Por dónde empezar con la Ley de IA de la UE: una guía de primeros pasos

El Reglamento (UE) 2024/1689 abarca aproximadamente 113 artículos y una arquitectura que recompensa el trabajo secuencial. Sus obligaciones dependen de lo que hace cada sistema de IA y de su papel en relación con él. Hasta que no haya catalogado y clasificado esos sistemas, no puede saber qué obligaciones se aplican, en qué orden y a quién.

Los pasos que siguen llevan a una empresa desde el punto de partida hasta una posición de cumplimiento creíble en primer borrador en aproximadamente dos semanas. No requieren un abogado al inicio: solo coordinación interna y la voluntad de dejar las cosas por escrito.

Para una visión rápida, la página resumen de la Ley de IA de la UE cubre el panorama en cinco minutos. Esta guía es la versión más lenta y operativa: cómo es una primera sesión de trabajo, a quién hay que implicar y qué significa «hecho» en cada paso.

Antes de empezar: lo único que hay que entender

Sus obligaciones dependen de lo que hace cada sistema y de su papel en relación con él, no del proveedor ni del modelo subyacente. Una empresa que utiliza una herramienta de selección de personal para cribar candidatos es un responsable del despliegue en virtud del artículo 26; una empresa que construye un producto de calificación crediticia y lo vende a bancos es un proveedor en virtud del artículo 16. Las obligaciones son materialmente distintas.

El ámbito de aplicación de la Ley es amplio: para la mayoría de las organizaciones la cuestión no es si se aplica, sino qué obligaciones activa. La respuesta empieza por catalogar y clasificar sus sistemas de IA. Todo lo demás se deriva de ahí.

Paso 1 — Construya su inventario de IA (primera semana)

El inventario de IA es el resultado más importante de la primera fase. No se puede clasificar ni cumplir con lo que no se ha catalogado. Este paso lleva más tiempo del que la mayoría de los responsables de cumplimiento esperan, por un motivo concreto: una proporción significativa de la IA de cualquier organización no se adquirió formalmente.

A quién implicar. Implique como mínimo a producto, ingeniería, compras y RR. HH. Añada a quien gestione los contratos con proveedores y a quien gestione las suscripciones SaaS, incluidas las herramientas compradas con la tarjeta de crédito de un departamento. El objetivo es sacar a la luz todo: no solo los modelos que construyó su equipo de datos, sino también las funciones de IA activadas por defecto dentro de herramientas existentes (funciones de copiloto en las suites de productividad, enrutamiento inteligente en una herramienta de soporte) y cualquier SaaS adoptado sin un proceso formal de compras.

Cómo sacar a la luz la IA en la sombra. La IA en la sombra —herramientas utilizadas sin visibilidad de TI o jurídica— es la mayor fuente de lagunas en el inventario. Pida a cada responsable de departamento que enumere toda herramienta que tome o sugiera decisiones, genere resultados utilizados en la cadena posterior o trate datos personales de forma automatizada. Pida a compras los contratos SaaS de los últimos tres años que afecten a RR. HH., finanzas u operaciones con clientes. Pregunte a ingeniería si se llama a alguna API de modelos de terceros en el código de producción.

Qué registrar para cada sistema. Para cada sistema que saque a la luz, capture: nombre y proveedor; la finalidad prevista del sistema y el contexto en el que opera; qué datos trata; si toma o respalda una decisión de consecuencias relevantes sobre una persona física; el papel de su empresa (¿lo construyó, lo compró o lo integró en algo que vende?); y la población afectada.

El resultado es un registro vivo que actualiza a medida que cambian las herramientas. Una plantilla de inventario de IA proporciona una estructura ya hecha. Para más detalles sobre cómo ejecutar este proceso de principio a fin, consulte la guía del inventario de IA.

Paso 2 — Criba los usos prohibidos (artículo 5)

Una vez que exista el inventario, realice una primera pasada frente a las ocho prohibiciones del artículo 5. Estas son ilegales desde el 2 de febrero de 2025: cualquier coincidencia es un problema vivo, no uno de 2027.

Las prohibiciones abarcan: la identificación biométrica remota en tiempo real en espacios de acceso público para la garantía del cumplimiento del Derecho (se aplican excepciones estrechas); la identificación biométrica retrospectiva en el mismo contexto; la manipulación subliminal y la explotación de vulnerabilidades; la puntuación social por las autoridades públicas; la predicción del riesgo de delinquir basada únicamente en la elaboración de perfiles; la extracción no selectiva de imágenes faciales para bases de datos de reconocimiento; y el reconocimiento de emociones en lugares de trabajo o entornos educativos.

La mayoría de las empresas superarán esta criba rápidamente. Preste especial atención si utiliza reconocimiento de emociones en herramientas de RR. HH. o si algún sistema toca datos biométricos o funciones de seguridad pública. Las infracciones del artículo 5 conllevan multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial total. La guía del artículo 5 cubre cada prohibición.

Paso 3 — Clasifique cada sistema (artículo 6 + Anexo III)

La clasificación de alto riesgo se rige por el artículo 6 leído junto con el Anexo III. El Anexo III enumera ocho ámbitos: biometría; infraestructuras críticas; educación y formación profesional; empleo, gestión de los trabajadores y acceso al autoempleo; acceso a servicios privados y públicos esenciales (incluida la calificación crediticia —excluyendo la detección de fraude— y la evaluación de riesgos de los seguros de vida/salud); garantía del cumplimiento del Derecho; migración, asilo y control fronterizo; y administración de justicia y procesos democráticos. El alcance completo de cada ámbito se detalla en la referencia del Anexo III.

Para cada sistema que toque uno de estos ámbitos, aplique el filtro del artículo 6, apartado 3, antes de concluir que es de alto riesgo. Un sistema no es de alto riesgo si desempeña una tarea procedimental limitada, mejora el resultado de una actividad humana previamente realizada, detecta patrones de decisión sin sustituir ni influir en la evaluación humana, o realiza únicamente un trabajo preparatorio, siempre que no plantee un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. El filtro requiere solo una de esas condiciones, no las cuatro. Una excepción tajante: todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia del filtro.

Documente su razonamiento, incluido el análisis del artículo 6, apartado 3, cuando lo aplique. Ese razonamiento forma parte del registro de cumplimiento. La guía del artículo 6 y la herramienta de clasificación de riesgos recorren el análisis paso a paso.

Paso 4 — Confirme su papel para cada sistema

Para cada sistema de su inventario, confirme su papel legal. La Ley asigna obligaciones por papel: equivocarse significa que o bien invierte de más, o bien pasa por alto lo que importa.

Un proveedor (artículo 16) desarrolla un sistema y lo introduce en el mercado con su propio nombre: la pila de obligaciones más pesada (gestión de riesgos del artículo 9, documentación técnica del artículo 11, evaluación de la conformidad del artículo 43, registro del artículo 49).

Un responsable del despliegue (artículo 26) utiliza el sistema de otra persona en su actividad profesional. Los responsables del despliegue deben seguir las instrucciones del proveedor, mantener la supervisión humana, conservar los registros durante al menos seis meses y —para los organismos públicos y los responsables del despliegue de sistemas de evaluación de la solvencia o de seguros de vida/salud— realizar una evaluación de impacto relativa a los derechos fundamentales (artículo 27).

Los importadores (artículo 23) y los distribuidores (artículo 24) soportan deberes de verificación de la cadena de suministro. El artículo 25 desplaza cualquiera de estos papeles a obligaciones de proveedor si pone su propio nombre en un sistema de alto riesgo, lo modifica sustancialmente (artículo 3, apartado 23) o cambia su finalidad prevista.

Trabaje esta pregunta explícitamente para cada sistema. La guía de proveedor frente a responsable del despliegue cubre en detalle el límite y los desencadenantes del artículo 25.

Paso 5 — Cumpla las obligaciones que ya están en vigor

Dos obligaciones se aplican a todos los sistemas de IA con independencia del nivel de riesgo, y están vivas desde el 2 de febrero de 2025.

El artículo 4 (alfabetización en IA) exige a los proveedores y responsables del despliegue garantizar que el personal que trabaja con IA tenga conocimientos suficientes para utilizarla con competencia. No se exige una certificación formal, pero es un deber documentado. Evalúe si su organización ha proporcionado formación pertinente a los empleados que utilizan IA en sus funciones. Si no, es una tarea de la primera semana, no de 2027. La guía del artículo 4 cubre qué aspecto tiene «suficiente» en la práctica.

Las obligaciones de transparencia de riesgo limitado del artículo 50 se aplican desde el 2 de agosto de 2026: esta fecha no se aplazó. Los chatbots de cara al cliente, las funciones de medios sintéticos y el reconocimiento de emociones en contextos no prohibidos activan los deberes de información del artículo 50. Identificar el ámbito ahora significa construir los mecanismos antes del plazo, en lugar de correr para llegar a él.

Paso 6 — Planifique el trabajo de alto riesgo frente al plazo

Si el paso 3 identificó sistemas de alto riesgo, el trabajo de documentación empieza ahora. En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027; para la IA de alto riesgo integrada en productos regulados del Anexo I es el 2 de agosto de 2028.

Son fechas hacia las que trabajar, no que esperar. El sistema de gestión de riesgos del artículo 9, la documentación técnica del artículo 11 / Anexo IV, el diseño de la supervisión humana del artículo 14 y —para los sistemas biométricos— una evaluación de la conformidad por organismo notificado en virtud del artículo 43, todos llevan meses de ensamblaje. Una empresa que empieza a mediados de 2026 tiene tiempo de hacerlo correctamente. El techo de incumplimiento para los fallos de alto riesgo es de 15 millones de euros o el 3 % del volumen de negocios mundial. Construya un calendario hacia atrás desde el 2 de diciembre de 2027 e identifique quién es responsable internamente de cada obligación. La hoja de ruta de implementación proporciona ese marco.

Cómo es un buen resultado tras dos semanas

Al final de dos semanas debería tener: un inventario de IA completo revisado por producto, ingeniería y compras; una criba documentada del artículo 5; una clasificación de primera pasada de cada sistema inventariado con el razonamiento del artículo 6 por escrito; un papel confirmado para cada sistema con los cambios del artículo 25 anotados; pruebas de que se ha abordado la alfabetización en IA del artículo 4; y una lista priorizada de qué sistemas conllevan qué obligaciones, con un plan inicial para el trabajo de alto riesgo.

Esto no es un programa de cumplimiento completo. Es la base que hace posible uno. Sin el inventario y la clasificación, el trabajo de documentación, las evaluaciones y la gobernanza no tienen punto de partida.

Cómo ayuda Confir

Confir es una herramienta de cumplimiento de la Ley de IA de la UE basada en reglas y determinista. La lógica de clasificación codifica las reglas explícitas de la Ley —no un modelo de IA probabilístico—, de modo que las mismas entradas producen el mismo resultado cada vez, y la regla que se activó es legible por personas y defendible en una auditoría.

En la práctica, Confir recorre las entradas de su inventario a través de la clasificación del artículo 5 y del artículo 6 / Anexo III en un flujo de trabajo guiado y en lenguaje sencillo, deriva su papel mediante la lógica de escenarios del artículo 25 y señala qué sistemas activan qué obligaciones. Para los sistemas de alto riesgo, conduce la evaluación estructurada y genera el paquete de documentación del artículo 11 / Anexo IV y la declaración de conformidad del artículo 47 / Anexo V.

confir.eu.

Preguntas frecuentes

¿Tengo que cumplir la Ley de IA de la UE si solo utilizo herramientas de IA de terceros?

Sí. La Ley se aplica tanto a los responsables del despliegue como a los proveedores. Utilizar una herramienta de selección de personal, un servicio de evaluación crediticia o un chatbot de cara al cliente en una actividad profesional le convierte en responsable del despliegue en virtud del artículo 26, con obligaciones reales: seguir las instrucciones del proveedor, mantener la supervisión humana, supervisar los riesgos, conservar los registros durante al menos seis meses y —para determinados tipos de sistema— realizar una evaluación de impacto relativa a los derechos fundamentales en virtud del artículo 27.

¿Qué obligaciones de la Ley de IA de la UE están ya en vigor?

Las prohibiciones del artículo 5 y la alfabetización en IA del artículo 4 se aplican desde el 2 de febrero de 2025. Las obligaciones de los modelos GPAI y las sanciones (artículo 99) se aplican desde el 2 de agosto de 2025. La aplicación general, incluida la transparencia de riesgo limitado del artículo 50, se aplica desde el 2 de agosto de 2026. Las obligaciones de alto riesgo del Anexo III se aplican desde el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026.

¿Cuál es la diferencia entre un proveedor y un responsable del despliegue?

Un proveedor (artículo 16) construye un sistema y lo introduce en el mercado con su propio nombre: la pila de obligaciones más pesada. Un responsable del despliegue (artículo 26) utiliza el sistema de otra persona; existen obligaciones, pero son más ligeras. La mayoría de las empresas que utilizan herramientas SaaS de IA llave en mano son responsables del despliegue. El artículo 25 le desplaza al territorio del proveedor si cambia la marca, modifica sustancialmente o cambia la finalidad prevista de un sistema de alto riesgo.

Nuestra empresa es pequeña: ¿realmente se nos aplican las multas?

Sí, pero el artículo 99, apartado 6, limita las multas para las pequeñas empresas y las empresas emergentes al menor del techo de suma fija o el porcentaje del volumen de negocios. Una empresa con 2 millones de euros de ingresos anuales que se enfrente a una infracción del artículo 5 estaría limitada al 7 % de 2 millones de euros (140 000 euros), no a 35 millones de euros. Es proporcionado, pero sigue siendo significativo. El punto más útil: la mayor parte del trabajo de cumplimiento en fase inicial es de bajo coste si se hace metódicamente. El coste del incumplimiento escala con los ingresos; el coste del proceso de inventario y clasificación no.

¿Qué cuenta como una «modificación sustancial» que me desplaza a obligaciones de proveedor?

La modificación sustancial se define en el artículo 3, apartado 23. En la práctica significa un cambio que afecta materialmente al rendimiento, la finalidad prevista o la población que trata un sistema, más allá del mantenimiento rutinario, las actualizaciones de parámetros o la configuración dentro de la documentación de uso previsto del proveedor original. Ajustar (fine-tune) un modelo de un tercero con sus propios datos, construir una capa de aplicación que cambie lo que el sistema decide, o reimplantarlo en un contexto no previsto, todo ello apunta al artículo 25. Documente el análisis.

¿Necesito realizar una evaluación de impacto relativa a los derechos fundamentales?

No automáticamente. La EIDF del artículo 27 es obligatoria para los responsables del despliegue de organismos públicos, y para los responsables del despliegue de sistemas de evaluación de la solvencia/calificación crediticia (Anexo III, punto 5, letra b)) y de sistemas de evaluación de riesgos de seguros de vida/salud (Anexo III, punto 5, letra c)). Los empleadores del sector privado que utilizan herramientas de RR. HH. de alto riesgo generalmente no están obligados a realizar una, aunque el artículo 27, apartado 4, permite que la EIDF se apoye en una EIPD del RGPD existente (artículo 35 del RGPD) cuando ya exista una.

¿Puedo hacer esto sin contratar a un consultor?

Para las primeras dos semanas —inventario, criba del artículo 5, clasificación del artículo 6, confirmación del papel—, sí. Estos pasos requieren coordinación interna, no asesoramiento jurídico especializado. El apoyo jurídico justifica su coste cuando necesita defender una reclamación de exención del artículo 6, apartado 3, preparar documentación técnica para sistemas complejos o finalizar la declaración de conformidad. Inicie el proceso; incorpore ayuda especializada cuando las preguntas se vuelvan genuinamente ambiguas.

Guías relacionadas

• Resumen de la Ley de IA de la UE: cinco cosas que hacer ahora
• Cómo construir un inventario de IA para el cumplimiento de la Ley de IA de la UE
• Plantilla de inventario de IA
• Ley de IA de la UE, artículo 5: prácticas prohibidas
• Ley de IA de la UE, artículo 6 y Anexo III: clasificación de alto riesgo
• Proveedor frente a responsable del despliegue: comprender su papel
• Ley de IA de la UE, artículo 4: obligaciones de alfabetización en IA
• Hoja de ruta de implementación del cumplimiento de la Ley de IA de la UE