Skip to content
Confir.
Prueba gratuita
Blog

Artículo 49 de la Ley de IA de la UE: registro en la base de datos de la UE para la IA de alto riesgo (2027)

Annex Guide20 March 2026· 18 min de lectura

El Artículo 49 exige a los proveedores de sistemas de IA de alto riesgo del Anexo III registrarse en la base de datos de la UE antes de la introducción en el mercado. Plazo: 2 de diciembre de 2027.

Antes de que un sistema de IA de alto riesgo pueda llegar legalmente a un cliente, debe inscribirse en una base de datos pública de la UE. El Artículo 49 del Reglamento (UE) 2024/1689 convierte ese registro en un requisito previo estricto — no en un trámite posterior al lanzamiento, no en una presentación opcional. Sin registro, no hay introducción legal en el mercado.

Esta guía cubre quién debe registrarse y cuándo, qué datos se introducen en la base de datos de la UE, qué sistemas se derivan a una sección restringida no pública, cómo se relaciona el Artículo 49 con la evaluación de la conformidad (Artículo 43), la declaración de conformidad (Artículo 47) y el marcado CE (Artículo 48) que la preceden, y qué significa la obligación de registro en la práctica para una empresa de 20 o 200 personas.

El plazo de cumplimiento para los sistemas autónomos de alto riesgo del Anexo III es el 2 de diciembre de 2027, tras el aplazamiento acordado en virtud del Ómnibus Digital en mayo de 2026.

Qué exige realmente el Artículo 49

El Artículo 49 crea tres deberes de registro distintos, cada uno dirigido a un actor diferente.

Los proveedores (y sus representantes autorizados) deben registrarse a sí mismos y a su sistema de IA de alto riesgo en la base de datos de la UE a que se refiere el Artículo 71 antes de introducir el sistema en el mercado o ponerlo en servicio — siempre que el sistema entre dentro del Anexo III pero no sea uno de los sistemas de infraestructuras críticas enumerados en el Anexo III, punto 2 (componentes de seguridad en la gestión y el funcionamiento de la infraestructura digital crítica, el tráfico rodado y los servicios públicos). Los sistemas del punto 2 siguen las normas sectoriales de los productos del Anexo I y no se registran en virtud del Artículo 49.

Los proveedores que aplicaron la exención del Artículo 6, apartado 3 — es decir, los proveedores que concluyeron que su sistema del Anexo III no plantea un riesgo significativo de perjuicio y, por tanto, no es de alto riesgo — también deben registrarse a sí mismos y al sistema. El registro no es exclusivo de los sistemas confirmados como de alto riesgo. Si invocó la exención, la base de datos hace constar ese hecho. Este es un mecanismo de transparencia deliberado: las autoridades reguladoras y el público pueden ver que un proveedor evaluó el sistema y reclamó la exención, lo que crea una rendición de cuentas respecto de esa evaluación.

Los responsables del despliegue que sean autoridades públicas, instituciones, órganos u organismos de la Unión, o partes privadas que actúen en su nombre, deben registrar el uso que hacen de un sistema de alto riesgo del Anexo III antes de ponerlo en servicio. Una empresa privada que utiliza una herramienta de IA de alto riesgo sin un mandato de autoridad pública no soporta esta obligación. Un ayuntamiento que utiliza una herramienta de vigilancia policial predictiva o de admisibilidad a prestaciones sí.

Los campos de datos del Anexo VIII

La información introducida en la base de datos de la UE se especifica en el Anexo VIII de la Ley, que se divide en tres secciones.

La sección A cubre el registro por parte de los proveedores (o sus representantes autorizados) de los sistemas del Anexo III que no están sujetos a la exención del Artículo 6, apartado 3 — es decir, los sistemas confirmados como de alto riesgo. Los campos incluyen: el nombre y los datos de contacto del proveedor; los Estados miembros de introducción prevista en el mercado; el nombre y la descripción del sistema; la finalidad prevista; la categoría del Anexo III en la que entra el sistema; la información de versión; el estado (disponible en el mercado o retirado); una descripción resumida para el público; un enlace a las instrucciones de uso (cuando estén disponibles públicamente); una referencia a la vía de evaluación de la conformidad del Artículo 43 utilizada; y si intervino un organismo notificado.

La sección B cubre el registro por parte de los proveedores que aplicaron la exención de no alto riesgo del Artículo 6, apartado 3. Los campos son más reducidos: la identidad del proveedor, el nombre del sistema, una descripción de la finalidad prevista y una declaración de los motivos para concluir que el sistema no plantea un riesgo significativo de perjuicio.

La sección C cubre el registro por parte de los responsables del despliegue que sean organismos públicos. Los campos incluyen: la identidad y los datos de contacto del responsable del despliegue; el nombre y el número de registro del sistema de IA tal como los introdujo el proveedor; el uso previsto por el responsable del despliegue, incluida la zona geográfica, las categorías de personas físicas a las que se aplicará el sistema y el número previsto de personas afectadas; y la justificación para utilizar el sistema.

Los proveedores que se registran en virtud de la sección A también deben actualizar el registro tras cada modificación sustancial y cuando el sistema se retira del mercado.

Qué desencadena una actualización de un registro existente

El registro no es un acto puntual. Los proveedores deben actualizar la entrada de la base de datos de la UE siempre que:

  • el sistema sufra una modificación sustancial (el Artículo 43, apartado 4, desencadena una nueva evaluación de la conformidad; el registro debe reflejar la versión actualizada y el resultado de la evaluación);
  • el sistema se retire del mercado o se ponga fuera de servicio;
  • la información previamente registrada — finalidad prevista, categoría del Anexo III, vía de conformidad — haya cambiado.

Los proveedores que se registran y luego reentrenan significativamente el modelo, amplían la finalidad prevista más allá de lo declarado o añaden funcionalidad que incorpora al ámbito de aplicación nuevas categorías de personas físicas deben tratar eso como un nuevo ciclo de evaluación y actualizar el registro en consecuencia. La entrada de la base de datos no es una instantánea congelada en el lanzamiento — es un registro vivo.

Representantes autorizados y registro transfronterizo

Si el proveedor está establecido fuera de la UE pero introduce un sistema de alto riesgo en el mercado de la UE, debe designar a un representante autorizado en virtud del Artículo 22. El representante está establecido en la UE y actúa en nombre del proveedor respecto de todas las obligaciones regulatorias, incluido el registro del Artículo 49. Los campos de la sección A del Anexo VIII incluyen la identidad y los datos de contacto del representante autorizado junto con los del proveedor.

Un único representante autorizado de la UE puede cubrir varios Estados miembros — no existe la obligación de designar a un representante distinto por país. El representante no puede, sin embargo, asumir las obligaciones del proveedor respecto de un sistema que no comprende: el Artículo 22 exige que el mandato especifique los sistemas cubiertos y conceda al representante acceso a la documentación técnica y a la declaración de conformidad.

Esto importa para los proveedores SaaS no establecidos en la UE que venden herramientas de selección de personal, calificación crediticia o biométricas en la UE. Sin un representante autorizado del Artículo 22 establecido, el registro del Artículo 49 no puede tramitarse legalmente, porque los campos de la sección A del Anexo VIII exigen un punto de contacto con base en la UE. Establecer la relación con el representante es, por tanto, un requisito previo, no una ocurrencia tardía.

La sección no pública: garantía del cumplimiento del Derecho, migración y control fronterizo

No todos los datos de registro son públicamente consultables. El Artículo 49 reserva una sección segura y no pública de la base de datos de la UE para los sistemas utilizados en:

  • garantía del cumplimiento del Derecho (Anexo III, punto 6)
  • migración, asilo y control fronterizo (Anexo III, punto 7)
  • administración de justicia (Anexo III, punto 8)

Para estos sistemas, solo se divulga al público un conjunto limitado de campos. Los datos de registro completos son accesibles para la Comisión, las autoridades de vigilancia del mercado pertinentes y el Supervisor Europeo de Protección de Datos, pero no para el público general. La justificación es sencilla: publicar los detalles operativos de una herramienta de puntuación de riesgo para la garantía del cumplimiento del Derecho o de un sistema de verificación de documentos de control fronterizo podría comprometer las operaciones de seguridad o identificar métodos protegidos.

Esta reserva importa para los responsables del despliegue en funciones próximas a la seguridad nacional. Usted sigue registrándose. Sigue facilitando los datos. La sección restringida simplemente controla quién puede leerlos.

Dónde se sitúa el Artículo 49 en la secuencia de cumplimiento

El registro del Artículo 49 es el paso final en una secuencia previa a la comercialización definida. El orden importa porque cada paso depende del anterior.

  1. Clasifique el sistema en virtud del Artículo 6 (y del Anexo III). Si el sistema no es de alto riesgo — bien porque queda fuera del Anexo III por completo, bien porque ha documentado una exención del Artículo 6, apartado 3 — la mayoría de las obligaciones pesadas no se aplican. Pero si reclama la exención, el registro sigue siendo necesario (sección B anterior).

  2. Complete la evaluación de la conformidad en virtud del Artículo 43. Para la mayoría de los sistemas del Anexo III, esto es el control interno mediante el Anexo VI; la identificación biométrica y algunos sistemas del punto 1 (relacionados con la biometría) requieren la intervención de un organismo notificado. La evaluación de la conformidad verifica que el sistema cumple los requisitos de los Artículos 9 a 15: sistema de gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica (Artículo 11), registro (Artículo 12), transparencia (Artículo 13), supervisión humana (Artículo 14) y exactitud/robustez/ciberseguridad (Artículo 15).

  3. Redacte la declaración de conformidad (DdC) del Artículo 47 — la declaración escrita del proveedor de que el sistema cumple todas las obligaciones aplicables. La DdC hace referencia a la evaluación de la conformidad completada y a la documentación técnica compilada en virtud del Artículo 11 y del Anexo IV.

  4. Coloque el marcado CE en virtud del Artículo 48, lo que solo está permitido una vez que la DdC está establecida.

  5. Regístrese en la base de datos de la UE en virtud del Artículo 49.

Un proveedor no puede saltar legalmente al paso 5. El registro es la prueba de que los pasos 1 a 4 están completos, no un sustituto de ellos.

Tres documentos que se confunden con frecuencia

El registro (Artículo 49) es una presentación regulatoria en la base de datos de la UE. Es un registro público creado mediante la presentación de los campos del Anexo VIII. Dice: «Este sistema existe, aquí está quién lo construyó, aquí está su finalidad prevista, aquí está su estado de conformidad».

La declaración de conformidad (Artículo 47) es un documento jurídico que conserva el proveedor y que se pone a disposición previa solicitud. Dice: «Hemos completado la evaluación de la conformidad y este sistema cumple los requisitos del Reglamento (UE) 2024/1689». La DdC no se carga íntegramente en la base de datos de la UE — pero los campos de registro de la sección A hacen referencia a la vía de evaluación de la conformidad que la sustenta, y las autoridades nacionales pueden solicitar el documento completo por separado.

El inventario interno de IA no es en absoluto un artefacto regulatorio. Muchas organizaciones mantienen un registro interno de los sistemas de IA que desarrollan o despliegan — es buena gobernanza, y alimenta los datos necesarios para el registro del Artículo 49 y para los campos del Anexo VIII. Pero no tiene un estatus jurídico propio y no sustituye ni a la DdC ni a la entrada de la base de datos de la UE.

Los tres están relacionados pero son distintos. Los proveedores que los confunden tienden a descubrir la distinción cuando una autoridad de vigilancia del mercado pide ver su entrada en la base de datos de la UE y encuentra o bien ninguna entrada o bien una que se rellenó con datos erróneos.

Un cuarto documento entra a veces en la confusión: la documentación técnica del Artículo 11 / Anexo IV. Esta es la columna vertebral probatoria que la DdC certifica, y que la evaluación de la conformidad revisa. El registro no requiere cargar la documentación técnica — pero sí requiere que la evaluación de la conformidad a que se hace referencia en los campos del Anexo VIII se haya llevado a cabo frente a ella. La documentación debe estar en poder del proveedor y ponerse a disposición de las autoridades nacionales previa solicitud en virtud del Artículo 74.

Un ejemplo práctico: empresa de tecnología de RR. HH., 35 empleados

Supongamos que una empresa de software alemana con 35 empleados construye una herramienta de cribado de currículos que clasifica a los candidatos a un empleo y genera una preselección. La herramienta entra dentro del Anexo III, punto 4 (empleo, gestión de los trabajadores, acceso al autoempleo).

La vía de cumplimiento de la empresa en virtud del Artículo 49 transcurre como sigue.

En primer lugar, documenta la clasificación del Artículo 6. La herramienta realiza valoraciones sobre personas físicas en un contexto de empleo, por lo que es de alto riesgo — la exención del Artículo 6, apartado 3, para los sistemas sin riesgo significativo no se aplica porque el sistema influye en las decisiones de contratación. Esta documentación pasa al expediente técnico.

En segundo lugar, lleva a cabo una evaluación de la conformidad en virtud del Artículo 43 utilizando el control interno (Anexo VI). Esto produce un informe de evaluación de la conformidad que cubre el sistema de gestión de riesgos del Artículo 9, la gobernanza de datos del Artículo 10 y el resto de los requisitos del Capítulo 3.

En tercer lugar, redacta una declaración de conformidad del Artículo 47 que hace referencia al informe de evaluación y a la documentación técnica del Anexo IV.

En cuarto lugar, coloca el marcado CE en virtud del Artículo 48.

En quinto lugar, se registra en la base de datos de la UE en virtud de la sección A del Anexo VIII. La entrada incluye el nombre legal y la dirección de la empresa, una descripción del sistema de cribado de currículos, la confirmación de que entra dentro del Anexo III, punto 4, y una referencia a la vía de conformidad de control interno.

Si la empresa vende posteriormente la herramienta a una agencia federal de empleo alemana, esa agencia — como responsable del despliegue que es un organismo público — también debe registrar su uso en virtud de la sección C del Anexo VIII antes de poner el sistema en servicio.

La exención del Artículo 6, apartado 3, y el registro

La exención del Artículo 6, apartado 3, permite a un proveedor concluir que un sistema del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. Los cuatro escenarios en los que un sistema cumple los requisitos: desempeña una tarea procedimental limitada; mejora el resultado de una actividad humana previamente realizada; detecta patrones de toma de decisiones sin sustituir ni influir en la evaluación humana; o realiza un trabajo preparatorio para una evaluación que hará un humano. Todo sistema que elabore perfiles de personas físicas sigue siendo de alto riesgo con independencia de ello.

Los proveedores que aplican esta exención deben documentar la evaluación por escrito. También deben — y esto sorprende a muchos profesionales — registrarse igualmente a sí mismos y al sistema en la base de datos de la UE en virtud de la sección B del Anexo VIII. La exención elimina las pesadas obligaciones de los Artículos 9 a 15. No elimina la obligación de registro. La lógica es la transparencia: la base de datos pública debería reflejar tanto los sistemas confirmados como de alto riesgo como los sistemas en los que los proveedores reclamaron la exención, de modo que las autoridades reguladoras puedan auditar esas reclamaciones.

Accesibilidad pública: la base de datos de la UE como herramienta de transparencia

Con la excepción de la sección restringida para los sistemas de garantía del cumplimiento del Derecho, migración y control fronterizo, la base de datos de la UE es de acceso público y consultable. La Comisión es responsable de establecerla y mantenerla en virtud del Artículo 71.

Esta accesibilidad pública es sustantiva. Los responsables del despliegue pueden consultar un sistema antes de adquirirlo — comprobando si está registrado, qué vía de conformidad se utilizó y si intervino un organismo notificado. Las organizaciones de la sociedad civil, los periodistas y los investigadores pueden hacer un seguimiento de qué sistemas de IA de alto riesgo están en el mercado y en qué sectores. Las autoridades nacionales pueden cotejar los registros con los hallazgos de vigilancia del mercado.

La base de datos también tiene una función disuasoria. Los proveedores que introducen un sistema de alto riesgo no registrado en el mercado se enfrentan a un registro que, por definición, está ausente. Esa ausencia es visible.

Sanciones por falta de registro

No registrar un sistema de IA de alto riesgo en la base de datos de la UE, o facilitar datos de registro inexactos o incompletos, entra dentro del nivel general de incumplimiento del Artículo 99. La multa máxima es de 15.000.000 € o el 3 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor.

Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad: las multas se limitan al menor de los dos importes, el porcentaje o la cantidad fija. Una empresa de 20 personas con 2 millones de euros de ingresos anuales se enfrenta a un techo de 60.000 € (el 3 %), no de 15 millones de euros. Ese techo sigue concentrando la atención.

Facilitar información falsa o engañosa en el registro — por ejemplo, infravalorar la finalidad prevista o clasificar erróneamente la categoría del Anexo III — entra dentro del nivel inferior: 7.500.000 € o el 1 % del volumen de negocios anual mundial. La tergiversación deliberada corre el riesgo de activar el nivel superior a discreción de la autoridad competente.

El plazo de cumplimiento para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027 (aplazado respecto de la fecha original del 2 de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026). Para la IA de alto riesgo integrada en productos regulados del Anexo I, el plazo es el 2 de agosto de 2028.

Cómo ayuda Confir

El motor de clasificación basado en reglas de Confir recorre la lógica del Artículo 6 y del Anexo III durante la admisión del sistema. Una vez confirmada la clasificación, genera los campos de datos de registro del Anexo VIII — la sección A para los sistemas confirmados como de alto riesgo, la sección B para los sistemas en los que se ha aplicado la exención del Artículo 6, apartado 3 — extraídos directamente del registro del sistema que ya ha construido.

Esto significa que la presentación del registro no es un ejercicio de recopilación de datos por separado. La salida del Anexo VIII es un subproducto del trabajo de conformidad ya realizado: los datos del proveedor, la descripción del sistema, la categoría del Anexo III, la vía de evaluación de la conformidad y la referencia al organismo notificado están todos capturados en el registro estructurado. El mismo registro alimenta la declaración de conformidad del Artículo 47 y el paquete de documentación técnica del Artículo 11.

El motor es determinista y basado en reglas: las mismas respuestas de admisión producen los mismos campos del Anexo VIII, que es el comportamiento correcto para un documento que se presenta ante una base de datos regulatoria pública.

Qué hacer ahora

El plazo del 2 de diciembre de 2027 es posterior a la fecha original, pero el trabajo de evaluación de la conformidad que precede al registro — el sistema de gestión de riesgos del Artículo 9, la gobernanza de datos del Artículo 10, la documentación técnica del Artículo 11 — lleva meses completarlo adecuadamente. El registro es solo el último paso. Los proveedores que esperen hasta finales de 2027 para empezar no tendrán tiempo de hacer el trabajo previo con el rigor que requiere.

La lista de comprobación práctica:

  1. Inventaríe cada sistema de IA que desarrolle o despliegue y clasifique cada uno en virtud del Artículo 6 y del Anexo III.
  2. Para cada sistema de alto riesgo, determine si es el proveedor o un responsable del despliegue — las obligaciones difieren.
  3. Si es un proveedor, inicie la evaluación de la conformidad del Artículo 43. Aquí reside la mayor parte del esfuerzo.
  4. Documente por escrito cualquier reclamación de exención del Artículo 6, apartado 3 — y tenga en cuenta que el registro sigue siendo necesario.
  5. Redacte la DdC del Artículo 47 y coloque el marcado CE una vez completada la evaluación de la conformidad.
  6. Regístrese en la base de datos de la UE, utilizando los campos del Anexo VIII, antes de introducir el sistema en el mercado.
  7. Si es un responsable del despliegue que es un organismo público, registre su uso (sección C del Anexo VIII) antes de poner el sistema en servicio.

El registro es un punto de control, no la meta. La documentación que lo hace creíble es la tarea más ardua.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.