Skip to content
Confir.
Prueba gratuita
Blog

¿Qué es la Ley de IA de la UE? Guía en lenguaje claro para pymes

Complete Guide12 February 2026· 35 min de lectura

La Ley de IA de la UE (Reglamento (UE) 2024/1689) explicada para pymes: los cuatro niveles de riesgo, los plazos (dic 2027 / ago 2028), las sanciones y qué hacer ahora.

La Ley de IA de la UE (Reglamento (UE) 2024/1689) es la primera ley del mundo jurídicamente vinculante y transversal sobre inteligencia artificial. Entró en vigor el 1 de agosto de 2024. No prohíbe la IA. Clasifica los sistemas de IA en cuatro niveles de riesgo y vincula obligaciones a los dos superiores. Si su sistema cae en el nivel correspondiente — o si simplemente utiliza una herramienta de IA de terceros en un contexto profesional dentro de la UE — este Reglamento se le aplica directamente.

Esta guía abarca qué es la Ley, a quién alcanza, cómo funcionan los cuatro niveles, qué exige el conjunto completo de obligaciones de alto riesgo artículo por artículo, qué papel desempeña usted en la cadena de suministro, el calendario de cumplimiento corregido (incluido el aplazamiento del Ómnibus Digital acordado en mayo de 2026), cómo se calculan las multas y un punto de partida en cinco pasos para lograr el cumplimiento.

Qué es realmente la Ley

La mayoría de los nuevos marcos de gobernanza de la IA son o bien códigos voluntarios o bien orientaciones sectoriales. La Ley de IA de la UE no es ninguna de las dos cosas. Es un Reglamento de la UE de aplicación directa — es decir, tiene la misma fuerza jurídica que una ley en cada Estado miembro de la UE, sin necesidad de transposición nacional. No hay una versión alemana, ni una transposición francesa. Un único texto, 27 jurisdicciones, las mismas obligaciones.

La cita formal del Reglamento es Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo. Se publicó en el Diario Oficial de la UE el 12 de julio de 2024 y entró en vigor veinte días después, el 1 de agosto de 2024. Las obligaciones se fueron aplicando después conforme a un calendario por fases (que se detalla más adelante).

La lógica de diseño central se basa en el riesgo: cuanto mayor sea el perjuicio potencial, mayor será la obligación. Un filtro de correo basura no afronta ninguna obligación obligatoria. Una herramienta de cribado de currículos para una empresa de 300 personas afronta el mismo conjunto de requisitos de alto riesgo que el modelo de calificación crediticia de un gran banco. La Ley no distingue por tamaño de empresa a nivel de clasificación — distingue por lo que el sistema hace y por lo que podría salir mal.

Cómo encaja la Ley junto a la legislación vigente de la UE

La Ley de IA de la UE no es el único Reglamento que afecta a la IA. Comprender dónde se sitúa respecto al RGPD, el marco de responsabilidad por productos defectuosos y las normas sectoriales evita lagunas y duplicidades.

El RGPD sigue plenamente en vigor. Los dos Reglamentos se solapan considerablemente en el caso de los sistemas de IA de alto riesgo que tratan datos personales — que son la mayoría. El RGPD rige los datos; la Ley de IA rige el sistema. Los proveedores que desarrollan una IA de selección de personal deben satisfacer tanto los requisitos de gobernanza de datos del Artículo 10 de la Ley de IA como las obligaciones de base jurídica y de minimización de datos del RGPD. El cumplimiento de uno no exime del otro.

La Directiva sobre responsabilidad en materia de IA (aún en tramitación a junio de 2026) está concebida para situarse junto a la Ley de IA, facilitando que las personas perjudicadas por sistemas de IA puedan ejercer reclamaciones civiles. La Ley de IA establece las obligaciones de Derecho público; la directiva de responsabilidad aborda la reparación de Derecho privado.

Las normas sectoriales — el Reglamento de Productos Sanitarios, el marco de servicios financieros de la MiFID II y las directrices de la ABE, el Reglamento DORA sobre resiliencia operativa digital del sector financiero — siguen aplicándose a la IA en esos sectores. La Ley de IA se superpone a esos marcos y se coordina con ellos. Un producto sanitario con IA está sujeto simultáneamente al Reglamento de Productos Sanitarios (marcado CE a través del MDR) y al nivel de alto riesgo de la Ley de IA a través del Anexo I.

La norma ISO/IEC 42001 (la norma de sistemas de gestión de IA) no forma parte del marco regulatorio, pero proporciona una estructura operativa útil. Confir cruza sus evaluaciones con la ISO/IEC 42001, el NIST AI RMF y el RGPD cuando procede.

A quién se aplica la Ley

Alcance extraterritorial (Artículo 2)

La Ley se aplica a:

  • Proveedores que introducen un sistema de IA en el mercado de la UE o lo ponen en servicio en la UE — con independencia de dónde esté establecido el proveedor. Una empresa emergente estadounidense que vende una herramienta de selección de personal con IA a empresas alemanas es un proveedor con arreglo a la Ley.
  • Responsables del despliegue de sistemas de IA ubicados dentro de la UE, o cuyo uso afecta a personas en la UE.
  • Importadores y distribuidores en la cadena de suministro de la UE.
  • Proveedores y responsables del despliegue establecidos fuera de la UE cuando la información de salida de su sistema de IA se utiliza en la UE.

El alcance territorial es más amplio que el del RGPD. No necesita una oficina europea, un servidor europeo ni un interesado europeo para entrar en el ámbito de aplicación. Si la información de salida de su sistema acaba ante usuarios de la UE, la Ley se aplica.

Exclusiones clave

La Ley deja fuera cuatro ámbitos:

  1. Defensa militar y seguridad nacional — quedan fuera de la competencia de la UE y se excluyen expresamente.
  2. Investigación y desarrollo puramente científicos — la IA desarrollada y probada únicamente con fines de I+D, aún no introducida en el mercado, no está cubierta. En cuanto se avanza hacia el despliegue, la exclusión decae.
  3. Uso puramente personal y no profesional — utilizar una herramienta de IA para fines privados propios, sin contexto profesional o comercial, queda fuera del ámbito.
  4. Modelos de código abierto — el tratamiento es limitado, no general. Los proveedores de modelos de IA de uso general (GPAI) de código abierto están parcialmente exentos de algunas obligaciones del Capítulo V (documentación técnica, divulgación posterior) salvo que su modelo se publique con una designación de riesgo sistémico (umbral de 10^25 FLOP) o se utilice en contextos prohibidos o de alto riesgo. El código abierto no exime al responsable del despliegue que utiliza el modelo en una aplicación de alto riesgo.

Los cuatro niveles de riesgo

La Ley clasifica cada sistema de IA en uno de cuatro niveles. Su nivel determina qué obligaciones se aplican.

Nivel 1 — Riesgo inaceptable (prohibido)

El Artículo 5 enumera prácticas que están terminantemente prohibidas. Lo están desde el 2 de febrero de 2025. No existe ninguna vía de cumplimiento; no se pueden desplegar estos sistemas en la UE bajo ninguna circunstancia.

Las categorías prohibidas incluyen:

  • La identificación biométrica remota en tiempo real en espacios de acceso público (con una estrecha excepción para la garantía del cumplimiento del Derecho que exige autorización judicial previa o equivalente).
  • Los sistemas de IA que utilizan técnicas subliminales que operan por debajo de la percepción consciente, o que explotan vulnerabilidades de grupos específicos, para distorsionar el comportamiento de forma perjudicial.
  • La puntuación social por parte de autoridades públicas — asignar puntuaciones a personas físicas en función de su comportamiento social, dando lugar a un trato perjudicial.
  • La actuación policial predictiva basada únicamente en la elaboración de perfiles, sin pruebas objetivas vinculadas a una persona.
  • Los sistemas de reconocimiento de emociones en contextos laborales y de centros educativos.
  • Los sistemas de categorización biométrica que infieren atributos sensibles (opiniones políticas, raza, orientación sexual) a partir de datos biométricos.
  • La extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión para crear bases de datos de reconocimiento facial.

Si reconoce su producto en alguna de esas descripciones, deténgase y solicite asesoramiento jurídico. El techo sancionador es de 35 millones de euros o el 7 % del volumen de negocios anual mundial — la cifra que sea mayor.

Merece la pena detallar algunas de las prohibiciones porque son las que más confusión generan en la práctica.

La prohibición del reconocimiento de emociones en el lugar de trabajo alcanza a más productos de los que los fundadores esperan. Si su software de RR. HH. analiza vídeos de entrevistas de trabajo para inferir los estados emocionales de los candidatos, eso está prohibido — independientemente de que su marketing lo describa como «medición de la implicación» o «puntuación de la experiencia del candidato». La etiqueta no importa; la función sí.

La prohibición de la categorización biométrica de atributos sensibles se aplica a la inferencia de opiniones políticas, creencias religiosas o filosóficas, raza, orientación sexual o afiliación sindical a partir de datos biométricos. Un sistema de cámaras de seguridad que categoriza a las personas por su etnia aparente para generar estadísticas entra aquí, aunque no se pretenda identificar a ninguna persona en concreto.

La prohibición de la actuación policial predictiva es estrecha. Apunta a los sistemas que predicen la probabilidad de que una persona delinca únicamente sobre la base de la elaboración de perfiles, sin pruebas objetivas y verificables individualmente. La IA que analiza datos históricos de delincuencia para predecir dónde es probable que se produzcan delitos (análisis de puntos calientes) es distinta de la IA que predice qué personas concretas es probable que delincan basándose únicamente en datos sociales o demográficos.

Nivel 2 — Alto riesgo

Los sistemas de alto riesgo conllevan el conjunto completo de obligaciones. Existen dos vías hacia el nivel de alto riesgo.

Vía del Anexo I: sistemas de IA que son componentes de seguridad de productos ya regulados por la legislación de seguridad de los productos de la UE — máquinas, productos sanitarios, aviación civil, automóviles, juguetes y categorías similares de productos regulados. Si su IA se integra en uno de estos productos y afecta a la seguridad del producto, está en el nivel de alto riesgo a través del Anexo I.

Vía del Anexo III: sistemas de IA autónomos en ocho ámbitos específicos:

  1. Biometría — identificación biométrica remota, categorización biométrica y reconocimiento de emociones cuando no estén ya prohibidos.
  2. Infraestructuras críticas — componentes de seguridad en la infraestructura digital, la gestión del tráfico rodado, la electricidad, el agua y el gas.
  3. Educación y formación profesional — decisiones de admisión, evaluación del alumnado y supervisión de fraudes en exámenes, evaluación de los resultados del aprendizaje que afectan al acceso a la educación.
  4. Empleo, gestión de los trabajadores y acceso al autoempleo — contratación y cribado de currículos, asignación de tareas, decisiones de promoción y despido, supervisión del rendimiento.
  5. Acceso a servicios esenciales privados y públicos — evaluación de la solvencia y calificación crediticia (la detección de fraude queda fuera), riesgo y fijación de precios de los seguros de salud y de vida, priorización del envío de servicios de emergencia, admisibilidad a prestaciones públicas.
  6. Garantía del cumplimiento del Derecho — evaluaciones del riesgo de delinquir o reincidir, IA utilizada en sistemas de tipo polígrafo, puntuación de la fiabilidad de las pruebas, elaboración de perfiles de sospechosos.
  7. Migración, asilo y control fronterizo — evaluaciones de riesgo de los solicitantes de asilo, examen de las solicitudes de visado y de permiso de residencia, verificación de la autenticidad de documentos.
  8. Administración de justicia y procesos democráticos — IA que asiste a las autoridades judiciales en la investigación o aplicación del Derecho; sistemas utilizados para influir en elecciones o referendos.

El filtro del Artículo 6, apartado 3. Estar en un ámbito del Anexo III no convierte automáticamente un sistema en de alto riesgo. El Artículo 6, apartado 3, establece que un sistema no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, si desempeña una tarea procedimental limitada, mejora el resultado de una actividad humana previamente realizada o realiza un trabajo preparatorio sin influir en las evaluaciones humanas. Pero todo sistema que elabore perfiles de personas físicas sigue siendo de alto riesgo en cualquier caso. Los proveedores que reclamen el filtro del Artículo 6, apartado 3, deben documentar la evaluación y registrar el sistema.

La mayoría de las pymes que desarrollan productos de IA se sitúan en algún punto del Anexo III. Una empresa emergente de tecnología de RR. HH. con 40 empleados cuyo producto criba currículos está en la categoría de empleo. Una fintech cuyo modelo fija precios de pólizas de seguro está en los servicios esenciales. La clasificación no es una apreciación que se haga a la ligera — las obligaciones que se derivan de ella son sustanciales.

Dos ámbitos generan la mayor parte de las controversias de clasificación entre las pymes.

Calificación crediticia frente a detección de fraude. La Ley excluye explícitamente la detección de fraude de la categoría de servicios esenciales del Anexo III. Un sistema que marca transacciones como potencialmente fraudulentas queda fuera del Anexo III (y probablemente sea de riesgo mínimo). Un sistema que evalúa si un cliente es solvente, o que produce una puntuación utilizada en una decisión de concesión de crédito, está en el Anexo III independientemente de cómo lo etiquete el proveedor. Si su modelo se sitúa aguas arriba de una decisión crediticia — aunque sea un humano quien tome la decisión final — examine cuidadosamente si entra en el ámbito de aplicación.

Supervisión del rendimiento frente a asignación de tareas. El Artículo 6 y el Anexo III alcanzan la IA utilizada en la «gestión de los trabajadores» en sentido amplio, incluida la supervisión del rendimiento laboral. Un panel de productividad que rastrea las métricas de producción de los empleados y que los gestores utilizan para decidir sobre evaluaciones de desempeño o despidos es probablemente de alto riesgo. Una sencilla herramienta de registro de tiempos que anota las horas trabajadas, sin evaluaciones ni recomendaciones generadas por IA, no lo es.

Nivel 3 — Riesgo limitado (obligaciones de transparencia)

El Artículo 50 abarca los sistemas en los que la principal preocupación es el engaño, no el perjuicio. Las obligaciones son estrechas: revelar.

  • Los chatbots y la IA conversacional deben informar a los usuarios de que interactúan con un sistema de IA, no con un humano.
  • Las ultrafalsificaciones (deepfakes) y los contenidos sintéticos — vídeos, audios o imágenes generados o manipulados por IA — deben etiquetarse como generados o manipulados artificialmente. Se aplica una excepción cuando la divulgación resulte manifiestamente innecesaria (p. ej., IA en un contexto claramente satírico).
  • Los sistemas de reconocimiento de emociones y de categorización biométrica (cuando estén permitidos) deben informar a las personas físicas expuestas.
  • El texto generado por IA sobre asuntos de interés público debe etiquetarse cuando se publica.

El Artículo 50 se aplica desde el 2 de agosto de 2026 (la fecha de aplicación general). Un chatbot de atención al cliente desplegado por una empresa de telecomunicaciones francesa debe revelar su naturaleza de IA — pero no necesita una evaluación de la conformidad, un sistema de gestión de riesgos ni documentación técnica.

Nivel 4 — Riesgo mínimo

Todo lo demás. La gran mayoría de los sistemas de IA en uso hoy en día — motores de recomendación, filtros de correo basura, detección de fraude fuera de la categoría de servicios esenciales, herramientas de moderación de contenidos, mejora de imágenes, búsqueda de productos — entran aquí. Ninguna obligación obligatoria. La Comisión fomenta los códigos de conducta voluntarios, pero la Ley no impone nada.

La conclusión práctica: clasifique primero. Gran parte de la inquietud en torno a la Ley de IA de la UE es infundada porque la mayoría de los despliegues de IA son de riesgo mínimo. El Reglamento solo es realmente gravoso para el nivel superior.

Modelos de IA de uso general (GPAI): una categoría transversal aparte

Los modelos de IA de uso general (GPAI) — es decir, modelos entrenados con datos amplios, capaces de realizar una amplia gama de tareas y típicamente integrados en aplicaciones posteriores — se rigen por el Capítulo V (Artículos 51 a 56). No son un quinto nivel de riesgo. Un modelo GPAI puede también desplegarse en una aplicación de alto riesgo, en cuyo caso se aplican ambos conjuntos de obligaciones.

Todos los proveedores de modelos GPAI (con independencia de su condición de riesgo sistémico) deben, con arreglo al Artículo 53:

  • Elaborar y mantener documentación técnica.
  • Facilitar a los proveedores posteriores la información necesaria para su propio cumplimiento.
  • Disponer de una política de derechos de autor que cumpla el Derecho de la UE.
  • Publicar un resumen de los datos de entrenamiento.

Los modelos que superan el umbral computacional de 10^25 FLOP durante el entrenamiento se presumen portadores de riesgo sistémico y afrontan obligaciones adicionales con arreglo al Artículo 55: evaluación del modelo (incluidas pruebas adversarias), mitigación de riesgos, notificación de incidentes a la Oficina de IA y medidas de ciberseguridad. El Artículo 51 define la clasificación; el Artículo 52 establece el procedimiento de notificación.

Si está desplegando un modelo GPAI de terceros (de clase GPT-4, Gemini y similares) en una aplicación del Anexo III, las obligaciones de proveedor posterior siguen recayendo sobre usted. Las obligaciones del Capítulo V del proveedor de GPAI no eximen de sus propios deberes de alto riesgo con arreglo a los Artículos 9 a 17.

El conjunto de obligaciones de alto riesgo, artículo por artículo

Para los sistemas que caen en el nivel de alto riesgo, estos son los requisitos obligatorios. No son opcionales ni son meras aspiraciones. Cada artículo representa una obligación jurídica distinta.

Artículo 9 — Sistema de gestión de riesgos. Los proveedores deben establecer, aplicar, documentar y mantener un sistema de gestión de riesgos a lo largo de todo el ciclo de vida del sistema de IA. Esto significa identificar los riesgos previsibles, estimarlos y evaluarlos, adoptar medidas adecuadas de control del riesgo y comprobar que las medidas funcionan. El sistema debe actualizarse a medida que la IA evoluciona o surgen nuevos riesgos.

Artículo 10 — Datos y gobernanza de datos. Los conjuntos de datos de entrenamiento, validación y prueba deben estar sujetos a prácticas adecuadas de gobernanza de datos: pertinentes, representativos, libres de errores y completos para la finalidad prevista. Los proveedores deben examinar los datos en busca de posibles sesgos que pudieran dar lugar a resultados prohibidos. Para una herramienta de selección de personal, esto significa un análisis demográfico del corpus de entrenamiento y pruebas de sesgo documentadas antes de cualquier despliegue.

Artículo 11 — Documentación técnica. Antes de introducir un sistema de alto riesgo en el mercado, los proveedores deben elaborar la documentación conforme al Anexo IV. Los elementos exigidos incluyen: una descripción general del sistema, una descripción de sus componentes y del proceso de desarrollo, información sobre el entrenamiento y las pruebas, las métricas de rendimiento, los resultados del sistema de gestión de riesgos, las medidas de supervisión humana y los detalles de ciberseguridad. Este es el expediente que revisaría una autoridad.

Artículo 12 — Conservación de registros y archivos. Los sistemas de alto riesgo deben ser capaces de registrar automáticamente eventos (logs) — sucesos pertinentes para identificar riesgos e incidentes y para la supervisión. La granularidad del registro debe ser suficiente para rastrear el funcionamiento del sistema a lo largo de su vida activa. Los responsables del despliegue deben conservar los registros durante al menos seis meses (o más si así lo exige la regulación sectorial).

Artículo 13 — Transparencia e información a los responsables del despliegue. Los sistemas de IA deben ser lo suficientemente transparentes para que los responsables del despliegue comprendan qué hace el sistema, sus capacidades y limitaciones, las métricas de rendimiento y qué supervisión humana se requiere. Cada sistema debe ir acompañado de instrucciones de uso. Un responsable del despliegue no puede operar legítimamente un sistema de alto riesgo sin esta información; un proveedor que no la facilite ha incumplido el Artículo 13.

Artículo 14 — Supervisión humana. Los sistemas de alto riesgo deben diseñarse y construirse de modo que las personas físicas puedan supervisarlos eficazmente durante su uso. Esto significa: que los humanos puedan comprender los resultados del sistema, que puedan detectar y subsanar fallos, que puedan optar por no utilizar el sistema en un caso dado y que puedan anular o desestimar los resultados. El «humano en el bucle» no basta si el humano se limita a refrendar resultados que no puede evaluar de forma significativa.

Artículo 15 — Exactitud, robustez y ciberseguridad. Los sistemas de alto riesgo deben alcanzar niveles adecuados de exactitud y funcionar de forma coherente a lo largo de su ciclo de vida. Deben ser resilientes frente a errores, fallos e intentos adversarios de alterar los resultados. Los niveles de exactitud y las métricas pertinentes deben declararse en la documentación técnica.

Artículo 17 — Sistema de gestión de la calidad (SGC). Los proveedores deben implantar un sistema de gestión de la calidad que abarque políticas, procedimientos, instrucciones y recursos. El SGC aborda el diseño, las pruebas, el despliegue, la vigilancia poscomercialización y las medidas correctoras del sistema. Para una empresa de SaaS de 15 personas, esto no tiene por qué ser un programa pesado certificado por la ISO — pero debe estar documentado, ser funcional y poder auditarse.

Artículo 43 — Evaluación de la conformidad. Antes de introducir un sistema de alto riesgo en el mercado, los proveedores deben llevar a cabo una evaluación de la conformidad que demuestre el cumplimiento de los requisitos de alto riesgo. Para la mayoría de los sistemas del Anexo III se permite la autoevaluación (revisión interna frente a los requisitos de la Ley), salvo que una norma armonizada haya sido sustituida por una comprobación obligatoria por terceros. Los sistemas de identificación biométrica están sujetos a una evaluación obligatoria por terceros (organismo notificado). La evaluación se documenta; no caduca, pero debe actualizarse cuando el sistema se modifica sustancialmente.

Artículos 47 a 49 — Declaración de conformidad, marcado CE y registro. Tras superar la evaluación de la conformidad, los proveedores elaboran una declaración UE de conformidad (Artículo 47), colocan el marcado CE cuando proceda (Artículo 48) y registran el sistema en la base de datos de la UE antes de introducirlo en el mercado (Artículo 49). La base de datos es de acceso público (con algunos elementos sensibles redactados). Los proveedores de fuera de la UE deben designar un representante autorizado establecido en la UE (Artículo 22).

Artículo 72 — Vigilancia poscomercialización. Los proveedores deben vigilar activamente los sistemas de alto riesgo tras su despliegue, recopilar datos sobre el rendimiento, identificar cualquier riesgo emergente y actuar en consecuencia. El plan de vigilancia poscomercialización forma parte del sistema de gestión de la calidad. Es continuo — no una comprobación puntual del despliegue.

Artículo 73 — Notificación de incidentes graves. Los proveedores deben notificar los incidentes graves — los que provocan la muerte, un grave perjuicio para la salud, una grave vulneración de los derechos fundamentales o una perturbación significativa de las infraestructuras críticas — a la autoridad nacional de vigilancia del mercado competente sin demora indebida y, en todo caso, en un plazo de 15 días desde que se tenga conocimiento de un vínculo causal directo entre el sistema y el incidente.

El conjunto de obligaciones en su conjunto

Tomados en conjunto, los Artículos 9 a 17, 43, 47 a 49, 72 y 73 constituyen un programa de cumplimiento de envergadura. Para un proveedor de SaaS que desarrolla su primer producto del Anexo III, una estimación razonable son entre tres y seis meses de trabajo dedicado antes de poder introducir el sistema en el mercado — menos si el equipo tiene experiencia y ya ha levantado los cimientos del SGC, más si la documentación parte de cero.

Los documentos interactúan entre sí. El sistema de gestión de riesgos (Artículo 9) alimenta la documentación técnica (Artículo 11). La evaluación de la gobernanza de datos (Artículo 10) alimenta a ambos. La evaluación de la conformidad (Artículo 43) se nutre de todos ellos y no puede realizarse hasta que existan. Tratarlos como tareas secuenciales e independientes es no entender la estructura: son un sistema.

Un error habitual es confundir la documentación técnica del Artículo 11 con la declaración de conformidad del Artículo 47. La documentación técnica es la prueba — el expediente completo que muestra cómo se diseñó, probó y evaluó el sistema. La declaración de conformidad es la declaración formal — el documento firmado por el proveedor que afirma que el sistema cumple los requisitos. La declaración se redacta sobre la base de la documentación técnica, no en su lugar.

Papeles en la cadena de suministro

Quién soporta qué obligación depende del papel que se ocupe en relación con el sistema de IA.

Proveedor (Artículo 16): desarrolla un sistema de IA o un modelo GPAI y lo introduce en el mercado de la UE, o lo pone en servicio con su propio nombre o marca. Soporta las obligaciones más pesadas: el conjunto completo de los Artículos 9 a 17, la evaluación de la conformidad, la declaración de conformidad, el marcado CE, el registro, la vigilancia poscomercialización y la notificación de incidentes. Una empresa emergente con sede en Berlín que construye un producto de cribado de currículos y lo vende a equipos de RR. HH. es un proveedor.

Responsable del despliegue (Artículo 26): utiliza un sistema de IA de alto riesgo en un contexto profesional, bajo su autoridad, para fines y en contextos que él determina. Debe seguir las instrucciones del proveedor, asignar la supervisión humana a personas competentes, vigilar el rendimiento y registrar los eventos pertinentes. Algunos responsables del despliegue deben además realizar una Evaluación de Impacto sobre los Derechos Fundamentales (EIDF, en inglés FRIA) con arreglo al Artículo 27 — en concreto, los responsables del despliegue de sistemas de alto riesgo utilizados por o en nombre de autoridades públicas (o de entidades privadas que prestan servicios públicos, como bancos, aseguradoras y servicios de utilidad pública). Un banco regional que despliega un modelo de calificación crediticia de terceros es un responsable del despliegue.

Importador (Artículo 23): introduce un sistema de IA de alto riesgo en el mercado de la UE en nombre de un proveedor de fuera de la UE. Debe verificar que la evaluación de la conformidad se ha completado, que existe documentación técnica, que el marcado CE está colocado y que el proveedor tiene un representante autorizado. Asume responsabilidad si no se puede localizar al proveedor.

Distribuidor (Artículo 24): suministra un sistema de alto riesgo que ya está en el mercado de la UE, sin modificarlo. Debe verificar que el marcado CE y la documentación estén presentes y que el sistema no se suministre a usuarios que se sepa que no cumplen.

Artículo 25 — Cambios de papel. Un responsable del despliegue, distribuidor o importador se convierte en proveedor — y hereda el conjunto completo de obligaciones del proveedor — si: a) pone su nombre o marca en un sistema de alto riesgo, b) modifica sustancialmente un sistema de alto riesgo, o c) modifica la finalidad prevista de un sistema que no es de alto riesgo convirtiéndolo en uno de alto riesgo.

En la práctica, la mayoría de las pymes son responsables del despliegue de herramientas de IA de terceros. Las obligaciones del responsable del despliegue son más ligeras que las del proveedor, pero son reales. Si utiliza un sistema de IA para tomar decisiones sobre sus empleados, clientes o beneficiarios de prestaciones, las obligaciones de los Artículos 26 y 27 recaen directamente sobre usted.

La EIDF en la práctica

La Evaluación de Impacto sobre los Derechos Fundamentales del Artículo 27 merece atención específica para los responsables del despliegue. No todos los responsables del despliegue deben realizar una — se aplica a los responsables del despliegue que utilizan sistemas de alto riesgo y que son, o actúan en nombre de, organismos públicos, o que son entidades privadas que prestan servicios de interés público (entidades de crédito, compañías de seguros, operadores de agua/energía/transporte, prestadores de asistencia sanitaria y similares). Si es una aseguradora regional que despliega un modelo de fijación de precios con IA de terceros, está dentro del ámbito.

La EIDF exige que el responsable del despliegue evalúe, antes del despliegue, el posible impacto del sistema sobre los derechos fundamentales: privacidad, no discriminación, dignidad, protección de datos y otros. No es una auditoría del sistema técnico — la evaluación de la conformidad del proveedor cubre eso — sino una evaluación del contexto específico de despliegue. Un modelo de calificación crediticia desplegado por un banco regional alemán para evaluar solicitudes de hipoteca activa una EIDF distinta de la del mismo modelo desplegado por un prestamista al consumo en un segmento demográfico de mayor riesgo. El contexto cambia el impacto sobre los derechos; la EIDF debe reflejarlo.

La evaluación debe notificarse a la autoridad de vigilancia del mercado competente si así se solicita, y el responsable del despliegue debe registrar los resultados del sistema de alto riesgo durante al menos seis meses y ponerlos a disposición de dicha autoridad cuando los solicite.

El calendario de cumplimiento (corregido por el Ómnibus Digital)

Las obligaciones de la Ley entraron en vigor por fases. Acierte con estas fechas — importan para la planificación:

FechaQué se aplicaba
1 de agosto de 2024El Reglamento entró en vigor.
2 de febrero de 2025Prácticas prohibidas (Artículo 5) y obligación de alfabetización en materia de IA (Artículo 4). La IA prohibida lo está desde esta fecha.
2 de agosto de 2025Obligaciones de los modelos GPAI (Capítulo V, Artículos 51 a 56), la Oficina de IA y la estructura de gobernanza, y las sanciones (Artículo 99).
2 de agosto de 2026Aplicación general de la Ley, incluidas las obligaciones de transparencia de riesgo limitado del Artículo 50 (chatbots, ultrafalsificaciones, reconocimiento de emociones, contenidos generados por IA).
2 de diciembre de 2027Sistemas autónomos de alto riesgo del Anexo III — herramientas de contratación, modelos de calificación crediticia, sistemas biométricos y las otras siete categorías del Anexo III.
2 de agosto de 2028IA de alto riesgo integrada como componente de seguridad en productos regulados (Anexo I — máquinas, productos sanitarios, vehículos, etc.).

Las dos últimas fechas reflejan el aplazamiento del Ómnibus Digital. La Ley original aplicaba todas las obligaciones de alto riesgo desde el 2 de agosto de 2026. Tras la propuesta de la Comisión de 19 de noviembre de 2025 y el acuerdo político entre el Parlamento y el Consejo de 7 de mayo de 2026, las fechas de aplicación de alto riesgo se separaron y se aplazaron: al 2 de diciembre de 2027 para los sistemas autónomos del Anexo III, y al 2 de agosto de 2028 para los sistemas integrados en productos del Anexo I. La adopción formal se esperaba antes de agosto de 2026.

El aplazamiento es real, pero la ventana no es tan amplia como parece. Solo la documentación técnica del Artículo 11 tarda meses en montarse correctamente. Los sistemas de gestión de riesgos deben construirse y validarse antes de la evaluación, no la víspera del plazo. Las empresas que esperen hasta mediados de 2027 para empezar no tendrán tiempo suficiente.

Qué significa para usted la «aplicación general» de agosto de 2026

La fecha del 2 de agosto de 2026 — aplicación general — se interpreta a veces erróneamente como el principal plazo de cumplimiento. No lo es. Lo que activa es:

  • Las obligaciones de transparencia del Artículo 50 para los sistemas de riesgo limitado (divulgación de chatbots, etiquetado de ultrafalsificaciones, marcado de contenidos generados por IA).
  • La Oficina de IA y la estructura de gobernanza pasan a ser plenamente operativas.
  • Las autoridades de vigilancia del mercado empiezan a ejercer plenamente sus facultades de inspección y ejecución en todas las partes de la Ley que se aplican desde 2025.

Si despliega un chatbot o cualquier IA que genere contenidos sintéticos, el 2 de agosto de 2026 es su plazo para las obligaciones de divulgación. Para todo lo demás que ya esté en vigor (Artículo 5, alfabetización del Artículo 4, sanciones del Artículo 99), agosto de 2026 añade la infraestructura para la ejecución — lo que significa que el riesgo de operar un sistema prohibido o no conforme aumenta, no que aparezca de repente una nueva obligación.

La lectura práctica: si su sistema está prohibido, ya está incumpliendo y lo está desde febrero de 2025. Si su sistema es de alto riesgo, tiene hasta diciembre de 2027 — pero cada mes que pase sin construir la documentación es un mes de acumulación de riesgo, no un mes de incumplimiento permitido.

Sanciones (Artículo 99)

Las multas son la mayor de un techo fijo o un porcentaje del volumen de negocios anual mundial total del ejercicio financiero precedente:

  • 35 000 000 EUR o el 7 % — infracción de las prohibiciones del Artículo 5 (desplegar un sistema de IA prohibido).
  • 15 000 000 EUR o el 3 % — la mayoría de las demás infracciones, incluido el incumplimiento de los requisitos de alto riesgo y de las obligaciones de proveedor y de responsable del despliegue con arreglo a los Artículos 16, 26, 50 y similares.
  • 7 500 000 EUR o el 1 % — facilitar información incorrecta, incompleta o engañosa a un organismo notificado o a una autoridad competente.

Protección de las pymes (Artículo 99, apartado 6): para las pymes y las empresas emergentes, las multas se limitan al menor de la cifra porcentual y el techo fijo. La multa de una pequeña empresa no puede exceder de lo que arrojaría el porcentaje, aunque ello quede por debajo del máximo fijo. Esto es relevante: una empresa emergente con 2 millones de euros de volumen de negocios anual que afronta una multa del 3 % paga 60 000 euros, no 15 millones. La protección de proporcionalidad es real, aunque no reduce la propia obligación de cumplimiento.

Las multas específicas de GPAI se tratan por separado con arreglo al Artículo 101 — hasta 15 millones de euros o el 3 % del volumen de negocios mundial, impuestas por la Comisión en lugar de por las autoridades nacionales.

Nota: las cifras de 30 millones de euros/6 % y 20 millones de euros/4 % que aparecían en los primeros resúmenes de la Ley no reflejan el texto definitivo. Las cifras correctas son las anteriores.

Qué hacer ahora: un punto de partida en cinco pasos

Si aún no ha cotejado su exposición a la IA frente a la Ley, aquí tiene por dónde empezar.

Paso 1 — Haga inventario. Enumere cada sistema de IA que su organización construye o despliega, incluidas las funciones de IA integradas en las herramientas SaaS a las que está suscrito. Incluya tanto los sistemas de uso interno (RR. HH., finanzas, operaciones) como los productos de cara al cliente. No puede clasificar lo que no ha enumerado.

Paso 2 — Clasifique cada sistema. Para cada elemento del inventario, determine si entra en el Artículo 5 (prohibido), el Anexo III (alto riesgo), el Artículo 50 (transparencia de riesgo limitado) o el riesgo mínimo. Recorra cuidadosamente la lógica del Artículo 6: compruebe si se aplica una categoría del Anexo III y, a continuación, compruebe si el filtro del Artículo 6, apartado 3, lo exime. Documente su razonamiento — esta evaluación es en sí misma un registro auditable.

Paso 3 — Asigne papeles. Para cada sistema de alto riesgo, determine si es proveedor, responsable del despliegue, importador o distribuidor. Si ha modificado un sistema de terceros o lo ha reetiquetado, puede ser proveedor con arreglo al Artículo 25. El papel determina qué conjunto de artículos se le aplica.

Paso 4 — Evalúe las carencias frente al conjunto de obligaciones. Para cada sistema de alto riesgo en el que sea proveedor, recorra los Artículos 9 a 17, 43 y 47 a 49 e identifique lo que tiene frente a lo que necesita. Para los sistemas en los que es responsable del despliegue, recorra los Artículos 26 a 27. La lista de carencias se convierte en su plan de proyecto de cumplimiento.

Paso 5 — Construya la documentación. La documentación técnica (Anexo IV), los registros del sistema de gestión de riesgos, la documentación de gobernanza de datos y la declaración de conformidad no pueden añadirse a posteriori con rapidez. Empiece por los sistemas que estén más avanzados hacia el despliegue o que manejen las decisiones más sensibles. Trate el plazo del 2 de diciembre de 2027 como la fecha límite aceptable de finalización, no como la fecha de inicio.

Cómo ayuda Confir

Confir es software de cumplimiento de la Ley de IA de la UE diseñado para los equipos de cumplimiento, jurídicos y de TI de las pymes. Recorre cada paso anterior a través de un flujo de trabajo estructurado: inventario y registro de IA, clasificación de los Artículos 5/6 mediante la lógica del Anexo III, derivación del papel y una evaluación estructurada de la gestión de riesgos, la gobernanza de datos, la transparencia y la supervisión. El motor es determinista y basado en reglas — las mismas entradas producen el mismo resultado cada vez, con la regla concreta que se ha activado mostrada en lenguaje sencillo. Esto importa para la auditoría: un resultado explicable es defendible; uno de caja negra no lo es.

Al final de la evaluación, Confir genera el paquete de documentación técnica del Artículo 11/Anexo IV, la declaración UE de conformidad del Artículo 47 y (para los responsables del despliegue pertinentes) la Evaluación de Impacto sobre los Derechos Fundamentales del Artículo 27.

Preguntas frecuentes

¿Qué es la Ley de IA de la UE en una frase? Es el Reglamento (UE) 2024/1689 — el marco de la UE jurídicamente vinculante y basado en el riesgo para los sistemas de IA, que prohíbe las aplicaciones más perjudiciales, vincula un conjunto completo de obligaciones de cumplimiento a los sistemas de alto riesgo en ocho ámbitos definidos y exige divulgaciones de transparencia para la IA de riesgo limitado, como los chatbots y las ultrafalsificaciones.

¿Se nos aplica la Ley de IA de la UE si no tenemos sede en la UE? Sí, si su sistema se introduce en el mercado de la UE o si su información de salida se utiliza en la UE (Artículo 2). La ubicación del proveedor es irrelevante. Una empresa de Singapur que vende una herramienta de selección de personal con IA a empresas neerlandesas debe cumplir las mismas obligaciones que un proveedor neerlandés. Los proveedores de fuera de la UE deben designar un representante autorizado en la UE con arreglo al Artículo 22.

¿Cuándo se aplica realmente el plazo de alto riesgo? Para los sistemas autónomos del Anexo III (contratación, calificación crediticia, biometría, etc.), la fecha es el 2 de diciembre de 2027 — aplazada respecto de la fecha original de agosto de 2026 en virtud del acuerdo político del Ómnibus Digital de mayo de 2026. Para la IA de alto riesgo integrada como componente de seguridad en productos regulados (máquinas, productos sanitarios, vehículos), es el 2 de agosto de 2028. Las prohibiciones (Artículo 5) se aplican desde el 2 de febrero de 2025.

¿Cuál es la diferencia entre un proveedor y un responsable del despliegue con arreglo a la Ley? Un proveedor desarrolla o comercializa el sistema de IA; un responsable del despliegue lo utiliza en un contexto profesional. Los proveedores soportan la carga más pesada — evaluación de la conformidad, documentación técnica, SGC, marcado CE, registro. Los responsables del despliegue deben seguir las instrucciones, mantener registros, garantizar la supervisión humana (Artículo 14) y, en algunos casos, realizar una Evaluación de Impacto sobre los Derechos Fundamentales (Artículo 27). Con arreglo al Artículo 25, un responsable del despliegue que modifica sustancialmente un sistema o cambia su finalidad prevista se convierte en proveedor.

¿Es nuestro chatbot de alto riesgo? Casi con seguridad, no. Un chatbot estándar de atención al cliente o de ventas entra en el Artículo 50 (riesgo limitado) y solo exige divulgación: debe informarse a los usuarios de que hablan con un sistema de IA. Un chatbot solo pasa a ser de alto riesgo si desempeña una función del Anexo III — por ejemplo, si toma o alimenta decisiones de solvencia, cribado de selección de personal o determinaciones de admisibilidad a prestaciones. Clasifique por lo que el sistema hace, no por su apariencia.

¿Cuáles son las multas por incumplimiento? Infringir el Artículo 5 (desplegar un sistema de IA prohibido) acarrea hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial, la cifra que sea mayor. La mayoría de las demás infracciones — no cumplir los requisitos de alto riesgo, las obligaciones de proveedor/responsable del despliegue — acarrean hasta 15 millones de euros o el 3 %. Facilitar información falsa a las autoridades acarrea hasta 7,5 millones de euros o el 1 %. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita las multas al menor del porcentaje o el techo fijo. No existe un nivel de 30 millones de euros/6 % — esa cifra no figura en el texto definitivo de la Ley.

¿Necesitamos un organismo notificado para la evaluación de la conformidad? Para la mayoría de los sistemas del Anexo III, se permite la autoevaluación. La evaluación por terceros a cargo de un organismo notificado designado es obligatoria para los sistemas de IA destinados a la identificación biométrica remota. La evaluación de la conformidad debe documentarse, y el sistema debe registrarse después en la base de datos de la UE (Artículo 49) antes de salir al mercado.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

La IA agéntica y la Ley de IA de la UE: clasificación, supervisión y cumplimiento

La IA agéntica no es una categoría de riesgo en la Ley de la UE. La clasificación sigue el caso de uso y el Anexo III. Cubre la supervisión del art. 14, los papeles de GPAI y los plazos de 2027.

Guide

¿Qué ocurre si ignora la Ley de IA de la UE?

Las multas son el último paso, no el primero. Los riesgos reales: la retirada del mercado, los acuerdos perdidos y un esprint de documentación apresurado en 2027. Aquí está el panorama completo.

Guide

Un cliente ha preguntado por la Ley de IA de la UE: cómo responder

Un cliente potencial B2B ha preguntado si cumples la Ley de IA de la UE. Aprende a descifrar qué te están preguntando, a determinar tu rol y a responder con honestidad por nivel de riesgo.