclaman la exención del Artículo 6, apartado 3 deben documentar la evaluación por escrito y registrar la conclusión. Esta documentación es la defensa de base en una investigación de ejecución. Si el sistema está exento y, por tanto, el Artículo 13 no se aplica, el proveedor debe conservar igualmente el razonamiento, porque un responsable del despliegue o una autoridad de vigilancia del mercado puede solicitarlo.

Si su sistema es genuinamente de riesgo limitado en virtud del Artículo 50 en lugar de alto riesgo en virtud del Artículo 6, el Artículo 13 no se aplica. Las obligaciones de transparencia se desplazan por completo: usted debe divulgar a los usuarios finales la naturaleza de IA del sistema, no un conjunto de instrucciones técnicas a un responsable del despliegue profesional.

Responsabilidades de la cadena de suministro

La obligación principal en virtud del Artículo 13 recae en el proveedor. Un proveedor no puede satisfacer el Artículo 13 remitiendo a un sitio web del producto, incluyendo unas breves preguntas frecuentes en un anexo contractual o dando por supuesto que el responsable del despliegue averiguará lo que necesita saber. Las instrucciones de uso deben facilitarse activamente antes de que comience el despliegue.

Los responsables del despliegue tienen obligaciones correspondientes en virtud del Artículo 26. Deben utilizar el sistema de conformidad con las instrucciones, aplicar las medidas de supervisión humana descritas en ellas y garantizar que el personal que opera el sistema tenga acceso a la información del Artículo 13. Un responsable del despliegue que recibe documentación conforme de un proveedor pero nunca la encamina al equipo que opera el sistema no ha cumplido sus obligaciones del Artículo 26. En la práctica, los responsables del despliegue deben solicitar la documentación del Artículo 13 durante la diligencia debida del proveedor — antes de contratar, no después de la incorporación.

Los importadores (Artículo 23) y los distribuidores (Artículo 24) deben transmitir la documentación del Artículo 13 aguas abajo de forma íntegra. No pueden modificar ni suprimir la divulgación del proveedor. Cuando un importador introduce en el mercado de la UE el sistema de un proveedor de un tercer país, la identidad tanto del importador como del proveedor original debe figurar en las instrucciones de uso.

Los representantes autorizados (Artículo 22) son pertinentes cuando el proveedor está establecido fuera de la UE. El representante autorizado debe nombrarse y sus datos de contacto en la UE deben incluirse en las instrucciones de uso. Asume responsabilidades de cumplimiento en nombre del proveedor dentro de la UE.

Los cambios de papel en virtud del Artículo 25 se aplican cuando un responsable del despliegue modifica un sistema de alto riesgo o cambia sustancialmente su finalidad prevista: esa parte asume las obligaciones del proveedor para el sistema modificado y debe producir unas instrucciones de uso conformes que cubran la modificación. Una empresa que toma un sistema de IA de un tercero y lo integra con fuentes de datos o lógica de decisión adicionales de un modo que cambia su perfil de riesgo no puede basarse en la documentación del Artículo 13 del proveedor original.

Ejemplos sectoriales: qué aspecto tienen las instrucciones de uso

Empleo: IA de cribado de currículos

Una empresa de tecnología de RR. HH. de 40 personas que proporciona un sistema de cribado de currículos a empleadores europeos debe divulgar: la exactitud global y la exactitud desglosada por sexo, grupo de edad y, cuando los datos de entrenamiento lo permitan, por etnia; las categorías de empleo o sectores concretos en los que el conjunto de datos de entrenamiento es más escaso; si el sistema produce un aprobado/suspenso binario o una puntuación clasificada y qué umbrales de puntuación recomienda el proveedor; el mecanismo de anulación disponible para los responsables de contratación; y el proceso por el cual un candidato descartado puede solicitar la revisión humana. Declarar una exactitud destacada del 87 % sin desglose demográfico no cumple el Artículo 13, apartado 3. La variación de rendimiento entre grupos es contenido obligatorio, no una declaración de transparencia opcional.

Crédito y finanzas: modelo de calificación crediticia

Un proveedor que suministra un modelo de calificación crediticia de IA a prestamistas regionales debe divulgar: las variables de entrada y su peso relativo en el resultado de la puntuación; la exactitud de predicción de impago por segmento de préstamo y cohorte de prestatarios; el bajo rendimiento conocido en poblaciones infrarrepresentadas en los datos de entrenamiento (por ejemplo, solicitantes autónomos o migrantes recientes con un historial crediticio limitado); y el mecanismo por el cual el agente de crédito del prestamista puede anular la recomendación del modelo y qué información debe consultar al hacerlo. El Artículo 13 y el Artículo 22 del RGPD se cruzan aquí: las instrucciones de uso deben describir el procedimiento por el cual un solicitante rechazado puede solicitar la reconsideración humana, ya que el prestamista necesita esa información para cumplir sus propias obligaciones.

Garantía del cumplimiento del Derecho: reconocimiento facial

Un proveedor que suministra capacidad de identificación biométrica remota a las autoridades policiales debe divulgar las tasas de falsa coincidencia y de falsa no coincidencia en condiciones operativas — no en pruebas de referencia de laboratorio — desglosadas por grupo de edad y tono de piel cuando esos datos existan; el umbral mínimo de calidad de imagen por debajo del cual no debe confiarse en el resultado del sistema; si el resultado está concebido como una pista de investigación que requiere verificación independiente o como fundamento para una acción operativa; y el procedimiento para que la autoridad que lo despliega notifique al proveedor las identificaciones falsas sospechosas para su investigación. Las instrucciones deben estar en la lengua de la autoridad que lo despliega y revisarse antes de que el sistema se ponga en funcionamiento.

Asistencia sanitaria: IA de diagnóstico

Un proveedor de una IA de radiología que detecta nódulos pulmonares debe divulgar: la sensibilidad y la especificidad en las condiciones concretas en las que se validó el sistema (tipo de equipo de imagen, rango de edad de los pacientes, umbral de tamaño del nódulo); las poblaciones de pacientes excluidas de la validación o en las que no se midió la exactitud; si el sistema es una ayuda de cribado en la que todos los resultados requieren la revisión de un radiólogo, o una herramienta de apoyo a la decisión en la que puede confiarse en un resultado negativo; y el proceso para que los equipos clínicos notifiquen las discrepancias entre el resultado del sistema y el hallazgo del radiólogo. El Artículo 13, apartado 3 exige la divulgación de las circunstancias de fallo conocidas y previsibles. En un contexto clínico, las «circunstancias de fallo previsibles» incluyen las poblaciones de pacientes en las que el comportamiento del modelo es simplemente desconocido, no solo aquellas en las que se ha demostrado que rinde por debajo.

Educación: IA de evaluación de estudiantes

Un proveedor de una herramienta de puntuación de redacciones o exámenes basada en IA desplegada en centros de secundaria debe divulgar: la metodología de evaluación (qué características utiliza el sistema para producir una puntuación, a un nivel que un docente de aula pueda entender); las cohortes de estudiantes y los tipos de evaluación utilizados en el entrenamiento y su diversidad geográfica y socioeconómica; las limitaciones de exactitud para grupos de estudiantes concretos, en particular los no hablantes nativos o los estudiantes con dificultades de aprendizaje; y el mecanismo de anulación por el cual el docente conserva la autoridad final de calificación. El Artículo 13, apartado 2 exige que las instrucciones sean comprensibles para el responsable del despliegue — en este contexto, el responsable del despliegue es probablemente un administrador escolar o un docente, no un ingeniero de aprendizaje automático.

Paso a paso: construcción de sus instrucciones de uso

La siguiente secuencia ofrece una vía práctica desde la página en blanco hasta una documentación conforme. No es el único enfoque válido, pero aborda las deficiencias que con más frecuencia causan problemas.

Paso 1: confirme la clasificación de alto riesgo. Ejecute la comprobación de la categoría del Anexo III y aplique el filtro del Artículo 6, apartado 3. Documente la conclusión con el razonamiento. Si el sistema es de alto riesgo, prosiga. Si se aplica la exención del Artículo 6, apartado 3, documente por qué y registre la evaluación — pero ha terminado con el Artículo 13.

Paso 2: defina el público de responsables del despliegue. ¿Quién recibirá las instrucciones? El equipo de gestión de riesgos de un gran banco requiere una profundidad y un enfoque distintos que una consultoría de RR. HH. de 15 personas. El mismo sistema puede ser desplegado por múltiples tipos de organización. Si ese es el caso, puede necesitar versiones específicas por tipo de responsable del despliegue, o un único documento con secciones claramente señalizadas para lectores técnicos y no técnicos. El Artículo 13, apartado 2 exige que las instrucciones sean comprensibles para el responsable del despliegue — lo que significa que necesita saber quién es ese responsable del despliegue.

Paso 3: reúna los datos de rendimiento. Extraiga las métricas de rendimiento de la documentación de pruebas del sistema — exactitud, precisión, exhaustividad y cualquier métrica específica del dominio (tasa de falsa coincidencia para la biometría, AUROC para el diagnóstico clínico). Lo decisivo: extraiga los desgloses demográficos. Si esos desgloses no se realizaron, realícelos antes de ultimar las instrucciones. El Artículo 13, apartado 3 exige la divulgación de las variaciones de rendimiento entre personas o grupos concretos. Si no puede producir esos datos, tiene una deficiencia de pruebas, no solo una deficiencia de documentación.

Paso 4: documente los modos de fallo. Enumere las circunstancias en las que se ha observado que el sistema rinde por debajo de su métrica destacada, y las circunstancias en las que el rendimiento degradado es previsible aun cuando todavía no se haya observado. Esto incluye: calidad de los datos de entrada por debajo de un umbral especificado; poblaciones de despliegue que difieren de la población de entrenamiento; deriva temporal (el sistema se entrenó con datos de un período que ya no refleja las condiciones actuales); y entradas adversarias. Para cada modo de fallo, describa qué debe hacer el responsable del despliegue — escalar, anular, suspender el uso del resultado.

Paso 5: redacte la sección de supervisión. Aquí es donde la mayor parte de la documentación se queda corta. No se limite a declarar que «se requiere supervisión humana». Declare quién (por función), en qué condiciones (confianza del resultado por debajo de X, decisión por encima del umbral Y, persona afectada en una clase protegida), cómo (el procedimiento de anulación paso a paso) y qué información debe consultar la persona encargada de la supervisión al emitir su juicio. Esta sección operativiza el Artículo 14 para el contexto del responsable del despliegue. Debe redactarse como orientación operativa, no como prosa de cumplimiento normativo.

Paso 6: describa el registro y la notificación. Especifique qué registra el sistema, con qué granularidad, con qué período de conservación y en qué formato. Describa cómo accede el responsable del despliegue a los registros. Proporcione el contacto y el procedimiento de notificación de incidentes. Indique qué constituye un incidente notificable con arreglo a la propia política del proveedor, y dónde podría cruzarse el umbral de notificación de incidentes graves del Artículo 73 (aunque sea el responsable del despliegue, y no el proveedor, quien normalmente soporta la obligación inicial de notificación).

Paso 7: entregue, versione y registre. Emita las instrucciones antes de que se despliegue el sistema. Registre la entrega: fecha, destinatario, número de versión y método. Si actualiza las instrucciones, vuelva a emitirlas a todos los responsables del despliegue activos y actualice el registro de entrega. Conserve este registro durante toda la vida útil operativa del sistema.

Formato y extensión de la documentación

No existe un formato prescrito para las instrucciones de uso en virtud del Artículo 13. Los requisitos de contenido están definidos; el formato no. En la práctica, la mayoría de los proveedores utilizan una ficha de sistema estructurada en torno a las categorías del Artículo 13, apartado 3, una ficha técnica que acompaña al contrato de adquisición o un documento de divulgación incorporado en la interfaz del sistema. Las tres pueden funcionar. Las tres necesitan versionarse, entregarse de un modo que cree un rastro de auditoría y estar disponibles en la lengua de la organización que despliega.

Mantenga el documento proporcionado. Para la mayoría de los sistemas de IA de alto riesgo, una ficha técnica de trabajo de 10 a 20 páginas con anexos disponibles a petición satisface «conciso» sin sacrificar «completo». Un documento que nadie lee porque tiene 300 páginas no satisface ninguno de los dos.

Actualice las instrucciones cuando el sistema sufra una modificación sustancial con arreglo al Artículo 3, apartado 23 — cambios en los datos de entrenamiento, la arquitectura del modelo, la finalidad prevista o el perfil de riesgo que afecten materialmente al rendimiento. El Artículo 43, apartado 4 exige la reevaluación y reemisión de la documentación de conformidad tras una modificación sustancial; las instrucciones de uso forman parte de ese paquete. Mantenga el control de versiones y documente cuándo se emitió cada versión y a quién.

Deficiencias de cumplimiento habituales

Las evaluaciones de preparación para la auditoría del Artículo 13 sacan a la luz repetidamente los mismos seis hallazgos.

Afirmaciones de rendimiento que coinciden con el resumen de marketing, no con el sistema. Las instrucciones de uso reformulan el argumento comercial — alta exactitud, amplia aplicabilidad, inferencia rápida — sin las salvedades que exige el Artículo 13, apartado 3. Los modos de fallo conocidos y las brechas de rendimiento entre grupos demográficos son la información más difícil de incluir para un proveedor y lo primero que buscará una autoridad de ejecución.

Divulgación técnica inaccesible para el responsable del despliegue. Puntuación F1 de 0,87, AUC-ROC de 0,92, compensación precisión-exhaustividad en el umbral 0,65. Estas cifras pueden ser técnicamente correctas, pero carecen de sentido operativo para un agente de crédito, un administrador escolar o un gestor de adquisiciones de una autoridad pública. El Artículo 13, apartado 2 exige comprensibilidad. Las instrucciones deben traducir el rendimiento técnico en orientación accionable: cuándo escalar, cuándo anular, qué significa en la práctica una puntuación en un rango dado.

Documentación estática sin proceso de actualización. Los proveedores emiten las instrucciones de uso una sola vez en el lanzamiento del producto y las tratan como permanentes. El Artículo 13, apartado 3 exige la divulgación de fallos conocidos y previsibles; «conocidos» es una categoría que se expande a medida que el sistema se utiliza sobre el terreno. Incorpore un ciclo de revisión a su proceso de vigilancia poscomercialización (Artículo 72) y establezca un desencadenante documentado para reemitir las instrucciones cuando los datos de rendimiento cambien materialmente.

Divulgación enterrada en texto contractual estándar. Unas instrucciones de uso incrustadas en un contrato marco de servicios de 60 páginas no son «accesibles» ni «comprensibles» con arreglo al Artículo 13, apartado 2. Un responsable del despliegue debe poder localizar y leer el contenido del Artículo 13 sin asistencia jurídica. Un documento de divulgación independiente — o una sección claramente etiquetada con un enlace directo — es el estándar práctico.

Desajuste de idioma. Un sistema de IA de alto riesgo desplegado en Alemania, Polonia o España debe tener unas instrucciones de uso en una lengua que el equipo del responsable del despliegue lea. No hay una prescripción de idioma explícita en el Artículo 13, apartado 2, pero los requisitos de accesibilidad y comprensibilidad no se satisfacen con documentación en una lengua que el responsable del despliegue no utiliza.

Ausencia de un rastro de auditoría de la entrega. Los proveedores no pueden demostrar el cumplimiento si no pueden mostrar cuándo se facilitaron las instrucciones, a quién, en qué versión y en qué formato. Un hilo de correo electrónico de hace dos años sin número de versión ni confirmación de entrega no es un registro defendible. Cree un registro de divulgación: fecha, destinatario, versión, método de entrega y cualquier confirmación de recepción. Manténgalo durante toda la vida útil operativa del sistema.

Calendario de ejecución y sanciones

En virtud del Ómnibus Digital acordado en mayo de 2026, la obligación del Artículo 13 para los sistemas autónomos de alto riesgo del Anexo III se aplica a partir del 2 de diciembre de 2027. Para los sistemas de IA de alto riesgo que son componentes de seguridad de productos del Anexo I — productos sanitarios, máquinas, equipos de aviación y productos regulados similares — la fecha es el 2 de agosto de 2028.

El 2 de diciembre de 2027 no está tan lejos como parece para los proveedores que no han empezado. Las instrucciones de uso requieren aportaciones de los equipos que construyeron el sistema (para los datos de rendimiento y las características de los datos de entrenamiento), de los equipos que lo probaron (para los modos de fallo y las brechas de rendimiento demográfico) y de los equipos responsables del despliegue y el soporte (para los procedimientos de supervisión y las vías de escalado). Esos equipos rara vez trabajan con los mismos documentos. La coordinación lleva tiempo. Los proveedores que esperen hasta finales de 2027 para empezar producirán documentación a toda prisa; la documentación apresurada del Artículo 13 es exactamente lo que buscan las autoridades de ejecución.

La ejecución corresponde a las autoridades nacionales de vigilancia del mercado y, para las cuestiones sistémicas, a la Oficina Europea de IA. El incumplimiento del Artículo 13 conlleva multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial del ejercicio financiero anterior, si esta última cifra es mayor (Artículo 99, apartado 3). Para las empresas más pequeñas, el Artículo 99, apartado 6 limita las multas al menor del porcentaje y el umbral de importe fijo — un mecanismo de proporcionalidad, no una escapatoria.

Los desencadenantes prácticos de la ejecución incluirán: reclamaciones de responsables del despliegue sobre sistemas cuyos resultados no pudieron interpretar; notificaciones de incidentes en virtud del Artículo 73 que expongan una divulgación previa al despliegue inadecuada; e inspecciones de vigilancia del mercado tras incidentes graves en la asistencia sanitaria, la garantía del cumplimiento del Derecho o los servicios financieros. Unas instrucciones de uso ausentes o incompletas son un hallazgo fácil en una inspección — o están presentes o no lo están.

Cómo respalda Confir el cumplimiento del Artículo 13

El Artículo 13 se sitúa dentro del área de cumplimiento AITO (Transparencia y Supervisión Humana) de Confir, junto con el Artículo 14 (diseño de la supervisión humana) y el Artículo 27 (evaluación de impacto relativa a los derechos fundamentales). Cuando registra un sistema de alto riesgo a través de la Admisión Guiada de Confir, el motor de clasificación basado en reglas delimita el Artículo 13 automáticamente y hace aflorar las obligaciones pertinentes dentro de su panel de cumplimiento.

El control AITO-01 (Transparencia y Explicabilidad) estructura el contenido del Artículo 13, apartado 3 como una lista de comprobación, asignando cada elemento exigido — identidad del proveedor, finalidad prevista, métricas de rendimiento, modos de fallo previsibles, especificaciones de los datos de entrada, medidas de supervisión humana, mecanismos de registro — al subapartado correspondiente del Artículo 13. Cada elemento de la lista de comprobación enlaza con las respuestas de la Admisión Guiada ya captadas para el sistema, lo que reduce el retrabajo. Las respuestas completadas alimentan el Paquete de Conformidad, que incluye una plantilla preestructurada de instrucciones de uso construida en torno a las categorías de contenido obligatorio. La exportación de la Ficha Técnica PDF produce un documento de divulgación versionado y con marca de tiempo, listo para los cuestionarios de proveedores y las presentaciones regulatorias.

El registro de auditoría inmutable consigna cuándo se completó cada elemento de divulgación, por quién y frente a qué versión del registro del sistema. Cuando un sistema registrado se marca por modificación sustancial, Confir activa una tarea de reevaluación vinculada al Artículo 13 y al Artículo 43, apartado 4, garantizando que las instrucciones de uso se mantengan actualizadas durante toda la vida útil operativa del sistema.

Novedades pendientes que conviene vigilar

El Artículo 13 tal como está redactado en el Reglamento (UE) 2024/1689 es el texto operativo. El Ómnibus Digital aplaza el plazo de alto riesgo, pero no altera las obligaciones sustantivas. Dos novedades en el período hasta 2027 merecen seguimiento.

El mandato de normalización de la Comisión en virtud del Artículo 40 puede producir normas armonizadas para las instrucciones de uso en sectores de alto riesgo concretos — la IA de asistencia sanitaria, la IA de servicios financieros y la IA de empleo son los candidatos más probables. El cumplimiento de una norma armonizada adoptada creará una presunción de conformidad con el Artículo 13. A fecha de junio de 2026, no se ha adoptado ninguna norma de este tipo. Los proveedores de esos sectores deben hacer seguimiento de las novedades de CEN/CENELEC y de la ISO/IEC 42001, ya que es probable que surjan orientaciones sectoriales antes del plazo de diciembre de 2027.

La Oficina Europea de IA está desarrollando un marco modelo de aviso de transparencia para uso voluntario por parte de los proveedores de GPAI, que también puede informar lo que las autoridades nacionales de vigilancia del mercado consideren una divulgación adecuada a efectos del Artículo 13. Los proveedores de sectores de alto riesgo que deseen una señal temprana sobre las expectativas de ejecución deben hacer seguimiento de ese trabajo y de las publicaciones de orientación de la Oficina de IA a medida que aparezcan.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.