Cumplimiento de la Ley de IA de la UE para la industria manufacturera: máquinas, robots y las dos vías hacia el alto riesgo
La mayoría de la IA de fábrica es de riesgo mínimo. Conozca qué IA manufacturera — cobots, Reglamento sobre máquinas, RR. HH. — activa las obligaciones de alto riesgo de la Ley de IA de la UE y cuándo.
La mayor parte de la IA de fábrica queda fuera de las obligaciones de alto riesgo de la Ley de IA de la UE. Mantenimiento predictivo, visión para el control de calidad, previsión de la demanda, optimización de procesos — son herramientas operativas. El reglamento no las regula en ningún sentido significativo. Lo que sí regula, con precisión real, es la IA que desempeña una función de seguridad dentro de un producto ya cubierto por el Derecho de la UE en materia de seguridad de los productos, o la IA que gestiona la seguridad en infraestructuras críticas. Acertar con esa línea importa, porque las obligaciones a uno y otro lado de ella son muy distintas.
La mayoría de la IA manufacturera es de riesgo mínimo
Empecemos aquí, porque la suposición contraria está extendida y resulta cara.
La Ley de IA de la UE, en virtud del Reglamento (UE) 2024/1689, clasifica los sistemas de IA en cuatro niveles de riesgo. El nivel inferior — riesgo mínimo — no conlleva obligaciones obligatorias. Cubre todo lo que no captura la lista de prácticas prohibidas (Artículo 5), las clasificaciones de alto riesgo (Artículo 6) o las reglas de transparencia de riesgo limitado (Artículo 50 para chatbots y contenidos sintéticos). La mayor parte de la IA manufacturera vive en este nivel.
La IA de mantenimiento predictivo que supervisa las firmas de vibración y programa una ventana de mantenimiento es un sistema de riesgo mínimo. La visión por ordenador que comprueba la calidad de la soldadura a la velocidad de línea es de riesgo mínimo. Los algoritmos de cadena de suministro que optimizan la adquisición o el enrutamiento de las entregas son de riesgo mínimo. Ninguno de estos aparece en el Anexo III (la lista de alto riesgo de ocho categorías) y ninguno funciona como componente de seguridad de productos regulados. Pueden aplicarse códigos de conducta voluntarios, pero no hay un conjunto de cumplimiento obligatorio.
La implicación práctica: no trate la Ley de IA de la UE como una regulación industrial generalista. Es una regulación específica. La pregunta que hay que hacerse de cada sistema es si encaja en una vía concreta de alto riesgo — y hay exactamente dos de ellas para la industria manufacturera.
Dos vías hacia el alto riesgo en la industria manufacturera
Vía 1 — Artículo 6, apartado 1, + Anexo I: la vía de la seguridad de los productos
Esta es la vía más relevante para las empresas manufactureras que fabrican máquinas y equipos industriales.
Con arreglo al Artículo 6, apartado 1, un sistema de IA es de alto riesgo si es un componente de seguridad de un producto cubierto por la legislación armonizada de la UE enumerada en el Anexo I de la Ley de IA, y ese producto debe someterse a una evaluación de la conformidad por terceros con arreglo a esa legislación del Anexo I.
El Reglamento sobre máquinas (UE) 2023/1230 — que sustituyó a la antigua Directiva sobre máquinas y se aplica a todo el ámbito de las máquinas industriales, incluidos los robots y los cobots — es un instrumento del Anexo I. También lo son la Directiva de baja tensión, la Directiva sobre equipos radioeléctricos, la Directiva sobre equipos a presión y varias otras pertinentes para la producción industrial.
¿Qué se considera un componente de seguridad? El concepto se refiere a un sistema de IA cuyo fallo o mal funcionamiento podría poner en peligro la salud o la seguridad de las personas. En un contexto manufacturero, los casos más claros son:
- IA que controla la lógica de parada de emergencia o los resguardos de un robot industrial
- IA que aplica zonas de seguridad entre robots colaborativos y operadores humanos — detectando proximidad, ordenando una reducción de velocidad o una parada
- IA que gobierna la presión, la temperatura o la dosificación química en un proceso donde un exceso provoca un peligro
- IA de visión que es el medio principal para impedir que una máquina funcione cuando un resguardo está abierto
En cambio, la IA que optimiza una trayectoria de herramienta para el acabado superficial, programa el mantenimiento preventivo a partir de datos de sensores o ajusta el rendimiento de producción para la eficiencia energética no desempeña una función de seguridad. Desempeña una función operativa. Los mismos datos físicos de sensor que alimentan dos salidas de IA distintas pueden producir simultáneamente una predicción operativa de riesgo mínimo y una orden de seguridad de alto riesgo — la clasificación sigue a la función, no al hardware.
¿Quién soporta la obligación? El fabricante del equipo — el OEM que construye la máquina que contiene la IA — es el proveedor con arreglo al Artículo 16 de la Ley de IA. La fábrica que compra y opera esa máquina es el responsable del despliegue con arreglo al Artículo 26. Esto se corresponde con limpieza con la estructura existente del Reglamento sobre máquinas, donde el fabricante de la máquina ostenta la responsabilidad del expediente técnico y del marcado CE.
El plazo para esta vía es el 2 de agosto de 2028. En virtud del acuerdo del Ómnibus Digital alcanzado en mayo de 2026, los sistemas de IA de alto riesgo que son componentes de seguridad de productos del Anexo I deben cumplir las obligaciones de alto riesgo de la Ley de IA antes del 2 de agosto de 2028.
Vía 2 — Anexo III, puntos 2 y 4: infraestructuras y plantilla
El Anexo III de la Ley de IA enumera ocho categorías de alto riesgo. Dos son directamente relevantes para la industria manufacturera.
Anexo III, punto 2 — Seguridad de las infraestructuras críticas. La IA que constituye un componente de seguridad en la gestión y el funcionamiento de la infraestructura digital crítica, el tráfico rodado o el suministro de agua, gas, calefacción y electricidad entra aquí. Es una categoría estrecha. Una planta manufacturera estándar que suministra al mercado general no es infraestructura crítica. Pero una planta que aporta productos esenciales a las redes energéticas, el tratamiento del agua o cadenas de suministro estratégicamente críticas puede cumplir los requisitos, si la IA desempeña una función de gestión de la seguridad dentro de esa instalación. Un sistema de IA que gestiona las paradas de emergencia en una instalación de procesamiento de gas es una propuesta distinta de una herramienta de programación en una planta de bienes de consumo.
Anexo III, punto 4 — Empleo, gestión de los trabajadores. La IA utilizada por los fabricantes en funciones de RR. HH. — cribado de candidatos a puestos de fábrica, seguimiento de las métricas de rendimiento de los empleados para impulsar decisiones de promoción o despido, o asignación de tareas por turnos a través de un sistema automatizado — entra dentro del Anexo III, punto 4, de la Ley de IA. Se trata de usos orientados a los trabajadores, no a las máquinas, y activan todo el conjunto de alto riesgo con independencia de lo que haga el resto de la IA de la fábrica.
También directamente relevante aquí: el Artículo 5, apartado 1, letra f), de la Ley de IA prohíbe el reconocimiento de emociones en el lugar de trabajo. Un sistema que infiere los estados emocionales de los trabajadores en una línea de producción — ya se presente como seguimiento del bienestar, comprobación de la atención por seguridad o detección de fatiga — está prohibido sin más, no es de alto riesgo. Se aplica desde el 2 de febrero de 2025. El techo sancionador por infracciones es de 35 000 000 de euros o el 7 % del volumen de negocios anual mundial total con arreglo al Artículo 99, apartado 3, si esta última cifra es mayor.
El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, en virtud del mismo acuerdo del Ómnibus Digital.
El solapamiento con el Reglamento sobre máquinas
Los fabricantes familiarizados con el marcado CE con arreglo al Reglamento sobre máquinas (UE) 2023/1230 parten con ventaja práctica en el cumplimiento de la Ley de IA, pero no deberían suponer que los dos marcos son iguales o plenamente sustituibles.
El Reglamento sobre máquinas ya exige un expediente técnico, una evaluación de riesgos y — para las categorías de máquinas de mayor riesgo enumeradas en su Anexo I — un examen por terceros realizado por un organismo notificado antes del marcado CE. Cuando un sistema de IA está integrado en dicha maquinaria como componente de seguridad, se activa la clasificación de alto riesgo del Artículo 6, apartado 1, de la Ley de IA, y la evaluación de la conformidad del Artículo 43 debe completarse antes de que el sistema se introduzca en el mercado.
La arquitectura práctica es una evaluación de la conformidad integrada. Las pruebas de cumplimiento del sistema de IA — el sistema de gestión de riesgos del Artículo 9, la documentación técnica del Artículo 11 / Anexo IV, el diseño de la supervisión humana del Artículo 14, los registros de exactitud y robustez del Artículo 15 — residen dentro del mismo expediente técnico que la documentación del Reglamento sobre máquinas. El marcado CE en la máquina acabada refleja la conformidad con ambos instrumentos. El Artículo 47 exige una declaración UE de conformidad separada a efectos de la Ley de IA, y el Artículo 48 rige el marcado CE que la sigue.
Una distinción que conviene mantener: los requisitos esenciales de salud y seguridad del Reglamento sobre máquinas y los requisitos técnicos de la Ley de IA para la IA de alto riesgo son complementarios, no sustitutos. Cumplir uno no exime del otro. Documente ambos.
Obligaciones del proveedor y del responsable del despliegue
Si su empresa fabrica equipos que contienen componentes de seguridad de IA, usted es el proveedor. El Artículo 16 fija todo el conjunto de obligaciones: sistema de gestión de la calidad (Artículo 17), sistema de gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica (Artículo 11 / Anexo IV), conservación de registros (Artículo 12), transparencia e instrucciones para el responsable del despliegue (Artículo 13), diseño de la supervisión humana (Artículo 14), exactitud y robustez (Artículo 15). Debe completar la evaluación de la conformidad con arreglo al Artículo 43 antes de introducir el sistema en el mercado, redactar una declaración de conformidad con arreglo al Artículo 47 y colocar el marcado CE con arreglo al Artículo 48. Tras la introducción en el mercado, el Artículo 72 exige un sistema de vigilancia poscomercialización.
Si su empresa opera sistemas de IA adquiridos a un proveedor, usted es el responsable del despliegue. Se aplica el Artículo 26: utilice el sistema conforme a las instrucciones del proveedor, asigne personal con la competencia y la autoridad para la supervisión humana, vigile los riesgos y documente y notifique los incidentes graves. Si el sistema de IA se utiliza para un fin comprendido en el Anexo III — por ejemplo, despliega una IA suministrada por un proveedor para la programación de la plantilla o el cribado de candidatos — las obligaciones del responsable del despliegue se le aplican aunque el proveedor ostente la documentación técnica.
Un fabricante que desarrolla IA internamente, modifica sustancialmente un sistema de IA adquirido o despliega un sistema adquirido para un fin ajeno a su uso original previsto puede ser reclasificado como el proveedor con arreglo al Artículo 25. Esta obligación de cambio de función merece auditarse con cuidado antes de poner en marcha una adquisición de IA.
Tabla de obligaciones para la industria manufacturera
| Obligación | Artículo | Se aplica a |
|---|---|---|
| Prácticas prohibidas (incl. reconocimiento de emociones en el trabajo) | Artículo 5 | Todos — en vigor el 2 feb 2025 |
| Clasificación de alto riesgo (vía de seguridad de los productos) | Artículo 6, apdo. 1 + Anexo I | Proveedores |
| Clasificación de alto riesgo (vía de caso de uso) | Artículo 6 + Anexo III | Proveedores |
| Sistema de gestión de riesgos | Artículo 9 | Proveedores de IA de alto riesgo |
| Datos y gobernanza de datos | Artículo 10 | Proveedores de IA de alto riesgo |
| Documentación técnica | Artículo 11 / Anexo IV | Proveedores de IA de alto riesgo |
| Conservación de registros y trazabilidad | Artículo 12 | Proveedores de IA de alto riesgo |
| Transparencia hacia los responsables del despliegue | Artículo 13 | Proveedores de IA de alto riesgo |
| Diseño de la supervisión humana | Artículo 14 | Proveedores (diseño); responsables del despliegue (operación) |
| Exactitud, robustez, ciberseguridad | Artículo 15 | Proveedores de IA de alto riesgo |
| Obligaciones del proveedor | Artículo 16 | Proveedores |
| Sistema de gestión de la calidad | Artículo 17 | Proveedores de IA de alto riesgo |
| Cambio de función (el responsable del despliegue pasa a ser proveedor) | Artículo 25 | Responsables del despliegue que modifican o reutilizan |
| Obligaciones del responsable del despliegue | Artículo 26 | Responsables del despliegue manufactureros |
| Evaluación de la conformidad | Artículo 43 | Proveedores de IA de alto riesgo |
| Declaración de conformidad | Artículo 47 | Proveedores de IA de alto riesgo |
| Marcado CE | Artículo 48 | Proveedores de IA de alto riesgo |
| Vigilancia poscomercialización | Artículo 72 | Proveedores de IA de alto riesgo |
| Notificación de incidentes graves | Artículo 73 | Proveedores de IA de alto riesgo |
Cómo ayuda Confir a las empresas manufactureras
Las organizaciones manufactureras se enfrentan a una decisión de cumplimiento más matizada de lo que sugiere la cobertura de los titulares: la mayor parte de su IA es de riesgo mínimo, un subconjunto puede ser de alto riesgo a través de la vía de la seguridad de los productos, y un pequeño número de sistemas orientados a la plantilla pueden ser de alto riesgo a través del Anexo III — con el reconocimiento de emociones prohibido sin más.
La lógica de clasificación determinista y basada en reglas de Confir recorre ambas vías de alto riesgo en secuencia. El proceso de admisión saca a la luz los hechos que importan — ¿desempeña esta IA una función de seguridad dentro de maquinaria regulada? ¿Se utiliza para decisiones sobre la plantilla comprendidas en el Anexo III, punto 4? — y produce una justificación de clasificación documentada que un equipo interno de cumplimiento o un revisor externo puede seguir e impugnar. Las mismas entradas, el mismo resultado; sin inferencia, sin alucinación.
Para los proveedores de IA de maquinaria, Confir genera la estructura de documentación técnica del Artículo 11 / Anexo IV (el «Paquete de Conformidad»), produce la declaración de conformidad del Artículo 47 y ejecuta la evaluación de impacto relativa a los derechos fundamentales del Artículo 27 cuando procede. El Registro de Riesgos permite a los equipos de cumplimiento hacer el seguimiento de una cartera mixta — IA operativa de riesgo mínimo e IA de componentes de seguridad de alto riesgo — en un solo lugar, con la función (proveedor/responsable del despliegue), la clasificación y el plazo visibles en todos los sistemas.
Sin consultores, sin implantación de varios meses.
Preguntas frecuentes
¿Es la IA de mantenimiento predictivo de alto riesgo en virtud de la Ley de IA de la UE? En general, no. Un sistema que supervisa los indicadores del estado de los equipos y programa ventanas de mantenimiento es una herramienta de eficiencia operativa, no un componente de seguridad en el sentido del Reglamento sobre máquinas. Tendría que controlar directamente funciones críticas para la seguridad — desencadenar una parada de protección, por ejemplo — antes de que se aplicara la vía de alto riesgo del Anexo I. La mayor parte de la IA de mantenimiento predictivo es de riesgo mínimo, sin obligaciones de cumplimiento obligatorias.
¿Cuándo se aplican las obligaciones de la Ley de IA de la UE a la IA manufacturera? Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025 — eso incluye la prohibición del reconocimiento de emociones en el lugar de trabajo. La IA de alto riesgo que es un componente de seguridad de productos del Anexo I (la vía del Reglamento sobre máquinas) debe cumplir antes del 2 de agosto de 2028. La IA de alto riesgo comprendida en las categorías autónomas del Anexo III (seguridad de las infraestructuras críticas; usos de RR. HH./plantilla) debe cumplir antes del 2 de diciembre de 2027. Ambas fechas las fija el acuerdo del Ómnibus Digital alcanzado en mayo de 2026.
¿Satisface el marcado CE con arreglo al Reglamento sobre máquinas la Ley de IA de la UE? No. Los dos marcos son distintos. El marcado CE con arreglo al Reglamento sobre máquinas demuestra la conformidad con sus requisitos esenciales de salud y seguridad; no sustituye a la evaluación de la conformidad del Artículo 43 ni a la declaración de conformidad del Artículo 47 exigidas en virtud de la Ley de IA de la UE. Cuando se aplican ambos, ambos deben cumplirse. En la práctica, las pruebas de cumplimiento de la Ley de IA se integran en el expediente técnico del Reglamento sobre máquinas, pero son requisitos legales separados.
¿Qué convierte a un sistema de IA en «componente de seguridad» a efectos del Artículo 6, apartado 1? Un componente de seguridad es un sistema de IA cuyo fallo o mal funcionamiento podría poner en peligro la salud o la seguridad de las personas. En la industria manufacturera, esto abarca la IA que controla el movimiento de los robots cerca de operadores humanos, la IA que gestiona la lógica de parada de emergencia y la IA que gobierna parámetros de procesos peligrosos. La IA que optimiza el rendimiento, predice la demanda o mejora la calidad del producto sin ninguna función de seguridad no es un componente de seguridad.
¿Son de alto riesgo los sistemas de IA de los robots colaborativos (cobots)? Casi con seguridad, si la IA desempeña una conciencia espacial crítica para la seguridad — detectando la presencia humana en la envolvente de trabajo, ordenando una reducción de velocidad o una parada de emergencia, aplicando zonas de seguridad. Eso es una función de seguridad dentro de la maquinaria cubierta por el Reglamento sobre máquinas. El proveedor (el fabricante del cobot o del software de IA) debe completar la evaluación de la conformidad del Artículo 43 antes de la introducción en el mercado, con el plazo del 2 de agosto de 2028 aplicándose.
¿Se aplica la Ley de IA a la IA integrada en sistemas SCADA o MES? Depende de la función. Las plataformas SCADA y MES no son intrínsecamente de alto riesgo. Si un módulo de IA concreto dentro de esos sistemas desempeña una función de gestión de la seguridad en infraestructuras críticas (Anexo III, punto 2), o impulsa decisiones sobre la plantilla (Anexo III, punto 4), el uso de ese módulo justifica una evaluación. Las funciones generales de programación, generación de informes y optimización dentro de SCADA/MES siguen siendo de riesgo mínimo.
¿Qué ocurre si desplegamos un sistema de IA fuera de su finalidad prevista? Con arreglo al Artículo 25, un responsable del despliegue que pone en servicio un sistema de IA para un fin distinto de su uso previsto — o lo modifica sustancialmente — puede ser reclasificado como el proveedor, heredando todo el conjunto de obligaciones del Artículo 16. Este es un riesgo significativo para los fabricantes que adaptan herramientas de IA adquiridas a aplicaciones críticas para la seguridad para las que no fueron diseñadas ni certificadas.
Guías relacionadas
- Requisitos de clasificación de riesgo del Artículo 6
- Marco de gobernanza responsable de la IA
- Clasificación de IA de alto riesgo del Artículo 6
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →