Skip to content
Confir.
Prueba gratuita
Blog

Lista de comprobación de cumplimiento de la Ley de IA de la UE: cada fase, cada obligación

Template6 March 2026· 19 min de lectura

Lista de comprobación de cumplimiento de la Ley de IA de la UE: inventaríe los sistemas, clasifique los niveles de riesgo (Art. 5/6), determine su papel, complete la pila de alto riesgo. Plazo: dic 2027.

La Ley de IA de la UE asocia obligaciones a niveles de riesgo concretos y a papeles concretos. Esta lista de comprobación las recorre todas en orden — inventariar, clasificar, determinar su papel y, después, ejecutar la pila de alto riesgo. Cada punto cita el artículo que crea la obligación.

Plazos: las prohibiciones del Artículo 5 y la alfabetización en materia de IA del Artículo 4 se aplican desde el 2 de febrero de 2025. Los sistemas de alto riesgo autónomos del Anexo III deben cumplir antes del 2 de diciembre de 2027 (aplazado en virtud del Ómnibus Digital, mayo de 2026; la fecha original de agosto de 2026 ya no se aplica). IA de alto riesgo integrada en productos regulados del Anexo I: 2 de agosto de 2028. Transparencia de riesgo limitado del Artículo 50: 2 de agosto de 2026.

¿Quiere una versión lista para imprimir? Consulte la plantilla de lista de comprobación de cumplimiento de la Ley de IA de la UE.

Fase 1 — Inventariar todos los sistemas de IA

  • Enumere todos los sistemas de IA que la organización desarrolla, licencia o utiliza en un contexto profesional — incluidas las funcionalidades de SaaS integradas y las API de modelos de terceros.
  • Para cada sistema, registre: nombre, proveedor (si lo hay), finalidad prevista, datos de entrada, resultados y el proceso empresarial que sustenta.
  • Señale qué equipo controla la finalidad y el despliegue del sistema — eso determina su papel (Fase 3).
  • Identifique cualquier sistema que se modificara sustancialmente tras su adquisición; el Artículo 3, punto 23, define la «modificación sustancial» y convertir a un responsable del despliegue en proveedor es una trampa frecuente.
  • Priorice los sistemas que tratan datos biométricos, toman decisiones que afectan al empleo o al crédito de las personas, o interactúan con personas en tiempo real — los candidatos a alto riesgo más probables.

No puede registrarse en la base de datos de la UE (Artículo 49) ni cumplir ninguna obligación posterior sin saber qué está operando.

Fase 2 — Clasificar cada sistema

Paso 2a: prácticas prohibidas (Artículo 5) — compruébelas primero

En vigor desde el 2 de febrero de 2025. Si un sistema coincide con cualquiera de los puntos siguientes, no puede introducirse en el mercado.

  • Técnicas subliminales, manipuladoras o engañosas que distorsionen el comportamiento de forma perjudicial → Prohibido (Art. 5, apdo. 1, letra a)).
  • Explotación de las vulnerabilidades de un grupo específico para distorsionar el comportamiento de forma perjudicial → Prohibido (Art. 5, apdo. 1, letra b)).
  • Puntuación social que cause un trato perjudicial no relacionado con el contexto de los datos → Prohibido (Art. 5, apdo. 1, letra c)).
  • Predicción del delito basada únicamente en la elaboración de perfiles o en rasgos de personalidad, sin hechos objetivos → Prohibido (Art. 5, apdo. 1, letra d)).
  • Extracción no selectiva de imágenes faciales para crear o ampliar una base de datos → Prohibido (Art. 5, apdo. 1, letra e)).
  • Inferencia de emociones en el lugar de trabajo o en instituciones educativas → Prohibido (Art. 5, apdo. 1, letra f)). Prohibición absoluta; sin exención.
  • Categorización biométrica para inferir raza, opiniones políticas, religión, orientación sexual u otras características sensibles → Prohibido (Art. 5, apdo. 1, letra g)).
  • Identificación biométrica remota en tiempo real en espacios de acceso público para la garantía del cumplimiento del Derecho (fuera de las estrechas excepciones legales) → Prohibido (Art. 5, apdo. 1, letra h)).

Multas por las infracciones del Artículo 5: 35 millones de euros o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 3).

Paso 2b: clasificación de alto riesgo (Artículo 6 + Anexo III)

Recorra cada ámbito del Anexo III:

  • Punto 1 — Biometría: identificación biométrica remota no en tiempo real; categorización biométrica que infiera atributos sensibles (cuando no esté ya prohibida); reconocimiento de emociones fuera del lugar de trabajo y de la educación.
  • Punto 2 — Infraestructuras críticas: IA como componente de seguridad en infraestructuras digitales, tráfico rodado o suministros.
  • Punto 3 — Educación: IA que determina el acceso, asigna estudiantes, evalúa los resultados del aprendizaje o supervisa la conducta indebida en exámenes.
  • Punto 4 — Empleo: IA para la contratación, el cribado de currículos, las decisiones de promoción/despido, la asignación de tareas o la supervisión del rendimiento.
  • Punto 5, letra b) — Solvencia: IA que evalúa la solvencia o las puntuaciones crediticias (la detección de fraude queda excluida).
  • Punto 5, letra c) — Seguros de vida/salud: IA que evalúa el riesgo o fija precios para los seguros de vida o de salud.
  • Punto 5 (otros) — Servicios esenciales: envío de servicios de emergencia; admisibilidad a prestaciones públicas.
  • Punto 6 — Garantía del cumplimiento del Derecho: evaluación del riesgo de delinquir/reincidir (en apoyo del juicio humano basado en hechos objetivos); polígrafos; fiabilidad de las pruebas.
  • Punto 7 — Migración y asilo: admisibilidad de visados/asilo; verificación de documentos; evaluación del riesgo de las personas en las fronteras.
  • Punto 8 — Justicia y procesos democráticos: IA que asiste a las autoridades judiciales; IA que influye en elecciones o referendos.

Filtro del Artículo 6, apartado 3: un sistema de un ámbito del Anexo III no es de alto riesgo si cumple cualquiera de estas condiciones: desempeña una tarea procedimental limitada; mejora una actividad humana previamente realizada; detecta patrones sin influir en las decisiones humanas; o realiza únicamente un trabajo preparatorio. Pero todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo — la exención no se aplica.

  • Si se acoge al Art. 6, apdo. 3: documente la evaluación por escrito, consérvela y registre el sistema en la base de datos de la UE (Art. 49) haciendo constar la exención.

Plazo para los sistemas autónomos del Anexo III: 2 de diciembre de 2027.

Paso 2c: riesgo limitado — transparencia del Artículo 50 (a partir del 2 de agosto de 2026)

  • Chatbots (Art. 50, apdo. 1): informe a los usuarios de que están interactuando con un sistema de IA en la primera interacción.
  • Contenido sintético (Art. 50, apdo. 2): las imágenes, el audio y el vídeo generados por IA deben marcarse de forma legible por máquina.
  • Reconocimiento de emociones / categorización biométrica (Art. 50, apdo. 3): informe a las personas expuestas al sistema.
  • Ultrafalsificaciones y contenido de interés público generado por IA (Art. 50, apdo. 4): etiquete que el contenido se creó artificialmente.
  • Accesibilidad (Art. 50, apdo. 5): la divulgación debe ser oportuna y accesible.

Paso 2d: riesgo mínimo

Si no se aplica ninguno de los niveles anteriores, documente el motivo — ese razonamiento es la prueba de que evaluó el sistema.

Fase 3 — Determinar su papel

  • Proveedor (Artículo 16): desarrolló el sistema y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca. Las obligaciones más intensas.
  • Responsable del despliegue (Artículo 26): utiliza un sistema de alto riesgo de un tercero en un contexto profesional, bajo su propia autoridad.
  • Importador (Artículo 23): introduce en el mercado de la UE un sistema de alto riesgo procedente de fuera de la UE con su nombre. Debe verificar la conformidad, el marcado CE, la declaración de conformidad y el registro antes de introducirlo en el mercado.
  • Distribuidor (Artículo 24): comercializa un sistema de alto riesgo sin modificarlo. Debe verificar el marcado CE y la declaración de conformidad.
  • Cambio de papel del Artículo 25: pasa a ser proveedor si pone su nombre en un sistema de alto riesgo, lo modifica sustancialmente (Art. 3, punto 23) o cambia su finalidad prevista a una categoría de mayor riesgo.

La mayoría de las empresas que despliegan herramientas de IA en SaaS son responsables del despliegue. Las empresas de SaaS que lanzan funcionalidades de IA bajo su propia marca son proveedores.

Fase 4 — Proveedores de alto riesgo: la pila de cumplimiento (Artículos 9 a 17)

Sistema de gestión de riesgos (Artículo 9)

  • Establezca un sistema de gestión de riesgos documentado que cubra todo el ciclo de vida: diseño, desarrollo, pruebas, despliegue, poscomercialización.
  • Identifique los riesgos previsibles para la salud, la seguridad y los derechos fundamentales — incluidos los derivados de un uso indebido razonablemente previsible.
  • Defina y aplique medidas de mitigación; evalúe los riesgos residuales.
  • Establezca un mecanismo para actualizar la evaluación de riesgos de forma continua a medida que el sistema evolucione.

Datos y gobernanza de datos (Artículo 10)

  • Documente las prácticas de gobernanza de datos para los conjuntos de datos de entrenamiento, validación y prueba.
  • Evalúe los conjuntos de datos en busca de sesgos que pudieran afectar a los derechos fundamentales o conducir a discriminación.
  • Documente la procedencia, los métodos de recopilación y las etapas de preprocesamiento.
  • Asegúrese de que los datos de entrenamiento sean pertinentes, representativos y libres de errores que perjudiquen el rendimiento.

El Artículo 10 trata sobre la gobernanza de datos, no sobre la formación del personal — eso es el Artículo 4 (alfabetización en materia de IA), en vigor desde el 2 de febrero de 2025.

Documentación técnica (Artículo 11 / Anexo IV)

El Anexo IV especifica nueve áreas de contenido para el expediente técnico:

  • Descripción general: nombre, versión, finalidad prevista, instrucciones para el responsable del despliegue.
  • Elementos del sistema y proceso de desarrollo: arquitectura, métodos de entrenamiento, decisiones de diseño.
  • Datos de entrenamiento y prueba: características, adquisición, preparación, estadísticas.
  • Resultados del sistema de gestión de riesgos (Art. 9).
  • Cambios y control de versiones.
  • Vigilancia, funcionamiento y control del sistema.
  • Rendimiento en exactitud, robustez y ciberseguridad (métricas del Art. 15).
  • Instrucciones de uso para los responsables del despliegue.
  • Plan de vigilancia poscomercialización (Art. 72).

Conserve el expediente técnico durante 10 años desde la introducción del sistema en el mercado (Artículo 18).

Conservación de registros (Artículo 12)

  • Implemente el registro automático del funcionamiento en la medida en que sea inherente a la finalidad del sistema.
  • Los registros deben captar el período de uso, la base de datos de referencia (si procede), los datos de entrada que dan lugar a cada resultado y la identidad de las personas implicadas en la verificación.
  • Garantice la integridad de los registros — los registros no deben ser modificables por el operador del sistema.

Transparencia e información a los responsables del despliegue (Artículo 13)

  • Prepare instrucciones de uso que expliquen las capacidades, las limitaciones, los niveles de exactitud, los riesgos conocidos y los requisitos de los datos de entrada.
  • Cuando el sistema afecte a decisiones sobre personas, explique la lógica en términos que permitan una revisión humana significativa.

Supervisión humana (Artículo 14)

  • Diseñe el sistema de modo que las personas encargadas de la supervisión puedan comprender sus capacidades y limitaciones y supervisar el funcionamiento en tiempo real.
  • Asegúrese de que el sistema pueda pausarse, anularse o interrumpirse.
  • Cuando los resultados afecten a personas (empleo, crédito), un humano debe poder revisarlos y corregirlos antes de que surtan efecto.
  • Documente quién tiene la responsabilidad de la supervisión, su formación y cómo se registran las decisiones de anulación.

Exactitud, robustez y ciberseguridad (Artículo 15)

  • Documente los niveles de exactitud para la finalidad prevista, incluido el rendimiento entre grupos demográficos.
  • Implemente medidas técnicas de robustez en condiciones adversarias, ante errores de entrada y entradas inesperadas.
  • Aborde los riesgos de ciberseguridad: ataques adversarios, envenenamiento de datos, vulnerabilidades del modelo.

Sistema de gestión de la calidad (Artículo 17)

  • Establezca un SGC que cubra la estrategia de cumplimiento, la metodología de desarrollo, las pruebas y la validación, la vigilancia poscomercialización y los procedimientos de documentación.
  • La certificación ISO/IEC 42001:2023 sustenta el SGC del Artículo 17 y aporta pruebas al expediente técnico. Es voluntaria; no sustituye a la evaluación de la conformidad del Artículo 43.

Fase 5 — Evaluación de impacto relativa a los derechos fundamentales (Artículo 27)

La EIDF se aplica a determinados responsables del despliegue, no a todos.

  • Organismos públicos o entidades que prestan servicios públicos que despliegan un sistema de alto riesgo: la EIDF es obligatoria antes del despliegue.
  • Responsables del despliegue de IA de solvencia (Anexo III, punto 5, letra b)) o de IA de seguros de vida/salud (5, letra c)): la EIDF es obligatoria.
  • Nota: los empleadores privados que despliegan IA de selección de personal (Anexo III, punto 4) no deben automáticamente una EIDF. El desencadenante es la condición de organismo público o las categorías de servicios concretas anteriores.
  • La EIDF debe cubrir: descripción de los procesos de despliegue, duración y frecuencia, categorías de personas afectadas, riesgos específicos para los derechos fundamentales, proporcionalidad y medidas de supervisión.
  • Artículo 27, apartado 4: la EIDF puede basarse en una EIPD ya existente del RGPD (art. 35 del RGPD). Son complementarias — la EIPD cubre el riesgo de protección de datos; la EIDF cubre los derechos fundamentales en sentido amplio.

Fase 6 — Alfabetización en materia de IA (Artículo 4) — ya en vigor

  • Asegúrese de que el personal que opera, supervisa o toma decisiones a partir de sistemas de IA tenga la alfabetización suficiente para su función — comprensión de las capacidades, las limitaciones, los requisitos de los datos y el potencial de sesgo.
  • No se exige certificación formal alguna. Documente las medidas que ha puesto en marcha: sesiones de formación, orientación específica por función, materiales de concienciación.
  • Revise los requisitos de alfabetización siempre que se despliegue un nuevo sistema o que una actualización significativa cambie las capacidades o los riesgos.

Fase 7 — Evaluación de la conformidad, declaración de conformidad, marcado CE, registro

Evaluación de la conformidad (Artículo 43)

  • Anexo III, punto 1 (biometría): cuando no se apliquen normas armonizadas, se aplica la vía del organismo notificado del Anexo VII.
  • Anexo III, puntos 2 a 8: la vía de la autoevaluación interna del Anexo VI. No se exige organismo notificado.
  • Anexo I (productos regulados): siga la vía de conformidad de la legislación de productos existente. Plazo: 2 de agosto de 2028.
  • Documente el procedimiento de evaluación y su resultado.

Declaración UE de conformidad (Artículo 47)

  • Prepare una declaración de conformidad que identifique el sistema, el proveedor, el procedimiento de evaluación de la conformidad y cualquier organismo notificado implicado.
  • Fírmela un representante autorizado del proveedor.
  • Ponga la declaración de conformidad a disposición de las autoridades nacionales que la soliciten; consérvela durante 10 años (Artículo 18).

Marcado CE (Artículo 48)

  • Coloque el marcado CE una vez completada la evaluación de la conformidad y firmada la declaración de conformidad — no antes.

Registro en la base de datos de la UE (Artículo 49)

  • Registre el sistema de alto riesgo en la base de datos de la UE (establecida con arreglo al Artículo 71) antes de introducirlo en el mercado.
  • Los proveedores que se acogen a una exención del Artículo 6, apartado 3, también deben registrarse, haciendo constar la exención.
  • Mantenga actualizados los datos de registro tras modificaciones sustanciales o la retirada.

Fase 8 — Vigilancia poscomercialización (Artículo 72) y notificación de incidentes (Artículo 73)

Vigilancia poscomercialización (Artículo 72)

  • Establezca un plan de vigilancia poscomercialización (forma parte de la documentación técnica del Anexo IV).
  • Supervise el rendimiento en el mundo real frente a las métricas documentadas de exactitud, robustez y equidad.
  • Retroalimente las conclusiones al sistema de gestión de riesgos del Artículo 9 y actualice la documentación técnica.
  • Los responsables del despliegue deben colaborar: el Artículo 26 les obliga a supervisar el rendimiento en su contexto de despliegue y a notificar las anomalías al proveedor.

Notificación de incidentes graves (Artículo 73)

Los proveedores notifican a la autoridad de vigilancia del mercado del Estado miembro en el que se produjo el incidente. Los plazos son legales:

  • 15 días desde el conocimiento — ventana estándar (Art. 73, apdo. 2).
  • 2 días — infracción generalizada o perturbación grave e irreversible de infraestructuras críticas (Art. 73, apdo. 3).
  • 10 días — en caso de fallecimiento de una persona (Art. 73, apdo. 4).
  • Se permite un informe inicial incompleto; complételo en cuanto sea factible (Art. 73, apdo. 5).

El «incidente grave» se define en el Artículo 3, apartado 49. Los responsables del despliegue comunican los incidentes al proveedor con arreglo al Artículo 26; la obligación formal de notificación a las autoridades corresponde al proveedor con arreglo al Artículo 73.

Cómo ayuda Confir

Confir ejecuta esta lista de comprobación como un flujo de trabajo guiado. Usted responde preguntas en lenguaje sencillo sobre cada sistema; el motor determinista y basado en reglas resuelve la comprobación del Artículo 5, la clasificación del Artículo 6 / Anexo III y su papel. La misma admisión, la misma conclusión — reproducible y defendible ante una auditoría. A continuación impulsa la evaluación estructurada a través de cuatro áreas de cumplimiento (AIRC, AITR, AITO, AIGM) y genera el paquete de documentación técnica del Anexo IV, la declaración de conformidad del Artículo 47 y la EIDF del Artículo 27 cuando proceda. En modo autoservicio.

Preguntas frecuentes

¿Cuál es el plazo real de cumplimiento de alto riesgo de la Ley de IA?

Para los sistemas autónomos del Anexo III: 2 de diciembre de 2027, aplazado respecto de la fecha original de agosto de 2026 por el Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo integrada en productos regulados del Anexo I: 2 de agosto de 2028. Las prohibiciones del Artículo 5 y la alfabetización en materia de IA del Artículo 4 están en vigor desde el 2 de febrero de 2025. La transparencia de riesgo limitado del Artículo 50 se aplica a partir del 2 de agosto de 2026.

¿Cuál es la diferencia entre un proveedor y un responsable del despliegue?

Un proveedor (Artículo 16) desarrolla el sistema y lo introduce en el mercado con su propio nombre. Un responsable del despliegue (Artículo 26) utiliza un sistema de un tercero en un contexto profesional bajo su propia autoridad. Si lo construyó y le puso su marca, es un proveedor. Si lo licenció y lo utiliza, es probablemente un responsable del despliegue — salvo que le ponga su nombre o lo modifique sustancialmente, en cuyo caso el Artículo 25 lo convierte en proveedor.

¿Qué obligaciones se aplican específicamente a los responsables del despliegue?

Los responsables del despliegue de sistemas de alto riesgo deben: seguir las instrucciones de uso del proveedor; garantizar la supervisión humana en su contexto específico; supervisar el rendimiento y notificar las anomalías al proveedor; conservar los registros durante al menos 6 meses (Artículo 26); informar a los representantes de los trabajadores antes de desplegar IA en el lugar de trabajo; y realizar una EIDF (Artículo 27) cuando se exija. Los responsables del despliegue no realizan evaluaciones de la conformidad, no colocan el marcado CE ni se registran en la base de datos de la UE — esas son obligaciones del proveedor.

¿La exención del Artículo 6, apartado 3, exige cumplir las cuatro condiciones?

No — solo se necesita una de las cuatro condiciones: tarea procedimental limitada; mejora de una actividad humana previamente realizada; detección de patrones sin influir en las decisiones; o únicamente trabajo preparatorio. La exención no se aplica a ningún sistema que elabore perfiles de personas físicas — esos son siempre de alto riesgo con independencia de ello.

¿Es la EIDF (Artículo 27) obligatoria para todos los responsables del despliegue de alto riesgo?

No. Es obligatoria para los organismos públicos que despliegan IA de alto riesgo y para los responsables del despliegue privados que utilizan sistemas para la solvencia (Anexo III, punto 5, letra b)) o la fijación de precios de seguros de vida/salud (Anexo III, punto 5, letra c)). Los empleadores privados que despliegan IA de selección de personal (punto 4) no deben automáticamente una EIDF con arreglo al Artículo 27.

¿Cuáles son los niveles de sanción con arreglo al Artículo 99?

Tres niveles, cada uno «la cifra mayor» entre una cantidad fija y un porcentaje del volumen de negocios anual mundial total: 35 millones de euros o el 7 % por las prohibiciones del Artículo 5 (Art. 99, apdo. 3); 15 millones de euros o el 3 % por la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo y los deberes del proveedor/responsable del despliegue (Art. 99, apdo. 4); 7,5 millones de euros o el 1 % por facilitar información incorrecta o engañosa a las autoridades o a los organismos notificados (Art. 99, apdo. 5). Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita las multas al menor de los dos importes, el del porcentaje o el de la cantidad fija. Las multas a los proveedores de GPAI son independientes, con arreglo al Artículo 101.

¿Durante cuánto tiempo deben conservarse los registros?

Los proveedores conservan la documentación técnica y la declaración de conformidad durante 10 años desde la introducción del sistema en el mercado (Artículo 18). Los responsables del despliegue conservan los registros durante al menos 6 meses (Artículo 26). Los informes de incidentes graves y los datos de vigilancia poscomercialización se conservan como parte del expediente técnico continuo.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Template

Plantilla de política de uso de IA para el cumplimiento de la Ley de IA de la UE

Plantilla de política de uso de IA para la Ley de IA de la UE: 12 secciones que abarcan las prácticas prohibidas del Art. 5, la clasificación de riesgo del Art. 6, la supervisión del Art. 14 y los plazos de incidentes del Art. 73.

Template

Declaración UE de conformidad para IA de alto riesgo: el Artículo 47 y el Anexo V explicados

Declaración UE de conformidad para IA de alto riesgo: plantilla del Artículo 47 y del Anexo V, los 7 campos obligatorios, un ejemplo práctico y las reglas de conservación durante 10 años.

Template

Plantilla de documentación técnica del Anexo IV para IA de calificación crediticia

Plantilla práctica del Anexo IV para IA de calificación crediticia con arreglo al Anexo III, punto 5, letra b), de la Ley de IA de la UE. Las 9 áreas de contenido con ejemplos de calificación crediticia. Plazo: 2 dic 2027.