Cómo realizar una evaluación de preparación para el Reglamento de IA: un método paso a paso para pymes
Evaluación de preparación para el Reglamento de IA en 6 pasos: inventario, clasificación, brechas y puntuación. El art. 5, GPAI y art. 4 ya rigen.
Una evaluación de preparación para el Reglamento de IA es un diagnóstico interno conforme al Reglamento (UE) 2024/1689: inventarías cada sistema de IA que desarrollas o utilizas, clasificas cada uno por nivel de riesgo según los artículos 5, 6 y 50, asignas tu papel jurídico como proveedor o responsable del despliegue y contrastas la situación actual con las obligaciones que se aplican. El resultado es un plan de subsanación con puntuación: qué corregir y para cuándo.
No es lo mismo que una evaluación de la conformidad. La evaluación de preparación es el diagnóstico que realizas tú mismo; la evaluación de la conformidad del artículo 43 es el procedimiento regulado previo a la comercialización para los sistemas de alto riesgo. La evaluación de preparación te dice si siquiera necesitas una evaluación de la conformidad y qué más se te aplica.
El método que sigue se desarrolla en seis pasos y produce tres documentos: un registro de sistemas de IA, una ficha de clasificación por sistema con asignación de papel y un análisis de brechas con puntuación vinculado a los plazos. Puedes ejecutarlo sin un equipo jurídico. Empieza aquí por la capa de orientación: por dónde empezar con el cumplimiento del Reglamento de IA.
Qué es realmente una evaluación de preparación para el Reglamento de IA
Evaluación de preparación frente a evaluación de la conformidad
Es fácil confundirlas, y la confusión cuesta tiempo. Una evaluación de preparación es un ejercicio de recopilación de pruebas sobre todo tu parque de IA; una evaluación de la conformidad es un procedimiento regulado para un único sistema de alto riesgo. La tabla siguiente traza la línea.
| Evaluación de preparación | Evaluación de la conformidad (artículo 43) | |
|---|---|---|
| Desencadenante | Usas o desarrollas IA en cualquier punto | Un sistema se clasifica como de alto riesgo |
| Quién la realiza | Tú, internamente | Proveedor (autoevaluación u organismo notificado) |
| Alcance | Cada sistema, cada nivel de riesgo | Un sistema de alto riesgo cada vez |
| Resultado | Análisis de brechas con puntuación + plan | Declaración de conformidad, marcado CE |
| Cuándo | Ahora | Antes del plazo de alto riesgo |
Por qué una pyme la necesita ahora, no en 2027
Las obligaciones autónomas de alto riesgo se aplazaron, pero tres conjuntos de obligaciones ya son exigibles: las prohibiciones del artículo 5 (en vigor desde el 2 de febrero de 2025), los deberes de GPAI para los proveedores de modelos de uso general (artículos 51 a 55, en vigor desde el 2 de agosto de 2025) y el deber de alfabetización en IA del artículo 4 (en vigor desde el 2 de febrero de 2025). Además, un expediente técnico de alto riesgo tarda meses en montarse. Esperar hasta 2027 significa descubrir tus brechas demasiado tarde para cerrarlas.
Qué produce una evaluación terminada
La evaluación es el puente entre «usamos IA en algún sitio» y una posición de cumplimiento defendible. Cuando está hecha, dispones de: (1) un registro de sistemas de IA, (2) una ficha de clasificación y papel por sistema y (3) un análisis de brechas con puntuación secuenciado conforme al calendario. Todo lo que viene después —subsanación, documentación, presupuesto— parte de esos tres documentos.
Paso 1: construir un registro de sistemas de IA
No puedes clasificar lo que no has inventariado. El registro es el cimiento, y la ausencia de registro es la brecha más habitual en las evaluaciones de pymes.
Qué cuenta como sistema de IA
Usa la definición del artículo 3(1) para decidir qué pertenece al registro y qué es software determinista ordinario que queda fuera. La definición gira en torno a un sistema basado en máquina que infiere, a partir de la información de entrada, cómo generar resultados como predicciones, contenidos, recomendaciones o decisiones. Un motor de reglas fijo sin inferencia queda fuera del ámbito; un modelo que se adapta o infiere queda dentro.
Campos que necesita cada fila del registro
Cada fila debería recoger, como mínimo:
- Nombre del sistema y descripción breve
- Finalidad y la función de negocio a la que afecta
- Dónde reside: herramienta interna, función dentro de tu propio producto o IA de un tercero/proveedor
- Quién lo suministra
- Si se tratan datos personales
- El equipo o responsable que rinde cuentas de él
No olvides la IA integrada ni la de terceros
Enumera todo: herramientas internas, funciones de IA dentro de tu propio producto e IA de terceros —chatbots, herramientas de cribado de currículos, analítica, asistentes de código—. Las pymes suelen pasar por alto dos categorías: la IA integrada incluida en una suscripción SaaS y la IA en la sombra que un equipo adopta por su cuenta sin pasar por compras. El registro es también un documento vivo: el seguimiento posterior a la comercialización del artículo 72 y la contratación continua hacen que necesite un responsable y una cadencia de revisión, no una hoja de cálculo de una sola vez.
Paso 2: clasificar cada sistema por nivel de riesgo
Pasa cada sistema por cuatro niveles, en orden. Detente en el primero que encaje.
Prácticas prohibidas — artículo 5
El artículo 5 prohíbe de plano determinadas prácticas: la puntuación social, el rastreo no selectivo de imágenes faciales, las técnicas manipuladoras o explotadoras, ciertas categorizaciones biométricas y la identificación biométrica remota en tiempo real en espacios públicos. Están prohibidas desde el 2 de febrero de 2025. Si un sistema coincide con una prohibición, la respuesta no es subsanar: es detenerlo.
Alto riesgo: artículo 6 más anexo III
Un sistema es de alto riesgo si es un componente de seguridad de —o es en sí mismo— un producto cubierto por la legislación de armonización del anexo I (artículo 6(1)), o si entra dentro de un caso de uso enumerado en el anexo III (artículo 6(2)), por ejemplo el empleo y la gestión de trabajadores, la solvencia crediticia o la educación.
El filtro de riesgo significativo del artículo 6(3)
El artículo 6(3) permite que un sistema dentro de una categoría del anexo III escape de la condición de alto riesgo si no plantea un riesgo significativo de daño a la salud, la seguridad o los derechos fundamentales —por ejemplo, tareas procedimentales acotadas—. Pero cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo. Documenta la evaluación en cualquier caso: la exención es un hallazgo que debes poder defender, no un silencio.
Transparencia de riesgo limitado — artículo 50 — y riesgo mínimo
Aquí cae la mayoría de los sistemas de las pymes. El artículo 50 impone obligaciones de transparencia a los sistemas que interactúan con personas, generan contenido sintético o realizan categorización emocional o biométrica. Todo lo demás es riesgo mínimo, sin obligación específica. Registra el razonamiento de cada clasificación para que el resultado sea auditable. Confir puede clasificar cada sistema de IA por nivel de riesgo de forma determinista.
Paso 3: determinar tu papel para cada sistema
Asigna un papel por sistema, no por empresa. Puedes ser proveedor de un sistema y responsable del despliegue de otro al mismo tiempo. Los papeles mal asignados son una de las principales causas de infracumplimiento.
Obligaciones del proveedor — artículo 16
Un proveedor desarrolla un sistema o lo introduce en el mercado con su propio nombre o marca, y soporta el conjunto pesado de obligaciones del artículo 16, incluidas la evaluación de la conformidad y la documentación técnica.
Obligaciones del responsable del despliegue — artículo 26
Un responsable del despliegue utiliza un sistema bajo su propia autoridad en un contexto profesional, y soporta los deberes más ligeros del artículo 26: seguir las instrucciones de uso, garantizar la supervisión humana, conservar registros, vigilar el funcionamiento y notificar incidentes graves.
La trampa del cambio de papel del artículo 25
Atención al artículo 25. Un responsable del despliegue que pone su propio nombre o marca en un sistema de alto riesgo, lo modifica sustancialmente o cambia su finalidad prevista se convierte en proveedor, y hereda todo el conjunto de obligaciones del proveedor. Una relación con un proveedor puede convertirte en proveedor sin que te des cuenta si renombras la herramienta o la alteras de forma material. La tabla siguiente resume la división.
| Proveedor (artículo 16) | Responsable del despliegue (artículo 26) | |
|---|---|---|
| Definición | Desarrolla / comercializa con nombre propio | Usa bajo su propia autoridad |
| Evaluación de la conformidad | Sí | No |
| Documentación técnica | Sí (anexo IV) | No — confirmar la del proveedor |
| Supervisión humana | La diseña | La opera |
| ¿Pasa a ser el otro? | — | Sí, vía renombrado/modificación del artículo 25 |
Paso 4: contrastar las brechas frente a los requisitos de alto riesgo
Para cada sistema clasificado como de alto riesgo en el paso 2, contrasta las brechas frente a las siete obligaciones nucleares y marca la situación actual. De aquí sale la puntuación de preparación.
Cimientos de riesgo y datos — artículos 9 y 10
El artículo 9 exige un sistema de gestión de riesgos continuo que recorra todo el ciclo de vida. El artículo 10 exige prácticas de datos y de gobernanza de datos que cubran los conjuntos de datos de entrenamiento, validación y prueba.
Documentación y registro — artículos 11 y 12 y anexo IV
El artículo 11 exige documentación técnica cuyo contenido mínimo se fija en el anexo IV. El artículo 12 exige que el sistema permita técnicamente el registro automático de eventos —el registro de logs— a lo largo de su vida útil.
Transparencia, supervisión, robustez — artículos 13, 14 y 15
El artículo 13 exige transparencia e instrucciones de uso que permitan a los responsables del despliegue interpretar el resultado. El artículo 14 exige que el sistema esté diseñado para una supervisión humana efectiva. El artículo 15 exige una precisión, robustez y ciberseguridad adecuadas.
Los responsables del despliegue de sistemas de alto riesgo no contrastan ellos mismos las siete obligaciones, pero deben confirmar que el proveedor las ha cumplido y satisfacer sus propios deberes del artículo 26: mantén a la vista, en todo momento, el papel que fijaste en el paso 3.
Paso 5: comprobar la alfabetización en IA — el artículo 4 ya está en vigor
Qué exige el artículo 4
El artículo 4 se aplica a toda organización que proporciona o despliega IA desde el 2 de febrero de 2025. No es un plazo futuro, y no se limita a los sistemas de alto riesgo. Exige medidas para garantizar que el personal que usa o supervisa sistemas de IA tenga un nivel suficiente de alfabetización en IA, proporcionado al contexto de la organización y a los sistemas implicados.
Medidas proporcionadas para un equipo pequeño
No se impone ninguna norma de certificación. Para una pyme, unas sesiones informativas documentadas —quién recibió formación, sobre qué y cuándo— más una nota interna breve sobre las herramientas en uso y sus limitaciones cumplirán la proporcionalidad. El listón es el esfuerzo proporcionado, no una titulación formal.
La huella de auditoría
Trata la alfabetización como una huella de auditoría. Si ocurre un incidente, un regulador preguntará si el personal que operaba el sistema entendía lo que hace y cuándo escalar. Como el artículo 4 está vigente y exige poco esfuerzo, es el estado «Listo» que antes puedes ganar en la tarjeta de puntuación: ciérralo primero.
Paso 6: puntuar la preparación y planificar la subsanación frente al calendario
Una tabla de puntuación de preparación
Puntúa cada dominio de obligaciones por sistema como No iniciado / En curso / Listo. Eso convierte el contraste de brechas en un plan priorizado. Una plantilla trabajada:
| Dominio | Estado |
|---|---|
| Registro de sistemas de IA (paso 1) | En curso |
| Comprobación de prohibiciones (art. 5) | Listo |
| Clasificación de riesgo (art. 6 / anexo III) | En curso |
| Asignación de papel (art. 16 / 26 / 25) | No iniciado |
| Gestión de riesgos (art. 9) | No iniciado |
| Gobernanza de datos (art. 10) | No iniciado |
| Documentación técnica (art. 11 / anexo IV) | No iniciado |
| Conservación de registros (art. 12) | No iniciado |
| Transparencia (art. 13) | En curso |
| Supervisión humana (art. 14) | No iniciado |
| Precisión y robustez (art. 15) | No iniciado |
| Alfabetización en IA (art. 4) | Listo |
Secuenciar las correcciones por plazo
Secuencia la subsanación según lo que aprieta primero. Las prohibiciones del artículo 5, las obligaciones de GPAI (artículos 51 a 55) y la alfabetización del artículo 4 son exigibles ahora. El marcado de contenido y las marcas de agua del artículo 50, junto con las nuevas disposiciones sobre CSAM y «desnudadores», entran en vigor el 2 de diciembre de 2026: una fecha de calendario fija.
Qué rige ya frente a lo aplazado
El Digital Omnibus, acordado políticamente los días 6 y 7 de mayo de 2026 y confirmado en el COREPER alrededor del 13 de mayo de 2026, acordó trasladar las obligaciones autónomas de alto riesgo del anexo III (artículo 6(2)) del 2 de agosto de 2026 al 2 de diciembre de 2027, y las de alto riesgo integradas en productos del anexo I (artículo 6(1)) del 2 de agosto de 2027 al 2 de agosto de 2028. A fecha de junio de 2026, esto está acordado pero aún no es ley: todavía necesita la votación en el pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial. El texto vigente sigue fijando el 2 de agosto de 2026, así que planifica con la fecha anterior hasta que el aplazamiento se promulgue formalmente. Son fechas de calendario fijas: la propuesta de «parar el reloj» supeditada a las normas armonizadas se rechazó, así que no trates el calendario como condicionado a las normas armonizadas. Consulta el calendario de plazos del Reglamento de IA y qué cambia el aplazamiento del Digital Omnibus.
Qué cuesta el incumplimiento
Vincula la puntuación de preparación a la exposición: cuanto más alto sea el nivel de obligación incumplida, más alto será el tope de la multa.
Los niveles de sanción del artículo 99
- Artículo 99(3): hasta 35.000.000 € o el 7 % del volumen de negocios anual mundial total, la cifra que sea mayor, por infringir las prohibiciones del artículo 5.
- Artículo 99(4): hasta 15.000.000 € o el 3 % del volumen de negocios anual mundial, la cifra que sea mayor, por la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo y los deberes del responsable del despliegue.
- Artículo 99(5): hasta 7.500.000 € o el 1 % del volumen de negocios, la cifra que sea mayor, por facilitar a las autoridades información incorrecta, incompleta o engañosa.
El tope proporcional para pymes — artículo 99(6)
El artículo 99(6) invierte la fórmula para las pymes y las empresas emergentes: el tope pasa a ser la menor de las dos cifras en lugar de la mayor. Eso es un alivio en el tope, no inmunidad frente a una multa. Para el desglose completo, consulta los niveles de sanción del artículo 99.
Cómo ayuda Confir
El módulo de Clasificación de Riesgo y Cumplimiento de Confir ejecuta la evaluación de preparación como una recogida de datos guiada y estructurada, no como un encargo de consultoría. El motor de clasificación es determinista y basado en reglas: las mismas respuestas de entrada producen siempre el mismo hallazgo, con la misma lógica cada vez —sin inferencia de modelos, sin alucinaciones— y la regla que se activó es legible por una persona, de modo que el resultado es defendible en una auditoría.
Asigna el papel (proveedor, responsable del despliegue o ambos al amparo del artículo 25), clasifica frente al artículo 6 y el anexo III, y produce el hallazgo documentado que se convierte en la prueba del registro y del análisis de brechas. Para los sistemas de alto riesgo, prepara el armazón de la documentación técnica del artículo 11 / anexo IV; para los sistemas de riesgo limitado, la propia clasificación documentada es el documento principal. Es la forma rápida y repetible de que una pyme sin equipo jurídico complete los pasos 1 a 4 y produzca la tarjeta de puntuación, y luego ponga en marcha los hallazgos con la lista de verificación completa de cumplimiento.
Preguntas frecuentes
¿Qué es una evaluación de preparación para el Reglamento de IA? Es un diagnóstico interno que inventaría cada sistema de IA que desarrollas o utilizas, clasifica cada uno por nivel de riesgo según los artículos 5, 6 y 50, asigna tu papel jurídico como proveedor o responsable del despliegue y contrasta la situación actual con las obligaciones que se aplican. El resultado es un plan de subsanación con puntuación que muestra exactamente qué corregir y para cuándo.
¿Cómo hago una evaluación de preparación para el Reglamento de IA en una empresa pequeña? Sigue seis pasos: construye un registro de sistemas de IA, clasifica cada sistema por nivel de riesgo, determina tu papel por sistema (proveedor o responsable del despliegue), contrasta las brechas frente a los requisitos de alto riesgo de los artículos 9 a 15, confirma la alfabetización en IA del artículo 4 y, por último, puntúa cada dominio y planifica la subsanación frente a los plazos. Una pyme puede ejecutar esto sin un equipo jurídico usando herramientas estructuradas.
¿Sigue siendo el 2 de agosto de 2026 el plazo de preparación del Reglamento de IA? A fecha de junio de 2026, el texto vigente sigue fijando el 2 de agosto de 2026 para los sistemas autónomos de alto riesgo del anexo III. El Digital Omnibus acordado en mayo de 2026 aplazó esa fecha al 2 de diciembre de 2027, pero aún no es ley: todavía necesita la votación del Parlamento, la adopción del Consejo y la publicación en el Diario Oficial. Planifica con la fecha anterior hasta que el aplazamiento se promulgue formalmente.
¿Qué obligaciones del Reglamento de IA se aplican ahora mismo? Las prohibiciones de prácticas del artículo 5 se aplican desde el 2 de febrero de 2025, la misma fecha en que entró en vigor el deber de alfabetización en IA del artículo 4. Las obligaciones de los proveedores de modelos GPAI de los artículos 51 a 55 se aplican desde el 2 de agosto de 2025. Son exigibles ahora, con independencia del aplazamiento del alto riesgo, así que el trabajo de preparación no puede esperar a 2027.
¿Cómo clasifico si mi sistema de IA es de alto riesgo? Comprueba primero el artículo 5 para descartar una práctica prohibida; después contrasta el artículo 6 con el anexo III: un sistema es de alto riesgo si es un componente de seguridad de un producto del anexo I o entra dentro de un caso de uso del anexo III, como el empleo, la solvencia crediticia o la educación. El filtro del artículo 6(3) puede eximir usos procedimentales acotados, pero cualquier sistema que elabore perfiles de personas es siempre de alto riesgo.
¿Qué diferencia hay entre un proveedor y un responsable del despliegue conforme al Reglamento de IA? Un proveedor desarrolla un sistema de IA o lo introduce en el mercado con su propio nombre y soporta todas las obligaciones del artículo 16. Un responsable del despliegue utiliza un sistema bajo su propia autoridad en un contexto profesional y soporta los deberes más ligeros del artículo 26. Cuidado con el artículo 25: renombrar, modificar sustancialmente o cambiar la finalidad de un sistema de alto riesgo convierte a un responsable del despliegue en proveedor.
¿Cuáles son las multas del Reglamento de IA por incumplimiento? El artículo 99 fija tres niveles: hasta 35.000.000 € o el 7 % del volumen de negocios mundial por infringir las prohibiciones del artículo 5; hasta 15.000.000 € o el 3 % por la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo; y hasta 7.500.000 € o el 1 % por facilitar a las autoridades información incorrecta. Para las pymes y las empresas emergentes, el artículo 99(6) limita la multa a la cifra menor en lugar de la mayor.
Guías relacionadas
- Por dónde empezar con el cumplimiento del Reglamento de IA
- Clasificar cada sistema de IA por nivel de riesgo
- La lista de verificación completa de cumplimiento
- El calendario de plazos del Reglamento de IA
- Qué cambia el aplazamiento del Digital Omnibus
- Los niveles de sanción del artículo 99
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →