Skip to content
Confir.
Prueba gratuita
Blog

Cumplimiento de la Ley de IA de la UE para pymes: la guía práctica 2025-2028

Complete Guide10 March 2026· 45 min de lectura

Cumplimiento de la Ley de IA de la UE para pymes: los plazos reales (dic 2027 / ago 2028), las sanciones, el límite de las multas para pymes y una hoja de ruta de seis pasos hacia la preparación de alto riesgo.

Sus obligaciones con arreglo a la Ley de IA de la UE dependen de su rol en la cadena de suministro de la IA — si desarrolla, despliega, importa o distribuye sistemas de IA — y de dónde se sitúen sus sistemas en los cuatro niveles de riesgo de la Ley. El Reglamento (UE) 2024/1689 asigna deberes legales distintos a cada actor, con algunas obligaciones ya en vigor y otras escalonadas hasta 2028. Esta guía asigna sus requisitos concretos por rol, nivel de riesgo y plazo, de modo que pueda construir una hoja de ruta de cumplimiento sin ambigüedad.

Tras leer esto, sabrá: qué artículos se aplican a su empresa, qué documentación debe producir antes de cada fecha de ejecución, cómo clasificar los sistemas con arreglo al Artículo 6 y al Anexo III, y cuáles son realmente los techos sancionadores (incluida la protección de proporcionalidad que de verdad importa para las pymes). También identificará las brechas que la mayoría de las pequeñas empresas pasa por alto — clasificar mal los sistemas, retrasar la documentación de riesgos o suponer que su proveedor se ocupa de todo.

La Ley de IA de la UE se aplica a cualquier organización que ofrezca sistemas de IA en el mercado de la UE, con independencia de dónde esté registrada su empresa. El tamaño de la empresa no reduce sus obligaciones legales, pero la Ley sí contiene una protección financiera específica para las pymes y las empresas emergentes que afecta a cómo se calculan las multas.

Qué es la Ley de IA de la UE y por qué se aplica a su empresa

La Ley de IA de la UE (Reglamento (UE) 2024/1689) es un marco jurídico vinculante que clasifica los sistemas de IA por nivel de riesgo y vincula obligaciones de cumplimiento a los dos niveles superiores. A diferencia de las normas voluntarias, crea deberes exigibles con sanciones que alcanzan los 35 millones de euros o el 7 % del volumen de negocios anual mundial para las infracciones más graves.

Ámbito de aplicación: quién debe cumplir

El Artículo 2 establece que el reglamento se aplica a:

  • Los proveedores que introducen sistemas de IA en el mercado de la UE o los ponen en servicio en la UE — con independencia de dónde tenga su sede el proveedor
  • Los responsables del despliegue (organizaciones que utilizan sistemas de IA en un contexto profesional) establecidos o situados en la UE
  • Los importadores y distribuidores de sistemas de IA cuando esos sistemas son utilizados por residentes en la UE
  • Los proveedores de terceros países cuyos resultados de los sistemas de IA se utilizan en la Unión

Una pequeña empresa de logística alemana que utiliza un chatbot de un proveedor estadounidense, o una empresa de contratación polaca que despliega software de cribado de currículos, debe garantizar el cumplimiento. La obligación es territorial, no jurisdiccional.

Los cuatro roles de actor

ActorDefiniciónObligaciones clave
Proveedor (Art. 16)Desarrolla o introduce un sistema de IA en el mercado con su propio nombreGestión de riesgos, documentación técnica, evaluación de la conformidad, vigilancia poscomercialización
Responsable del despliegue (Art. 26)Utiliza un sistema de IA de alto riesgo en operaciones profesionalesSupervisión humana, seguimiento, conservación de registros, EIDF cuando sea exigible
Importador (Art. 23)Introduce sistemas de IA de terceros en la UEVerificar el cumplimiento del proveedor antes de la importación
Distribuidor (Art. 24)Suministra sistemas de IA sin modificaciónConfirmar que existe documentación; garantizar que no haya daños en la cadena de suministro

Una organización puede ostentar varios roles simultáneamente. Una empresa de SaaS que construye una herramienta de cribado de currículos y la utiliza internamente para contratar a su propio personal es a la vez proveedor y responsable del despliegue — las obligaciones se acumulan.

El Artículo 25 contiene una trampa crítica para las pymes: un responsable del despliegue, distribuidor o importador pasa a ser proveedor (y hereda todo el conjunto de obligaciones del proveedor) si pone su propio nombre en un sistema de alto riesgo, lo modifica sustancialmente o cambia su finalidad prevista. Marcar como propio un modelo de terceros desencadena este cambio de inmediato.

La mayoría de las pymes son responsables del despliegue de herramientas de IA de terceros. Las obligaciones del responsable del despliegue son más ligeras de lo que la mayoría de los fundadores temen — pero las partes que realmente muerden son la supervisión humana (Artículo 14), el seguimiento y la Evaluación de Impacto relativa a los Derechos Fundamentales (Artículo 27) para determinados casos de uso.

El calendario de cumplimiento escalonado

El cumplimiento no es simultáneo. La Ley escalona las obligaciones por nivel de riesgo:

  • 2 de febrero de 2025 — Se aplican las prácticas prohibidas del Artículo 5. También la alfabetización en materia de IA del Artículo 4 — los proveedores y los responsables del despliegue deben garantizar que el personal que trabaja con IA tenga una comprensión adecuada de los sistemas y de los requisitos de la Ley. Ambas ya están en vigor.
  • 2 de agosto de 2025 — Se aplican las obligaciones de los modelos de IA de uso general (GPAI) (Capítulo V, Artículos 51 a 56), la gobernanza, la Oficina de IA y el régimen sancionador (Artículo 99).
  • 2 de agosto de 2026 — Aplicación general de la Ley, incluidas las obligaciones de transparencia de riesgo limitado del Artículo 50.
  • 2 de diciembre de 2027 — Los sistemas de IA de alto riesgo enumerados en el Anexo III (autónomos: herramientas de contratación, calificación crediticia, biometría, etc.) deben cumplir toda la pila de alto riesgo.
  • 2 de agosto de 2028 — La IA de alto riesgo que funciona como componente de seguridad de productos cubiertos por la legislación de armonización de la UE (Anexo I: máquinas, ascensores, productos sanitarios, etc.) debe cumplir.

El plazo original del Anexo III era el 2 de agosto de 2026. En virtud del Ómnibus Digital — una propuesta de la Comisión de noviembre de 2025, acordada políticamente por el Parlamento y el Consejo el 7 de mayo de 2026 —, esa fecha es ahora el 2 de diciembre de 2027 para los sistemas autónomos y el 2 de agosto de 2028 para los sistemas integrados en productos. Se espera la adopción formal antes de la fecha original del 2 de agosto de 2026.

La prórroga es un respiro, no un indulto. La documentación técnica, los sistemas de gestión de riesgos y las evaluaciones de la conformidad tardan meses en ensamblarse correctamente. Las organizaciones que empiecen en 2027 irán a contrarreloj.

Su rol en la cadena de suministro de la IA: acertar con la clasificación

Clasificar mal su rol es una de las brechas de cumplimiento más habituales. Equivóquese en esto y, o bien sobreinvierte en obligaciones que no tiene, o bien — más probablemente — pasa por alto las que sí tiene.

Proveedores: el conjunto de obligaciones más gravoso

Usted es un proveedor si desarrolla, entrena o introduce un sistema de IA en el mercado de la UE con su propio nombre o marca. Esto abarca a las empresas de SaaS que comercializan funciones de IA, a las empresas emergentes nativas de IA y a cualquier empresa que ajuste finamente o adapte sustancialmente un modelo fundacional y lo lance a clientes.

Con arreglo al Artículo 16, los proveedores de IA de alto riesgo deben: implementar un sistema de gestión de riesgos (Artículo 9), elaborar y mantener documentación técnica (Artículo 11), garantizar la supervisión humana desde el diseño (Artículo 14), realizar una evaluación de la conformidad (Artículo 43), registrar el sistema (Artículo 49) y establecer la vigilancia poscomercialización (Artículo 72). Esa es la pila completa — y cada elemento tiene subrequisitos.

Para las infracciones de alto riesgo, el techo sancionador es de 15 millones de euros o el 3 % del volumen de negocios anual mundial. Para las prácticas prohibidas del Artículo 5, es de 35 millones de euros o el 7 %.

La protección de proporcionalidad para pymes (Artículo 99, apartado 6): Para las pymes y las empresas emergentes, las multas se limitan al menor de los dos importes, la cantidad fija o el porcentaje del volumen de negocios — no al mayor, como para las grandes empresas. Para una empresa emergente con 800 000 EUR de volumen de negocios, el techo efectivo para una infracción de alto riesgo es de 24 000 EUR (3 %), no de 15 000 000 EUR. Esto no reduce la obligación legal, pero cambia significativamente el cálculo del riesgo financiero para las empresas en fase inicial. Sepa que existe.

Responsables del despliegue: más ligero, pero no trivial

Usted es un responsable del despliegue si utiliza un sistema de IA de alto riesgo en sus operaciones profesionales. Con arreglo al Artículo 26, los responsables del despliegue deben: utilizar el sistema conforme a las instrucciones de uso del proveedor, garantizar que las personas que lo supervisan tengan la competencia y la autoridad para comprender y anular sus resultados, supervisar el rendimiento en el mundo real y conservar registros.

La obligación que hace tropezar a la mayoría de los responsables del despliegue que son pymes es la supervisión humana del Artículo 14 — no porque sea onerosa, sino porque requiere decisiones de diseño genuinas. Su persona de supervisión debe poder comprender por qué el sistema produjo un resultado dado, no solo que lo hizo. Asignar la supervisión a alguien sin la formación para interrogar el razonamiento del modelo vulnera el requisito.

EIDF del Artículo 27: Si usted es un organismo público, una entidad privada que presta servicios públicos o una entidad privada que despliega IA de alto riesgo en el empleo, la calificación crediticia, los seguros, los servicios esenciales, la garantía del cumplimiento del Derecho, la gestión de fronteras, la administración de justicia o los procesos democráticos, debe realizar una Evaluación de Impacto relativa a los Derechos Fundamentales antes del primer despliegue. Esto no es opcional ni un formalismo — debe documentar cómo podría afectar el sistema a los derechos fundamentales, qué medidas de mitigación se aplican y cómo supervisará el impacto continuo.

Pymes en múltiples roles

Una empresa emergente de tecnología financiera que construye y despliega su propia IA de calificación crediticia es simultáneamente proveedor (Artículos 9 a 17, 43, 47 a 49, 72) y responsable del despliegue (Artículo 26 y EIDF del Artículo 27). Los costes de cumplimiento se acumulan. Planifique ambas vías desde el principio en lugar de descubrir la segunda a mitad de una auditoría.

Los cuatro niveles de riesgo: qué son y qué le cuesta cada uno

La Ley clasifica cada sistema de IA en uno de los cuatro niveles. El nivel determina si puede desplegar siquiera, qué documentación debe mantener y su exposición financiera. La clasificación no es opcional — debe documentar su evaluación de dónde se sitúa cada sistema.

Nivel 1: prácticas prohibidas (Artículo 5)

Estas prácticas están prohibidas de plano. Sin excepciones para las pymes, sin argumento de proporcionalidad, sin período de gracia. Son ilegales desde el 2 de febrero de 2025.

El Artículo 5 prohíbe:

  • Técnicas subliminales o manipuladoras que distorsionen el comportamiento y sean susceptibles de causar un perjuicio significativo
  • La explotación de vulnerabilidades — dirigirse a menores, personas mayores, personas con discapacidad o personas en situaciones económicamente precarias — de formas susceptibles de causar un perjuicio significativo
  • La puntuación social por parte de autoridades públicas basada en la situación social o económica que conduzca a un trato discriminatorio
  • La identificación biométrica remota en tiempo real en espacios de acceso público por parte de las fuerzas y cuerpos de seguridad, salvo en circunstancias estrictamente reguladas y acotadas
  • La identificación biométrica remota retrospectiva en espacios públicos (salvo para la investigación de delitos graves con autorización judicial)
  • La categorización biométrica de personas basada en atributos sensibles (opinión política, creencia religiosa, raza, orientación sexual) para inferir esas características
  • El reconocimiento de emociones en el lugar de trabajo o en las instituciones educativas
  • Los sistemas de IA utilizados para crear bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes
  • La actuación policial predictiva basada únicamente en la elaboración de perfiles sin hechos objetivos y verificables

La multa por cualquier infracción del Artículo 5 es de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial — si esta última cifra es mayor. Para una pyme, el límite del Artículo 99, apartado 6, significa que se aplica el porcentaje si resulta en una cifra inferior a la cantidad fija. En niveles bajos de volumen de negocios, la cantidad fija sigue siendo el techo; en niveles más altos de volumen de negocios, el porcentaje muerde con más fuerza.

Comprobación práctica para pymes: Una empresa de contratación que utiliza una IA que infiere la edad a través de los rangos de fechas del currículo y filtra a los candidatos como resultado está probablemente en el territorio del Artículo 5, letra b) (explotación de una vulnerabilidad implícita para causar un perjuicio en un contexto laboral). Un operador de almacén que utiliza cámaras de reconocimiento de emociones vulnera el Artículo 5 de plano. Audite estos casos de uso ahora — son ilegales desde hace más de un año.

Nivel 2: IA de alto riesgo (Artículo 6, Anexo III, Anexo I)

Los sistemas de IA de alto riesgo atraen toda la pila de cumplimiento: sistema de gestión de riesgos, documentación técnica, gobernanza de datos, supervisión humana desde el diseño, evaluación de la conformidad antes de la introducción en el mercado, registro y vigilancia poscomercialización. También desencadenan obligaciones del responsable del despliegue, incluida la EIDF en determinados contextos.

El Artículo 6 define el alto riesgo en dos vías:

Vía A — Sistemas integrados en productos del Anexo I: IA que funciona como componente de seguridad en productos regidos por la legislación de armonización de la UE (máquinas, ascensores, equipos de protección individual, juguetes, productos sanitarios, equipos radioeléctricos, etc.). Estos requieren una evaluación de la conformidad por terceros a través de un organismo notificado. Plazo: 2 de agosto de 2028.

Vía B — Sistemas autónomos del Anexo III: Sistemas de IA enumerados en ocho categorías (véase a continuación). Se permite la evaluación de la conformidad interna para la mayoría. Plazo: 2 de diciembre de 2027.

El filtro del Artículo 6, apartado 3: Un sistema que entra en un epígrafe del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. Esto se aplica cuando el sistema desempeña una tarea procedimental acotada, mejora el resultado de una actividad humana previamente realizada, detecta patrones de decisión sin sustituir ni influir en la evaluación humana, o realiza únicamente trabajo preparatorio. No obstante, cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo — el filtro no se aplica. Los proveedores que reclamen esta exención deben documentar su evaluación y registrarla en la base de datos de la UE.

Las ocho categorías del Anexo III:

  1. Biometría — sistemas de identificación biométrica remota; categorización biométrica que infiere atributos sensibles; reconocimiento de emociones (cuando esté permitido)
  2. Infraestructuras críticas — componentes de seguridad en la infraestructura digital, la gestión del tráfico rodado, el suministro de servicios públicos
  3. Educación y formación profesional — decisiones de admisión, evaluación del alumnado, detección de fraude en exámenes
  4. Empleo y gestión de los trabajadores — contratación y selección, asignación de tareas, promoción y despido, supervisión del rendimiento y el comportamiento de los empleados
  5. Acceso a servicios esenciales — solvencia y calificación crediticia (excluida la detección de fraude); evaluación de riesgos y fijación de precios de los seguros de salud y de vida; priorización del envío de servicios de emergencia; admisibilidad a prestaciones públicas
  6. Garantía del cumplimiento del Derecho — evaluación del riesgo de delinquir, polígrafos, evaluación de la fiabilidad de las pruebas, elaboración de perfiles delictivos
  7. Migración, asilo, control fronterizo — evaluación de riesgos, examen de solicitudes, verificación de documentos
  8. Administración de justicia y procesos democráticos — asistencia a la toma de decisiones judiciales; influir en elecciones o referendos

Techo sancionador para las infracciones de alto riesgo: 15 millones de euros o el 3 % del volumen de negocios anual mundial — si esta última cifra es mayor; cifra inferior para las pymes y las empresas emergentes con arreglo al Artículo 99, apartado 6.

Nivel 3: riesgo limitado (Artículo 50)

El Artículo 50 impone obligaciones de transparencia — únicamente deberes de divulgación, sin evaluación de la conformidad. Estas se aplican cuando un sistema de IA:

  • Interactúa con personas de formas que podrían confundirse con una interacción humana (chatbots, asistentes virtuales) — debe informarse a los usuarios de que están interactuando con una IA, salvo que resulte evidente por el contexto
  • Genera audio, imágenes o vídeo sintéticos (ultrafalsificaciones, contenido de marketing generado por IA) — debe etiquetarse su naturaleza sintética
  • Detecta emociones o clasifica a personas en función de características biométricas
  • Genera texto para su difusión pública en asuntos de interés público (etiquetado de contenido generado por IA)

Las obligaciones del Artículo 50 se aplican a partir del 2 de agosto de 2026. Techo sancionador: 15 millones de euros o el 3 % para la mayoría de las infracciones; la categoría de información engañosa o errónea es de 7,5 millones de euros o el 1 %.

Para las pymes: Un chatbot de atención al cliente, un asistente de correo electrónico de IA o una herramienta de redes sociales que utiliza generación de contenido generativo aterrizan todos aquí. La carga de cumplimiento es baja — una declaración de divulgación en el punto de interacción — pero debe existir y ser exacta.

Nivel 4: riesgo mínimo

Todo lo demás. Sin obligaciones obligatorias de la Ley de IA más allá del Derecho general de la UE (RGPD, protección del consumidor). Los motores de recomendación, los filtros antispam, la previsión de la demanda, la optimización de rutas y la mayoría de las herramientas de clasificación de documentos se sitúan aquí. Se fomentan los códigos de conducta voluntarios, pero no son obligatorios.

El cumplimiento de alto riesgo en detalle: la pila de siete obligaciones

Si su sistema es de alto riesgo, se aplican siete obligaciones interconectadas antes de que pueda introducirlo en el mercado. Cada una tiene su propia referencia de artículo y subrequisitos específicos. Omitir cualquiera de ellas crea una brecha de cumplimiento que los reguladores encontrarán.

1. Sistema de gestión de riesgos (Artículo 9)

Un proceso continuo e iterativo que se ejecuta durante todo el ciclo de vida del sistema — no una evaluación puntual. El Artículo 9 le exige identificar y analizar todos los riesgos conocidos y razonablemente previsibles para la salud, la seguridad o los derechos fundamentales, estimar y evaluar esos riesgos (incluso en condiciones de uso indebido previsible) y adoptar medidas de mitigación de riesgos adecuadas y proporcionadas a lo que haya encontrado.

El error habitual es tratar el Artículo 9 como un documento en lugar de un proceso. Cuando la vigilancia poscomercialización revela un nuevo modo de fallo, debe actualizar el análisis de riesgos. Una IA de contratación que se probó frente al sesgo de género pero que después muestra un impacto dispar correlacionado con la edad necesita un nuevo ciclo del Artículo 9.

Mínimo práctico para una empresa de tecnología de RR. HH. de 20 personas: un registro de riesgos que nombre cada daño identificado, su probabilidad y gravedad, la mitigación aplicada y el riesgo residual aceptado. Con control de versiones, no en la bandeja de entrada de alguien.

2. Documentación técnica (Artículo 11, Anexo IV)

Los proveedores deben elaborar y mantener la documentación técnica antes de la introducción en el mercado. La documentación debe conservarse durante la vida operativa del sistema más al menos diez años (la Ley fija un mínimo de diez años para la mayoría de los sistemas de alto riesgo; compruebe las normas sectoriales por si exigen plazos más largos).

El Anexo IV especifica el contenido mínimo:

  • Descripción general del sistema, su finalidad prevista, historial de versiones, hardware y entorno de despliegue
  • Metodología de desarrollo: fuentes de datos de entrenamiento, preprocesamiento, protocolos de etiquetado, lagunas de datos conocidas
  • Arquitectura del sistema: tipo de modelo, algoritmos, especificaciones de entrada/salida, dependencias de integración
  • Resultados de las pruebas de rendimiento: métricas de exactitud, pruebas de robustez, rendimiento entre grupos demográficos y casos límite
  • Instrucciones de uso y limitaciones documentadas
  • Procedimientos de vigilancia poscomercialización

Ejemplo práctico: Un SaaS de calificación crediticia para prestamistas regionales debe documentar que su modelo se entrenó con 200 000 solicitudes de préstamo de 2018-2024, que los solicitantes menores de 25 años estaban infrarrepresentados en los datos de entrenamiento (y qué se hizo al respecto) y que el modelo alcanza una exactitud del 88 % en conjunto, pero del 81 % para los solicitantes autónomos. Esa concreción es lo que los reguladores esperan — no una descripción genérica.

3. Gobernanza de datos (Artículo 10)

Los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, representativos de las condiciones reales en las que opera el sistema, exentos de errores en la medida de lo posible y evaluados en busca de sesgos que pudieran afectar a la salud, la seguridad o los derechos fundamentales. El Artículo 10 también exige prácticas de gobernanza de datos adecuadas: control de versiones, restricciones de acceso, rastros de auditoría.

Cuando el sesgo no pueda eliminarse por completo en los datos de entrenamiento, el sistema de gestión de riesgos (Artículo 9) debe documentarlo como riesgo residual y especificar medidas de seguimiento continuo.

4. Supervisión humana (Artículo 14)

Los sistemas de IA de alto riesgo deben diseñarse y construirse — no solo operarse — de formas que permitan una supervisión humana efectiva. El Artículo 14 es una obligación de diseño para los proveedores y una obligación operativa para los responsables del despliegue.

El sistema debe:

  • Permitir a las personas que lo supervisan comprender sus capacidades y limitaciones
  • Permitir el seguimiento de anomalías, fallos y resultados inesperados
  • Permitir la intervención y la anulación sin requerir una aprobación de múltiples capas
  • Incluir una función de parada cuando sea necesario

Para los responsables del despliegue: la persona de supervisión debe tener la competencia para comprender por qué el sistema produjo un resultado dado, la formación para reconocer los fallos y la autoridad para actuar sobre lo que encuentre. Asignar la supervisión de la IA a un empleado junior sin instrucción y sin autoridad de anulación no satisface el Artículo 14.

5. Evaluación de la conformidad (Artículo 43)

Antes de introducir un sistema de IA de alto riesgo en el mercado, debe completar una evaluación de la conformidad que verifique el cumplimiento de los requisitos del Capítulo III (Artículos 9 a 15). Para la mayoría de los sistemas del Anexo III, esta es una evaluación de la conformidad interna — la realiza usted mismo, la documenta y firma una declaración UE de conformidad con arreglo al Artículo 47. Para los sistemas integrados en productos del Anexo I, debe intervenir un organismo notificado.

La evaluación no desaparece tras la introducción en el mercado. El Artículo 43, apartado 4, exige una nueva evaluación de la conformidad cuando se realiza una modificación sustancial en un sistema de alto riesgo ya en el mercado.

La evaluación interna es menos costosa que la auditoría por terceros, pero exige rigor. Los reguladores pueden — y lo harán — escrutar la metodología y las conclusiones.

6. Registro (Artículo 49)

Antes de introducir un sistema de IA de alto riesgo en el mercado de la UE (o, para los responsables del despliegue, antes de desplegar un sistema de alto riesgo de un proveedor no perteneciente a la UE que no se haya registrado), el sistema debe registrarse en la base de datos de IA de la UE. La base de datos es un registro público de los sistemas de IA de alto riesgo y sus proveedores.

Los proveedores que invocan el filtro del Artículo 6, apartado 3 (que reclaman que su sistema del Anexo III no es realmente de alto riesgo) también deben registrar su evaluación de por qué el sistema queda fuera del nivel de alto riesgo.

7. Vigilancia poscomercialización (Artículo 72)

Los proveedores deben establecer y mantener un sistema de vigilancia poscomercialización que recopile y analice activamente datos sobre el rendimiento del sistema tras el despliegue. Esto se retroalimenta en el ciclo de gestión de riesgos del Artículo 9. Cuando los datos poscomercialización revelen un riesgo grave, el Artículo 73 exige la notificación a las autoridades competentes.

La vigilancia poscomercialización no es un registro pasivo. Requiere definir por adelantado qué métricas rastreará, con qué frecuencia y qué umbrales desencadenan una acción correctiva o un nuevo ciclo de evaluación de riesgos.

Obligaciones del responsable del despliegue: qué debe hacer cuando utiliza un sistema de IA de alto riesgo

La mayoría de las pymes son responsables del despliegue — utilizan sistemas de IA construidos por otra persona. El conjunto de obligaciones del responsable del despliegue con arreglo al Artículo 26 es más ligero que la pila del proveedor, pero tiene dientes de verdad.

Utilice el sistema como se le indica

El Artículo 26 exige a los responsables del despliegue que utilicen el sistema estrictamente conforme a las instrucciones de uso del proveedor. Reutilizar una IA de contratación (diseñada para cribar currículos) para evaluar el rendimiento de los empleados existentes sin la autorización del proveedor vulnera esta obligación y puede desencadenar el cambio de rol del Artículo 25: si modifica la finalidad prevista del sistema, pasa a ser el proveedor para ese nuevo caso de uso y hereda toda la pila del proveedor.

Garantice que la supervisión humana sea genuina

El requisito de alfabetización en materia de IA del Artículo 4 (ya en vigor desde el 2 de febrero de 2025) exige a los proveedores y a los responsables del despliegue que adopten medidas para garantizar que el personal pertinente tenga suficiente alfabetización en materia de IA — una comprensión de los sistemas de IA con los que trabajan y de los requisitos de la Ley. El Artículo 4 no es aspiracional; es una obligación vigente.

Con arreglo al Artículo 26, la persona o las personas que supervisan un sistema de IA de alto riesgo deben tener una competencia documentada y una autoridad explícita para anular los resultados del sistema. Esto significa: registros de formación específicos, delegación de autoridad por escrito y un proceso de escalado cuando el sistema produzca resultados anómalos. Una formación genérica de «concienciación sobre la IA» no satisface el requisito para los sistemas que toman decisiones sobre los derechos de las personas.

Supervise el rendimiento y notifique los incidentes

El Artículo 26 exige a los responsables del despliegue que supervisen el rendimiento del sistema en condiciones reales y notifiquen los riesgos o defectos de funcionamiento graves al proveedor. Cuando el incidente constituya un incidente grave (según se define en el Artículo 3), el responsable del despliegue también puede necesitar notificarlo a las autoridades competentes. Mantenga registros de los resultados anómalos, las reclamaciones de los usuarios y las decisiones de anulación — estos son la base probatoria para cualquier investigación de ejecución.

Evaluación de Impacto relativa a los Derechos Fundamentales (Artículo 27)

Si usted es un organismo público, una entidad privada que presta servicios públicos o una entidad privada que despliega IA de alto riesgo en cualquiera de los siguientes ámbitos — empleo, crédito y seguros, servicios esenciales, garantía del cumplimiento del Derecho, gestión de fronteras, justicia o procesos democráticos —, debe completar una EIDF antes del primer despliegue.

La EIDF debe documentar: cómo podría afectar el sistema a los derechos fundamentales (privacidad, no discriminación, acceso a la justicia, libertad de expresión); qué medidas de mitigación están en marcha; a quién se consultó; y cómo supervisará el impacto continuo. Es un documento vivo — actualícelo si el caso de uso cambia o surgen nuevos riesgos.

Una pyme que gestiona una plataforma de nóminas y utiliza la IA para señalar patrones de pago anómalos (próximo a la supervisión del empleo) debería evaluar si el Artículo 27 se aplica a su despliegue. En caso de duda, documente la evaluación en cualquier caso.

Conservación de registros: mínimo tres años

El Artículo 26 exige a los responsables del despliegue que conserven registros de su uso del sistema de alto riesgo. El período de conservación mínimo con arreglo a la Ley es de tres años, aunque la legislación sectorial (protección de datos, servicios financieros) puede imponer plazos más largos.

Registros que los reguladores solicitarán: las decisiones de despliegue y su justificación, los registros de supervisión humana (incluidas las anulaciones), los informes de incidentes y las acciones correctivas, la documentación de la EIDF y sus actualizaciones, y los registros de formación del personal de supervisión. Almacénelos de forma centralizada con controles de acceso e historial de versiones — no dispersos por hilos de correo electrónico.

Obligaciones de transparencia para los sistemas de riesgo limitado y de alto riesgo (Artículo 50)

La transparencia con arreglo al Artículo 50 opera en dos niveles según el nivel de riesgo de su sistema.

Para los sistemas de riesgo limitado (chatbots, medios sintéticos, reconocimiento de emociones, contenido generado por IA): la divulgación es toda la obligación. Debe informarse a los usuarios de que están interactuando con una IA antes de que comience la interacción, salvo que resulte evidente por el contexto. El audio, las imágenes o el vídeo sintéticos generados por IA deben etiquetarse como generados por máquina. Esto no es un requisito vago — significa una declaración de divulgación en el punto de interacción, no enterrada en un pie de página.

Para los sistemas de alto riesgo (Anexo III): las obligaciones de transparencia son más sustantivas. Con arreglo al Artículo 13, los proveedores deben garantizar que los resultados del sistema sean interpretables por los responsables del despliegue. Con arreglo al Artículo 26, los responsables del despliegue deben informar a las personas cuando un sistema de IA de alto riesgo haya contribuido materialmente a una decisión que les afecta. En el cribado para el empleo, esto significa informar a los candidatos de que se utilizó IA en la evaluación de su solicitud — antes de que concluya el proceso, no después.

El derecho a una explicación de una decisión individual con arreglo al Artículo 86 añade una dimensión más: las personas afectadas por decisiones de IA de alto riesgo en ámbitos como el empleo, el crédito, los seguros y los servicios esenciales pueden solicitar una explicación significativa de la lógica subyacente a la decisión. El diseño y la documentación de su sistema deben ser capaces de sustentar esa explicación.

Error habitual: Una divulgación genérica — «Esta decisión involucró IA» — no satisface el requisito. Los reguladores esperan información específica del contexto, calibrada al impacto de la decisión sobre la persona y a su capacidad real de comprenderla.

Modelos de IA de uso general: lo que las pymes deben saber (Artículos 51 a 55)

La mayoría de las pymes no desarrollan modelos de GPAI — los utilizan a través de una API. Pero conviene comprender las obligaciones porque afectan a lo que su proveedor de GPAI debe facilitarle.

Todos los proveedores de modelos de GPAI (Artículo 53) deben mantener documentación técnica, facilitar información posterior a los responsables del despliegue, publicar una política de derechos de autor y poner a disposición un resumen de los datos de entrenamiento. Si usted construye sobre un modelo de GPAI (integrándolo en un producto), su proveedor debería estar facilitándole la documentación que necesita para satisfacer sus propias obligaciones.

Los modelos de GPAI con riesgo sistémico (Artículo 51 — los entrenados con más de 10^25 operaciones de coma flotante, o designados por la Oficina de IA) también deben realizar evaluaciones de modelos, implementar la mitigación de riesgos y notificar los incidentes graves (Artículo 55). La multa por incumplimiento de las obligaciones de GPAI es de hasta 15 millones de euros o el 3 % del volumen de negocios mundial, impuesta por la Comisión (Artículo 101).

Como responsable del despliegue o desarrollador de la cadena posterior: verifique que su proveedor de GPAI ha cumplido sus obligaciones del Artículo 53 antes de construir sobre su modelo. Si no puede producir documentación técnica y un resumen de los datos de entrenamiento, eso es un riesgo de la cadena de suministro.

Documentación técnica y conservación de registros: un proceso práctico de cinco pasos

Paso 1: inventaríe sus sistemas de IA

Antes de cualquier trabajo de documentación, enumere cada sistema de IA que su organización desarrolla o utiliza. Incluya: las herramientas suministradas por proveedores, las funciones integradas en los productos de SaaS que compra, los modelos construidos a medida y cualquier cosa que utilice aprendizaje automático para la toma de decisiones automatizada. Clasifique cada uno utilizando el Artículo 6 y el Anexo III. Documente por escrito la justificación de la clasificación — incluido cuando concluya que un sistema no es de alto riesgo y por qué.

Paso 2: construya el expediente técnico del Anexo IV para cada sistema de alto riesgo

El Anexo IV especifica el contenido mínimo que los proveedores deben documentar. El expediente es la prueba de que su sistema cumple los requisitos del Capítulo III. Para una empresa de tecnología de RR. HH. de 40 personas con una herramienta de cribado de currículos, el expediente técnico debería incluir: la declaración de finalidad prevista, la descripción de los datos de entrenamiento (volumen, fuentes, lagunas conocidas y cómo se abordaron), los resultados de validación y prueba con desgloses demográficos, la metodología y las conclusiones de la evaluación de sesgos, la descripción de la arquitectura del modelo y el registro de riesgos del Artículo 9 con pruebas de mitigación.

No es un documento de marketing. Escríbalo para un regulador que busca activamente brechas.

Paso 3: elabore el registro de riesgos del Artículo 9

Por separado (pero con referencias cruzadas) del expediente técnico, mantenga un registro de riesgos que rastree cada daño identificado, su calificación de probabilidad y gravedad, la mitigación aplicada y el riesgo residual. Hágalo con control de versiones. Cuando la vigilancia poscomercialización saque a la luz nuevos modos de fallo, actualice el registro y documente la fecha y el desencadenante.

Paso 4: documente las disposiciones de supervisión humana

Para cada sistema de alto riesgo, registre: quién es responsable de la supervisión, qué formación ha recibido, qué autoridad ostenta y cómo se registran las decisiones de anulación. Esta es la principal obligación de documentación del responsable del despliegue y lo primero que una autoridad pedirá en una investigación que involucre una decisión de IA en disputa.

Paso 5: establezca un calendario de conservación y acceso

Documentación técnica: conserve durante la vida operativa del sistema más diez años. Evaluaciones de riesgos: lo mismo. Registros de incidentes y de supervisión: tres años como mínimo; más cuando la legislación sectorial lo exija. EIDF: tres años como mínimo desde la última actualización.

Todos los registros deben ser recuperables con poca antelación. Organícelos como un único paquete auditable, no dispersos por unidades personales. Las solicitudes regulatorias llegan con plazos cortos.

Instantáneas de cumplimiento por sector

Distintos sectores se enfrentan a una exposición distinta al Anexo III. Estos esbozos ilustran dónde muerden con más fuerza las obligaciones.

Tecnología financiera: calificación crediticia y decisiones de préstamo

La calificación crediticia y la evaluación de la solvencia están enumeradas explícitamente en el Anexo III, sección 5. Si su empresa de tecnología financiera utiliza la IA para contribuir a las decisiones de préstamo, es de alto riesgo. El requisito de supervisión humana del Artículo 14 significa que su responsable de cumplimiento debe poder interrogar por qué el modelo asignó una puntuación dada — no solo revisar la cifra del resultado. Incorpore la capacidad de explicación al modelo antes del despliegue; adaptarla a posteriori es costoso.

Las personas afectadas tienen derecho, con arreglo al Artículo 86, a solicitar una explicación de la decisión concreta. Diseñe su flujo de trabajo de recurso antes del lanzamiento.

Sanidad: diagnóstico asistido por IA

Los sistemas de IA que apoyan el diagnóstico clínico son de alto riesgo con arreglo al Anexo III, sección 2 (infraestructuras críticas) y también pueden cruzarse con la regulación de los productos sanitarios (Anexo I, MDR). La validación clínica es un requisito previo — la exactitud estadística en un conjunto de datos reservado no es lo mismo que un rendimiento validado en flujos de trabajo clínicos reales. Los médicos deben conservar plena autoridad para anular el sistema; documéntelo explícitamente tanto en el expediente técnico como en las disposiciones de supervisión.

Contratación: cribado de currículos y clasificación de candidatos

El cribado automatizado de currículos es de alto riesgo con arreglo a la sección 4 del Anexo III. Debe informarse a los candidatos de que se utiliza IA en su evaluación (Artículo 13 / Artículo 26). Con arreglo al Artículo 14, su equipo de RR. HH. debe tener la competencia y la autoridad para anular las preselecciones. Con arreglo al Artículo 27, si su organización despliega esta herramienta en lugar de construirla, probablemente necesite una EIDF. Registre qué candidatos fueron procesados por el sistema y conserve esos registros durante al menos tres años.

El riesgo concreto a vigilar: la discriminación indirecta. Un modelo entrenado con datos de contratación históricos de una organización dominada por hombres codificará el sesgo histórico salvo que esto se aborde explícitamente en la evaluación de gobernanza de datos del Artículo 10.

EdTech: evaluación y calificación automatizadas

La calificación automatizada y la evaluación del alumnado entran en la sección 3 del Anexo III. Para las evaluaciones de gran trascendencia (exámenes finales, calificaciones de titulación), los educadores deben tener la competencia y la autoridad para verificar y anular las calificaciones generadas por IA antes de que se finalicen. Los alumnos y los padres tienen derecho a comprender cómo contribuyó la IA a la evaluación. Documente su estudio de validación y su flujo de trabajo de revisión humana antes de desplegar.

Garantía del cumplimiento del Derecho y seguridad: dónde se cruzan las empresas más pequeñas

La mayoría de las pymes no operan en la garantía del cumplimiento del Derecho. Pero dos situaciones crean una exposición inesperada: la seguridad de instalaciones que utiliza identificación biométrica (Anexo III, sección 1) y las herramientas de análisis predictivo vendidas a las fuerzas y cuerpos de seguridad o utilizadas por ellos (Anexo III, sección 6). El reconocimiento de emociones en el lugar de trabajo está prohibido con arreglo al Artículo 5 con independencia del tamaño de la organización que lo despliegue. Audite sus herramientas de seguridad física y de supervisión de RR. HH. frente a esta lista.

Sanciones: cuáles son realmente las multas

Los antiguos artículos que circulan en línea suelen indicar mal las cifras de las sanciones. Aquí están las cifras correctas del Artículo 99.

Tres tramos, «si esta última cifra es mayor» de la cantidad fija o el porcentaje del volumen de negocios anual mundial:

InfracciónCantidad fija% del volumen de negocios
Prácticas prohibidas del Artículo 535 000 000 EUR7 %
La mayoría de las demás obligaciones (requisitos de alto riesgo, obligaciones del proveedor/responsable del despliegue, transparencia del Art. 50)15 000 000 EUR3 %
Facilitar información incorrecta, incompleta o engañosa a organismos notificados o autoridades7 500 000 EUR1 %

La protección para pymes/empresas emergentes (Artículo 99, apartado 6): Para las pymes y las empresas emergentes, la multa se limita al menor del porcentaje y la cantidad fija, en lugar del mayor. Para una empresa emergente con 1,5 millones de euros de volumen de negocios, el techo efectivo para una infracción de alto riesgo es de 45 000 EUR (3 % × 1,5 M EUR), no de 15 millones de euros. Esta es una genuina medida de proporcionalidad — no una exención de la ley, sino una restricción significativa del cálculo de la multa. Anótelo en su registro de riesgos al evaluar las decisiones de inversión en cumplimiento.

Multas específicas de GPAI (Artículo 101): la Comisión puede imponer multas de hasta 15 millones de euros o el 3 % a los proveedores de modelos de GPAI.

Qué pueden hacer los reguladores más allá de las multas: Las autoridades nacionales competentes pueden ordenar la suspensión de un sistema del mercado de la UE, exigir una acción correctiva inmediata y remitir los casos para investigación penal cuando la legislación del Estado miembro lo prevea. La falta de cooperación — negarse a facilitar documentación u obstruir una inspección — es en sí misma una infracción que conlleva multas de hasta 15 millones de euros o el 3 %.

Hoja de ruta de cumplimiento para pymes: seis pasos prácticos

Paso 1: auditoría de alfabetización en IA y prácticas prohibidas (hágalo ahora — ya está vencido)

Tanto el Artículo 4 (alfabetización en materia de IA) como el Artículo 5 (prácticas prohibidas) están en vigor desde el 2 de febrero de 2025. Si no ha hecho esto, actualmente es no conforme.

Alfabetización en materia de IA: identifique cada rol de su organización que trabaja con sistemas de IA y documente qué formación ha recibido sobre las capacidades y limitaciones de esos sistemas y sobre los requisitos de la Ley. Esto no tiene por qué ser costoso — una sesión informativa interna estructurada con registros es un punto de partida.

Prácticas prohibidas: audite cada sistema de IA que desarrolle o despliegue frente a la lista del Artículo 5. Cualquier sistema que realice identificación biométrica en tiempo real en espacios públicos, utilice reconocimiento de emociones en el lugar de trabajo o aplique técnicas de manipulación subliminal debe interrumpirse de inmediato. Documente su evaluación de cualquier sistema que se haya revisado y aprobado.

Paso 2: construya su inventario de IA

Enumere cada sistema de IA que su organización desarrolla o utiliza. Para cada uno: nómbrelo, describa su función, identifique al proveedor o al equipo interno, anote los datos que trata y registre su opinión inicial sobre su nivel de riesgo. Este inventario es el fundamento de todo lo que sigue y es en sí mismo prueba de la diligencia debida de cumplimiento.

Paso 3: clasifique cada sistema con arreglo al Artículo 6

Para cada sistema de su inventario, recorra la clasificación del Artículo 6: ¿funciona como componente de seguridad en un producto del Anexo I? ¿Entra en alguno de los ocho epígrafes del Anexo III? Si entra en un epígrafe del Anexo III, ¿supera el filtro del Artículo 6, apartado 3 (no hay un riesgo significativo de perjuicio)? ¿Elabora perfiles de personas físicas? Documente la clasificación y el razonamiento por escrito.

Si es un responsable del despliegue que utiliza una herramienta de alto riesgo de terceros, su proveedor debería haberla clasificado y puede facilitar documentación. Verifíquelo antes del despliegue — no puede externalizar la obligación de cumplimiento, solo el trabajo de clasificación.

Paso 4: determine su rol

Para cada sistema de alto riesgo, determine si es el proveedor, el responsable del despliegue, ambos, o si se aplica el cambio de rol del Artículo 25. Si es el proveedor, comience el expediente de documentación técnica del Artículo 11 y el registro de riesgos del Artículo 9. Si es el responsable del despliegue, comience a documentar sus disposiciones de supervisión y evalúe si se aplica la EIDF del Artículo 27.

Paso 5: construya la documentación para los sistemas de alto riesgo (objetivo: 2027, pero empiece ya)

El plazo del Anexo III es el 2 de diciembre de 2027, pero la documentación técnica, los sistemas de gestión de riesgos, las pruebas de sesgo y las evaluaciones de la conformidad llevan tiempo. Un mínimo realista para un sistema autónomo del Anexo III es de 4 a 6 meses de trabajo estructurado para un equipo pequeño. Para los sistemas integrados en productos (Anexo I), presupueste de 9 a 12 meses y la intervención de un organismo notificado.

Confir proporciona un flujo de trabajo de cumplimiento autoservicio y basado en reglas que clasifica sus sistemas con arreglo a los Artículos 5 y 6 utilizando la lógica del Anexo III, genera el paquete de documentación técnica del Anexo IV, ejecuta la EIDF del Artículo 27 para los responsables del despliegue y mantiene el registro de riesgos. La lógica es determinista y reproducible: los mismos datos de entrada producen la misma clasificación, siempre, sin depender de inferencia de IA. Para las pymes sin un equipo de cumplimiento dedicado, esto cierra la brecha entre saber qué se exige y tener la documentación para demostrarlo.

Paso 6: implemente la transparencia del Artículo 50 antes de agosto de 2026

Para cualquier chatbot, herramienta de medios sintéticos o sistema de contenido generado por IA que despliegue o construya, implemente el requisito de divulgación del Artículo 50 antes del 2 de agosto de 2026. Esto suele ser un cambio de bajo coste — una declaración de divulgación antes de que comience la interacción y una convención de etiquetado para el contenido generado por IA. No lo aplace al último mes.

Errores de cumplimiento habituales de las pymes

Suponer que su proveedor se ocupa del cumplimiento. Con arreglo al Artículo 25, la responsabilidad sigue al sistema. Si despliega un sistema de alto riesgo, tiene obligaciones de responsable del despliegue con independencia de lo que su proveedor prometa en sus condiciones de servicio.

Tratar la alfabetización en materia de IA (Artículo 4) como opcional. Está en vigor desde febrero de 2025. Su personal de supervisión debe tener una alfabetización en materia de IA documentada y adecuada a los sistemas con los que trabaja.

Utilizar el filtro del Artículo 6, apartado 3, sin documentarlo. Reclamar que un sistema no es de alto riesgo con arreglo al filtro requiere una evaluación documentada y un registro. La exención no es de aplicación automática.

Tratar la documentación técnica como un proyecto puntual. La documentación del Artículo 11 y el registro de riesgos del Artículo 9 deben actualizarse cuando el sistema se modifica, cuando la vigilancia poscomercialización revela nuevos riesgos y cuando cambia el caso de uso. Incorpore un ciclo de revisión a su calendario operativo.

Malinterpretar el desencadenante de la EIDF. El Artículo 27 se aplica a los responsables del despliegue del sector privado en ámbitos específicos — no solo a los organismos públicos. Si despliega IA en el empleo, el crédito, los seguros o los servicios esenciales, evalúe si el Artículo 27 se aplica antes de su primer despliegue en vivo.

Ignorar el cambio de rol del Artículo 25. Marcar como propio, ajustar finamente o reutilizar un sistema de alto riesgo de terceros puede convertirle en el proveedor. Revise sus contratos y configuraciones de despliegue antes de realizar cambios.

Cómo apoya Confir el cumplimiento de las pymes

La mayoría de las pymes no tienen un equipo de cumplimiento dedicado, y los requisitos de documentación de los Artículos 9, 11, 14 y 27 no son ligeros. Confir es una herramienta autoservicio de cumplimiento de la Ley de IA de la UE construida específicamente para los equipos jurídicos, de cumplimiento y de TI de las pymes.

El flujo de trabajo de clasificación utiliza una lógica determinista y basada en reglas — sin inferencia de IA — para recorrer los Artículos 5 y 6, aplicando los criterios del Anexo III mediante preguntas en lenguaje sencillo. La misma admisión produce la misma conclusión cada vez, lo que la hace defendible en una auditoría. Los resultados incluyen el paquete de documentación técnica del Anexo IV, la declaración de conformidad del Artículo 47, la EIDF del Artículo 27 y un registro de riesgos para toda la organización con un registro de auditoría inmutable. Se corresponde con la norma ISO/IEC 42001 y con el RGPD cuando es pertinente.

Preguntas frecuentes

¿Se aplica la Ley de IA de la UE a mi pyme si no tenemos sede en la UE?

Sí. El Artículo 2 establece un ámbito extraterritorial: la Ley se aplica a cualquier organización que introduzca sistemas de IA en el mercado de la UE o los utilice para prestar servicios a residentes en la UE, con independencia de dónde esté registrada la empresa. Una empresa emergente de tecnología de RR. HH. con sede en EE. UU. que vende una herramienta de cribado de currículos a empleadores europeos está sujeta a las mismas obligaciones de proveedor del Artículo 16 que una empresa equivalente en Berlín. No hay exención para las entidades extranjeras. Si su sistema afecta a los derechos o a la seguridad de aunque sea un residente en la UE en un contexto regulado, se exige el cumplimiento pleno.

¿Cómo sé si mi sistema de IA es de alto riesgo con arreglo al Anexo III?

Recorra el Artículo 6 de forma metódica. Primero: ¿funciona su sistema como componente de seguridad en un producto del Anexo I (máquinas, productos sanitarios, ascensores, etc.)? En caso afirmativo — vía del Anexo I, plazo 2 de agosto de 2028. Segundo: ¿entra el sistema en alguna de las ocho categorías del Anexo III (biometría, infraestructuras críticas, educación, empleo, servicios esenciales, garantía del cumplimiento del Derecho, migración, justicia)? En caso afirmativo — compruebe el filtro del Artículo 6, apartado 3. Si el sistema elabora perfiles de personas físicas, el filtro no se aplica y es de alto riesgo. Si entra en el Anexo III pero no plantea un riesgo significativo de perjuicio y no elabora perfiles de personas, documente la evaluación y regístrela. El cribado automatizado de currículos, la calificación crediticia y la identificación biométrica son de alto riesgo sin excepción.

¿Cuál es la diferencia entre un proveedor y un responsable del despliegue, y qué obligaciones se me aplican?

Un proveedor (Artículo 16) desarrolla o introduce el sistema en el mercado con su propio nombre. Un responsable del despliegue (Artículo 26) utiliza un sistema de alto riesgo en operaciones profesionales. Los proveedores soportan la carga más pesada: sistema de gestión de riesgos (Artículo 9), documentación técnica (Artículo 11), supervisión humana desde el diseño (Artículo 14), evaluación de la conformidad (Artículo 43), registro (Artículo 49) y vigilancia poscomercialización (Artículo 72). Los responsables del despliegue deben garantizar que la supervisión humana sea genuina, supervisar el rendimiento en el mundo real, conservar registros y, en contextos específicos, realizar una EIDF (Artículo 27). Muchas pymes son ambas cosas simultáneamente — una empresa de tecnología financiera que construye y despliega su propio modelo de calificación crediticia debe satisfacer ambas vías. El Artículo 25 significa que los límites de los roles no son fijos: modifique la finalidad prevista de un sistema de terceros y pasará a ser su proveedor.

¿Cuándo se aplican los plazos clave?

Las prácticas prohibidas del Artículo 5 y la alfabetización en materia de IA del Artículo 4 están en vigor desde el 2 de febrero de 2025 — si no ha abordado esto, ya va con retraso. Las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026. En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo de alto riesgo del Anexo III es ahora el 2 de diciembre de 2027 para los sistemas autónomos (antes 2 de agosto de 2026) y el 2 de agosto de 2028 para la IA de alto riesgo integrada en productos del Anexo I. La prórroga no reduce los requisitos de documentación — le da más tiempo para cumplirlos correctamente.

¿Cuáles son los importes reales de las multas y se aplica el límite para pymes a mi empresa?

El Artículo 99 fija tres tramos: 35 millones de euros o el 7 % del volumen de negocios anual mundial para las infracciones del Artículo 5; 15 millones de euros o el 3 % para la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo; 7,5 millones de euros o el 1 % por facilitar información incorrecta a las autoridades. En cada tramo, la multa aplicable es la mayor de la cantidad fija o el porcentaje — salvo para las pymes y las empresas emergentes, donde el Artículo 99, apartado 6, aplica la cifra menor. Para una empresa con 2 millones de euros de volumen de negocios, el techo efectivo para una infracción de alto riesgo es de 60 000 EUR (3 %), no de 15 millones de euros. Esta es la disposición más malinterpretada de la Ley para el público de las pymes.

¿Qué documentación necesito mantener?

Los proveedores de sistemas de alto riesgo deben mantener un expediente de documentación técnica del Anexo IV (Artículo 11) que abarque el diseño del sistema, los datos de entrenamiento, los resultados de las pruebas y las limitaciones — conservado durante la vida del sistema más diez años. El Artículo 9 exige un registro de riesgos vivo con medidas de mitigación documentadas. El Artículo 72 exige registros de vigilancia poscomercialización. Los responsables del despliegue deben mantener registros de supervisión, registros de incidentes, registros de acciones correctivas y documentación de la EIDF (Artículo 26) durante un mínimo de tres años. Todos los registros deben ser recuperables con poca antelación; las solicitudes regulatorias llegan con plazos ajustados.

¿Qué ocurre si no cumplo?

Más allá de los techos sancionadores enumerados anteriormente, las autoridades competentes pueden ordenar la retirada inmediata de su sistema del mercado de la UE y exigir una acción correctiva. Las personas afectadas pueden presentar reclamaciones civiles con arreglo al Artículo 82. Negarse a cooperar con una investigación — no producir documentación, obstruir una inspección — es en sí mismo una infracción separada. El incumplimiento no es un riesgo empresarial que gestionar financieramente; en el nivel de alto riesgo, puede significar quedar excluido por completo del mercado de la UE.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

La IA agéntica y la Ley de IA de la UE: clasificación, supervisión y cumplimiento

La IA agéntica no es una categoría de riesgo en la Ley de la UE. La clasificación sigue el caso de uso y el Anexo III. Cubre la supervisión del art. 14, los papeles de GPAI y los plazos de 2027.

Guide

¿Qué ocurre si ignora la Ley de IA de la UE?

Las multas son el último paso, no el primero. Los riesgos reales: la retirada del mercado, los acuerdos perdidos y un esprint de documentación apresurado en 2027. Aquí está el panorama completo.

Guide

Un cliente ha preguntado por la Ley de IA de la UE: cómo responder

Un cliente potencial B2B ha preguntado si cumples la Ley de IA de la UE. Aprende a descifrar qué te están preguntando, a determinar tu rol y a responder con honestidad por nivel de riesgo.