Skip to content
Confir.
Prueba gratuita
Blog

Base de datos de IA de la UE: qué es, quién se registra y qué se enumera

Guide23 March 2026· 15 min de lectura

Base de datos de IA de la UE establecida en virtud del Artículo 71. El Artículo 49 es el deber de registro. Datos del Anexo VIII, secciones pública y restringida, plazo del 2 de diciembre de 2027.

La base de datos de IA de la UE es el registro central de los sistemas de IA de alto riesgo que entran dentro del Anexo III del Reglamento (UE) 2024/1689. Se establece en virtud del Artículo 71 de la Ley de IA de la UE. La obligación de registrar realmente su sistema es una disposición independiente — el Artículo 49 — y la distinción importa: el Artículo 71 crea la infraestructura; el Artículo 49 crea el deber jurídico. Este artículo cubre ambos, mientras que el artículo complementario Artículo 49 de la Ley de IA de la UE: la obligación de registro se centra en el procedimiento de registro en detalle.

La base de datos está gestionada por la Comisión Europea y es públicamente consultable para la mayoría de las entradas. Se puso en funcionamiento antes del plazo de cumplimiento de alto riesgo. En virtud del Ómnibus Digital acordado en mayo de 2026, ese plazo para los sistemas autónomos del Anexo III es ahora el 2 de diciembre de 2027 (retrasado respecto de la fecha original de agosto de 2026). Ese es el plazo de registro operativo para la mayoría de las empresas que leen esto.

Qué es la base de datos de la UE

El Artículo 71 establece un registro único a escala de la UE de los sistemas de IA de alto riesgo. La Comisión lo configura y lo mantiene; las autoridades nacionales competentes y los organismos de vigilancia del mercado pueden acceder a él; y una sección de cara al público es consultable por cualquiera.

La base de datos no es un registro de certificación. Estar inscrito no significa que su sistema esté aprobado o sea conforme. Significa que ha notificado a la Comisión su existencia, su clasificación y los hechos clave sobre él. Piense en ella como una declaración, no como una licencia.

Quién se registra

Tres grupos tienen obligaciones de registro en virtud del Artículo 49:

1. Proveedores de sistemas de IA de alto riesgo del Anexo III. Si desarrolla e introduce en el mercado de la UE — o pone en servicio — un sistema de IA que entra dentro de uno de los ocho ámbitos del Anexo III, lo registra antes de la entrada en el mercado. Esto se aplica tanto si está establecido en la UE como en un tercer país. Un proveedor de un tercer país que no tenga un establecimiento en la UE debe designar un representante autorizado (Artículo 22), y ese representante registra el sistema en nombre del proveedor.

2. Proveedores que concluyen que su sistema del Anexo III NO es de alto riesgo en virtud del Artículo 6, apartado 3. El filtro del Artículo 6, apartado 3, permite a un proveedor determinar que un sistema que nominalmente entra dentro de una categoría del Anexo III no plantea, de hecho, un riesgo significativo de perjuicio — porque desempeña únicamente una tarea procedimental limitada, mejora una actividad humana previamente realizada, detecta patrones sin sustituir la evaluación humana o realiza un trabajo preparatorio. Pero el proveedor debe documentar esa determinación y, de forma crítica, registrarla también en la base de datos de la UE. El sistema se registra como un sistema del Anexo III no de alto riesgo, no simplemente se omite. (El único límite infranqueable: todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo y no puede acogerse a la exención del Artículo 6, apartado 3).

3. Determinados responsables del despliegue que son autoridades públicas u organismos de la UE. El Artículo 49, apartado 3, extiende una obligación de registro a los responsables del despliegue que son autoridades públicas — incluidas las instituciones, los órganos y los organismos de la UE — cuando ponen en servicio un sistema de alto riesgo del Anexo III. Una autoridad pública que despliega un sistema de IA de alto riesgo para determinaciones de admisibilidad a prestaciones, por ejemplo, registra su uso por separado del registro del proveedor.

Los responsables del despliegue del sector privado (empresas que utilizan un sistema de alto riesgo suministrado por un proveedor tercero) no se registran como responsables del despliegue. El registro del proveedor cubre el sistema.

Qué sistemas están cubiertos — y cuáles no

La base de datos de la UE cubre únicamente los sistemas del Anexo III. Estos son los ocho ámbitos de casos de uso declarados de alto riesgo por el legislador:

  1. Biometría — identificación biométrica remota, categorización biométrica, reconocimiento de emociones (cuando esté permitido)
  2. Infraestructuras críticas — componentes de seguridad en la infraestructura digital, el tráfico rodado, los servicios públicos
  3. Educación y formación profesional — decisiones de acceso, evaluación del rendimiento, supervisión del fraude en exámenes
  4. Empleo y gestión de los trabajadores — contratación, cribado, promoción, despido, asignación de tareas, supervisión
  5. Acceso a servicios esenciales privados y públicos — solvencia y calificación crediticia (excluida la detección de fraude), riesgo y fijación de precios de los seguros de salud y de vida, envío de servicios de emergencia, admisibilidad a prestaciones públicas
  6. Garantía del cumplimiento del Derecho — riesgo de delinquir o reincidir, polígrafos, evaluación de la fiabilidad de las pruebas, elaboración de perfiles
  7. Migración, asilo y control fronterizo — evaluación de riesgos, examen de solicitudes, verificación de documentos
  8. Administración de justicia y procesos democráticos — asistencia a las autoridades judiciales, influencia en elecciones o referendos

Los sistemas del Anexo I — IA de alto riesgo integrada como componente de seguridad en productos regulados (productos sanitarios en virtud del MDR, máquinas en virtud del Reglamento sobre máquinas, etc.) — no se registran en la base de datos de la UE. Su conformidad se canaliza a través de vías específicas del producto, y tienen un plazo independiente: el 2 de agosto de 2028.

Sección pública frente a sección restringida

La base de datos no es uniformemente abierta. El Artículo 71 traza una línea clara.

La sección pública cubre la gran mayoría de las categorías del Anexo III. Cualquiera puede buscar por nombre del sistema, proveedor, finalidad prevista y clasificación del Anexo III. Esta es la función de transparencia: la sociedad civil, los investigadores, las personas afectadas y los competidores pueden consultar qué sistemas hay en el mercado.

La sección restringida cubre tres ámbitos del Anexo III en los que la divulgación pública comprometería la seguridad operativa o crearía riesgos específicos:

  • El Anexo III, punto 1, cuando lo apliquen las autoridades de garantía del cumplimiento del Derecho — sistemas biométricos utilizados en contextos de garantía del cumplimiento del Derecho
  • El Anexo III, punto 6 — sistemas de IA de garantía del cumplimiento del Derecho (evaluaciones de riesgo de delinquir/reincidir, elaboración de perfiles, polígrafos)
  • El Anexo III, punto 7 — sistemas de IA de migración, asilo y control fronterizo

Para estos, la información registrada es accesible para las autoridades nacionales competentes, los organismos de vigilancia del mercado y la Comisión, pero no para el público en general. La Comisión publica únicamente estadísticas agregadas para las entradas restringidas.

Qué datos van a la base de datos (Anexo VIII)

El contenido de una entrada de registro se especifica en el Anexo VIII del Reglamento. Abarca dos grupos de información: lo que el proveedor presenta para el propio sistema y lo que un responsable del despliegue (autoridad pública) presenta para su uso de un sistema de alto riesgo.

Para los proveedores, los datos del Anexo VIII incluyen:

  • Nombre, dirección y datos de contacto del proveedor (y del representante autorizado, si procede)
  • Nombre del sistema, versión y finalidad prevista
  • La categoría del Anexo III con arreglo a la cual se clasifica
  • Si el proveedor ha utilizado la determinación de no alto riesgo del Artículo 6, apartado 3 (y la base de esa conclusión)
  • La declaración UE de conformidad en virtud del Artículo 47 — o, para los sistemas que entran como no de alto riesgo por el Artículo 6, apartado 3, la documentación de la determinación
  • Una descripción general del sistema, incluidas sus capacidades y limitaciones
  • Estado del sistema (en el mercado, retirado, recuperado)
  • Países en los que el sistema está disponible

Para los responsables del despliegue que son autoridades públicas, el Anexo VIII exige:

  • Nombre, dirección y datos de contacto del responsable del despliegue
  • Qué sistema se está utilizando y la referencia de registro del proveedor
  • Una descripción del caso de uso — el contexto y la finalidad específicos para los que se despliega el sistema
  • Si se ha realizado una evaluación de impacto relativa a los derechos fundamentales (Artículo 27)

Estos datos se presentan a través del portal en línea de la Comisión. Las entradas deben mantenerse actualizadas — un cambio en la finalidad prevista, una retirada del mercado o una modificación que afecte a la clasificación de alto riesgo activa una obligación de actualización.

Cómo registrarse

La Comisión opera un portal de registro dedicado, enlazado desde el servicio de asistencia de la Ley de IA de la UE (digital-strategy.ec.europa.eu). El proceso sigue estos pasos:

Paso 1 — Confirmar la clasificación. Antes de registrarse, determine si su sistema es genuinamente del Anexo III y si se aplica el filtro de no alto riesgo del Artículo 6, apartado 3. Si está utilizando el filtro, documéntelo. Si no, confirme que los datos del Anexo VIII están listos.

Paso 2 — Preparar el paquete de datos del Anexo VIII. No es un formulario corto. Necesitará la documentación técnica (Artículo 11 / Anexo IV), la declaración UE de conformidad (Artículo 47 / Anexo V) y una descripción clara de la finalidad prevista y los grupos afectados.

Paso 3 — Crear o acceder a su cuenta organizativa en el portal. Un representante legal del proveedor (o el representante autorizado, para los proveedores de terceros países) crea la cuenta y es responsable de la exactitud de la presentación.

Paso 4 — Presentar el registro. Complete el formulario estructurado con todos los campos del Anexo VIII. Para los sistemas de la sección restringida (garantía del cumplimiento del Derecho, migración, biometría en uso de garantía del cumplimiento del Derecho), el portal encamina la presentación adecuadamente.

Paso 5 — Mantener la entrada actualizada. El Artículo 49, apartado 1, exige a los proveedores actualizar el registro siempre que cambie la información pertinente. Si retira el sistema, actualice en consecuencia. Si la finalidad prevista cambia de una manera que afecta a su clasificación del Anexo III, actualice de inmediato.

Mantener la entrada actualizada

El registro no es un acontecimiento único. La Ley impone obligaciones de exactitud continuas. Un proveedor que realiza una modificación sustancial de un sistema de alto riesgo — definida en el Artículo 3, apartado 23, como un cambio que afecta al cumplimiento por el sistema de los requisitos de alto riesgo o que altera su finalidad prevista — debe actualizar el registro antes de volver a publicar el sistema modificado.

Del mismo modo, si un sistema previamente registrado es determinado posteriormente por el proveedor como situado por debajo del umbral de alto riesgo (quizá tras una autoevaluación del Artículo 6, apartado 3, después de un cambio de alcance), el proveedor debe actualizar la entrada para reflejar esa determinación. Dejar una entrada desactualizada o inexacta en la base de datos infringe el Artículo 49 y puede atraer el nivel sancionador de la desinformación.

El plazo

Para los sistemas de IA de alto riesgo autónomos del Anexo III, el 2 de diciembre de 2027 es cuando se aplica la pila completa de obligaciones de alto riesgo — incluido el registro del Artículo 49. Esta es la fecha fijada en virtud del acuerdo político del Ómnibus Digital de mayo de 2026, que aplazó el plazo original del 2 de agosto de 2026.

Ese aplazamiento es real y autorizado. Pero el paquete de datos del Anexo VIII tarda meses en elaborarse correctamente: la documentación técnica, la declaración de conformidad del Artículo 47, los registros de gestión de riesgos que sustentan los Artículos 9 a 15. Las empresas que empiecen esto a finales de 2027 estarán presentando registros incompletos bajo presión. El registro es el resultado de un programa de cumplimiento, no el punto de partida.

Sanciones por no registrarse y por información inexacta

No registrar un sistema de alto riesgo, o registrarlo con información falsa o engañosa, es una infracción exigible. La estructura sancionadora en virtud del Artículo 99:

  • El incumplimiento de la obligación de registro (introducir en el mercado un sistema de alto riesgo no registrado) entra en el Artículo 99, apartado 4: hasta 15 000 000 € o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor.
  • Facilitar información incorrecta, incompleta o engañosa en un registro entra en el Artículo 99, apartado 5: hasta 7 500 000 € o el 1 % del volumen de negocios anual mundial total, si esta última cifra es mayor.

Para las empresas que cumplen los requisitos de pyme o de empresa emergente en virtud del Artículo 99, apartado 6, la multa se limita al menor del importe fijo o el porcentaje — una protección de proporcionalidad significativa.

Cómo ayuda Confir

Elaborar una entrada de registro del Anexo VIII es posterior a tener implantada la documentación de cumplimiento completa. El motor basado en reglas y determinista de Confir genera los datos que necesita: el paquete de documentación técnica del Anexo IV (Artículo 11), la declaración UE de conformidad del Artículo 47 / Anexo V y la evaluación de impacto relativa a los derechos fundamentales del Artículo 27 para los responsables del despliegue que la necesiten. La evaluación de no alto riesgo del Artículo 6, apartado 3, también se estructura y documenta dentro de Confir, de modo que los proveedores que utilizan el filtro disponen de un registro listo para auditoría que respalda su entrada de registro.

Dado que el motor aplica reglas explícitas — no inferencia probabilística —, la misma admisión produce siempre la misma conclusión. Esa reproducibilidad importa cuando se hace una declaración formal de registro a la Comisión.

Preguntas frecuentes

¿Cuál es la diferencia entre el Artículo 71 y el Artículo 49 de la Ley de IA de la UE?

El Artículo 71 establece la base de datos de la UE para los sistemas de IA de alto riesgo — crea el registro y define su estructura, las responsabilidades de la Comisión para gestionarlo y las normas de acceso público/restringido. El Artículo 49 crea la obligación jurídica de registrarse: quién debe hacerlo, cuándo y para qué sistemas. Sigue el Artículo 49 para cumplir; presenta datos en la infraestructura creada por el Artículo 71. Ambos artículos son reales y distintos; citar uno cuando se quiere decir el otro es un error material.

¿Quién presenta realmente el registro — el proveedor o el responsable del despliegue?

Los proveedores presentan para sus sistemas antes de introducirlos en el mercado. Los responsables del despliegue que son autoridades públicas presentan por separado para registrar su uso de un sistema de alto riesgo. Los responsables del despliegue del sector privado (empresas que utilizan el sistema de alto riesgo de un proveedor) no se registran de forma independiente — la entrada del proveedor cubre el sistema. Si un proveedor de un tercer país ha designado un representante autorizado en virtud del Artículo 22, el representante se encarga de la presentación.

Si concluyo que mi sistema del Anexo III no es de alto riesgo en virtud del Artículo 6, apartado 3, ¿debo registrarlo igualmente?

Sí. Los proveedores que aplican el filtro de no alto riesgo del Artículo 6, apartado 3, deben registrar esa determinación en la base de datos de la UE. La entrada registra el sistema, el ámbito del Anexo III en el que entra nominalmente y la base documentada para concluir que no plantea un riesgo significativo. Esto no es opcional — es el mecanismo por el cual el regulador puede auditar la autoevaluación.

¿Qué va en la sección restringida (no pública) de la base de datos?

Los sistemas utilizados en contextos de garantía del cumplimiento del Derecho (Anexo III, punto 6), de migración, asilo y control fronterizo (punto 7), y los sistemas biométricos utilizados por las autoridades de garantía del cumplimiento del Derecho (punto 1 en ese contexto) van a la sección restringida. Los datos son accesibles para las autoridades competentes y la Comisión, pero no son públicamente consultables. Se publican estadísticas agregadas. La gran mayoría de los registros del Anexo III — empleo, crédito, educación, prestaciones — están en la sección pública.

¿Cuándo es el plazo de registro?

Para los sistemas de IA de alto riesgo autónomos del Anexo III, el 2 de diciembre de 2027, en virtud del Ómnibus Digital acordado en mayo de 2026. Para los sistemas de IA que son componentes de seguridad de productos regulados (Anexo I), el plazo es el 2 de agosto de 2028 — y esos sistemas se registran a través de vías específicas del producto, no de la base de datos de la UE. La fecha original del 2 de agosto de 2026 se ha aplazado formalmente para los sistemas del Anexo III.

¿Qué ocurre si facilito información incorrecta en mi registro?

Facilitar información incorrecta, incompleta o engañosa a la base de datos de la UE activa el Artículo 99, apartado 5: hasta 7 500 000 € o el 1 % del volumen de negocios anual mundial total, si esta última cifra es mayor. La tergiversación deliberada también podría sustentar una acción de ejecución más amplia sobre las obligaciones de cumplimiento subyacentes. La exactitud no es solo un deber jurídico — para un sistema de la sección pública, la entrada es visible para los reguladores, la sociedad civil y las personas afectadas.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Lista de materiales de IA (AI-BOM): qué es y cómo apoya el cumplimiento de la Ley de IA de la UE

La AI-BOM es una práctica emergente, no un término legal. Estructura los modelos base, los conjuntos de datos y las dependencias de GPAI para alimentar la documentación del Artículo 11 / Anexo IV.

Guide

Planificación presupuestaria del cumplimiento de la Ley de IA de la UE: motores de coste para la IA de alto riesgo

Presupueste el cumplimiento de la Ley de IA de la UE: Artículo 9, documentación técnica del Anexo IV, evaluación de la conformidad del Artículo 43, vigilancia del Artículo 72. Dic 2027.

Guide

Quién es el titular del cumplimiento de la Ley de IA de la UE en su organización

La Ley de IA de la UE crea obligaciones, no un puesto. Quién es el titular de los deberes de los Art. 9, 11, 14, 72 y 73 — estructura RACI, división DPD/CISO y la realidad de la pequeña empresa.