Cómo prepararse para una auditoría del Reglamento de IA
Prepárate para una auditoría del Reglamento de IA: qué examinan las autoridades, la lista de evidencias del art. 74 y sanciones de hasta 35 M€ o el 7 %.
Una auditoría del Reglamento de IA es, en esencia, una prueba de evidencias. Conforme al Reglamento (UE) 2024/1689, una autoridad nacional de vigilancia del mercado designada conforme al artículo 74 puede exigirte que presentes la documentación técnica y los registros generados automáticamente conservados conforme al artículo 12 —en una lengua que entienda— y ordenar medidas correctoras cuando un sistema se quede corto. La auditoría no pregunta si pretendías cumplir. Pregunta si puedes presentar el expediente.
Esa distinción lo es todo. La preparación para una auditoría no es una política que redactas la semana anterior; es una disciplina de documentación que se acumula a lo largo de la vida del sistema. Los registros, los expedientes de gobernanza de datos y las iteraciones de gestión de riesgos no pueden fecharse con efecto retroactivo, así que los proveedores y responsables del despliegue que superan una revisión son quienes empezaron a reunir el expediente pronto.
Esta guía cubre quién te revisa, qué examinan, la lista de evidencias a reunir, tus deberes de cooperación cuando una autoridad lo pide, y por qué la disciplina importa ahora aunque las obligaciones de alto riesgo de los sistemas autónomos se hayan aplazado provisionalmente.
Quién te revisa conforme al Reglamento de IA
Tres audiencias pueden examinar tu expediente de cumplimiento de IA, y piden, en líneas generales, los mismos artefactos. Diseñar tu base de evidencias una sola vez, para las tres, es la jugada eficiente.
Autoridades nacionales de vigilancia del mercado (artículo 74)
Cada Estado miembro designa una autoridad nacional de vigilancia del mercado conforme al artículo 74 para ejecutar el Reglamento de IA en su territorio. La autoridad de vigilancia del mercado es la principal ejecutora pública: investiga el incumplimiento, solicita documentación y registros, ordena medidas correctoras y propone sanciones. Puede actuar a raíz de una reclamación, de un informe de incidente grave o por iniciativa propia. Los proveedores y responsables del despliegue le deben deberes activos de cooperación: no cooperar es en sí mismo un detonante de ejecución, no una opción neutral.
Organismos notificados y evaluación de la conformidad por terceros (artículo 43 / anexo VII)
Para ciertos sistemas de alto riesgo —en particular algunos sistemas biométricos del anexo III y los sistemas integrados en productos del anexo I—, la evaluación de la conformidad discurre por un organismo notificado conforme al artículo 43 y al anexo VII. Un organismo notificado es un tercero acreditado que examina tu sistema de gestión de la calidad y tu documentación técnica antes de que el sistema llegue al mercado. La mayoría de los sistemas autónomos de alto riesgo del anexo III usan en cambio la autoevaluación mediante control interno conforme al anexo VI, pero la misma evidencia debe igualmente resistir el escrutinio posterior de la autoridad de vigilancia del mercado, así que la autoevaluación no es un estándar probatorio más laxo.
Auditorías internas y de clientes
Más allá de los reguladores, los clientes empresariales cada vez más realizan sus propias auditorías del Reglamento de IA a sus proveedores antes de comprar, y las funciones de auditoría interna prueban la preparación en un ciclo recurrente. La base de evidencias es idéntica para las tres: la autoridad de vigilancia del mercado, el organismo notificado, y la auditoría del cliente e interna se nutren del mismo registro, el mismo expediente del anexo IV y los mismos registros automáticos.
| Quien revisa | Base jurídica | Momento | Qué examina |
|---|---|---|---|
| Autoridad de vigilancia del mercado | Artículo 74 | Tras la introducción en el mercado (reactiva o por iniciativa propia) | Documentación técnica, registros del artículo 12, evidencia de conformidad; puede ordenar medidas correctoras |
| Organismo notificado | Artículo 43 / anexo VII | Antes de la introducción en el mercado (ciertos sistemas) | Sistema de gestión de la calidad y documentación técnica |
| Auditoría de cliente / interna | Contractual / gobernanza | Previa a la venta y recurrente | El mismo registro, expediente del anexo IV y registros |
Qué examina una auditoría del Reglamento de IA
Una auditoría parte de tu inventario y avanza hacia el conjunto de obligaciones. Cada paso es en sí mismo un elemento de evidencia, incluido el razonamiento detrás de tus clasificaciones.
El registro de sistemas de IA y la justificación de la clasificación (artículo 6 / anexo III)
La primera pregunta es siempre: ¿qué sistemas de IA operas, y por qué cada uno está clasificado como está? La justificación documentada de la clasificación de riesgo de un sistema conforme al artículo 6 y al anexo III es en sí misma un artefacto auditado. «Decidimos que no era de alto riesgo» no es una respuesta; el razonamiento, contrastado con el punto pertinente del anexo III, sí lo es.
El conjunto básico de obligaciones de alto riesgo (artículos 9 a 14)
Los requisitos sustantivos son donde vive la mayor parte del expediente:
- Sistema de gestión de riesgos (artículo 9): un proceso continuo, documentado e iterativo a lo largo del ciclo de vida, no un registro de riesgos puntual archivado y olvidado.
- Gobernanza de datos (artículo 10): procedencia, pertinencia y representatividad de los datos de entrenamiento, validación y prueba, además del examen de sesgos.
- Documentación técnica (artículo 11): todo lo establecido en el anexo IV, mantenido al día.
- Conservación de registros (artículo 12): registro automático de eventos a lo largo de la vida del sistema para garantizar la trazabilidad.
- Instrucciones de uso (artículo 13): la información que los responsables del despliegue necesitan para usar el sistema correctamente.
- Supervisión humana (artículo 14): medidas que permiten a personas designadas comprender, vigilar, intervenir y anular el sistema.
Evidencia de conformidad, declaración y registro (artículos 47 y 49)
Los auditores comprueban después la evidencia de la evaluación de la conformidad y la declaración UE de conformidad firmada conforme al artículo 47, el registro en la base de datos UE conforme al artículo 49 y la evidencia de alfabetización en materia de IA conforme al artículo 4. Estos son los artefactos que cierran el círculo entre «el sistema cumple los requisitos» y «podemos probarlo». Si quieres la mecánica más a fondo, véase cómo demostrar el cumplimiento.
La lista de preparación para una auditoría del Reglamento de IA
La columna vertebral de la preparación es una única tabla que asigna cada elemento de evidencia a su artículo o anexo rector, al sistema de registro donde vive y a un estado actual. La columna «dónde vive» no es metadato opcional: una auditoría fracasa con artefactos que existen en algún sitio pero no pueden presentarse a petición.
Elementos de evidencia, artículos y dónde viven
| Elemento de evidencia | Artículo / anexo | Estado |
|---|---|---|
| Registro de sistemas de IA + justificación de la clasificación | Artículo 6 / anexo III | Implantado / En curso / Laguna |
| Sistema de gestión de riesgos | Artículo 9 | Implantado / En curso / Laguna |
| Documentación de gobernanza de datos | Artículo 10 | Implantado / En curso / Laguna |
| Documentación técnica | Artículo 11 / anexo IV | Implantado / En curso / Laguna |
| Registros automáticos y conservación de registros | Artículo 12 | Implantado / En curso / Laguna |
| Instrucciones de uso / información al responsable del despliegue | Artículo 13 | Implantado / En curso / Laguna |
| Diseño y evidencia operativa de la supervisión humana | Artículo 14 | Implantado / En curso / Laguna |
| Expediente de evaluación de la conformidad | Artículo 43 / anexo VI o VII | Implantado / En curso / Laguna |
| Declaración UE de conformidad | Artículo 47 | Implantado / En curso / Laguna |
| Registro en la base de datos UE | Artículo 49 | Implantado / En curso / Laguna |
| Medidas de alfabetización en IA y registros de formación | Artículo 4 | Implantado / En curso / Laguna |
Cómo leer la lista: disciplina de estado
Sigue cada fila como implantada, en curso o laguna. El estado solo es honesto si refleja si el artefacto puede presentarse hoy, no si alguien ha empezado un borrador. Trata «dónde vive» como un requisito tajante: un proceso de gestión de riesgos brillante que existe solo en la cabeza de un ingeniero que ya se marchó es, a efectos de auditoría, una laguna.
La conservación es parte de la disciplina. La declaración de conformidad y la documentación técnica deben conservarse durante diez años tras la introducción del sistema en el mercado o su puesta en servicio (artículo 47). Los registros del artículo 12 se acumulan de forma continua; el régimen de conservación de registros del artículo 12 se construye en torno a la trazabilidad a lo largo de toda la vida, así que un ciclo de borrado rutinario que elimine eventos pronto es una laguna autoinfligida.
Cerrar las lagunas antes de que una autoridad pregunte
El propósito de la columna de estado es impulsar una lista pendiente de trabajo. Cada fila «laguna» y «en curso» es una tarea con un número de artículo asociado. Cerrarlas antes de que llegue una solicitud de la autoridad de vigilancia del mercado es la diferencia entre entregar un paquete y reconstruir uno contra reloj. El expediente de documentación técnica construido con arreglo al anexo IV suele ser la mayor línea individual, así que es la primera por la que empezar.
Qué pueden solicitar las autoridades, y tus deberes de cooperación
Documentación y registros a petición
Las autoridades de vigilancia del mercado pueden exigir a los proveedores y responsables del despliegue que entreguen la documentación técnica construida con arreglo al anexo IV y los registros generados automáticamente conservados conforme al artículo 12, en una lengua que la autoridad pueda entender. El punto de la lengua coge a las empresas por sorpresa: la documentación mantenida solo en una lengua interna de trabajo puede necesitar traducción con poco margen.
Deberes de cooperación y acceso
Los proveedores deben cooperar con las solicitudes de la autoridad de vigilancia del mercado y dar acceso a la información necesaria para demostrar la conformidad. La cooperación es un deber activo. Una autoridad que tiene que perseguirte por el expediente, o que recibe una respuesta parcial, ya se está formando una opinión, y no cooperar es en sí mismo un detonante de ejecución.
Medidas correctoras, retirada y la sanción por información engañosa
Cuando un sistema es no conforme, las autoridades pueden ordenar medidas correctoras, o restringirlo, retirarlo o recuperarlo del mercado. Y hay una trampa concreta que conviene nombrar: facilitar información incorrecta, incompleta o engañosa a los organismos notificados o las autoridades competentes es un incumplimiento distinto, sancionado por separado.
| Incumplimiento | Límite de la sanción | Base jurídica |
|---|---|---|
| Prácticas prohibidas (artículo 5) | Hasta 35 millones EUR o el 7 % del volumen de negocios anual a escala mundial, si esta cifra fuera superior | Artículo 99(3) |
| La mayoría de los incumplimientos de obligaciones (artículos 9 a 14, conformidad, registro) | Hasta 15 millones EUR o el 3 % del volumen de negocios anual a escala mundial, si esta cifra fuera superior | Artículo 99(4) |
| Información incorrecta, incompleta o engañosa a las autoridades | Hasta 7,5 millones EUR o el 1 % del volumen de negocios anual a escala mundial, si esta cifra fuera superior | Artículo 99(5) |
Para las pymes y empresas emergentes, la multa aplicable es el menor del porcentaje y el límite de cifra fija, conforme al artículo 99, apartado 6: un ajuste proporcional, no una exención. La obligación no cambia; solo se reduce la exposición.
Por qué la disciplina de evidencias importa ahora, incluso con el aplazamiento del alto riesgo
El cambio de calendario propuesto para el alto riesgo
El Ómnibus Digital alcanzó un acuerdo político provisional los días 6 y 7 de mayo de 2026, con el texto de COREPER confirmado en torno al 13 de mayo de 2026. Acordó aplazar las obligaciones de alto riesgo de los sistemas autónomos del anexo III (artículo 6, apartado 2) del 2 de agosto de 2026 al 2 de diciembre de 2027, y los sistemas integrados en productos del anexo I (artículo 6, apartado 1) del 2 de agosto de 2027 al 2 de agosto de 2028.
Qué ya está en vigor y es exigible
A fecha de junio de 2026, este aplazamiento está acordado pero aún no es ley: todavía necesita una votación del Pleno del Parlamento Europeo, la adopción formal por el Consejo y la publicación en el Diario Oficial. Hasta entonces, el texto vigente fija el 2 de agosto de 2026 para el alto riesgo del anexo III, así que planifica con la fecha vigente y haz seguimiento del cambio. Importan dos puntos más. Las nuevas fechas son fechas de calendario fijas: la propuesta de «parar el reloj» que habría atado el retraso a la disponibilidad de normas armonizadas fue rechazada, así que el retraso no depende de las normas. Y mucho ya está en vigor y es auditable:
- Las prohibiciones del artículo 5 desde el 2 de febrero de 2025.
- Las obligaciones de GPAI conforme a los artículos 51 a 55 desde el 2 de agosto de 2025.
- El deber de alfabetización en IA del artículo 4.
- La mayoría de los deberes de transparencia del artículo 50, con el marcado de contenido / marca de agua llegando el 2 de diciembre de 2026, una nueva fecha que cubre también la prohibición de material de abuso sexual infantil / «nudificadores».
Construir el expediente antes del plazo
La evidencia lista para auditoría no puede reconstruirse a posteriori. Los registros (artículo 12), los expedientes de gobernanza de datos (artículo 10) y las iteraciones de gestión de riesgos (artículo 9) se acumulan con el tiempo. Una revisión a finales de 2027 pedirá un historial que solo existe si empezaste a registrarlo bastante antes. Empezar el expediente ahora es precisamente lo que hace que una revisión futura sea superable: el aplazamiento compra tiempo de preparación, no una razón para esperar.
De la lista al expediente listo para auditoría con Confir
Ejecuta primero una evaluación de preparación
Empieza puntuando cada fila de la lista, haciendo aflorar las lagunas y priorizando los artefactos que un auditor pedirá primero. El módulo de preparación de Confir ejecuta exactamente esta pasada: la evaluación de preparación convierte la columna de estado anterior en una lista pendiente jerarquizada en lugar de una hoja de cálculo estática.
Reúne el expediente del anexo IV de forma determinista
Confir genera la documentación técnica con arreglo a la estructura del anexo IV y la vincula al registro, la justificación de la clasificación, los registros y la declaración de conformidad: un único paquete coherente y exportable en lugar de una carpeta de documentos inconexos. Si quieres una idea de la salida objetivo, la plantilla del anexo IV muestra la estructura con la que se construye el expediente.
La síntesis es determinista y basada en reglas: las mismas entradas siempre producen la misma documentación, la misma lógica cada vez, sin inferencia de modelos, sin alucinaciones. Esa reproducibilidad es en sí misma una propiedad favorable a la auditoría, porque cada salida se remonta a datos de origen que un auditor puede inspeccionar.
Mantén el paquete al día entre auditorías
La base de evidencias se mantiene de forma continua, así que una modificación sustancial o un incidente grave actualiza el expediente en lugar de desencadenar una carrera documental. El resultado: una solicitud de la autoridad de vigilancia del mercado conforme al artículo 74, una revisión de un organismo notificado conforme al artículo 43, una auditoría de proveedor por un cliente y una auditoría interna se nutren todas del mismo expediente actual y defendible.
Cómo ayuda Confir
Confir estructura el expediente completo de preparación para auditoría a través de sus módulos de evaluación: clasifica cada sistema conforme a los artículos 5 y 6, deriva el papel aplicable e impulsa una evaluación estructurada a través de la clasificación de riesgo (AIRC), la robustez de datos y técnica (AITR), la transparencia y supervisión (AITO), y la gobernanza y vigilancia poscomercialización (AIGM). Genera el paquete de documentación técnica del artículo 11 / anexo IV y la declaración de conformidad del artículo 47, y mantiene vinculados el registro, la justificación de la clasificación y los registros para que todo el paquete siga siendo exportable a petición. El motor es determinista y basado en reglas: las mismas entradas producen la misma salida, la misma lógica cada vez, sin inferencia de modelos y sin alucinaciones, de modo que el expediente que recibe un auditor es reproducible y trazable hasta sus datos de origen.
Preguntas frecuentes
¿Quién realiza una auditoría del Reglamento de IA? Dos organismos públicos y tus propias partes interesadas. Las autoridades nacionales de vigilancia del mercado (artículo 74) ejecutan el Reglamento y pueden solicitar documentación y registros. Para ciertos sistemas de alto riesgo, un organismo notificado realiza la evaluación de la conformidad por terceros (artículo 43, anexo VII). Los clientes empresariales y los equipos de auditoría interna también revisan la misma base de evidencias antes y después del despliegue.
¿Qué documentos puede solicitar una autoridad de vigilancia del mercado? Las autoridades pueden exigir la documentación técnica completa construida con arreglo al anexo IV y los registros generados automáticamente conservados conforme al artículo 12, en una lengua que entiendan. También pueden pedir el expediente de gestión de riesgos, los registros de gobernanza de datos, la declaración de conformidad y los datos de registro, y pueden ordenar medidas correctoras, restricción, retirada o recuperación cuando un sistema es no conforme.
¿Cuál es la sanción por dar información incorrecta a una autoridad del Reglamento de IA? Facilitar información incorrecta, incompleta o engañosa a los organismos notificados o las autoridades competentes es un incumplimiento distinto conforme al artículo 99, apartado 5, con multas de hasta 7,5 millones EUR o el 1 % del volumen de negocios anual total a escala mundial, si esta cifra fuera superior. Es independiente del tramo de 15 M€ / 3 % para los incumplimientos de obligaciones y del tramo de 35 M€ / 7 % para las prácticas prohibidas.
¿Cuándo empiezan a aplicarse las obligaciones de alto riesgo del Reglamento de IA? El texto vigente sigue fijando el 2 de agosto de 2026 para los sistemas autónomos de alto riesgo del anexo III. El acuerdo político del Ómnibus Digital de mayo de 2026 propone aplazarlo al 2 de diciembre de 2027 (y los sistemas integrados en productos del anexo I al 2 de agosto de 2028), pero a fecha de junio de 2026 aún no es ley: todavía necesita los pasos del Parlamento, el Consejo y el Diario Oficial. Planifica con la fecha vigente.
¿Necesito prepararme para una auditoría ahora si las normas de alto riesgo están aplazadas? Sí. Las prohibiciones del artículo 5 se aplican desde febrero de 2025, las obligaciones de GPAI desde agosto de 2025, y el deber de alfabetización en IA del artículo 4 ya está vigente. Es clave que la evidencia de auditoría, como los registros del artículo 12, los expedientes de datos del artículo 10 y las iteraciones de riesgo del artículo 9, se acumula con el tiempo y no puede reconstruirse a posteriori, así que construir el expediente pronto es lo que hace superable una revisión posterior.
¿Cuál es la diferencia entre un organismo notificado y una autoridad de vigilancia del mercado? Un organismo notificado es una organización privada acreditada que realiza la evaluación de la conformidad por terceros antes de que un sistema de alto riesgo llegue al mercado (artículo 43, anexo VII), comprobando el sistema de calidad y la documentación técnica. Una autoridad de vigilancia del mercado es la ejecutora pública designada por cada Estado miembro conforme al artículo 74, que investiga el incumplimiento e impone sanciones una vez que un sistema está en el mercado.
¿Qué incluye una lista de preparación para una auditoría del Reglamento de IA? Asigna cada elemento de evidencia a su artículo y a dónde vive: el registro de sistemas de IA y la justificación de la clasificación (artículo 6 / anexo III), la gestión de riesgos (artículo 9), la gobernanza de datos (artículo 10), la documentación técnica (artículo 11 / anexo IV), los registros (artículo 12), la supervisión humana (artículo 14), la evaluación de la conformidad (artículo 43), la declaración de conformidad (artículo 47), el registro en la base de datos UE (artículo 49) y la evidencia de alfabetización en IA (artículo 4).
Guías relacionadas
- Cómo demostrar el cumplimiento del Reglamento de IA
- Requisitos de documentación técnica
- Contenido de la documentación técnica del anexo IV
- Conservación de registros del artículo 12
- La evaluación de preparación del Reglamento de IA
- Plantilla de documentación técnica del anexo IV
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →