Skip to content
Confir.
Prueba gratuita
Blog

Cumplimiento de la Ley de IA de la UE para grandes empresas: gobernanza de carteras a escala

Guide8 April 2026· 18 min de lectura

Gobierne docenas de sistemas de IA de alto riesgo a escala: inventario de IA, RACI federado, SGC del Artículo 17, diligencia debida sobre proveedores y los plazos del 2 dic 2027 / 2 ago 2028.

Una gran empresa que aborda el cumplimiento de la Ley de IA de la UE se enfrenta a un problema que no existe para una empresa de 50 personas: el puro número de sistemas de IA que gobernar. A través de la contratación, RR. HH., finanzas, operaciones con clientes y divisiones de producto, un grupo corporativo europeo típico ejecuta docenas — a veces cientos — de herramientas asistidas por IA, la mayoría de ellas adquiridas a proveedores terceros, una minoría desarrolladas internamente. Cada una debe clasificarse, documentarse y gestionarse. La pregunta de cumplimiento no es solo «¿qué exige el Artículo 6?», sino «¿cómo ejecutamos esto de forma coherente en cada unidad de negocio, sin reinventar la rueda cuarenta veces?».

Ese reto de gobernanza es lo que aborda esta guía. Para una base sobre la estructura central de la Ley, consulte ¿Qué es la Ley de IA de la UE?. Para una guía práctica adaptada a equipos más pequeños, consulte Cumplimiento de la Ley de IA de la UE para empresas más pequeñas.

Punto de partida: construir un inventario de IA a escala de toda la empresa

No puede clasificar lo que no ha catalogado. El primer paso para cualquier gran organización es un inventario completo de cada sistema de IA en uso — en cada unidad de negocio, cada entidad jurídica en el ámbito de aplicación y cada relación con proveedores.

En virtud del Artículo 6 del Reglamento (UE) 2024/1689, la clasificación en un nivel de riesgo exige conocer la finalidad prevista del sistema, el ámbito en el que opera y si cumple las condiciones del filtro del Artículo 6, apartado 3. Nada de eso es posible sin un registro estructurado.

Para una gran empresa, el trabajo de inventario suele revelar tres categorías de sistemas:

Herramientas de IA comerciales desplegadas a escala — suites de productividad con IA integrada (piense en M365 Copilot), plataformas de RR. HH. con funciones de cribado automatizado, sistemas financieros con detección de anomalías. La mayoría aterrizan como de riesgo mínimo o de riesgo limitado (obligaciones de transparencia del Artículo 50). Pero cualquier herramienta utilizada para una finalidad del Anexo III — decisiones de crédito, cribado en la contratación, gestión de la mano de obra — hereda la pila completa de alto riesgo con independencia del marketing del proveedor.

Sistemas de alto riesgo de terceros — herramientas especializadas adquiridas para un caso de uso del Anexo III: un módulo de cribado de currículos en el ATS, un motor de evaluación de la solvencia en el flujo de trabajo de originación de préstamos, un sistema de control de acceso biométrico en la pila de instalaciones. Para cada uno de ellos, la empresa actúa como responsable del despliegue en virtud del Artículo 26 y debe verificar el cumplimiento del proveedor, implementar la supervisión humana en virtud del Artículo 14, conservar los registros durante al menos seis meses y — para la solvencia (Anexo III, 5, letra b)), los seguros de salud/vida (5, letra c)) o los despliegues de organismos públicos — completar una evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27.

Sistemas de IA internos — modelos personalizados construidos o ajustados internamente, o modelos de terceros renombrados y comercializados con el nombre de la empresa. En el momento en que una organización introduce un sistema de alto riesgo en el mercado o lo pone en servicio con su propio nombre o marca comercial, se convierte en proveedor en virtud del Artículo 16. El Artículo 25 cierra el resquicio: si modifica sustancialmente un sistema de un tercero o lo redespliega para una finalidad más allá de su uso previsto original, hereda las obligaciones del proveedor aunque no lo haya construido.

La trampa del Artículo 25 importa especialmente para las grandes empresas que experimentan con modelos GPAI renombrados (los Artículos 51 a 55 rigen el propio modelo GPAI; el Artículo 25 rige lo que ocurre cuando la empresa lo envuelve en un producto).

Función centralizada de gobernanza de la IA y propiedad federada

Ejecutar el cumplimiento en una cartera de docenas o cientos de sistemas requiere dos elementos estructurales: una función central que fije los estándares y sea propietaria del registro, y una rendición de cuentas federada en cada unidad de negocio que realmente sepa qué hacen los sistemas.

La función central de gobernanza de la IA debe ser responsable de:

  • Mantener el inventario de IA y la metodología de clasificación del Artículo 6
  • Fijar la plantilla a escala de toda la empresa para el sistema de gestión de riesgos del Artículo 9, la documentación técnica del Artículo 11 / Anexo IV y los requisitos de supervisión humana del Artículo 14
  • Ser propietaria del sistema de gestión de la calidad (SGC) del Artículo 17 — el marco organizativo documentado que rige cómo la empresa desarrolla, valida y vigila la IA de alto riesgo a lo largo de su ciclo de vida
  • Coordinarse con los departamentos Jurídico y de Protección de Datos sobre los solapamientos con el RGPD (en especial la EIDF del Artículo 27, que se basa en la EIPD del artículo 35 del RGPD, pero es distinta de ella)
  • Mantener el registro de riesgos y el registro de auditoría de toda la organización exigidos para la presentación de informes al consejo y a los reguladores
  • Liderar los flujos de trabajo de notificación de incidentes en virtud del Artículo 73, que fija plazos estrictos: 15 días desde el conocimiento para los incidentes graves, 10 días cuando se ha producido una muerte, 2 días para las perturbaciones generalizadas o catastróficas

Los propietarios federados de IA — normalmente un responsable de cumplimiento o un propietario de producto en cada unidad de negocio — deben rendir cuentas de:

  • Mantener los registros a nivel de sistema dentro del registro central
  • Realizar las revisiones de gestión de riesgos del Artículo 9 según el calendario
  • Implementar los procedimientos de supervisión humana del Artículo 14 apropiados para su ámbito
  • Señalar los nuevos despliegues de IA y los cambios de proveedor antes de su puesta en marcha
  • Vigilar los sistemas desplegados y aflorar las anomalías a la función central

Un RACI que haga a la función central responsable y rendidora de cuentas del estándar, y a cada unidad de negocio rendidora de cuentas y responsable de sus propios sistemas, es el patrón operativo que funciona en la práctica. Sin propiedad federada, el equipo central persigue 200 sistemas que no comprende. Sin el estándar central, cada unidad de negocio inventa su propia lógica de clasificación y formato de documentación.

SGC del Artículo 17 a escala

Para las empresas con múltiples sistemas de alto riesgo internos o renombrados, el Artículo 17 exige un sistema de gestión de la calidad documentado que abarque todo el ciclo de vida de desarrollo y despliegue: diseño, pruebas, validación, despliegue, vigilancia y procedimientos de actualización. El SGC debe abordar la gobernanza de datos, la robustez técnica y la vigilancia poscomercialización.

El reto práctico es que las grandes empresas ya operan marcos de calidad — ISO 9001, ISO/IEC 27001 y, cada vez más, ISO/IEC 42001 (sistemas de gestión de la IA). La buena noticia es que el Artículo 17 no exige un SGC independiente construido desde cero. Exige que se cubran las obligaciones de calidad pertinentes. ISO/IEC 42001 se corresponde bien con el Artículo 17 y con los requisitos de gestión de riesgos del Artículo 9, aunque es importante ser precisos: la certificación ISO 42001 es voluntaria y no sustituye a la evaluación de la conformidad del Artículo 43. Respalda el expediente técnico y la base probatoria del SGC; no reemplaza el procedimiento de cumplimiento jurídico.

Los programas de cumplimiento del RGPD merecen igualmente integrarse en lugar de ejecutarse en paralelo. Los requisitos de gobernanza de datos del Artículo 10 para la IA de alto riesgo (calidad de los datos, representatividad, pruebas de sesgo) se solapan de forma natural con las obligaciones de minimización de datos y limitación de la finalidad del RGPD. El equipo de gobernanza debería cartografiar explícitamente estas intersecciones en lugar de construir dos flujos de trabajo separados.

Estandarizar la pila de cumplimiento de alto riesgo en toda la cartera

Todo sistema de alto riesgo — actúe la empresa como proveedor o como responsable del despliegue — requiere un conjunto coherente de entregables documentados. Estandarizar estas plantillas en toda la cartera ahorra un tiempo considerable y crea coherencia de cara a las auditorías.

Sistema de gestión de riesgos del Artículo 9: Un proceso documentado e iterativo que abarca la identificación, el análisis, la evaluación y la mitigación de riesgos a lo largo del ciclo de vida del sistema. Para los responsables del despliegue, esto incluye la vigilancia en el contexto operativo, que puede diferir de cómo probó el proveedor el sistema.

Documentación técnica del Artículo 11 / Anexo IV: Nueve ámbitos de documentación que abarcan la finalidad prevista, la arquitectura del sistema, los datos de entrenamiento y validación, las métricas de rendimiento, la gestión de riesgos y las disposiciones de supervisión humana. Los proveedores la elaboran y la mantienen; los responsables del despliegue la reciben y la revisan. La documentación debe conservarse durante 10 años en virtud del Artículo 18.

Supervisión humana del Artículo 14: Cada sistema de alto riesgo debe tener procedimientos de supervisión documentados: quién revisa los resultados de la IA, en qué condiciones, con qué autoridad para anular y cómo se registran las decisiones de anulación. Para una entidad financiera que despliega un sistema de calificación crediticia en virtud del Anexo III, punto 5, letra b), esto significa protocolos definidos para que los responsables de préstamos revisen y anulen las recomendaciones del modelo.

Evaluación de la conformidad del Artículo 43: Los proveedores deben completar la evaluación de la conformidad antes de introducir un sistema de alto riesgo en el mercado. La mayoría de las categorías del Anexo III (puntos 2 a 8: infraestructuras críticas, educación, empleo, servicios, garantía del cumplimiento del Derecho, migración, justicia) utilizan el procedimiento de autoevaluación interna del Anexo VI. El punto 1 (biometría) requiere generalmente la vía del organismo notificado del Anexo VII cuando no se aplican normas armonizadas.

Declaración de conformidad del Artículo 47 / Anexo V y registro del Artículo 49: Los proveedores firman una declaración de conformidad y registran el sistema en la base de datos de la UE (Artículo 71) en virtud del Artículo 49 antes del despliegue. Los responsables del despliegue deben verificar que existen.

Contratación y diligencia debida sobre proveedores

La mayoría de los sistemas de IA de una gran empresa llegan a través de la contratación. Incorporar comprobaciones de cumplimiento al proceso de compra es más eficiente que adaptar la documentación después de que un sistema esté en funcionamiento.

La diligencia debida sobre proveedores para la contratación de IA de alto riesgo debería exigir, como mínimo:

  • La confirmación del rol del proveedor y una copia de la documentación técnica del Artículo 11 / Anexo IV o un resumen de la misma
  • La declaración UE de conformidad del Artículo 47 y la referencia de registro del Artículo 49
  • Pruebas de que el sistema de gestión de riesgos del Artículo 9 se ha realizado para el sistema tal como se suministra
  • Las instrucciones para los responsables del despliegue en virtud del Artículo 13, incluida la finalidad prevista documentada, las limitaciones conocidas y los protocolos de supervisión humana recomendados
  • Compromisos contractuales sobre la notificación de incidentes (el proveedor debe notificar los incidentes graves a las autoridades en virtud del Artículo 73; el responsable del despliegue debe señalar los incidentes al proveedor en virtud del Artículo 26)

Estos requisitos deberían ser cláusulas contractuales estándar en cualquier contratación de un sistema de IA que pudiera clasificarse como de alto riesgo. Para los sistemas que aterrizan como de riesgo mínimo o limitado, basta con una lista de comprobación de diligencia debida más ligera — que confirme que se cumplen las obligaciones de transparencia del Artículo 50 si el sistema es de cara al cliente.

Sanciones: sin límite para pymes en el caso de las grandes empresas

El Artículo 99 del Reglamento se aplica íntegramente a las grandes empresas. No existe una reducción de proporcionalidad del tipo de la disponible para las pymes y las empresas emergentes en virtud del Artículo 99, apartado 6, que limita las multas al menor del importe fijo o el porcentaje para los operadores más pequeños.

Para una gran empresa, los tres niveles sancionadores son:

  • 35 000 000 € o el 7 % del volumen de negocios anual mundial total (la cifra que sea mayor) por infracción de las prácticas prohibidas del Artículo 5 — pertinente ahora, dado que la prohibición de la puntuación social, el reconocimiento de emociones en el lugar de trabajo, la extracción facial masiva y la identificación biométrica remota en tiempo real en espacios públicos se aplica desde el 2 de febrero de 2025.
  • 15 000 000 € o el 3 % del volumen de negocios anual mundial total por infracción de las obligaciones de alto riesgo de los Artículos 16 y 26 y de la mayoría de los demás deberes del proveedor y del responsable del despliegue.
  • 7 500 000 € o el 1 % del volumen de negocios anual mundial total por facilitar información incorrecta o engañosa a un organismo notificado o a una autoridad competente.

Para un grupo con 10 000 millones de euros de ingresos, el nivel del 3 % alcanza los 300 millones de euros. Esa exposición, combinada con las consecuencias reputacionales y regulatorias, es el argumento de negocio para invertir ahora en infraestructura de gobernanza.

Plazos y por qué las grandes carteras deben actuar ahora

En virtud del Ómnibus Digital acordado en mayo de 2026, los plazos de alto riesgo son:

  • 2 de diciembre de 2027 — sistemas de IA de alto riesgo autónomos (la lista del Anexo III)
  • 2 de agosto de 2028 — sistemas de IA de alto riesgo integrados en productos regulados del Anexo I (productos sanitarios, máquinas, vehículos)

Las prohibiciones del Artículo 5 se aplican desde el 2 de febrero de 2025. Todo sistema de puntuación social, despliegue de reconocimiento de emociones en el lugar de trabajo o programa de identificación biométrica remota en tiempo real ya en funcionamiento está en infracción hoy.

Dieciocho meses hasta diciembre de 2027 es menos margen del que parece para una gran empresa. Construir el inventario de cientos de sistemas, acordar las decisiones de clasificación con las unidades de negocio que se resisten a la etiqueta de «alto riesgo», negociar la documentación con proveedores que ellos mismos aún la están elaborando, poner en marcha el SGC y completar las evaluaciones de la conformidad del Artículo 43 para los sistemas internos — este trabajo se ejecuta secuencialmente en la práctica, aun cuando se intente en paralelo. Las organizaciones que esperaron al plazo original de agosto de 2026 ya van con retraso en la mecánica.

La secuenciación sensata es: completar el inventario y una primera pasada de clasificación, identificar todos los riesgos del Artículo 5 para subsanarlos de inmediato, identificar los sistemas de alto riesgo en los que la empresa es el proveedor (mayor carga de cumplimiento), después abordar las obligaciones del responsable del despliegue para los sistemas de alto riesgo de terceros y, por último, institucionalizar la estructura de gobernanza para que la vigilancia continua, la notificación de incidentes y la revisión poscomercialización se ejecuten de forma continua.

Cómo ayuda Confir

Confir está construido específicamente para la mecánica de cumplimiento descrita anteriormente. Su motor basado en reglas y determinista — no impulsado por IA, por diseño, porque un producto de cumplimiento debe ser explicable y defendible ante una auditoría — cubre las cuatro áreas que las grandes empresas necesitan en cada sistema de la cartera:

  • Inventario y clasificación de IA: registre cada sistema, responda a las preguntas en lenguaje sencillo del Artículo 6 / Anexo III y obtenga un nivel de riesgo documentado y una determinación del rol.
  • Cuatro áreas de cumplimiento en cada sistema: AIRC (clasificación de riesgos), AITR (datos y robustez técnica, Artículos 10/11/15), AITO (transparencia y supervisión humana, Artículos 13/14/27), AIGM (gobernanza y vigilancia poscomercialización, Artículos 9/72/73).
  • Registro de riesgos y registro de auditoría de toda la organización: una vista única de todos los sistemas registrados, con un registro inmutable para la presentación de informes al consejo y la inspección regulatoria.
  • Flujo de trabajo de la EIDF del Artículo 27 para los responsables del despliegue de organismos públicos y de solvencia/seguros.

La lógica de clasificación es la misma para el primer sistema que para el quincuagésimo. La misma admisión, la misma conclusión, el mismo formato de documentación — que es lo que hace que escale.

Preguntas frecuentes

¿Se aplica la Ley de IA de la UE a las empresas no pertenecientes a la UE con operaciones en la UE?

Sí. El Reglamento (UE) 2024/1689 se aplica a los proveedores y a los responsables del despliegue, estén donde estén establecidos, si sus sistemas de IA afectan a personas ubicadas en la UE. Una corporación con sede en EE. UU. que opera en Alemania o Francia entra en el ámbito de aplicación para cada sistema desplegado en esos mercados. Los importadores que introducen sistemas de IA no pertenecientes a la UE en el mercado de la UE asumen deberes de verificación en virtud del Artículo 23 y pueden heredar responsabilidades del proveedor en virtud del Artículo 25 si el proveedor original no está establecido en la UE.

¿Qué hace que el reto de cumplimiento de las grandes empresas sea distinto del de una empresa más pequeña?

La escala y la complejidad de los roles. Una empresa más pequeña suele tener un puñado de herramientas de IA y opera casi exclusivamente como responsable del despliegue de sistemas de terceros. Una gran empresa tiene una cartera repartida en docenas de unidades de negocio, actúa a menudo como proveedor y como responsable del despliegue para distintos sistemas, gestiona relaciones con proveedores en las que debe negociar documentación a la que no tiene derecho contractual con arreglo a contratos antiguos, y debe coordinarse entre entidades jurídicas, jurisdicciones y funciones. La arquitectura de gobernanza necesaria es genuinamente distinta.

Nuestra empresa tiene ISO/IEC 27001 y está buscando la ISO 42001. ¿Cubre eso la Ley de IA de la UE?

Parcialmente. ISO/IEC 42001 se corresponde bien con el Artículo 17 (SGC) y el Artículo 9 (sistema de gestión de riesgos) y produce pruebas que respaldan el expediente técnico del Artículo 11 / Anexo IV. Pero la certificación ISO 42001 es voluntaria y no constituye la evaluación de la conformidad del Artículo 43 — el procedimiento previo a la comercialización obligatorio de la UE para los sistemas de alto riesgo. Sigue necesitando el procedimiento del Artículo 43, la declaración de conformidad del Artículo 47 y el registro del Artículo 49. Trate la ISO 42001 como un sólido insumo para el cumplimiento; no lo reemplaza.

¿Se tratan como de alto riesgo los sistemas de IA internos construidos sobre modelos GPAI de terceros?

La clasificación se deriva del uso previsto del sistema, no de su tecnología subyacente. Un sistema construido sobre un modelo fundacional se clasifica con arreglo al Artículo 6 por lo que hace: si criba a candidatos a un empleo, entra en el Anexo III, punto 4, letra a), y es de alto riesgo. Si resume documentos internos, es probablemente de riesgo mínimo. Las obligaciones del modelo GPAI de los Artículos 51 a 55 permanecen con el proveedor del modelo (OpenAI, Mistral, etc.). El Artículo 25 es el punto de vigilancia: si su empresa introduce el sistema resultante en el mercado o lo pone en servicio con su propio nombre, se convierte en el proveedor de ese sistema y hereda la pila completa de obligaciones del Artículo 16.

¿Qué exige realmente la supervisión humana del Artículo 14 en la práctica para una gran empresa?

El Artículo 14 exige que los sistemas de IA de alto riesgo se diseñen y desplieguen de modo que una persona física pueda supervisar, comprender y, cuando sea necesario, anular eficazmente los resultados del sistema. Para una gran empresa, esto significa procedimientos documentados a nivel de sistema: quién es el supervisor asignado, qué formación ha recibido (las obligaciones de alfabetización en materia de IA del Artículo 4 se aplican desde el 2 de febrero de 2025), qué interfaz o informe hace interpretable el resultado de la IA, en qué condiciones debe activarse una revisión humana y cómo se registran las decisiones de anulación. El procedimiento de supervisión debe corresponderse con el perfil de riesgo del sistema y del contexto de despliegue concretos.

¿Cuáles son los plazos de notificación de incidentes del Artículo 73 para las grandes empresas?

El Artículo 73 rige el deber del proveedor de notificar los incidentes graves a la autoridad nacional de vigilancia del mercado pertinente. Los plazos son: 15 días desde que se tiene conocimiento de un incidente grave; 10 días cuando el incidente ha causado o puede haber causado la muerte de una persona; 2 días para una infracción generalizada o una perturbación grave e irreversible de infraestructuras críticas. Se permite una notificación incompleta inicialmente, con la finalización a continuación. El papel del responsable del despliegue en virtud del Artículo 26 es vigilar, señalar los riesgos y los incidentes graves al proveedor y conservar los registros durante al menos seis meses. Los responsables del despliegue no notifican directamente a las autoridades en virtud del Artículo 73 — esa obligación recae en el proveedor.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

La IA agéntica y la Ley de IA de la UE: clasificación, supervisión y cumplimiento

La IA agéntica no es una categoría de riesgo en la Ley de la UE. La clasificación sigue el caso de uso y el Anexo III. Cubre la supervisión del art. 14, los papeles de GPAI y los plazos de 2027.

Guide

¿Qué ocurre si ignora la Ley de IA de la UE?

Las multas son el último paso, no el primero. Los riesgos reales: la retirada del mercado, los acuerdos perdidos y un esprint de documentación apresurado en 2027. Aquí está el panorama completo.

Guide

Un cliente ha preguntado por la Ley de IA de la UE: cómo responder

Un cliente potencial B2B ha preguntado si cumples la Ley de IA de la UE. Aprende a descifrar qué te están preguntando, a determinar tu rol y a responder con honestidad por nivel de riesgo.