Qué Es El Reglamento Ia Ue Explicado Sencillo Under the EU AI Act: Obligations & Practical Steps
EU AI Act compliance guide for qué es el reglamento ia ue explicado sencillo: risk classification, obligations, timelines and practical steps. Updated 2026.
Introduction
El Reglamento (UE) 2024/1689, conocido como la Ley de Inteligencia Artificial de la UE, es un marco regulatorio integral que establece reglas armonizadas para el desarrollo, comercialización y uso de sistemas de IA en toda la Unión Europea. Su propósito principal es proteger la salud, la seguridad, los derechos fundamentales, la democracia, el estado de derecho y el medio ambiente de los efectos perjudiciales de los sistemas de IA, mientras promueve la adopción de una IA centrada en el ser humano y confiable (Artículo 1).
Después de leer esta guía, comprenderá cómo se clasifican los sistemas de IA según su nivel de riesgo, qué obligaciones específicas recaen sobre proveedores y desplegadores, cuáles son los plazos de cumplimiento críticos y qué sanciones se aplican por incumplimiento. Esta comprensión le permitirá evaluar si su organización está sujeta a la regulación, identificar qué requisitos aplican a sus sistemas de IA y comenzar a implementar medidas de cumplimiento antes de las fechas de entrada en vigor.
El Reglamento establece un enfoque escalonado basado en el riesgo: prácticas de IA prohibidas (Artículo 5, aplicable desde el 2 de febrero de 2025), sistemas de alto riesgo (Artículo 6 y Anexo III, aplicables desde el 2 de agosto de 2026), sistemas de riesgo limitado y sistemas de riesgo mínimo. Cada categoría conlleva obligaciones distintas para los actores de la cadena de valor de la IA: proveedores, desplegadores, importadores y distribuidores.
EU AI Act Overview
El Reglamento (UE) 2024/1689 es una regulación horizontal que se aplica a todos los sistemas de IA colocados en el mercado de la UE o puestos en servicio en la UE, independientemente de dónde esté establecido el proveedor (Artículo 2). A diferencia de las regulaciones sectoriales anteriores, la Ley de IA de la UE crea un conjunto único de reglas que se aplican en todos los Estados miembros, eliminando la fragmentación del mercado interno y evitando que las empresas tengan que cumplir con múltiples marcos nacionales divergentes.
El Reglamento se aplica a proveedores (empresas que desarrollan o colocan sistemas de IA en el mercado), desplegadores (entidades que utilizan sistemas de IA en operaciones), importadores (que importan sistemas de IA de terceros países), distribuidores (que distribuyen sistemas de IA ya colocados en el mercado) y representantes autorizados de proveedores no establecidos en la UE (Artículo 2). Las PYMES que desarrollan sistemas de IA están incluidas en el alcance regulatorio, aunque el Reglamento contiene disposiciones específicas para apoyar la innovación en este segmento.
El Reglamento excluye explícitamente ciertos tipos de sistemas de IA del alcance regulatorio: sistemas utilizados exclusivamente para fines militares, de seguridad nacional o defensa; sistemas utilizados por autoridades públicas de terceros países u organizaciones internacionales; sistemas desarrollados únicamente para investigación y desarrollo científicos; actividades no profesionales personales; y sistemas de IA de código abierto y gratuito (con excepciones para modelos de IA de propósito general con riesgo sistémico o sistemas de alto riesgo colocados en el mercado) (Artículo 2(3)-(5)).
El Reglamento establece un sistema de clasificación de riesgo de cuatro niveles. En el nivel más alto están las prácticas de IA prohibidas (Artículo 5), que incluyen técnicas subliminales o manipuladoras, explotación de vulnerabilidades de grupos específicos, sistemas de puntuación social por autoridades públicas, identificación biométrica remota en tiempo real en espacios públicos (con excepciones limitadas), sistemas de categorización biométrica que infieren atributos sensibles y sistemas de inferencia emocional en contextos laborales y educativos. Estas prácticas están prohibidas independientemente del riesgo y son aplicables desde el 2 de febrero de 2025.
El segundo nivel comprende sistemas de alto riesgo (Artículo 6 y Anexo III), que incluyen sistemas que son componentes de seguridad de productos cubiertos por legislación de armonización de la UE (Artículo 6(1), aplicable desde el 2 de agosto de 2027) y sistemas que caen en una de las ocho categorías del Anexo III (Artículo 6(2), aplicable desde el 2 de agosto de 2026). Las ocho categorías del Anexo III abarcan identificación biométrica, gestión de infraestructuras críticas, educación y formación profesional, empleo, acceso a servicios esenciales, aplicación de la ley, migración y control de fronteras, y administración de justicia y procesos democráticos.
El tercer nivel incluye sistemas de riesgo limitado, que son principalmente sistemas de IA de propósito general (GPAI) y modelos de fundación que presentan riesgos sistémicos. Estos sistemas están sujetos a obligaciones de transparencia y documentación bajo el Capítulo V (Artículos 51–56), con fecha de aplicación del 2 de agosto de 2025. El cuarto nivel comprende sistemas de riesgo mínimo, que incluyen la mayoría de las aplicaciones de IA convencionales y están sujetos a requisitos de transparencia limitados bajo el Artículo 50.
Los plazos de cumplimiento son críticos para la planificación de cumplimiento. El 2 de febrero de 2025 marca la entrada en vigor de la prohibición de prácticas de IA prohibidas (Artículo 5). El 2 de agosto de 2025 es cuando entran en vigor las obligaciones de los modelos de IA de propósito general bajo el Capítulo V. El 2 de agosto de 2026 es cuando entran en vigor las obligaciones para sistemas de alto riesgo del Anexo III. El 2 de agosto de 2027 es cuando entran en vigor las obligaciones para sistemas de IA que son componentes de seguridad de productos cubiertos por legislación de armonización de la UE.
El Reglamento también establece un marco de gobernanza que incluye la designación de autoridades de vigilancia del mercado en cada Estado miembro (Artículo 74), la creación de un Consejo de IA de la UE para coordinar la aplicación entre Estados miembros, y la creación de una Oficina de IA de la UE para supervisar los modelos de IA de propósito general con riesgo sistémico. Las autoridades de vigilancia del mercado tienen poderes para investigar, inspeccionar, solicitar información y tomar medidas correctivas contra proveedores y desplegadores que incumplen el Reglamento.
Para las PYMES, el Reglamento contiene disposiciones de apoyo a la innovación, incluida la posibilidad de utilizar espacios de prueba regulatoria (regulatory sandboxes) donde pueden probar sistemas de IA bajo supervisión regulatoria con requisitos de cumplimiento reducidos. Esto permite a las empresas más pequeñas desarrollar y validar sistemas de IA innovadores sin los costos y riesgos de cumplimiento total antes de la comercialización.
Risk Classification System
El sistema de clasificación de riesgo del Reglamento (UE) 2024/1689 es el fundamento sobre el cual se construyen todas las obligaciones de cumplimiento. Comprender correctamente en qué categoría de riesgo cae su sistema de IA es esencial para determinar qué requisitos específicos debe cumplir. El Reglamento define cuatro categorías de riesgo distintas, cada una con obligaciones progresivamente más rigurosas: riesgo inaceptable (prohibido), riesgo alto, riesgo limitado y riesgo mínimo.
Riesgo Inaceptable: Prácticas Prohibidas (Artículo 5)
El Artículo 5 enumera seis categorías de prácticas de IA que están prohibidas de manera absoluta, independientemente del contexto o la intención. Estas prácticas se consideran tan perjudiciales para los derechos fundamentales y la seguridad que no se permite su uso en ninguna circunstancia dentro de la UE. La prohibición entra en vigor el 2 de febrero de 2025.
La primera práctica prohibida es el uso de técnicas subliminales, manipuladoras o engañosas que distorsionan el comportamiento de una manera que causa o es probable que cause daño significativo (Artículo 5(a)). Esto incluye sistemas que utilizan técnicas psicológicas para influir en decisiones sin consentimiento informado, como algoritmos que manipulan el contenido mostrado a usuarios para inducir comportamientos específicos o sistemas que utilizan estímulos visuales o auditivos imperceptibles para influir en decisiones.
La segunda práctica prohibida es la explotación de vulnerabilidades de grupos específicos (edad, discapacidad, situación socioeconómica) para distorsionar su comportamiento de una manera que causa o es probable que cause daño significativo (Artículo 5(b)). Por ejemplo, un sistema de IA que identifica a menores vulnerables y les muestra contenido diseñado para explotarlos, o un sistema que dirige ofertas de crédito predatorio a personas de bajo nivel socioeconómico, estaría prohibido.
La tercera práctica prohibida es el sistema de puntuación social por autoridades públicas que conduce a trato desfavorable o injustificado/desproporcionado en contextos sociales no relacionados (Artículo 5(c)). Esto se refiere específicamente a sistemas utilizados por gobiernos para calificar a ciudadanos en función de su comportamiento social y luego usar esa puntuación para negar acceso a servicios, oportunidades o derechos en áreas completamente diferentes. Un ejemplo sería un sistema que califica a ciudadanos por su comportamiento en línea y luego utiliza esa puntuación para determinar su elegibilidad para empleo público.
La cuarta práctica prohibida es la identificación biométrica remota en tiempo real en espacios públicamente accesibles para aplicación de la ley, con tres excepciones muy limitadas: búsqueda de personas desaparecidas, prevención de amenaza terrorista inminente e identificación de perpetradores de delitos graves (Artículo 5(d)). Esta es una de las prohibiciones más significativas del Reglamento, ya que prohíbe el reconocimiento facial masivo en espacios públicos por parte de autoridades policiales. Las excepciones son muy estrechas: la búsqueda de personas desaparecidas requiere que la persona esté realmente desaparecida; la prevención de amenaza terrorista requiere que la amenaza sea inminente y específica; la identificación de perpetradores requiere que se haya cometido un delito grave.
La quinta práctica prohibida es el uso de sistemas de categorización biométrica que infieren atributos sensibles (raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual) a partir de datos biométricos, con excepciones limitadas para aplicación de la ley (Artículo 5(e)). Esto prohíbe sistemas que utilizan datos biométricos como rostro, voz o iris para inferir características sensibles de las personas, incluso si la inferencia es imprecisa.
La sexta práctica prohibida es el uso de sistemas de inferencia emocional en contextos laborales y educativos para tomar decisiones que afecten significativamente los derechos de las personas (Artículo 5(f)). Esto incluye sistemas que pretenden detectar emociones de empleados o estudiantes para evaluar su desempeño, lealtad, aptitud o idoneidad para roles específicos.
Riesgo Alto: Sistemas del Anexo III (Artículo 6)
El Artículo 6 define dos vías para la clasificación de alto riesgo. La primera vía (Artículo 6(1)) incluye sistemas de IA que son componentes de seguridad de productos cubiertos por legislación de armonización de la UE enumerada en el Anexo I y que están sujetos a evaluación de conformidad de terceros bajo esa legislación. Estos sistemas deben cumplir desde el 2 de agosto de 2027. Ejemplos incluyen sistemas de IA que controlan la frenada automática de emergencia en vehículos, sistemas de IA que monitorean la seguridad en maquinaria industrial, o sistemas de IA que controlan dispositivos médicos implantables.
La segunda vía (Artículo 6(2)) incluye sistemas de IA que caen en una de las ocho categorías enumeradas en el Anexo III, a menos que el proveedor realice una autoevaluación bajo el Artículo 6(3) y determine que el sistema no presenta un riesgo significativo de daño. Estos sistemas deben cumplir desde el 2 de agosto de 2026.
Las ocho categorías del Anexo III son:
-
Identificación biométrica y categorización de personas naturales: Sistemas que identifican o categorizan a personas basándose en características biométricas (rostro, iris, huella dactilar, voz). Esto incluye sistemas de reconocimiento facial, sistemas de verificación de identidad biométrica y sistemas de categorización de atributos biométricos.
-
Gestión y operación de infraestructuras críticas (componentes de seguridad): Sistemas que controlan o monitorean infraestructuras críticas como redes eléctricas, sistemas de agua, sistemas de transporte o sistemas de comunicaciones. Esto incluye sistemas SCADA (Supervisory Control and Data Acquisition) que utilizan IA para optimizar o automatizar operaciones.
-
Educación y formación profesional (acceso, admisión, evaluación): Sistemas que determinan acceso a programas educativos, admisión a instituciones educativas o evaluación del desempeño de estudiantes. Esto incluye sistemas de puntuación automática, sistemas de predicción de éxito académico y sistemas de recomendación de programas educativos.
-
Empleo, gestión de trabajadores y acceso al trabajo por cuenta propia: Sistemas que determinan contratación, promoción, despido, evaluación de desempeño o acceso a oportunidades de autoempleo. Esto incluye sistemas de análisis de currículum, sistemas de evaluación de candidatos y sistemas de monitoreo de productividad de empleados.
-
Acceso a y disfrute de servicios esenciales privados y públicos y beneficios: Sistemas que determinan acceso a servicios esenciales como vivienda, servicios financieros, seguros, servicios de salud o servicios de utilidad pública. Esto incluye sistemas de evaluación de solvencia crediticia, sistemas de evaluación de riesgo de seguros y sistemas de asignación de recursos de salud.
-
Aplicación de la ley (evaluación de riesgo, polígrafos, fiabilidad de pruebas, perfilado): Sistemas utilizados por autoridades policiales para evaluar riesgo criminal, detectar mentiras, evaluar fiabilidad de pruebas o crear perfiles de sospechosos. Esto incluye sistemas de predicción de criminalidad, sistemas de análisis de comportamiento y sistemas de evaluación de credibilidad de testigos.
-
Migración, asilo y gestión de control de fronteras: Sistemas que determinan elegibilidad para migración, asilo o entrada a la UE. Esto incluye sistemas de evaluación de riesgo de seguridad, sistemas de detección de documentos falsificados y sistemas de análisis de patrones de migración.
-
Administración de justicia y procesos democráticos: Sistemas que asisten en la administración de justicia o procesos democráticos. Esto incluye sistemas que asisten en decisiones judiciales, sistemas de análisis de jurisprudencia y sistemas de detección de fraude electoral.
El Artículo 6(3) permite a los proveedores realizar una autoevaluación para determinar si un sistema que cae en una categoría del Anexo III presenta realmente un riesgo significativo de daño. Si el proveedor determina que no hay riesgo significativo, puede registrar esta determinación en una base de datos pública mantenida por la Comisión Europea. Sin embargo, esta autoevaluación no elimina la obligación de cumplir con los requisitos de alto riesgo a menos que la determinación sea aceptada por las autoridades de vigilancia del mercado.
Riesgo Limitado: Modelos de IA de Propósito General (Capítulo V)
Los modelos de IA de propósito general (GPAI) y los modelos de fundación son sistemas de IA entrenados en grandes cantidades de datos que pueden ser adaptados a una amplia gama de tareas posteriores. El Reglamento establece un régimen especial para estos sistemas bajo el Capítulo V (Artículos 51–56), con fecha de aplicación del 2 de agosto de 2025.
Los proveedores de GPAI deben cumplir con obligaciones de transparencia y documentación, incluida la publicación de información sobre datos de entrenamiento, capacidades y limitaciones del modelo, y políticas de derechos de autor. Los proveedores de GPAI con riesgo sistémico (determinado por la Oficina de IA de la UE) están sujetos a obligaciones adicionales, incluida la realización de evaluaciones de riesgo sistémico, la implementación de medidas de mitigación de riesgos y la notificación a la Oficina de IA de la UE de incidentes graves.
Riesgo Mínimo: Sistemas Convencionales
La mayoría de los sistemas de IA convencionales que no caen en las categorías anteriores se clasifican como riesgo mínimo. Estos sistemas están sujetos únicamente a requisitos de transparencia limitados bajo el Artículo 50, que requiere que los usuarios sean informados de que están interactuando con un sistema de IA en ciertos contextos (chatbots, sistemas de generación de contenido, sistemas de reconocimiento de emociones).
| Categoría de Riesgo | Prácticas Prohibidas | Alto Riesgo (Anexo III) | Riesgo Limitado (GPAI) | Riesgo Mínimo |
|---|---|---|---|---|
| Ejemplos | Reconocimiento facial masivo, puntuación social, inferencia emocional | Evaluación crediticia, evaluación de empleados, educación | Modelos de lenguaje grandes, modelos de fundación | Chatbots, sistemas de recomendación |
| Fecha de Aplicación | 2 de febrero de 2025 | 2 de agosto de 2026 | 2 de agosto de 2025 | Inmediata |
| Obligaciones Principales | Prohibición absoluta | Evaluación de riesgos, documentación técnica, supervisión humana | Transparencia, documentación, evaluación de riesgos sistémicos | Transparencia limitada |
| Sanciones por Incumplimiento | Hasta €30M o 6% de facturación global | Hasta €20M o 4% de facturación global | Hasta €20M o 4% de facturación global | Hasta €10M o 2% de facturación global |
Provider Obligations
Los proveedores de sistemas de IA (empresas que desarrollan o colocan sistemas de IA en el mercado) soportan la responsabilidad regulatoria más significativa bajo el Reglamento (UE) 2024/1689. Las obligaciones de los proveedores varían según la categoría de riesgo del sistema, pero todas incluyen componentes de gestión de riesgos, documentación técnica, evaluación de conformidad y cumplimiento de requisitos específicos de transparencia y supervisión humana.
Sistema de Gestión de Riesgos (Artículo 9)
El Artículo 9 requiere que los proveedores de sistemas de alto riesgo implementen un sistema de gestión de riesgos, que es un proceso iterativo continuo que se extiende a lo largo de todo el ciclo de vida del sistema. El sistema de gestión de riesgos debe identificar y analizar riesgos conocidos y razonablemente previsibles para la salud, la seguridad o los derechos fundamentales cuando el sistema se utiliza según lo previsto y bajo usos indebidos razonablemente previsibles (Artículo 9(a)).
El sistema debe estimar y evaluar riesgos que pueden surgir en función de datos de monitoreo posterior al mercado (Artículo 9(b)). Esto requiere que los proveedores establezcan procesos para recopilar datos sobre cómo se utiliza el sistema en el mundo real, identificar problemas o riesgos que surgen en la práctica y actualizar el sistema para mitigar esos riesgos.
El sistema debe adoptar medidas de gestión de riesgos adecuadas de conformidad con las disposiciones del Reglamento (Artículo 9(c)). Las medidas de gestión de riesgos deben garantizar que los riesgos residuales sean aceptables a la luz del estado del arte generalmente reconocido (Artículo 9(4)). Esto significa que los proveedores deben implementar medidas que reduzcan los riesgos a un nivel que sea consistente con lo que es técnicamente posible y económicamente viable.
El Artículo 9(5) requiere que los proveedores realicen pruebas del sistema de IA para identificar las medidas más apropiadas y específicas. Las pruebas deben realizarse en puntos apropiados durante el desarrollo y, en cualquier caso, antes de la colocación en el mercado. Esto incluye pruebas de robustez, pruebas de adversarialidad, pruebas de sesgo y pruebas de seguridad.
El Artículo 9(6) requiere que los proveedores presten particular consideración a si el sistema de IA, a la luz de su propósito específico, puede tener un impacto específico en grupos vulnerables, incluidos los niños. Esto requiere que los proveedores realicen evaluaciones específicas de cómo el sistema puede afectar a grupos vulnerables y adopten medidas adicionales para proteger a estos grupos.
Ejemplo práctico: Una PYME que desarrolla un sistema de IA para evaluación de solicitudes de empleo debe implementar un sistema de gestión de riesgos que incluya: (1) identificación de riesgos de sesgo en la evaluación de candidatos de diferentes géneros, etnias o edades; (2) pruebas del sistema con conjuntos de datos que incluyan candidatos de grupos diversos para identificar sesgos; (3) implementación de medidas para mitigar sesgos identificados, como ajuste de pesos de características o reentrenamiento del modelo; (4) monitoreo continuo del desempeño del sistema en el mundo real para identificar nuevos sesgos que puedan surgir; (5) evaluación específica del impacto en grupos vulnerables como personas con discapacidades.
Documentación Técnica (Artículo 11)
El Artículo 11 requiere que los proveedores de sistemas de alto riesgo preparen y mantengan documentación técnica que cumpla con los requisitos del Anexo IV. La documentación técnica debe ser suficientemente detallada para permitir que las autoridades de vigilancia del mercado evalúen la conformidad del sistema con los requisitos del Reglamento.
La documentación técnica debe incluir: (1) descripción general del sistema de IA, incluido su propósito previsto, funcionalidad y arquitectura; (2) información sobre datos de entrenamiento, validación y prueba, incluida la descripción de los datos, métodos de recopilación y procesamiento; (3) información sobre el proceso de desarrollo, incluidas las decisiones de diseño, cambios realizados durante el desarrollo y justificación de decisiones clave; (4) información sobre el desempeño del sistema, incluidas métricas de desempeño, resultados de pruebas y análisis de errores; (5) información sobre medidas de gestión de riesgos implementadas; (6) información sobre supervisión humana, incluida la descripción de mecanismos de supervisión y procedimientos para intervención humana; (7) información sobre requisitos de entrada y salida del sistema; (8) información sobre limitaciones conocidas del sistema.
La documentación técnica debe ser mantenida durante todo el ciclo de vida del sistema y actualizada cuando se realicen cambios significativos. Los proveedores deben estar preparados para proporcionar esta documentación a las autoridades de vigilancia del mercado cuando se solicite.
Ejemplo práctico: Un proveedor de un sistema de IA para diagnóstico médico debe mantener documentación técnica que incluya: descripción del algoritmo de diagnóstico, datos de entrenamiento (número de casos, características demográficas de pacientes, condiciones médicas representadas), proceso de validación (conjuntos de validación independientes, métricas de sensibilidad y especificidad), análisis de errores (tipos de errores cometidos, casos donde el sistema falla), medidas de supervisión humana (requisito de revisión por médico antes de diagnóstico final), limitaciones conocidas (desempeño reducido en grupos de edad específicos o etnias subrepresentadas en datos de entrenamiento).
Evaluación de Conformidad (Artículo 12)
El Artículo 12 requiere que los proveedores de sistemas de alto riesgo realicen una evaluación de conformidad antes de colocar el sistema en el mercado. La evaluación de conformidad es un proceso mediante el cual el proveedor verifica que el sistema cumple con todos los requisitos aplicables del Reglamento.
El Artículo 43 especifica el procedimiento de evaluación de conformidad. Para sistemas de alto riesgo que no son componentes de seguridad de productos cubiertos por legislación de armonización de la UE, el proveedor puede elegir entre dos procedimientos: (1) evaluación interna de conformidad realizada por el proveedor, o (2) evaluación de conformidad realizada por un organismo notificado (tercero independiente acreditado).
La evaluación de conformidad debe verificar que el sistema cumple con: (1) requisitos de gestión de riesgos (Artículo 9); (2) requisitos de calidad de datos (Artículos 10); (3) requisitos de documentación técnica (Artículo 11); (4) requisitos de transparencia (Artículo 13); (5) requisitos de supervisión humana (Artículo 14); (6) requisitos de precisión, robustez y ciberseguridad (Artículo 15).
Después de completar la evaluación de conformidad, el proveedor debe preparar una Declaración UE de Conformidad (Artículo 47) que certifique que el sistema cumple con los requisitos aplicables. El proveedor también debe colocar el marcado CE en el sistema (Artículo 48) para indicar que ha sido evaluado y cumple con los requisitos.
Ejemplo práctico: Un proveedor de un sistema de IA para evaluación de solicitudes de crédito debe realizar una evaluación de conformidad que incluya: (1) verificación de que se ha implementado un sistema de gestión de riesgos que identifica y mitiga riesgos de sesgo discriminatorio; (2) verificación de que los datos de entrenamiento cumplen con requisitos de calidad (representatividad, ausencia de sesgos); (3) verificación de que se ha preparado documentación técnica completa; (4) verificación de que se han implementado mecanismos de transparencia que informan a solicitantes sobre factores clave en la decisión; (5) verificación de que se ha implementado supervisión humana que permite a oficiales de crédito revisar y anular decisiones del sistema; (6) pruebas de precisión, robustez y ciberseguridad del sistema.
Requisitos de Transparencia (Artículo 13)
El Artículo 13 requiere que los proveedores de sistemas de alto riesgo proporcionen información clara y comprensible a los desplegadores sobre el sistema, incluida su funcionalidad prevista, limitaciones conocidas, requisitos de entrada y salida, y requisitos de supervisión humana. Esta información debe ser proporcionada en un formato que sea fácil de entender para personas sin experiencia técnica.
Requisitos de Supervisión Humana (Artículo 14)
El Artículo 14 requiere que los proveedores de sistemas de alto riesgo diseñen e implementen mecanismos de supervisión humana que permitan a los desplegadores entender cómo funciona el sistema y tomar decisiones informadas sobre su uso. Los mecanismos de supervisión humana deben permitir que los desplegadores: (1) entiendan las decisiones y predicciones del sistema; (2) intervengan o anulen las decisiones del sistema cuando sea necesario; (3) monitoreen el desempeño del sistema en el mundo real.
Requisitos de Precisión, Robustez y Ciberseguridad (Artículo 15)
El Artículo 15 requiere que los proveedores de sistemas de alto riesgo garanticen que el sistema es preciso, robusto y seguro. Esto incluye: (1) precisión: el sistema debe producir resultados correctos con la frecuencia esperada; (2) robustez: el sistema debe funcionar correctamente incluso cuando se enfrenta a datos inesperados o condiciones adversas; (3) ciberseguridad: el sistema debe estar protegido contra ataques cibernéticos y manipulación.
| Obligación del Proveedor | Descripción | Artículo | Fecha de Aplicación |
|---|---|---|---|
| Sistema de Gestión de Riesgos | Proceso iterativo para identificar, analizar y mitigar riesgos | 9 | 2 de agosto de 2026 (Anexo III) / 2 de agosto de 2027 (Anexo I) |
| Documentación Técnica | Documentación detallada del sistema, datos, proceso de desarrollo | 11 | 2 de agosto de 2026 (Anexo III) / 2 de agosto de 2027 (Anexo I) |
| Evaluación de Conformidad | Verificación de cumplimiento con requisitos del Reglamento | 12, 43 | 2 de agosto de 2026 (Anexo III) / 2 de agosto de 2027 (Anexo I) |
| Declaración UE de Conformidad | Certificación escrita de cumplimiento | 47 | 2 de agosto de 2026 (Anexo III) / 2 de agosto de 2027 (Anexo I) |
| Marcado CE | Marcado físico indicando cumplimiento | 48 | 2 de agosto de 2026 (Anexo III) / 2 de agosto de 2027 (Anexo I) |
| Transparencia | Información clara a desplegadores sobre funcionalidad y limitaciones | 13 | 2 de agosto de 2026 (Anexo III) / 2 de agosto de 2027 (Anexo I) |
| Supervisión Humana | Mecanismos que permiten a desplegadores entender e intervenir | 14 | 2 de agosto de 2026 (Anexo III) / 2 de agosto de 2027 (Anexo I) |
| Precisión, Robustez, Ciberseguridad | Garantías de desempeño, confiabilidad y seguridad | 15 | 2 de agosto de 2026 (Anexo III) / 2 de agosto de 2027 (Anexo I) |
Deployer Obligations
Los desplegadores (ent
Related guides
Manage your EU AI Act compliance in one place
Confir automates risk classification, technical documentation, and audit trails for any company. No consultants. No 6-month projects. 7-day free trial.
Start free trial →