Skip to content
Confir.
Prueba gratuita
Blog

Artículo 14 de la Ley de IA de la UE: supervisión humana de los sistemas de IA de alto riesgo

Annex Guide5 May 2026· 25 min de lectura

El Artículo 14 de la Ley de IA de la UE exige la supervisión humana de toda la IA de alto riesgo. Cinco obligaciones, deberes del responsable del despliegue del Artículo 26 y el plazo del 2 de diciembre de 2027.

El Artículo 14 del Reglamento (UE) 2024/1689 exige que todo sistema de IA de alto riesgo se diseñe y utilice de modo que una persona física designada y competente pueda comprender lo que el sistema está haciendo, detectar cuándo se desvía y detenerlo. No es una aspiración de gobernanza; es una obligación técnica y procedimental vinculante que condiciona tanto la forma en que los proveedores construyen los sistemas de alto riesgo como la forma en que los responsables del despliegue los operan. En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas autónomos de alto riesgo (la lista del Anexo III: selección de personal, crédito, biometría, educación, garantía del cumplimiento del Derecho y otros) deben cumplir esta obligación a partir del 2 de diciembre de 2027. Los sistemas que son componentes de seguridad de productos regulados con arreglo al Anexo I deben cumplir a partir del 2 de agosto de 2028. El incumplimiento del Artículo 14 y de las obligaciones de alto riesgo asociadas acarrea multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor (Artículo 99).

Dos cosas distinguen el Artículo 14 de obligaciones aparentemente similares. En primer lugar, no es lo mismo que la transparencia del Artículo 13, que se refiere a qué información deben facilitar los proveedores a los responsables del despliegue sobre el sistema. El Artículo 14 trata del control operativo: la capacidad real de intervenir. En segundo lugar, no es lo mismo que el Artículo 22 del RGPD, que restringe las decisiones individuales basadas únicamente en el tratamiento automatizado con efectos jurídicos o similarmente significativos y otorga a los interesados el derecho a solicitar la revisión humana. El Artículo 14 es más amplio: se aplica al funcionamiento íntegro de un sistema de IA de alto riesgo, no solo a los resultados que activan el Artículo 22, y crea deberes para la organización en lugar de derechos para las personas. Los dos regímenes se solapan cuando una IA de alto riesgo alimenta decisiones sobre personas; las organizaciones sujetas a ambos deben satisfacer cada uno en sus propios términos.

Qué exige realmente el Artículo 14: las cinco obligaciones

El texto del Artículo 14 se divide en cinco apartados numerados. Cada uno crea una obligación distinta.

Artículo 14, apartado 1: diseño para la supervisión

Los sistemas de IA de alto riesgo deben diseñarse y desarrollarse —incluso con herramientas adecuadas de interfaz humano-máquina— de modo que puedan ser supervisados de manera efectiva por personas físicas durante el periodo de uso. Esto sitúa el deber de diseño principal en el proveedor: cuando un sistema llega al mercado, la supervisión humana debe ser técnicamente factible, no añadida con posterioridad.

«De manera efectiva» es la expresión determinante. Un sistema que genera resultados que un no especialista no puede interpretar, o que opera a una velocidad o escala que hace impracticable la revisión, no satisface el Artículo 14, apartado 1, por muchas casillas de aprobación que se le acoplen.

Artículo 14, apartado 2: el objetivo — prevenir y minimizar el riesgo

Las medidas de supervisión tienen por objetivo prevenir o minimizar los riesgos para la salud, la seguridad y los derechos fundamentales. Este apartado ancla todo el Artículo a la finalidad de prevención del daño del Reglamento: la supervisión no es un registro burocrático, es un control activo del riesgo.

Artículo 14, apartado 3: reparto entre el proveedor y el responsable del despliegue

Las medidas de supervisión deben identificarse y, cuando sea técnicamente factible, integrarse en el sistema por el proveedor. Cuando la viabilidad técnica limite lo que puede integrarse, las medidas restantes deben ser aplicadas por el responsable del despliegue.

En la práctica, esto crea una responsabilidad compartida:

  • Proveedor: diseña resultados interpretables, herramientas de explicabilidad, paneles de seguimiento, umbrales de alerta y un mecanismo para detener el sistema. Documenta el diseño de la supervisión en la documentación técnica del Anexo IV.
  • Responsable del despliegue: asigna personas formadas y competentes para ejercer la supervisión; establece procedimientos operativos; garantiza que los mecanismos integrados por el proveedor se utilizan realmente.

Ninguna de las dos partes puede descargar su obligación señalando a la otra.

Artículo 14, apartado 4: qué debe poder hacer el supervisor

El Artículo 14, apartado 4, es el núcleo sustantivo. Las personas asignadas para supervisar un sistema de IA de alto riesgo deben estar capacitadas para:

a) Comprender adecuadamente las capacidades y limitaciones del sistema. No un resumen de alto nivel, sino un conocimiento operativo de lo que el sistema puede y no puede hacer, de dónde procedían sus datos de entrenamiento, para qué casos de uso no fue diseñado y qué aspecto tienen sus modos de fallo en la práctica. Un supervisor de una IA de calificación crediticia que no sabe que el modelo se entrenó con un perfil demográfico determinado no puede evaluar de forma significativa si sus resultados son fiables para un solicitante concreto.

b) Vigilar el funcionamiento, incluso detectando anomalías, disfunciones o rendimientos inesperados. Vigilancia continua, no una revisión posterior al incidente. Para una IA de selección de personal, esto significa advertir cuándo cambian las tasas de rechazo de un grupo protegido. Para un sistema de detección de fraude, significa captar cuándo la tasa de falsos positivos sube por encima del nivel de referencia.

c) Mantenerse consciente del sesgo de automatización —la tendencia a confiar en exceso en las recomendaciones de la IA sin un escrutinio crítico suficiente, especialmente en los sistemas que proporcionan información o recomendaciones a personas—. El Reglamento lo nombra explícitamente porque es un riesgo cognitivo documentado. Las organizaciones deben diseñar sus procesos para contrarrestarlo: revisión obligatoria de los resultados de alta confianza, justificación documentada de las anulaciones, auditorías periódicas de las tasas de aprobación. Un supervisor que aprueba el 98 % de las recomendaciones de la IA sin un razonamiento documentado está mostrando sesgo de automatización, sea cual sea su confianza subjetiva.

d) Interpretar correctamente el resultado. El sistema debe proporcionar herramientas y métodos —puntuaciones de confianza, importancia de las características, explicaciones, rangos de incertidumbre— que permitan al supervisor comprender qué significa el resultado, no limitarse a aceptarlo o rechazarlo como una cifra.

e) Decidir no utilizar el sistema, o descartar, anular o revertir el resultado en una situación concreta. Y, cuando sea necesario, intervenir o detener el sistema mediante un «botón de parada» o un procedimiento similar. Este es el requisito del interruptor de emergencia: el supervisor debe disponer de los medios técnicos y de la autoridad organizativa para detener el funcionamiento. Una autoridad que existe sobre el papel pero que no puede ejercerse sin la aprobación de tres niveles directivos no es cumplimiento.

Artículo 14, apartado 5: verificación por dos personas para la identificación biométrica remota

Para los sistemas de IA de alto riesgo que sean sistemas de identificación biométrica remota (Anexo III, punto 1, letra a)), el Artículo 14, apartado 5, impone una regla adicional, más estricta: no podrá adoptarse ninguna acción ni decisión sobre la base de una identificación a menos que haya sido verificada y confirmada por separado por al menos dos personas físicas competentes. Esta regla de las dos personas se aplica tanto si la identificación se utiliza para la garantía del cumplimiento del Derecho, el control fronterizo o cualquier otro fin del Anexo III, con una salvedad estrecha para la garantía del cumplimiento del Derecho cuando la urgencia de la situación haga imposible la doble confirmación previa, en cuyo caso se exige la verificación retrospectiva.

Esta disposición refleja el especial potencial de daño derivado de la identificación biométrica errónea. Es independiente y adicional a las obligaciones generales de supervisión del Art. 14, apdo. 4.

El deber del responsable del despliegue del Artículo 26: asignar a las personas adecuadas

El Artículo 14 define en qué consiste la supervisión. El Artículo 26 hace responsable al responsable del despliegue de garantizar que ocurra: los responsables del despliegue deben encomendar la supervisión humana a personas que tengan la competencia, la formación y la autoridad necesarias.

Los tres elementos son innegociables.

La competencia es específica del ámbito. Un analista de préstamos que supervisa un modelo de riesgo de crédito necesita comprender los datos de entrenamiento del modelo, su exactitud entre los distintos grupos demográficos y lo que cuesta un falso negativo en la práctica. Un radiólogo que supervisa un sistema de imagen médica necesita conocimientos clínicos para distinguir una alucinación del sistema de un hallazgo genuino. Ninguno de los dos necesita ser científico de datos, pero ambos necesitan suficiente alfabetización técnica para reconocer anomalías.

La formación debe estar documentada y ser específica del sistema. La concienciación general en ética de la IA no es suficiente. La formación debe abarcar: la finalidad prevista del sistema y sus limitaciones conocidas (Art. 14, apdo. 4, letra a)); cómo leer sus resultados (Art. 14, apdo. 4, letra d)); qué aspecto tienen las anomalías (Art. 14, apdo. 4, letra b)); cómo reconocer y resistir el sesgo de automatización (Art. 14, apdo. 4, letra c)); y el procedimiento de anulación y escalado (Art. 14, apdo. 4, letra e)). Cuando el sistema se modifica sustancialmente, la formación debe actualizarse.

La autoridad debe ser real. La decisión del supervisor de rechazar, anular o detener la IA debe ser vinculante dentro de su ámbito asignado. Ninguna capa de aprobación rutinaria puede anularla sin una justificación documentada. Encomendar la supervisión a un analista júnior que debe escalar toda anulación a un directivo que después aprueba rutinariamente el resultado original de la IA no satisface el Artículo 26.

Un patrón de fallo habitual: asignar la supervisión a un cargo y no a una persona física designada. Las autoridades preguntarán quién realizó la supervisión en una fecha concreta. Tenga un nombre.

El Artículo 14 no es el Artículo 13, ni el Artículo 22 del RGPD

Dado que el Artículo 14 se sitúa en medio de una densa pila de cumplimiento, conviene ser preciso sobre lo que no es.

El Artículo 13 (transparencia hacia los responsables del despliegue) exige a los proveedores facilitar instrucciones, descripciones del sistema, métricas de rendimiento y limitaciones conocidas para que los responsables del despliegue puedan utilizar el sistema correctamente. Es una obligación de documentación. El Artículo 14 es una obligación de control operativo. Un sistema puede tener una documentación del Artículo 13 excelente y, aun así, incumplir el Artículo 14 si el supervisor del responsable del despliegue carece de la formación o la autoridad para actuar sobre ella.

El Artículo 22 del RGPD prohíbe las decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o similarmente significativos sobre las personas, y otorga a los interesados el derecho a solicitar la intervención humana, a expresar su punto de vista y a impugnar la decisión. El Artículo 22 crea derechos individuales y prohíbe determinadas decisiones en ausencia de intervención humana. El Artículo 14 crea obligaciones organizativas de mantener la capacidad de supervisión con independencia de que alguna persona invoque el Artículo 22. En la práctica, si su IA de alto riesgo toma decisiones individuales que también activan el Artículo 22 —denegaciones de crédito, rechazos de empleo—, debe satisfacer ambos: la revisión humana del Artículo 22 debe ser genuina, y el marco de supervisión del Artículo 14 debe sustentar el proceso. El supervisor del Artículo 14 y el revisor humano del Artículo 22 pueden ser la misma persona, siempre que tengan la competencia y la autoridad que cada régimen exige.

Obligaciones del proveedor: integrar la supervisión

Para un proveedor que introduce un sistema de IA de alto riesgo en el mercado, el Artículo 14 es una especificación de diseño, no una ocurrencia tardía. El sistema debe llegar con la infraestructura técnica para la supervisión ya integrada.

En concreto, esto significa:

Resultados interpretables. Un sistema que devuelve una clasificación binaria sin explicación hace imposible el Artículo 14, apartado 4, letra d). Los resultados deben incluir la información que un supervisor necesita para interpretarlos correctamente: puntuaciones de confianza, los factores que impulsaron el resultado, los rangos con los que se entrenó el sistema y cualquier salvedad sobre casos límite o entradas fuera de distribución.

Capacidad de seguimiento. El sistema debe generar registros, alertas y métricas de rendimiento que permitan a un supervisor detectar anomalías (Art. 14, apdo. 4, letra b)) en tiempo real o casi real. Un sistema que solo puede auditarse extrayendo registros de la base de datos seis meses después no cumple.

Un mecanismo de parada funcional. El Artículo 14, apartado 4, letra e), exige un «botón de parada o un procedimiento similar». Debe tratarse de una capacidad técnica documentada: una persona designada puede detener el sistema, y el sistema se detendrá. El mecanismo debe probarse.

Documentación para los responsables del despliegue. Con arreglo al apartado 8 del Anexo IV, la documentación técnica debe especificar: el diseño de la supervisión humana, los requisitos de competencia de los supervisores, los puntos de decisión en los que la supervisión es obligatoria, las interfaces y herramientas que la posibilitan, y los procedimientos de escalado y anulación. Esto es lo que reciben los responsables del despliegue y lo que deben aplicar.

Cuando sea técnicamente inviable integrar una medida de supervisión concreta en el propio sistema —por ejemplo, porque el sistema se despliega en contextos que el proveedor no puede controlar—, el Artículo 14, apartado 3, permite al proveedor especificar que el responsable del despliegue debe aplicar esas medidas operativamente. Pero esto debe documentarse y no puede utilizarse como una excepción general: el valor por defecto es la integración, con las medidas del lado del responsable del despliegue como recurso para lo que sea genuinamente inviable.

Obligaciones del responsable del despliegue: hacer real la supervisión

La mayoría de las empresas son responsables del despliegue: compran o ceden bajo licencia un sistema de IA de alto riesgo de un proveedor y lo ponen en uso en sus operaciones. El Artículo 14, apartado 3, y el Artículo 26, conjuntamente, definen lo que deben hacer los responsables del despliegue.

Seguir las instrucciones del proveedor. La documentación del Artículo 13 del proveedor especifica cómo se pretende utilizar el sistema y qué medidas de supervisión debe aplicar el responsable del despliegue. No seguir esas instrucciones es en sí mismo un incumplimiento.

Asignar supervisores designados, competentes, formados y con autoridad real. Véase la sección del Artículo 26 anterior.

Establecer procedimientos operativos documentados. ¿Cómo recibe el supervisor los resultados? ¿Qué información ve? ¿Qué resultados requieren una revisión obligatoria antes de actuar? ¿Cuál es la vía de escalado? ¿Qué desencadena una parada? Estos procedimientos deben estar por escrito, probarse y actualizarse cuando el sistema cambie.

Vigilar y registrar. El Artículo 26 exige a los responsables del despliegue conservar los registros de funcionamiento durante al menos seis meses, o más cuando otra norma de la UE o nacional lo requiera. Los registros deben recoger las entradas, los resultados y las acciones de supervisión humana: aprobaciones, rechazos, anulaciones, escalados.

Notificar los incidentes graves. Cuando un sistema de IA de alto riesgo cause o pueda causar un daño grave, el Artículo 26 exige al responsable del despliegue notificarlo al proveedor y, cuando proceda, a las autoridades competentes con arreglo al Artículo 73 sin demora indebida.

Un responsable del despliegue no puede alegar como defensa que el sistema del proveedor era inadecuado. El Artículo 26 sitúa el deber de hacer funcionar la supervisión de lleno en el responsable del despliegue. Si el sistema del proveedor no admite una supervisión adecuada, el responsable del despliegue no debería desplegarlo.

El problema del sesgo de automatización en la práctica

El Artículo 14, apartado 4, letra c), señala el sesgo de automatización porque es el modo de fallo práctico más habitual de la supervisión humana. Conviene entender qué aspecto tiene en producción.

Un equipo de historias clínicas despliega una IA que predice el riesgo de deterioro del paciente. El sistema acierta el 89 % de las veces. Los supervisores reciben una cola de pacientes marcados. Al cabo de tres meses, los analistas extraen el registro de anulaciones: los supervisores han discrepado del sistema en el 1,2 % de los casos. El sistema está anulando el juicio humano, no al revés. Los supervisores creen que están ejerciendo la supervisión; en realidad están ratificando las decisiones de la IA.

El arreglo es procedimental, no solo técnico. Una mitigación eficaz del sesgo de automatización incluye:

  • Seleccionar aleatoriamente resultados para una revisión detallada obligatoria, incluidos los resultados de alta confianza (no solo los casos límite)
  • Exigir a los supervisores que documenten su razonamiento, no solo que aprueben o rechacen
  • Auditar las tasas de anulación e investigar la infrautilización sistemática de la autoridad de anulación
  • Probar periódicamente a los supervisores con casos sintéticos en los que la IA se equivoca y medir las tasas de detección

No son buenas prácticas opcionales. Son la operacionalización del requisito del Artículo 14, apartado 4, letra c), de que los supervisores «sean conscientes de la posible tendencia a confiar automáticamente o en exceso en el resultado».

Caso especial: identificación biométrica remota con arreglo al Artículo 14, apartado 5

Los sistemas de identificación biométrica remota —sistemas que identifican a las personas a distancia sin su cooperación activa, como el reconocimiento facial en espacios públicos— se tratan como la subclase de IA de alto riesgo con más en juego. Por tanto, el Artículo 14, apartado 5, impone una regla específica de las dos personas: no se permite ninguna acción ni decisión sobre la base de una identificación biométrica a menos que al menos dos personas físicas competentes la hayan verificado y confirmado por separado.

«Por separado» significa de forma independiente: no una persona que avala la conclusión de otra, sino dos evaluaciones independientes que alcanzan cada una el mismo resultado. Ambas personas deben ser competentes, lo que, para una aplicación de garantía del cumplimiento del Derecho, suele significar agentes formados con la autoridad legal para actuar sobre la identificación.

La estrecha salvedad por urgencia se aplica únicamente en contextos de garantía del cumplimiento del Derecho en los que la confirmación previa por dos personas sea genuinamente impracticable. Incluso entonces, se exige la doble verificación retrospectiva. Las organizaciones que despliegan la identificación biométrica remota con fines comerciales —control de accesos, control de asistencia, reconocimiento de clientes— no tienen salvedad por urgencia.

Aplicar el Artículo 14: qué aspecto tiene una estructura de supervisión viable

Los requisitos abstractos se aclaran con un ejemplo concreto. Considere una empresa de logística de 60 personas que utiliza un sistema de IA de alto riesgo para cribar a los candidatos a un empleo (Anexo III, punto 4 — empleo). El sistema clasifica a los candidatos y recomienda una preselección.

Diseño del lado del proveedor (Artículo 14, apartados 1 y 3): El sistema genera una lista ordenada con una puntuación y los tres factores de puntuación principales de cada candidato. Marca cualquier candidato cuya confianza sea inferior al 70 % o en el que una característica protegida aparezca entre los cinco factores principales. Incluye un botón de anulación documentado en la interfaz, y la interfaz exige que el revisor registre un motivo antes de confirmar o anular la preselección.

Aplicación del lado del responsable del despliegue (Artículo 26): Se designa supervisora a la directora de RR. HH. Tiene cinco años de experiencia en selección de personal y completa una formación específica del sistema de dos horas que abarca la exactitud del modelo por grupo demográfico, sus modos de fallo conocidos en currículos no estándar y el procedimiento de anulación. La formación queda registrada en el sistema de RR. HH. Su autoridad para rechazar o modificar la preselección está documentada en la política de gobernanza de TI: no se requiere ninguna aprobación para ejercerla.

Procedimiento operativo: Toda recomendación de preselección se encamina a la cola de revisión de la directora de RR. HH. antes de comunicarse a los candidatos. Ella revisa los factores de puntuación, comprueba si hay anomalías y aprueba o modifica la preselección. Su decisión se registra con una marca de tiempo. Si el sistema marca a más de tres candidatos con advertencias de característica protegida en un solo lote, ella escala al responsable de cumplimiento.

Seguimiento: Cada mes, el responsable de cumplimiento revisa el registro de anulaciones. Una tasa de anulación inferior al 3 % desencadena una revisión del sesgo de automatización. Todo incidente grave (un resultado discriminatorio que cause daño) se notifica al proveedor en un plazo de 48 horas con arreglo al Artículo 73.

Esta es una aplicación proporcionada del Artículo 14 para una empresa de ese tamaño. Una entidad financiera mayor que despliega un sistema de decisión crediticia necesitaría controles más elaborados —varios supervisores, evaluación formal de la competencia, integración con el sistema de gestión de riesgos del Artículo 9—, pero la estructura es la misma.

Requisitos de documentación

Para los proveedores, el Artículo 11 y el apartado 8 del Anexo IV exigen que la documentación técnica incluya el diseño de la supervisión humana:

  • La función de supervisión y su papel en el ciclo de vida del sistema
  • Los requisitos de competencia y formación de los supervisores
  • Las interfaces técnicas, los mecanismos de alerta y la conservación de registros
  • El mecanismo de parada y cómo funciona
  • Los procedimientos de escalado y anulación

Para los responsables del despliegue, la documentación adopta la forma de procedimientos operativos: registros escritos de quién supervisa qué, qué formación ha completado, cuál es la cadencia de seguimiento y qué aspecto tiene la vía de escalado. Estos procedimientos operativos son independientes de la documentación técnica del proveedor; son el propio registro de cumplimiento del responsable del despliegue.

El Artículo 11, apartado 5, exige tanto a los proveedores como a los responsables del despliegue conservar la documentación durante el periodo de despliegue más cinco años. Un sistema desplegado en 2027 y retirado en 2033 requiere documentación hasta 2038. Las autoridades competentes pueden solicitarla en cualquier momento; no presentarla es una infracción independiente con arreglo al Artículo 99.

Cómo respalda Confir el cumplimiento del Artículo 14

El área de cumplimiento AITO de Confir (Transparencia y Supervisión Humana) abarca los Artículos 13, 14, 27 y 50. Para el Artículo 14 en concreto, el registro de evaluación de la supervisión humana dentro de AITO le guía a través de la designación del supervisor, la documentación de la competencia y la autoridad, la especificación de la cadencia de seguimiento y el registro del mecanismo de parada. La misma evaluación alimenta el resultado de documentación del apartado 8 del Anexo IV de Confir para los proveedores y la plantilla de procedimientos operativos para los responsables del despliegue.

La Puntuación de Salud del Cumplimiento señala como brecha crítica todo sistema de alto riesgo sin un registro de evaluación de la supervisión humana completado. Para los responsables del despliegue cuyos sistemas inciden en ámbitos sensibles del Anexo III —empleo, garantía del cumplimiento del Derecho, justicia—, la evaluación de impacto relativa a los derechos fundamentales (Artículo 27) incluye una sección dedicada a la supervisión humana en la que se evalúa la adecuación de la supervisión frente a los derechos en juego.

Sanciones y contexto de ejecución

El incumplimiento del Artículo 14 entra en el nivel sancionador intermedio del Artículo 99: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial del ejercicio anterior, si esta última cifra es mayor. Para las empresas de menos de 250 empleados, la multa se limita al menor de los dos importes, el porcentaje o la cantidad fija —una protección de proporcionalidad que el Artículo 99, apartado 6, extiende específicamente a las pymes y las empresas emergentes—.

Las autoridades de vigilancia del mercado, las autoridades nacionales competentes y la Oficina de IA pueden investigar el cumplimiento, exigir documentación y ordenar medidas correctoras o la suspensión del sistema. Para los sistemas de alto riesgo en los ámbitos de la garantía del cumplimiento del Derecho, la justicia o la biometría, la regla de las dos personas del Artículo 14, apartado 5, será un foco específico de auditoría.

El plazo importa: los sistemas autónomos del Anexo III deben cumplir a partir del 2 de diciembre de 2027. Eso es aproximadamente 18 meses a partir de ahora. La documentación técnica, el diseño de la supervisión, la evaluación de la competencia y los procedimientos operativos requieren todos un tiempo considerable para elaborarse. Empezar en la segunda mitad de 2026 es razonable; empezar en el tercer trimestre de 2027 no lo es.

Preguntas frecuentes

¿De qué trata exactamente el Artículo 14 y por qué a veces se etiqueta erróneamente como Artículo 6?

El Artículo 14 es el requisito de supervisión humana de los sistemas de IA de alto riesgo del Reglamento (UE) 2024/1689. Exige que los sistemas de alto riesgo se diseñen de modo que las personas físicas puedan comprenderlos, vigilarlos y detenerlos. El etiquetado erróneo se produce porque las guías más antiguas —y algunos resúmenes profesionales— asignan incorrectamente la supervisión al Artículo 6, que es en realidad la regla de clasificación que determina si un sistema es de alto riesgo en primer lugar. El Artículo 6 pregunta «¿es este sistema de alto riesgo?». El Artículo 14 pregunta «dado que lo es, ¿quién lo supervisa y cómo?».

¿Se aplica el Artículo 14 a todos los sistemas de IA que utiliza mi empresa?

No. El Artículo 14 se aplica únicamente a los sistemas de IA de alto riesgo según se definen en el Artículo 6 y el Anexo III (y el Anexo I para los componentes de seguridad de productos). Un chatbot de atención al cliente, un motor de recomendaciones de marketing o una herramienta interna de planificación casi con certeza no son de alto riesgo. Primero debe clasificar cada sistema frente al Anexo III antes de que se apliquen las obligaciones del Artículo 14. Si su sistema no encaja en una categoría del Anexo III, o si cumple los requisitos del filtro del Artículo 6, apartado 3 (tarea procedimental limitada, sin elaboración de perfiles de personas físicas), el Artículo 14 no se aplica.

¿Quién debe aplicar el Artículo 14, el proveedor o el responsable del despliegue?

Ambos, de formas distintas. Los proveedores deben integrar la capacidad de supervisión en el sistema: resultados interpretables, herramientas de seguimiento, un mecanismo de parada y requisitos de competencia documentados. Los responsables del despliegue deben hacer operativa la supervisión: asignar personas designadas, formadas y con autoridad, establecer procedimientos documentados y conservar registros. El Artículo 14, apartado 3, traza la línea por la viabilidad técnica: lo que pueda integrarse debe integrarse; lo que no, es responsabilidad del responsable del despliegue aplicarlo. Un responsable del despliegue no puede señalar las deficiencias del proveedor como defensa de una supervisión inadecuada.

¿Qué es el sesgo de automatización y cómo lo aborda el Artículo 14?

El sesgo de automatización es la tendencia cognitiva a aceptar el resultado de la IA con menos escrutinio que la misma información presentada por un humano —especialmente cuando la IA expresa una confianza elevada, cuando el supervisor está ocupado o cuando las anulaciones rara vez son necesarias—. El Artículo 14, apartado 4, letra c), exige explícitamente que los supervisores estén capacitados para mantenerse conscientes de esta tendencia. En la práctica, el cumplimiento significa: puntos de control procedimentales que exijan un razonamiento documentado en lugar de una aprobación pasiva; auditorías periódicas de las tasas de anulación; muestreo aleatorio de resultados de alta confianza para una revisión detallada obligatoria; y formación que aborde explícitamente el fenómeno.

¿Qué es la regla de las dos personas del Artículo 14, apartado 5, para la identificación biométrica?

Para los sistemas de identificación biométrica remota (Anexo III, punto 1, letra a)), el Artículo 14, apartado 5, prohíbe cualquier acción o decisión basada en la identificación a menos que al menos dos personas físicas competentes la hayan verificado y confirmado por separado. Esto es independiente de las obligaciones generales de supervisión del Artículo 14, apartado 4: ambas se aplican. La regla de las dos personas tiene una estrecha salvedad por urgencia para la garantía del cumplimiento del Derecho, pero no existe una excepción equivalente para los despliegues comerciales como el control de accesos o el reconocimiento de clientes.

¿Cómo se relaciona el Artículo 14 con el Artículo 22 del RGPD?

Son obligaciones distintas que pueden solaparse. El Artículo 22 del RGPD restringe las decisiones basadas únicamente en el tratamiento automatizado con efectos jurídicos o similarmente significativos sobre las personas, y otorga a los interesados derechos a solicitar la intervención humana e impugnar la decisión. El Artículo 14 crea obligaciones organizativas de mantener la supervisión de los sistemas de IA de alto riesgo con independencia de que una persona invoque el Artículo 22. Cuando una IA de alto riesgo produce decisiones individuales que activan ambos —una denegación de crédito, un rechazo de empleo—, las organizaciones deben satisfacer cada régimen de forma independiente.

¿Cuál es el plazo de cumplimiento del Artículo 14?

En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones del Artículo 14 para los sistemas autónomos de alto riesgo del Anexo III se aplican a partir del 2 de diciembre de 2027 (aplazadas respecto de la fecha original del 2 de agosto de 2026). La IA de alto riesgo integrada como componente de seguridad de productos regulados del Anexo I debe cumplir a partir del 2 de agosto de 2028. El acuerdo político se alcanzó el 7 de mayo de 2026; la adopción formal se espera antes de la fecha original de agosto de 2026.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.