Skip to content
Confir.
Prueba gratuita
Blog

Ejecución de la Ley de IA de la UE: quién puede actuar, cuándo y cómo

Guide25 March 2026· 18 min de lectura

Ejecución de la Ley de IA de la UE: quién investiga, qué facultades tiene y cuándo cada fase de obligaciones pasa a ser sancionable. ANC, AVM y Oficina de IA explicadas.

El techo sancionador de la Ley de IA de la UE acapara los titulares. La arquitectura de ejecución rara vez lo hace, y por eso las empresas se sorprenden al saber que la infraestructura autorizada para investigar, exigir documentos y ordenar retiradas del mercado lleva operativa desde agosto de 2025. Comprender quién ejecuta el Reglamento, qué facultades tiene y qué obligaciones ya son exigibles hoy importa más que cualquier artículo sobre plazos, porque indica dónde se sitúa la verdadera exposición a corto plazo.

Los órganos de ejecución: tres capas

Autoridades nacionales competentes (artículo 70)

Cada Estado miembro de la UE debía designar al menos una autoridad nacional competente (ANC) y notificarlo a la Comisión antes del 2 de agosto de 2025. El artículo 70 establece el requisito; los Estados miembros deciden la estructura interna. En la práctica, la mayoría ha asignado el cometido a un organismo existente —una autoridad de protección de datos, un organismo de vigilancia del mercado o un regulador sectorial, según el país—.

Alemania designó a la Bundesnetzagentur (Agencia Federal de Redes) como su principal autoridad de vigilancia del mercado de IA en virtud de un marco propuesto en la KI-Marktüberwachungsgesetz (KI-MIG), aprobada por el Gabinete en febrero de 2026 y que se espera que entre en vigor antes de finales de 2026. Francia señaló a la CNIL y a la ANSSI para competencias solapadas; España cuenta con la AESIA (Agencia Española de Supervisión de Inteligencia Artificial), operativa desde 2024. La configuración exacta importa para las empresas porque las investigaciones, las solicitudes de documentos y las órdenes correctoras proceden de la ANC del Estado miembro donde se introduce un sistema en el mercado o donde se produce un incidente.

En virtud del artículo 70, cada Estado miembro debe designar también un punto de contacto único para la coordinación con la Comisión y el Consejo de IA.

Las autoridades de vigilancia del mercado (artículo 74)

La vigilancia del mercado es una función distinta de la supervisión general de la ANC. Las autoridades de vigilancia del mercado (AVM) —designadas en virtud del artículo 74 y alineadas con el Reglamento (UE) 2019/1020— son específicamente responsables de supervisar los productos y sistemas de IA que ya están en el mercado. Ostentan las facultades de investigación: acceso a las instalaciones, solicitudes de documentos, órdenes de retirada o recuperación de sistemas, y coordinación transfronteriza.

El marco de las AVM ya está en funcionamiento. Las facultades del artículo 74 y siguientes se aplican desde el 2 de agosto de 2025. Una AVM puede hoy:

  • Solicitar acceso a cualquier documentación exigida por el Reglamento.
  • Inspeccionar la documentación técnica, los registros de gestión de riesgos y los expedientes de evaluación de la conformidad.
  • Emitir una orden correctora que exija a un proveedor poner en conformidad un sistema no conforme.
  • Ordenar una retirada del mercado si un sistema plantea un riesgo inadmisible que no puede subsanarse.
  • Coordinarse con sus homólogos de otros Estados miembros a través de los mecanismos de facilitación del Consejo de IA.

Que las obligaciones de alto riesgo para los sistemas del Anexo III aún no se apliquen (lo harán a partir del 2 de diciembre de 2027 en virtud del Ómnibus Digital) no limita estas facultades de investigación sobre las obligaciones que ya se aplican: las prohibiciones del artículo 5, las obligaciones de GPAI y el marco sancionador del artículo 99.

La Oficina de IA (Capítulo VII)

La Oficina de IA se creó dentro de la Comisión para actuar como órgano supervisor a nivel de la UE de los modelos de IA de uso general (GPAI). Su mandato corre desde el 2 de agosto de 2025 en paralelo con las obligaciones de GPAI del Capítulo V. La Oficina de IA:

  • Supervisa la aplicación de los códigos de buenas prácticas en virtud del artículo 56.
  • Vigila a los proveedores de GPAI en cuanto al cumplimiento de los artículos 53 y 55.
  • Puede investigar por sí misma a los proveedores de GPAI y, para los modelos con riesgo sistémico, imponer multas en virtud del artículo 101 (hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor).
  • Se coordina con el grupo de expertos científicos independientes creado en virtud del artículo 68, que puede emitir alertas cualificadas sobre riesgos sistémicos a través del mecanismo del artículo 90.

La Oficina de IA opera a nivel de la Comisión, lo que significa que puede actuar en todo el mercado único sin esperar a los procedimientos nacionales.

El Consejo de IA (Capítulo VIII)

El Consejo de IA está compuesto por representantes de la ANC de cada Estado miembro, más el Supervisor Europeo de Protección de Datos como observador sin derecho a voto. Su papel es principalmente de coordinación y orientación: emite dictámenes sobre proyectos de actos de ejecución, facilita la aplicación coherente en los distintos Estados miembros y apoya las investigaciones transfronterizas. El Consejo no impone por sí mismo multas ni emite órdenes de ejecución: es una capa de gobernanza que reduce el riesgo de fragmentación inherente a tener 27 ANC operando bajo el mismo Reglamento.

Qué es exigible ahora

El error común es pensar que la ejecución solo arranca una vez que llega el plazo de alto riesgo. Es incorrecto. El Reglamento tiene tres capas de ejecución activas a día de hoy (junio de 2026):

1. Prohibiciones del artículo 5 — desde el 2 de febrero de 2025

Las ocho prohibiciones categóricas del artículo 5 —manipulación subliminal (5, apdo. 1, letra a)), explotación de vulnerabilidades (5, apdo. 1, letra b)), puntuación social por las autoridades públicas (5, apdo. 1, letra c)), predicción de la comisión de delitos basada únicamente en la elaboración de perfiles (5, apdo. 1, letra d)), extracción no selectiva de imágenes faciales (5, apdo. 1, letra e)), inferencia de emociones en lugares de trabajo y entornos educativos (5, apdo. 1, letra f)), categorización biométrica que infiere atributos sensibles (5, apdo. 1, letra g)) e identificación biométrica remota en tiempo real en espacios de acceso público por parte de las fuerzas y cuerpos de seguridad fuera de las excepciones permitidas (5, apdo. 1, letra h))— se aplican desde el 2 de febrero de 2025. No hay periodo de gracia ni vía de evaluación de la conformidad. Cualquier ANC puede abrir hoy una investigación por una presunta infracción. El techo sancionador del artículo 99, apartado 3: 35 millones de euros o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor.

2. Obligaciones de los modelos GPAI — desde el 2 de agosto de 2025

Los proveedores de GPAI —empresas que introducen un modelo de IA de uso general en el mercado de la UE con su propio nombre— están sujetos al Capítulo V desde el 2 de agosto de 2025. Esto incluye: documentación técnica (artículo 53), obligaciones de información para la cadena posterior (artículo 53), una política de cumplimiento de los derechos de autor (artículo 53) y, para los proveedores de GPAI con riesgo sistémico, evaluaciones del modelo, pruebas adversariales, notificación de incidentes y medidas de ciberseguridad (artículo 55). La Oficina de IA es el órgano de ejecución; las multas alcanzan los 15 millones de euros o el 3 % en virtud del artículo 101.

3. Marco sancionador — desde el 2 de agosto de 2025

El artículo 99 (el artículo sancionador general) pasó a ser aplicable el 2 de agosto de 2025. Esto significa que la base jurídica para las multas existe ahora, no en 2027. En la práctica, los reguladores se centrarán primero en las prohibiciones y en las obligaciones de GPAI, donde la prueba es clara, pero la maquinaria ya está dispuesta.

Cuándo se intensifica la ejecución fase por fase

Transparencia del artículo 50 — 2 de agosto de 2026

Los sistemas de riesgo limitado quedan comprendidos en el artículo 50 a partir del 2 de agosto de 2026. Abarca: información sobre la interacción con la IA (los chatbots deben identificarse como IA), marcado de contenido sintético, información sobre reconocimiento de emociones y categorización biométrica, y etiquetado de ultrafalsos. El incumplimiento de estas obligaciones de transparencia se sitúa en el artículo 99, apartado 4: 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor.

Sistemas de alto riesgo del Anexo III — 2 de diciembre de 2027

Los sistemas de IA de alto riesgo autónomos —la lista del Anexo III que abarca selección de personal, evaluación de la solvencia, biometría (cuando sea lícita), educación, infraestructuras críticas, garantía del cumplimiento del Derecho, migración y administración de justicia— deben cumplir la pila completa de alto riesgo antes del 2 de diciembre de 2027. Esta fecha se aplazó desde la original del 2 de agosto de 2026 en virtud del Ómnibus Digital (acuerdo político entre el Parlamento y el Consejo, mayo de 2026; adopción formal prevista antes del 2 de agosto de 2026).

Las obligaciones exigibles antes del 2 de diciembre de 2027 incluyen: un sistema de gestión de riesgos con arreglo al artículo 9, gobernanza de datos con arreglo al artículo 10, documentación técnica del Anexo IV con arreglo al artículo 11, conservación de registros con arreglo al artículo 12, transparencia hacia los responsables del despliegue con arreglo al artículo 13, supervisión humana con arreglo al artículo 14, exactitud y ciberseguridad con arreglo al artículo 15, un sistema de gestión de la calidad con arreglo al artículo 17, evaluación de la conformidad con arreglo al artículo 43, declaración UE de conformidad con arreglo al artículo 47, marcado CE con arreglo al artículo 48 y registro en la base de datos de la UE con arreglo al artículo 49.

El incumplimiento después de esa fecha expone a proveedores y responsables del despliegue a las multas del artículo 99, apartado 4: 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Por facilitar información incorrecta o engañosa a un organismo notificado o a una autoridad competente, se aplica el artículo 99, apartado 5: 7,5 millones de euros o el 1 %.

Una nota de proporcionalidad que importa a las organizaciones más pequeñas: en virtud del artículo 99, apartado 6, las multas para las pymes y las empresas emergentes se limitan al menor de los dos importes, el porcentaje o la cantidad fija, de modo que una empresa con 5 millones de euros de volumen de negocios que se enfrenta a una multa del 3 % queda limitada a 150 000 euros, no a 15 millones. Es una protección genuina, aunque no reduce la obligación en sí.

IA de alto riesgo integrada en productos regulados — 2 de agosto de 2028

Los sistemas de IA de alto riesgo que funcionan como componentes de seguridad de productos regulados por la legislación de seguridad de los productos de la UE enumerada en el Anexo I —incluidos los productos sanitarios con arreglo al MDR, las máquinas con arreglo al Reglamento sobre máquinas, la aviación y la seguridad del automóvil— deben cumplir antes del 2 de agosto de 2028. Estos sistemas siguen la vía del artículo 6, apartado 1, en lugar del artículo 6, apartado 2 / Anexo III, y su evaluación de la conformidad suele integrarse en el procedimiento de conformidad de la legislación de productos existente.

Cómo funciona la vigilancia del mercado en la práctica

El artículo 74 y las disposiciones siguientes dan a las AVM un conjunto estructurado de herramientas de escalado. La secuencia, en líneas generales, es la siguiente:

  1. Desencadenante: una reclamación, una notificación de incidente grave con arreglo al artículo 73, una alerta transfronteriza de otra AVM o la propia supervisión del mercado por parte de la autoridad.

  2. Solicitud de documentos: la AVM solicita acceso a la documentación técnica, los registros, los registros de gestión de riesgos y el expediente de evaluación de la conformidad. Para los sistemas de alto riesgo, este es el paquete de documentación técnica del Anexo IV. Los proveedores y responsables del despliegue deben cooperar en virtud del artículo 74; la negativa o la obstrucción es en sí misma una base para sanciones.

  3. Inspección in situ: cuando el acceso remoto a los documentos es insuficiente, los inspectores pueden visitar las instalaciones, sujeto a la autorización judicial correspondiente en algunos Estados miembros.

  4. Conclusión preliminar: si la autoridad identifica una posible no conformidad, emite una conclusión preliminar e invita a la empresa a responder.

  5. Orden correctora: cuando se confirma la no conformidad, la AVM puede ordenar al proveedor poner en conformidad el sistema dentro de un plazo determinado, suspender el despliegue o restringir el acceso al mercado de la UE.

  6. Retirada del mercado: para los sistemas que plantean un riesgo inadmisible, la AVM puede ordenar la recuperación o la retirada del mercado y notificarlo a otros Estados miembros a través de RAPEX (el sistema de alerta rápida de la UE) y del Consejo de IA.

  7. Remisión sancionadora: la AVM puede remitir el asunto a la autoridad sancionadora (en la mayoría de los Estados miembros, un tribunal administrativo independiente o la ANC actuando en su capacidad sancionadora) para la imposición de las multas del artículo 99.

A lo largo de este proceso, el Consejo de IA facilita la coordinación transfronteriza. Si un sistema se introduce en el mercado en varios Estados miembros, la AVM principal (normalmente la del Estado miembro donde está establecido el proveedor) se coordina con las demás.

La implicación práctica clave: la infraestructura está activa antes del plazo de alto riesgo

A veces las empresas tratan diciembre de 2027 como la fecha de inicio de cualquier riesgo de ejecución sobre la IA de alto riesgo. Es una lectura errónea. Considere lo que ya está dispuesto:

  • Las ANC han sido designadas y notificadas.
  • Las AVM tienen facultades de investigación activas en virtud de los artículos 74 y siguientes.
  • Las multas del artículo 99 se aplican desde agosto de 2025.
  • La Oficina de IA está supervisando ahora a los proveedores de GPAI.
  • Las obligaciones de notificación de incidentes graves del artículo 73 se aplican a cualquier sistema de alto riesgo que los proveedores ya hayan introducido en el mercado, con un plazo de 15 días desde el conocimiento de un incidente grave (2 días en caso de infracción generalizada o de perturbación de infraestructuras críticas; 10 días cuando haya un fallecimiento de por medio).

Una empresa que despliega hoy un sistema de alto riesgo del Anexo III —una herramienta de cribado para selección de personal, un modelo de calificación crediticia— lo hace en un entorno regulatorio en el que las autoridades de vigilancia del mercado ya pueden solicitar su documentación. Todavía no pueden exigir el cumplimiento de la evaluación de la conformidad (esa obligación se aplica a partir de diciembre de 2027), pero pueden investigar prácticas prohibidas en el diseño del sistema, verificar que la empresa no está formulando afirmaciones falsas de cumplimiento y vigilar los incidentes graves.

La rampa de ejecución no es un precipicio en diciembre de 2027. Es una pendiente que empezó en febrero de 2025 y se hace más pronunciada en cada fecha de aplicación.

Cómo ayuda Confir

Construir un expediente de pruebas listo para auditoría antes de que las autoridades de ejecución lo pidan es el caso de uso central. El motor de clasificación basado en reglas de Confir —determinista y reproducible por diseño— guía a su equipo a través de la delimitación del alcance del artículo 6 / Anexo III, deriva su papel como proveedor o responsable del despliegue y genera el paquete de documentación técnica del artículo 11 / Anexo IV en un formato listo para entregar a una AVM. El registro de auditoría es inmutable: cada paso de la evaluación, la regla que se activó y el usuario que la confirmó quedan registrados. Cuando una ANC envía una solicitud de documentos, usted no empieza de cero.

Confir no automatiza el juicio jurídico ni sustituye al asesoramiento de profesionales cualificados. Da a los equipos de cumplimiento la base de pruebas estructurada que hace que una inspección de una AVM sea manejable en lugar de motivo de pánico.

Preguntas frecuentes

¿Quién ejecuta la Ley de IA de la UE en cada Estado miembro?

Cada Estado miembro de la UE designa al menos una autoridad nacional competente (ANC) y una autoridad de vigilancia del mercado (AVM) en virtud del artículo 70. La ANC se ocupa de la supervisión y la coordinación generales; la AVM ostenta las facultades de investigación: solicitudes de documentos, inspecciones in situ, órdenes correctoras y retirada del mercado. El órgano designado varía según el país: Alemania utiliza el marco de la Bundesnetzagentur (propuesto en virtud de la KI-MIG, aún no promulgado a mediados de 2026); España cuenta con la AESIA. Una empresa debe identificar la autoridad competente en cada Estado miembro donde introduzca sistemas en el mercado.

¿Cuándo empezaron realmente las facultades de ejecución?

El marco sancionador del artículo 99 y las facultades de vigilancia del mercado de los artículos 74 y siguientes pasaron a ser aplicables el 2 de agosto de 2025 —la misma fecha en que comenzaron las obligaciones de GPAI—. Las prohibiciones del artículo 5 pasaron a ser exigibles a partir del 2 de febrero de 2025. La infraestructura de ejecución está, por tanto, ya operativa; lo que añaden las fechas del 2 de diciembre de 2027 y del 2 de agosto de 2028 es la aplicabilidad de la pila completa de obligaciones de alto riesgo, que hace sancionable el incumplimiento de esas obligaciones.

¿Qué es la Oficina de IA y qué puede hacer?

La Oficina de IA es un órgano de la Comisión creado para supervisar el cumplimiento de los modelos GPAI en toda la UE. Vigila a los proveedores de modelos de IA de uso general, supervisa los códigos de buenas prácticas en virtud del artículo 56 y puede imponer multas en virtud del artículo 101 —hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor— por infracciones específicas de GPAI. Para los modelos GPAI con riesgo sistémico, la Oficina de IA revisa las evaluaciones del modelo y puede ordenar medidas correctoras. Se coordina con el grupo de expertos científicos independientes, que puede emitir alertas cualificadas sobre riesgos sistémicos a través del artículo 90.

¿Qué ocurre cuando una autoridad de vigilancia del mercado investiga a mi empresa?

La AVM normalmente empezará solicitando acceso a su documentación técnica: los registros del sistema de gestión de riesgos (artículo 9), el expediente de documentación técnica (artículo 11 / Anexo IV), la evaluación de la conformidad (artículo 43) y los registros de incidentes (artículo 12). La cooperación es obligatoria. Si se constata la no conformidad, la autoridad puede emitir una orden correctora que fije un plazo para subsanarla, suspender el acceso al mercado o —en casos graves— ordenar la retirada del mercado. Las sanciones llegan si no se cumple la orden correctora o si la infracción inicial era en sí misma un acto sancionable. Facilitar información incorrecta a la autoridad añade una exposición independiente con arreglo al artículo 99, apartado 5: 7,5 millones de euros o el 1 % del volumen de negocios mundial.

¿Significa el plazo de diciembre de 2027 que no tengo riesgo de ejecución antes de esa fecha para la IA de alto riesgo?

No del todo. Las autoridades de vigilancia del mercado pueden investigar ahora mismo —incluida la solicitud de documentación a los operadores de sistemas del Anexo III— por presuntas infracciones del artículo 5, incumplimientos de las obligaciones de GPAI o afirmaciones de cumplimiento engañosas. Lo que no pueden hacer antes de diciembre de 2027 es sancionarle específicamente por no cumplir las obligaciones de alto riesgo de los artículos 9 a 15 y del artículo 43, porque esas obligaciones aún no son aplicables. Pero el aparato de investigación está activo, y cualquier problema del artículo 5 descubierto durante una investigación más amplia se perseguirá con independencia de dónde se sitúe el plazo de alto riesgo.

¿Cuáles son los niveles sancionadores del artículo 99?

Tres niveles, cada uno estructurado como «si esta última cifra es mayor» de un techo fijo o un porcentaje del volumen de negocios anual mundial total del ejercicio anterior: (1) 35 millones de euros o el 7 % por infracciones de las prohibiciones del artículo 5 (artículo 99, apartado 3); (2) 15 millones de euros o el 3 % por la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo y los deberes de proveedor/responsable del despliegue (artículo 99, apartado 4); (3) 7,5 millones de euros o el 1 % por facilitar información incorrecta, incompleta o engañosa a las autoridades o a los organismos notificados (artículo 99, apartado 5). En virtud del artículo 99, apartado 6, para las pymes y las empresas emergentes estos importes se limitan al menor de la suma fija o el porcentaje. Las multas específicas de GPAI se rigen por separado en el artículo 101.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

La IA agéntica y la Ley de IA de la UE: clasificación, supervisión y cumplimiento

La IA agéntica no es una categoría de riesgo en la Ley de la UE. La clasificación sigue el caso de uso y el Anexo III. Cubre la supervisión del art. 14, los papeles de GPAI y los plazos de 2027.

Guide

¿Qué ocurre si ignora la Ley de IA de la UE?

Las multas son el último paso, no el primero. Los riesgos reales: la retirada del mercado, los acuerdos perdidos y un esprint de documentación apresurado en 2027. Aquí está el panorama completo.

Guide

Un cliente ha preguntado por la Ley de IA de la UE: cómo responder

Un cliente potencial B2B ha preguntado si cumples la Ley de IA de la UE. Aprende a descifrar qué te están preguntando, a determinar tu rol y a responder con honestidad por nivel de riesgo.