Skip to content
Confir.
Prueba gratuita
Blog

Un cliente ha preguntado por la Ley de IA de la UE: cómo responder

Guide30 April 2026· 15 min de lectura

Un cliente potencial B2B ha preguntado si cumples la Ley de IA de la UE. Aprende a descifrar qué te están preguntando, a determinar tu rol y a responder con honestidad por nivel de riesgo.

El correo llega en plena negociación: «¿Puedes confirmar que cumples la Ley de IA de la UE?». A veces es un cuestionario formal; a veces una sola frase de un contacto jurídico o de seguridad al que su propio equipo de cumplimiento acaba de informar. En cualquier caso, tienes que responder, y las dos peores respuestas son «sí, cumplimos plenamente» y el silencio.

«Cumplimos plenamente» es casi con seguridad prematuro. El Reglamento (UE) 2024/1689 es escalonado: algunas obligaciones ya están vigentes, otras no se aplican hasta el 2 de diciembre de 2027 o el 2 de agosto de 2028. Afirmar haberlo completado antes del plazo correspondiente puede volverse en tu contra en la misma negociación. El silencio se lee como una señal de alarma. La respuesta correcta es concreta, consciente del rol y honesta sobre lo que está hecho, lo que está en curso y lo que aún no es exigible.

Qué está preguntando realmente el cliente

La mayoría de los cuestionarios de diligencia debida comprimen tres preguntas en una.

Primero, una pregunta de rol: ¿eres proveedor o responsable del despliegue? El cliente está estableciendo dónde te sitúas en su cadena de suministro para poder cumplir sus propias obligaciones del artículo 26. «¿Cumplís?» a menudo significa «¿tenéis la documentación técnica del artículo 11 y los registros del Anexo IV que necesito revisar como parte de mi diligencia debida como responsable del despliegue?».

Segundo, una pregunta de clasificación: ¿en qué nivel de riesgo se sitúa tu sistema y lo has evaluado frente al Anexo III? Si es de alto riesgo, quieren pruebas de avance. Si no, quieren una explicación.

Tercero —a menudo implícito—: ¿puedes demostrar algo de esto, o estás trabajando a partir de una conjetura? Una respuesta documentada con pruebas adjuntas vence a una afirmación pulida sin nada detrás.

Primero, determina tu rol

Eres un proveedor con arreglo al artículo 16 si desarrollas un sistema de IA y lo distribuyes con tu propio nombre o marca. Si tu producto incluye una función de IA —un motor de recomendación, un modelo de puntuación, un chatbot— y se lo entregas a los clientes, eres el proveedor. Las obligaciones incluyen la documentación técnica (artículo 11, Anexo IV), un sistema de gestión de la calidad (artículo 17), el diseño de la supervisión humana (artículo 14) y, cuando el sistema es de alto riesgo, una evaluación de la conformidad con arreglo al artículo 43 antes del lanzamiento.

Eres un responsable del despliegue con arreglo al artículo 26 si utilizas internamente un sistema de IA de terceros en un contexto profesional —integrado en tu propio flujo de trabajo pero no entregado a los clientes. Las obligaciones del responsable del despliegue son más ligeras: seguir las instrucciones del proveedor, mantener la supervisión humana, conservar los registros durante al menos seis meses y, en determinados casos, realizar una Evaluación de Impacto en los Derechos Fundamentales con arreglo al artículo 27.

Los clientes que formulan una pregunta de diligencia debida suelen preguntar por tu condición de proveedor. Si tu producto contiene una función de IA que has construido, eres proveedor. Responde como tal.

Vigila la trampa del cambio de rol del artículo 25. Si has tomado un modelo de terceros, le has puesto tu nombre, lo has modificado sustancialmente o has cambiado su finalidad prevista, la Ley te trata como el proveedor del sistema resultante: se aplica el conjunto completo del artículo 16 con independencia del origen del modelo.

Después, clasifica el sistema

La clasificación parte del artículo 6, que te remite al Anexo III si tu sistema se utiliza en uno de los ocho ámbitos definidos: biometría, infraestructuras críticas, educación y formación profesional, empleo y gestión de los trabajadores, acceso a servicios privados y públicos esenciales (incluida la calificación de la solvencia y el riesgo de los seguros de salud o de vida), garantía del cumplimiento del Derecho, migración y control fronterizo, y administración de justicia. Si tu sistema no tiene conexión funcional con ninguno de ellos, es casi con seguridad no de alto riesgo.

Incluso dentro del Anexo III, el artículo 6, apartado 3, ofrece un filtro: el sistema no es de alto riesgo si no plantea un riesgo significativo de perjuicio, por ejemplo, porque desempeña una tarea procedimental limitada, mejora una actividad humana previamente realizada sin influir en una decisión, o realiza un trabajo preparatorio. Solo es necesario que se cumpla una condición. El matiz: todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo con independencia del filtro, y un proveedor que reclame la exención debe documentar la evaluación y registrar el sistema con arreglo al artículo 49.

La mayoría de las funciones de SaaS B2B se sitúan en el nivel de riesgo mínimo. Eso no es una debilidad en tu respuesta. Una determinación de riesgo mínimo bien explicada es más creíble que una vaga afirmación de «cumplimos».

Si tu sistema incluye un chatbot de cara al cliente, generación de contenido sintético o ultrafalsificaciones, se aplica una obligación de divulgación más ligera con arreglo al artículo 50 —transparencia de riesgo limitado— desde el 2 de agosto de 2026.

Cómo responder con honestidad según el escenario

Escenario A — tu sistema es de riesgo mínimo. Explica el análisis del artículo 6: evaluaste el sistema frente al Anexo III y no entra en ninguno de los ocho ámbitos de alto riesgo. No se aplican obligaciones sustantivas obligatorias con arreglo a la Ley (más allá de la alfabetización en materia de IA del artículo 4, en vigor desde el 2 de febrero de 2025, y de la transparencia del artículo 50 si el sistema es de cara al cliente). Cumples esas obligaciones. Estás dispuesto a compartir por escrito la justificación de la clasificación.

Escenario B — tu sistema es de riesgo limitado. Indica que el sistema entra en el nivel de transparencia del artículo 50 —por ejemplo, es un chatbot o genera contenido visible para los usuarios finales. Describe las divulgaciones que has incorporado: la notificación al usuario de que está interactuando con un sistema de IA, el etiquetado del contenido generado por IA. El artículo 50 se aplica desde el 2 de agosto de 2026; si vas por delante de esa fecha, dilo y describe tu preparación.

Escenario C — tu sistema es de alto riesgo. En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027; para la IA integrada en productos del Anexo I es el 2 de agosto de 2028. Indica tu clasificación del Anexo III, el plazo aplicable y tu situación actual frente a las obligaciones clave: gestión de riesgos del artículo 9, documentación técnica del artículo 11 / Anexo IV, evaluación de la conformidad del artículo 43. No afirmes haber completado obligaciones que aún no han entrado en vigor. Una actualización de estado concreta —«artículo 9 implantado; documentación del Anexo IV completada al 60 %; evaluación de la conformidad programada para el segundo trimestre de 2027»— es mucho más creíble que un genérico «cumplimos».

Qué no decir

Tres formulaciones crean problemas que sobreviven a la negociación.

No afirmes que tu sistema está «certificado». No existe un régimen general de certificación de la Ley de IA para la mayoría de los sistemas. La Ley tiene un proceso de evaluación de la conformidad (artículo 43) que, para la mayoría de los sistemas del Anexo III, es una autoevaluación interna con arreglo al Anexo VI, no un certificado de terceros. La palabra «certificado» da a entender algo que no existe.

No afirmes «cumplimos plenamente» antes de que las obligaciones correspondientes sean exigibles. Para los sistemas de alto riesgo, el plazo del 2 de diciembre de 2027 no ha pasado; la declaración honesta es que vais por buen camino, no que ya habéis llegado. Los clientes con sus propios programas de cumplimiento conocen los plazos.

No confundas el RGPD, el SOC 2 o la norma ISO/IEC 42001 con el cumplimiento de la Ley de IA de la UE. Se solapan de forma útil —el RGPD respalda la gobernanza de datos del artículo 10; la ISO/IEC 42001 respalda el SGC del artículo 17 y las pruebas del artículo 9—, pero ninguno sustituye los requisitos de la Ley. Decir «estamos certificados en SOC 2» responde a otra pregunta. Si tu sistema está en el Anexo III, el cliente probablemente lo descubrirá, y omitirlo erosiona la confianza más rápido que la franqueza.

Una estructura de respuesta reutilizable

Una respuesta de proveedor estructurada es más fácil de defender que una prosa ensamblada bajo la presión del plazo. Seis elementos, en orden, cubren lo que necesita un cliente que contrata:

Rol — proveedor con arreglo al artículo 16 (desarrollas y distribuyes la función de IA) o responsable del despliegue con arreglo al artículo 26 (utilizas una IA de terceros internamente), con una breve explicación del porqué.

Clasificación — el nivel de riesgo (mínimo, limitado o alto), el artículo y el anexo que lo respaldan y el razonamiento. Para riesgo mínimo, resume la evaluación del Anexo III. Para riesgo limitado, identifica el desencadenante del artículo 50. Para alto riesgo, nombra el punto del Anexo III (por ejemplo, «Anexo III, punto 4, letra a) — contratación y cribado de candidatos»).

Obligaciones aplicables — los requisitos concretos que se derivan de tu rol y nivel, y los plazos que los rigen.

Situación actual — qué está implementado, qué está en curso y cuándo esperas completar los elementos restantes. Sé concreto: gestión de riesgos del artículo 9, documentación del artículo 11, evaluación de la conformidad del artículo 43, SGC del artículo 17.

Pruebas disponibles previa solicitud — tu paquete de documentación técnica del Anexo IV, la declaración UE de conformidad del artículo 47, el informe de EIDF del artículo 27 cuando proceda y la entrada de tu sistema en el registro de sistemas de IA.

Punto de contacto — la persona o función responsable de las preguntas sobre el cumplimiento de la IA, para que el cliente sepa que se trata de una posición mantenida, no de una respuesta puntual.

Una respuesta construida sobre esos seis elementos es repetible entre negociaciones y defendible si se cuestiona.

Convierte el cuestionario en un activo de confianza

La primera vez que un cliente pregunta por la Ley de IA de la UE, ensamblar una respuesta lleva tiempo. La segunda vez, debería llevar minutos. Una ficha técnica permanente de la Ley de IA —determinación del rol, registro de clasificación, estado de las obligaciones, pruebas disponibles— acorta los ciclos de compra y te diferencia de los proveedores que responden con un párrafo de generalidades tranquilizadoras.

Si hoy no puedes responder al cuestionario con limpieza, eso es información útil: te indica dónde tiene lagunas tu programa de cumplimiento. El plazo del 2 de diciembre de 2027 es real, y una posición de cumplimiento de la IA bien documentada es cada vez más un requisito de contratación en el segmento empresarial.

Cómo ayuda Confir

El motor de clasificación de Confir utiliza una lógica determinista y basada en reglas —no un LLM— para recorrer la evaluación del artículo 6 y del Anexo III, derivar tu rol (proveedor, responsable del despliegue, importador o distribuidor) y producir un registro de clasificación que puedes entregar a los clientes. El mismo flujo de trabajo genera el paquete de documentación técnica del Anexo IV, la declaración UE de conformidad del artículo 47 y un resumen de cumplimiento de cara al proveedor. Para los sistemas de alto riesgo, el módulo de EIDF del artículo 27 produce la Evaluación de Impacto en los Derechos Fundamentales que los clientes del sector público y de los servicios financieros necesitan de ti.

Cada conclusión se traza hasta la regla que la produjo: explicable, reproducible, defendible ante auditoría. confir.eu.

Preguntas frecuentes

¿La Ley de IA de la UE me obliga a responder a las preguntas de cumplimiento de los clientes?

No en esos términos exactos, pero el artículo 13 exige que los proveedores de sistemas de IA de alto riesgo faciliten información que permita a los responsables del despliegue cumplir sus obligaciones del artículo 26. Un cliente B2B que realiza la diligencia debida como responsable del despliegue ejerce un derecho que la Ley crea de hecho. Negarte a colaborar te coloca en desventaja comercial y, en escenarios de alto riesgo, puede dejar al cliente incapaz de satisfacer sus propias obligaciones.

Utilizamos la API de OpenAI para construir nuestro producto: ¿somos proveedor o responsable del despliegue?

Si construyes un sistema sobre un modelo de terceros y lo distribuyes con tu propio nombre, eres el proveedor de ese sistema con arreglo al artículo 16: la definición de proveedor depende de introducir un sistema en el mercado con tu propio nombre, no de si entrenaste el modelo subyacente. Las obligaciones de IA de uso general (GPAI) (artículo 53) permanecen con OpenAI. El artículo 25 rige el resto de la cadena de valor: puede arrastrar a un responsable del despliegue o a un distribuidor a la condición de proveedor si renombra o modifica sustancialmente un sistema de alto riesgo. Tu clasificación depende entonces de lo que hace tu sistema: ejecuta la evaluación del artículo 6 / Anexo III frente a tu caso de uso, no frente a las capacidades generales del modelo.

¿Cuál es el plazo para el cumplimiento de la IA de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III deben cumplir antes del 2 de diciembre de 2027. Los sistemas de IA de alto riesgo integrados en productos cubiertos por el Derecho de la UE en materia de seguridad de los productos (Anexo I) deben cumplir antes del 2 de agosto de 2028. El plazo original del 2 de agosto de 2026 se ha aplazado. Las obligaciones de transparencia de riesgo limitado del artículo 50 y la aplicación general de la Ley se mantienen en el 2 de agosto de 2026.

Nuestro producto no tiene funciones de IA: ¿nos aplica la Ley de IA de la UE?

No como proveedor. Si utilizas herramientas de IA de terceros internamente, eres un responsable del despliegue con arreglo al artículo 26 —obligaciones más ligeras: seguir las instrucciones, garantizar la supervisión humana, conservar los registros y, en determinados casos, realizar una EIDF con arreglo al artículo 27. Si nada de eso aplica, la Ley afecta mínimamente a tus operaciones, aunque la alfabetización en materia de IA del artículo 4 se aplica desde el 2 de febrero de 2025 a cualquier organización que utilice IA.

¿Puede la certificación ISO/IEC 42001 sustituir la conformidad con la Ley de IA de la UE?

No. La ISO/IEC 42001 es voluntaria y respalda las pruebas de tu SGC del artículo 17 y de la gestión de riesgos del artículo 9, contribuyendo al expediente técnico. No sustituye la evaluación de la conformidad del artículo 43, el proceso propio de la Ley para demostrar el cumplimiento antes de que un sistema de alto riesgo salga al mercado. Si la tienes, díselo a los clientes; es una señal creíble. Pero deja claro que se sitúa junto a los requisitos de la Ley, no en su lugar.

¿Qué sanción afrontamos si damos información incorrecta sobre nuestra situación con la Ley de IA?

Facilitar información incorrecta o engañosa a una autoridad nacional de vigilancia del mercado o a un organismo notificado conlleva hasta 7 500 000 EUR o el 1 % del volumen de negocios mundial con arreglo al artículo 99 (el menor de los dos para las empresas más pequeñas con arreglo al artículo 99, apartado 6). Las declaraciones falsas a los clientes son principalmente una cuestión contractual, pero una afirmación exagerada que llegue a un regulador a través de la reclamación de un cliente es una exposición del artículo 99.

¿Cuál es la diferencia entre el artículo 26 y el artículo 27?

El artículo 26 cubre todos los deberes del responsable del despliegue: seguir las instrucciones del proveedor, mantener la supervisión humana, vigilar el rendimiento, conservar los registros y comunicar los incidentes. El artículo 27 es más estrecho —la Evaluación de Impacto en los Derechos Fundamentales— y se aplica a los responsables del despliegue del sector público y a los responsables del despliegue privados que utilicen sistemas del Anexo III para la calificación de la solvencia (punto 5, letra b)) o la evaluación de riesgos de los seguros de vida y de salud (punto 5, letra c)). Si tu cliente es una autoridad pública o una empresa de servicios financieros en una de esas categorías, puede necesitar tu documentación del Anexo IV para completar su EIDF del artículo 27. ---

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

La IA agéntica y la Ley de IA de la UE: clasificación, supervisión y cumplimiento

La IA agéntica no es una categoría de riesgo en la Ley de la UE. La clasificación sigue el caso de uso y el Anexo III. Cubre la supervisión del art. 14, los papeles de GPAI y los plazos de 2027.

Guide

¿Qué ocurre si ignora la Ley de IA de la UE?

Las multas son el último paso, no el primero. Los riesgos reales: la retirada del mercado, los acuerdos perdidos y un esprint de documentación apresurado en 2027. Aquí está el panorama completo.

Guide

Plazos de la Ley de IA de la UE por obligación: qué debe hacer y cuándo

Plazos de la Ley de IA de la UE por obligación: Art. 4/5 (feb 2025), GPAI Art. 53 (ago 2025), Art. 50 (ago 2026), alto riesgo Anexo III (dic 2027), Anexo I (ago 2028).