Cómo demostrar que tu IA cumple la Ley de IA de la UE

Decir que tu sistema de IA cumple es fácil. Demostrarlo — en poco tiempo, ante un auditor, una autoridad de vigilancia del mercado o un equipo de compras de una empresa — es un ejercicio totalmente distinto. Con arreglo al Reglamento (UE) 2024/1689, el cumplimiento no es una declaración que haces una sola vez; es un cuerpo de documentación y registros que mantienes de forma continua y que puedes producir a demanda. La carga recae sobre ti, y el estándar es la recuperabilidad.

Qué cuenta como prueba depende de dos cosas: tu rol en la cadena de suministro de IA y el nivel de riesgo del sistema. Una empresa que despliega una herramienta de IA de un tercero para el resumen de documentos de bajo impacto afronta requisitos de prueba mucho más ligeros que un proveedor que introduce un modelo de calificación crediticia en el mercado de la UE. Acertar con el nivel y el rol es, por tanto, la condición previa para saber qué debe contener tu pila de pruebas.

Qué significa realmente la «prueba» con arreglo al Reglamento

La Ley de IA de la UE no crea un proceso de certificación para la mayoría de los sistemas de IA. Impone obligaciones positivas a los proveedores y a los responsables del despliegue de producir registros específicos y, para los sistemas de alto riesgo, de someterse a una evaluación de la conformidad antes de que el sistema llegue al mercado o entre en servicio. Una autoridad o un auditor que pide pruebas de cumplimiento espera ver esos registros — no una presentación de diapositivas resumen ni una declaración de política.

Para los sistemas de alto riesgo, el Artículo 43 establece el procedimiento de evaluación de la conformidad: control interno (Anexo VI) o, para los sistemas biométricos del Anexo III, punto 1, una evaluación por organismo notificado (Anexo VII). Superar esa evaluación y emitir la declaración de conformidad del Artículo 47 es la puerta jurídica para introducir un sistema de IA de alto riesgo en el mercado de la UE. Pero la evaluación de la conformidad es el resultado de todo el trabajo subyacente — la documentación técnica, el sistema de gestión de riesgos, los registros de gobernanza de datos, los resultados de las pruebas. Si esos registros subyacentes faltan o son escasos, la evaluación no puede completarse.

Las autoridades de vigilancia del mercado actúan con arreglo a los procedimientos del Artículo 79. Cuando se identifica que un sistema presenta un riesgo, la autoridad puede exigir acceso a la documentación, solicitar registros y ordenar medidas correctoras. El Reglamento les otorga amplias facultades de investigación. En la práctica, lo primero que pedirán es el expediente técnico.

La prueba depende de tu nivel de riesgo

Para los sistemas de riesgo mínimo — la mayoría de las herramientas generales de productividad, las funciones de búsqueda, los filtros de spam — el Reglamento no impone requisitos de prueba obligatorios. Existen códigos de conducta voluntarios, pero no se exige legalmente ninguna documentación.

Para los sistemas de riesgo limitado, la prueba es estrecha pero concreta. El Artículo 50 exige la divulgación: si tu sistema interactúa con los usuarios como una IA, genera contenido sintético o aplica reconocimiento de emociones, debes poder demostrar que se informó a los usuarios. La prueba es un registro de qué divulgación se hizo, dónde y cuándo — entradas de registro, capturas de pantalla de la interfaz o especificaciones del producto que confirman que el marcado o el aviso estaban en su sitio. Las obligaciones del Artículo 50 se aplican a partir del 2 de agosto de 2026.

Para los sistemas de alto riesgo — los que entran dentro del Artículo 6 y del Anexo III, o los integrados como componentes de seguridad en productos regulados del Anexo I — los requisitos de prueba son sustantivos. Los proveedores de sistemas autónomos del Anexo III deben cumplir antes del 2 de diciembre de 2027 (aplazado respecto de la fecha original del 2 de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026); los proveedores de IA de alto riesgo integrada en productos regulados del Anexo I deben cumplir antes del 2 de agosto de 2028. Ese respiro no reduce la pila de pruebas — te da tiempo para construirla correctamente.

La pila de pruebas de alto riesgo

Cada obligación se asigna a un artefacto específico. Recorrerlas en orden te da una lista de comprobación de lo que un auditor esperará encontrar.

Registro de clasificación. Antes que nada, necesitas un registro documentado que muestre cómo determinaste que el sistema es — o no es — de alto riesgo. Eso significa recorrer el Artículo 6 y el Anexo III: ¿entra el sistema dentro de uno de los ocho ámbitos de aplicación del Anexo III? En caso afirmativo, ¿evaluaste el filtro del Artículo 6, apartado 3 — es decir, desempeña el sistema únicamente una tarea procedimental limitada, opera como complemento de una actividad humana previa o de otro modo no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales? Un sistema que elabora perfiles de personas físicas no puede acogerse a esa exención. El registro de clasificación debe recoger el razonamiento, las pruebas consideradas y — si invocas la exención del Artículo 6, apartado 3 — la evaluación documentada que la sustenta. Los proveedores que se acogen a la exención también deben registrar el sistema en la base de datos de la UE con arreglo al Artículo 49.

Sistema de gestión de riesgos (Artículo 9). Un proceso continuo e iterativo — no una hoja de cálculo puntual. El registro del Artículo 9 debe mostrar la metodología de identificación de riesgos, los riesgos residuales tras la mitigación y el ciclo de revisión. Los auditores buscan un historial de versiones y pruebas de que el sistema se reevaluó tras los cambios en el modelo o en su contexto de funcionamiento.

Documentación técnica (Artículo 11, Anexo IV). El expediente técnico del Anexo IV es la columna vertebral del paquete de pruebas. Debe cubrir nueve áreas de contenido: una descripción general del sistema y de su finalidad prevista; una descripción detallada de los elementos del sistema, el proceso de desarrollo y el enfoque de entrenamiento; información sobre el seguimiento, el funcionamiento y el control del sistema; los requisitos de datos y las medidas de gobernanza de datos; las normas pertinentes aplicadas; el procedimiento de evaluación de la conformidad utilizado; la declaración de conformidad; el plan de vigilancia poscomercialización; y cualquier otra información que respalde la trazabilidad. Este expediente debe mantenerse actualizado y conservarse durante diez años a partir del momento en que el sistema se introduce en el mercado (Artículo 18).

Registros de gobernanza de datos (Artículo 10). Los conjuntos de datos de entrenamiento, validación y prueba deben ir acompañados de registros que muestren su origen, la metodología de recopilación, su pertinencia para la finalidad prevista y las medidas adoptadas para detectar y abordar los sesgos. La trazabilidad de datos no documentada es una de las brechas de prueba más habituales en la práctica. Si no puedes reconstruir de dónde procedieron tus datos de entrenamiento y cómo se procesaron, esa brecha aflorará en cualquier auditoría con sentido.

Registros de eventos (Artículo 12). Los sistemas de IA de alto riesgo deben generar registros automáticamente en la medida en que sea técnicamente factible. Esos registros deben recoger los eventos pertinentes para identificar riesgos e incidentes. Los proveedores deben conservar los registros que controlan durante al menos seis meses; los responsables del despliegue conservan los suyos durante al menos seis meses con arreglo al Artículo 26.

Instrucciones de uso (Artículo 13). La transparencia hacia los responsables del despliegue — los usuarios profesionales posteriores — exige instrucciones escritas claras que cubran la finalidad prevista, las métricas de rendimiento y las limitaciones, los requisitos de supervisión humana y las condiciones en las que el sistema no debe utilizarse. Este documento forma parte del expediente del Anexo IV y es también la base de la capacidad del responsable del despliegue para cumplir sus propias obligaciones del Artículo 26.

Diseño de la supervisión humana (Artículo 14). Pruebas de que el sistema se diseñó para permitir que las personas físicas comprendan, supervisen e intervengan en su funcionamiento. Esto no es una declaración de política; es documentación de diseño que muestra qué medidas de supervisión están incorporadas — funciones de pausa, mecanismos de anulación, salidas de interpretabilidad y los requisitos de competencia del personal de supervisión.

Pruebas de exactitud, robustez y ciberseguridad (Artículo 15). Resultados de pruebas que demuestren que el sistema alcanza las métricas de exactitud pertinentes para su finalidad prevista, además de documentación de las medidas adoptadas para abordar las entradas adversariales, los errores y las amenazas de ciberseguridad. Cuando existen normas armonizadas y se aplican, un registro de conformidad con las normas respalda este elemento.

Registros del sistema de gestión de la calidad (Artículo 17). Un SGC documentado que cubra políticas, procesos, procedimientos de vigilancia poscomercialización y roles. El SGC es el marco organizativo dentro del cual se mantiene todo lo anterior. Los auditores comprueban no solo que el SGC existe sobre el papel, sino que es operativo — políticas firmadas, revisiones fechadas, responsables identificados.

Evaluación de la conformidad y declaración de conformidad (Artículos 43 y 47). Para la mayoría de los sistemas del Anexo III (puntos 2 a 8), se trata de una autoevaluación interna con arreglo al Anexo VI. Para los sistemas biométricos del Anexo III, punto 1, en los que no se aplican las normas armonizadas, debe intervenir un organismo notificado (Anexo VII). El resultado es la declaración de conformidad del Artículo 47, elaborada utilizando la plantilla del Anexo V y conservada durante el mismo período de diez años.

Marcado CE (Artículo 48). Una vez completada la evaluación de la conformidad y elaborada la declaración de conformidad, se coloca el marcado CE en el sistema (o en su documentación, cuando la colocación física no sea posible). Prueba: el marcado y la documentación que lo referencia.

Registro en la base de datos de la UE (Artículo 49). Los proveedores deben registrar los sistemas de alto riesgo — y los sistemas para los que se reclama la exención del Artículo 6, apartado 3 — en la base de datos de la UE establecida con arreglo al Artículo 71. El registro de inscripción es en sí mismo una prueba del cumplimiento de este paso.

Vigilancia poscomercialización (Artículo 72). Un plan de vigilancia poscomercialización, integrado en el SGC, que cubra cómo recopilas, analizas y actúas sobre los datos relativos al rendimiento del sistema en el mundo real tras el despliegue. Prueba: el propio plan y los registros que muestren que se está ejecutando — informes de seguimiento, indicadores de anomalías, actualizaciones de versión activadas por los hallazgos del seguimiento.

Registros de incidentes graves (Artículo 73). Si se produce un incidente grave, los proveedores deben notificarlo a la autoridad de vigilancia del mercado del Estado miembro en el que ocurrió. Los plazos son estrictos: 15 días desde que se tiene conocimiento para la mayoría de los incidentes graves; 2 días para una infracción generalizada o una perturbación grave de infraestructuras críticas; 10 días cuando ha fallecido una persona. Conservar los registros de incidentes y las notificaciones enviadas a las autoridades forma parte del rastro probatorio.

Qué debe poder mostrar un responsable del despliegue

La mayoría de las empresas que utilizan herramientas de IA de terceros son responsables del despliegue con arreglo al Artículo 26, no proveedores. La carga de prueba del responsable del despliegue es más ligera, pero no es nula.

Con arreglo al Artículo 26, un responsable del despliegue debe seguir las instrucciones de uso del proveedor, implementar medidas de supervisión humana, vigilar el sistema en busca de riesgos en su contexto de funcionamiento específico y conservar los registros durante al menos seis meses. Si el responsable del despliegue es un organismo público, o si despliega un sistema de IA de solvencia o de seguros de vida o de salud (Anexo III, puntos 5, letras b) o c)), el Artículo 27 exige una evaluación de impacto relativa a los derechos fundamentales. La EIDF puede apoyarse en una evaluación de impacto relativa a la protección de datos del RGPD ya existente con arreglo al Artículo 27, apartado 4, pero cubre un terreno distinto — los riesgos específicos de la IA para los derechos fundamentales en el contexto de uso concreto del responsable del despliegue.

Pruebas que un responsable del despliegue debe poder producir: un registro de cómo verificó que el sistema del proveedor estaba registrado y acompañado de una declaración de conformidad antes del despliegue; el documento de instrucciones de uso recibido del proveedor; registros que muestren que la supervisión humana se implementó según lo exigido; y la EIDF del Artículo 27 cuando proceda. Si el responsable del despliegue modifica sustancialmente el sistema o lo introduce en el mercado con su propio nombre, el Artículo 25 lo convierte en proveedor, y entonces se aplica la pila completa de proveedor.

Quién pide pruebas, y en qué forma

Los públicos de tus pruebas difieren en lo que enfatizan, pero todos quieren la misma documentación subyacente.

Un organismo notificado, contratado para los sistemas biométricos del Anexo III, punto 1, con arreglo al procedimiento del Anexo VII, realizará una revisión sistemática del expediente técnico, los resultados de las pruebas y el SGC. Evalúan la conformidad antes de que el sistema se introduzca en el mercado.

Una autoridad de vigilancia del mercado suele activarse a partir de una reclamación, un informe de incidente grave o una inspección de barrido. Con arreglo a los procedimientos del Artículo 79 para los sistemas que presentan un riesgo, pueden exigir documentación en poco tiempo, probar el sistema y ordenar medidas correctoras o restrictivas. La autoridad de cada Estado miembro se designa con arreglo al Artículo 70.

Los clientes empresariales con sus propios programas de cumplimiento realizan habitualmente una diligencia debida del proveedor sobre las herramientas de IA que están considerando desplegar. En los sectores regulados — servicios financieros, sanidad, RR. HH. — los equipos de compras solicitan cada vez más pruebas de que se ha completado la evaluación de la conformidad, una copia de la declaración de conformidad y la confirmación del registro en la base de datos de la UE. Esto no es una obligación jurídica de divulgar por tu parte, pero comercialmente se está convirtiendo en una puerta.

Los auditores externos — ya sea con arreglo a la ISO/IEC 42001, a un marco sectorial específico o a un encargo a medida — trabajarán a partir del mismo conjunto de documentación. La diferencia respecto de una inspección regulatoria es que los auditores suelen tener más tiempo y un alcance más amplio; el listón de calidad de la prueba es similar.

Brechas de prueba habituales que hacen fracasar una auditoría

Varias brechas aparecen repetidamente en la práctica, con independencia del tamaño o del sector de la empresa.

La más habitual es la trazabilidad de los datos de entrenamiento no documentada. Los proveedores suelen poder describir la arquitectura de su modelo pero les cuesta producir registros de dónde procedieron los datos de entrenamiento, cómo se filtraron y qué evaluaciones de sesgo se aplicaron. El Artículo 10 lo convierte en un requisito estricto. Construir el registro de gobernanza de datos de forma retroactiva — después de completado el entrenamiento — es sustancialmente más difícil que hacerlo en la canalización.

La clasificación hecha en la cabeza de alguien es la segunda. Muchas organizaciones tienen una idea informal de que su IA es o no es de alto riesgo, pero ningún registro escrito del análisis del Artículo 6 / Anexo III ni del razonamiento de la exención del Artículo 6, apartado 3. Cuando una autoridad de vigilancia del mercado pide el registro de clasificación, «lo comentamos en una reunión» no es una respuesta.

Los registros no conservados o no generados es un fallo relacionado. Los sistemas que no producen registros automatizados en absoluto, o en los que los registros se sobrescriben de forma continua sin política de conservación alguna, dejan una brecha estructural en el registro del Artículo 12.

La ausencia de control de versiones del expediente técnico significa que, cuando el sistema cambia — reentrenamiento, ajustes de umbral, nuevas fuentes de datos — la documentación del Anexo IV no se actualiza. Un expediente técnico desactualizado puede constituir en sí mismo una infracción, y crea una incoherencia que un auditor señalará de inmediato.

Cómo ayuda Confir

Ensamblar la pila de pruebas manualmente lleva tiempo y es propenso a errores, en particular para los equipos que llevan el cumplimiento junto a su trabajo principal. Confir — una herramienta de cumplimiento de la Ley de IA de la UE basada en reglas y determinista, no un sistema impulsado por IA — automatiza los pasos de documentación centrales.

Genera el registro de clasificación a partir de listas de comprobación en lenguaje sencillo de los Artículos 5 y 6, incluida la evaluación de la exención del Artículo 6, apartado 3, y produce una decisión de clasificación recuperable con la lógica de la regla visible. Construye el paquete de documentación técnica del Anexo IV y la declaración de conformidad del Artículo 47 / Anexo V, estructurados según la plantilla de nueve áreas. El registro de riesgos del Artículo 9 se mantiene como un documento vivo, versionado y vinculado al rastro de auditoría general. Un registro de auditoría inmutable recoge cada decisión y actualización, de modo que la prueba es recuperable a demanda en lugar de ensamblarse a presión.

Las mismas respuestas de admisión que producen tu registro de clasificación también cumplimentan las secciones de la documentación técnica, lo que elimina la duplicación de esfuerzo más habitual en los programas de cumplimiento.

Preguntas frecuentes

¿Cuál es la primera prueba que necesito producir para demostrar el cumplimiento de la Ley de IA de la UE?

El registro de clasificación va primero — un análisis documentado del Artículo 6 / Anexo III que establezca si tu sistema es de alto riesgo, de riesgo limitado o de riesgo mínimo, y tu rol (proveedor o responsable del despliegue). Sin él, no puedes saber qué obligaciones se aplican, y todo lo demás en la pila de pruebas depende de él. Si invocas la exención del Artículo 6, apartado 3, el razonamiento y las pruebas que la sustentan deben documentarse y el sistema debe registrarse en la base de datos de la UE con arreglo al Artículo 49.

¿Puedo emitir sin más una declaración de conformidad sin completar el expediente técnico completo?

No. La declaración de conformidad del Artículo 47 es un resultado de una evaluación de la conformidad completada con arreglo al Artículo 43, que a su vez exige que esté en su sitio la documentación técnica completa del Anexo IV. Emitir una declaración sin la documentación subyacente es una infracción del Reglamento y te expone a multas de hasta 15 millones EUR o el 3 % del volumen de negocios mundial con arreglo al Artículo 99.

¿Durante cuánto tiempo necesito conservar los registros de prueba?

La documentación técnica y la declaración de conformidad deben conservarse durante diez años a partir de la fecha en que el sistema se introdujo en el mercado (Artículo 18). Los registros del responsable del despliegue con arreglo al Artículo 26 deben conservarse durante al menos seis meses. Los registros de vigilancia poscomercialización y la documentación de incidentes graves deben mantenerse durante la vida del sistema y durante cualquier período en el que pudieran surgir procedimientos regulatorios.

Soy responsable del despliegue, no proveedor. ¿Sigo necesitando documentación?

Sí, aunque los requisitos son más ligeros. Necesitas registros de la documentación de conformidad del proveedor, pruebas de que se implementó la supervisión humana y registros conservados durante al menos seis meses con arreglo al Artículo 26. Si eres un organismo público o despliegas un sistema de IA de solvencia o de seguros de vida o de salud, también necesitas una evaluación de impacto relativa a los derechos fundamentales completada con arreglo al Artículo 27.

¿Superar una certificación ISO/IEC 42001 satisface la evaluación de la conformidad de la Ley de IA de la UE?

No. La ISO/IEC 42001 es una norma voluntaria de sistemas de gestión de la IA. Respalda el sistema de gestión de la calidad del Artículo 17 y aporta pruebas al expediente de gestión de riesgos del Artículo 9, pero no es un sustituto de la evaluación de la conformidad del Artículo 43 ni de la declaración de conformidad del Artículo 47. Estos son requisitos jurídicos con arreglo al Reglamento (UE) 2024/1689; la certificación ISO es una herramienta de gobernanza complementaria.

¿Qué ocurre si una autoridad de vigilancia del mercado pide documentación que no puedo producir?

No facilitar documentación a una autoridad es en sí mismo una infracción. Facilitar información incorrecta o incompleta conlleva multas de hasta 7,5 millones EUR o el 1 % del volumen de negocios mundial con arreglo al Artículo 99. El incumplimiento subyacente de las obligaciones de alto riesgo — como la falta de documentación técnica o la ausencia de una evaluación de la conformidad — entra en el nivel de 15 millones EUR o el 3 %. Para las empresas que entran en la definición de pyme y empresa emergente, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

¿Cuándo necesito tener todo esto en su sitio?

Para las obligaciones de prácticas prohibidas del Artículo 5 y la alfabetización en IA del Artículo 4, los requisitos se aplican desde el 2 de febrero de 2025. Para la transparencia de riesgo limitado del Artículo 50, la obligación se aplica a partir del 2 de agosto de 2026. Para los sistemas autónomos de alto riesgo del Anexo III, la obligación completa de cumplimiento se aplica a partir del 2 de diciembre de 2027 (aplazada respecto del 2 de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026). Para la IA de alto riesgo integrada en productos regulados del Anexo I, el plazo es el 2 de agosto de 2028. Ensamblar el expediente técnico del Anexo IV y completar la evaluación de la conformidad del Artículo 43 por sí solos puede llevar varios meses, de modo que el plazo de 2027 exige iniciar el trabajo de documentación con bastante antelación.

Guías relacionadas

• Artículo 6 de la Ley de IA de la UE: reglas de clasificación de alto riesgo
• Anexo III: la lista de casos de uso de alto riesgo
• Requisitos de documentación técnica del Anexo IV
• Artículo 9: construir un sistema de gestión de riesgos
• Artículo 43: procedimiento de evaluación de la conformidad
• Artículo 47: declaración UE de conformidad
• Artículo 49: registro en la base de datos de la UE
• Obligaciones del responsable del despliegue conforme a la Ley de IA de la UE