Skip to content
Confir.
Prueba gratuita
Blog

Plantilla de política de uso de IA: un punto de partida compacto para el cumplimiento de la Ley de IA de la UE

Template15 April 2026· 17 min de lectura

Una plantilla de política de uso de IA para rellenar que cubre las prohibiciones del artículo 5, el control de la IA en la sombra, la supervisión del artículo 14, la información del artículo 50 y la alfabetización del artículo 4.

Una política de IA no es un entregable legal con arreglo a la Ley de IA de la UE — el Reglamento no le entrega una plantilla para firmar y archivar. Lo que hace es imponer obligaciones que, en su conjunto, solo cobran sentido si alguien ha puesto por escrito las reglas: quién puede utilizar qué herramientas, qué está terminantemente prohibido, quién aprueba los nuevos sistemas y quién es responsable cuando algo sale mal. Esta plantilla le ofrece las doce secciones que cubren ese terreno. Un revisor jurídico competente debería adaptarla a su jurisdicción antes de su entrada en vigor.

Para un programa de cumplimiento completo — la versión de 12 secciones, con las obligaciones asignadas, que cubre la documentación de alto riesgo, los expedientes técnicos y las pilas completas de obligaciones del proveedor/responsable del despliegue —, consulte la plantilla detallada de política de cumplimiento de IA. Para el software y el flujo de trabajo que mantiene actualizada una política viva, consulte la guía de gestión de políticas de IA. Esta página es el artefacto más ligero: una plantilla para rellenar que una pyme puede adoptar en una tarde y refinar con el tiempo.

La plantilla

1. Finalidad y alcance

Finalidad. Esta política rige cómo [Nombre de la organización] desarrolla, adquiere, despliega y utiliza sistemas de inteligencia artificial. Existe para garantizar el cumplimiento del Reglamento (UE) 2024/1689 (la Ley de IA de la UE), para satisfacer la obligación de alfabetización en materia de IA con arreglo al artículo 4, para apoyar el sistema de gestión de la calidad cuando se aplique el artículo 17 y para proteger al personal, a los clientes y a terceros de los perjuicios relacionados con la IA.

Alcance. Esta política se aplica a todos los empleados, contratistas y terceros que actúan en nombre de [Nombre de la organización] que desarrollan, adquieren, integran o utilizan cualquier sistema de IA en un contexto profesional. Cubre los sistemas de IA suministrados por terceros y cualquier sistema desarrollado internamente.

Definición de sistema de IA. A los efectos de esta política, «sistema de IA» tiene el significado del artículo 3, punto 1, de la Ley de IA de la UE: un sistema basado en una máquina, diseñado para funcionar con distintos niveles de autonomía y que, para objetivos explícitos o implícitos, infiere de la información de entrada cómo generar información de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos o virtuales.

2. A quién cubre esta política

Esta política vincula a todos los que utilizan, construyen, adquieren o gestionan sistemas de IA bajo la autoridad de [Nombre de la organización]. Esto incluye a:

  • Todos los empleados y personas en comisión de servicios
  • Contratistas, consultores y autónomos que trabajan en proyectos de [Nombre de la organización]
  • Socios terceros con acceso a los sistemas o datos de [Nombre de la organización] cuando interviene la IA

Las personas que tengan conocimiento de un uso de IA no cubierto por esta política deben escalarlo al Responsable de Gobernanza de la IA (sección 12) en lugar de proceder de forma independiente.

3. Usos aprobados y prohibidos

Usos aprobados. Solo podrán utilizarse con fines profesionales los sistemas de IA enumerados en el Registro de Sistemas Aprobados (mantenido por [Rol/Función]). El uso de cualquier herramienta de IA que no figure en el registro — a menudo denominada IA en la sombra — no está permitido hasta que se haya completado una revisión y aprobación formales. Los equipos que identifiquen una nueva herramienta que deseen utilizar deben presentar una solicitud de admisión al Responsable de Gobernanza de la IA antes del despliegue.

Usos prohibidos — artículo 5. Las siguientes prácticas están prohibidas dentro de [Nombre de la organización] y han quedado prohibidas con arreglo al artículo 5 de la Ley de IA de la UE desde el 2 de febrero de 2025. El incumplimiento de cualquier prohibición es un asunto disciplinario y, para la organización, conlleva una sanción máxima de 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total (si esta última cifra es mayor) con arreglo al artículo 99.

  • Técnicas de IA que manipulan el comportamiento mediante medios subliminales o que explotan las vulnerabilidades de grupos específicos (artículo 5, apartado 1, letras a) y b))
  • Sistemas de categorización biométrica que infieren características sensibles (raza, opiniones políticas, convicciones religiosas, orientación sexual) con fines no permitidos por la legislación aplicable (artículo 5, apartado 1, letra g))
  • Puntuación social de personas por parte de las autoridades públicas (artículo 5, apartado 1, letra c))
  • Vigilancia policial predictiva basada únicamente en la elaboración de perfiles sin motivos fácticos objetivos (artículo 5, apartado 1, letra d))
  • Extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión para crear bases de datos de reconocimiento facial (artículo 5, apartado 1, letra e))
  • Reconocimiento de emociones en el lugar de trabajo o en entornos educativos (artículo 5, apartado 1, letra f)) — las excepciones por motivos de seguridad solo se aplican cuando la ley las permite explícitamente
  • Identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo en las estrechas circunstancias legalmente autorizadas (artículo 5, apartado 1, letra h))

Si hay alguna duda sobre si un uso previsto podría entrar dentro de estas categorías, debe consultarse al Responsable de Gobernanza de la IA antes de proceder.

4. Admisión y aprobación de nuevas herramientas de IA (control de la IA en la sombra)

Antes de utilizar cualquier nuevo sistema de IA con fines profesionales, debe completarse y revisarse un breve formulario de admisión. La admisión recoge: el nombre del sistema y el proveedor, el uso previsto, las categorías de datos que tratará y si el uso podría situar el sistema en una categoría del Anexo III (véase la sección 5).

El Responsable de Gobernanza de la IA revisa la admisión en un plazo de [X] días laborables y devuelve uno de tres resultados: aprobado (añadido al Registro de Sistemas Aprobados), aprobado con condiciones pendientes (p. ej., restricciones de datos, requisitos de formación) o rechazado con motivos por escrito.

Este proceso se aplica al uso de prueba y a los pilotos, no solo a los despliegues en producción. Un empleado que descarga una nueva herramienta de productividad con IA para un piloto no supervisado no está exento.

5. Clasificación de riesgo — artículo 6 y desencadenante del Anexo III

Todo sistema de IA que pueda entrar dentro de las ocho categorías del Anexo III debe escalarse para una evaluación de clasificación formal antes de su uso. Las categorías del Anexo III son:

  1. Biometría
  2. Componentes de seguridad de infraestructuras críticas
  3. Educación y formación profesional
  4. Empleo, gestión de los trabajadores y acceso al autoempleo
  5. Acceso a servicios privados y públicos esenciales (incluidas la solvencia y la fijación de precios de seguros de vida y de salud)
  6. Garantía del cumplimiento del Derecho
  7. Migración, asilo y control fronterizo
  8. Administración de justicia y procesos democráticos

Si un sistema entra dentro de uno de estos ámbitos, el artículo 6 determina si es de alto riesgo. El filtro del artículo 6, apartado 3, puede excluir los sistemas que desempeñan únicamente tareas procedimentales limitadas o que no plantean un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — pero esa evaluación debe documentarse, no presuponerse.

La clasificación de alto riesgo activa toda la pila de obligaciones de los artículos 9 a 15, 26 y 43 (y, para los proveedores, los artículos 16 y 17). Los resultados de la clasificación se consignan en el expediente de cumplimiento del sistema de IA.

6. Tratamiento de datos y RGPD

Los sistemas de IA que tratan datos personales deben tener una base jurídica con arreglo al RGPD y una entrada correspondiente en el Registro de las Actividades de Tratamiento (RAT). El uso de la IA no crea una base jurídica separada — debe encajar en una existente (consentimiento, contrato, interés legítimo, obligación legal, etc.).

Se aplica la minimización de datos: no introduzca más datos personales de los que el sistema necesite para su finalidad especificada. Las categorías sensibles de datos (artículo 9 del RGPD: salud, biometría, opiniones políticas, etc.) requieren la autorización explícita del delegado de protección de datos antes de su uso en cualquier sistema de IA.

Cuando un sistema de IA active la necesidad de una evaluación de impacto relativa a la protección de datos (EIPD) con arreglo al artículo 35 del RGPD, esa evaluación debe completarse antes del despliegue. Los sistemas de IA de alto riesgo que además tratan datos personales y son utilizados por organismos públicos o determinados responsables del despliegue (Anexo III, 5, letra b)/5, letra c)) también pueden requerir una evaluación de impacto relativa a los derechos fundamentales con arreglo al artículo 27 de la Ley de IA de la UE — la EIDF puede apoyarse en una EIPD existente (artículo 27, apartado 4).

7. Supervisión humana — artículo 14

Todo sistema de IA de alto riesgo utilizado por [Nombre de la organización] debe tener un rol de supervisión humana nombrado. Esa persona debe:

  • Tener una comprensión suficiente de las capacidades y limitaciones del sistema
  • Ser capaz de vigilar los resultados e identificar anomalías, sesgos o resultados inesperados
  • Tener autoridad para anular, suspender o detener la influencia de los resultados del sistema en cualquier decisión
  • Documentar las intervenciones significativas

Las decisiones automatizadas que producen efectos jurídicos o de modo similar significativos sobre las personas requieren una revisión humana antes de que la decisión se comunique, salvo que el sistema se haya aprobado específicamente para el tratamiento automatizado tanto con arreglo a la Ley de IA de la UE como al artículo 22 del RGPD. Toda exención de la revisión humana debe documentarse y ser aprobada por el Responsable de Gobernanza de la IA.

8. Transparencia e información — artículo 50

El artículo 50 se aplica desde el 2 de agosto de 2026. A partir de esa fecha, [Nombre de la organización] debe informar a las personas cuando están:

  • Interactuando con un sistema de IA en lugar de con un humano (chatbots, asistentes virtuales) — artículo 50, apartado 1
  • Sujetas a reconocimiento de emociones o categorización biométrica — artículo 50, apartado 3
  • Recibiendo contenido que ha sido generado o manipulado sustancialmente por IA (ultrafalsificaciones, audio/vídeo sintéticos) — artículo 50, apartado 4

El contenido generado por IA de uso interno utilizado únicamente dentro de la organización no activa las obligaciones de información, pero la distinción debe documentarse. La información debe facilitarse, a más tardar, en la primera interacción y debe presentarse de forma clara y accesible (artículo 50, apartado 5).

9. Alfabetización en materia de IA — artículo 4

El artículo 4 se aplica desde el 2 de febrero de 2025. Exige que los proveedores y los responsables del despliegue adopten medidas para garantizar un nivel suficiente de alfabetización en materia de IA entre su personal y, cuando proceda, los responsables del despliegue. No se exige ninguna certificación específica, pero la obligación debe ser demostrable.

[Nombre de la organización] cumple esta obligación mediante:

  • Formación básica de alfabetización en materia de IA para todo el personal que utiliza IA en un contexto profesional (con registro de finalización)
  • Formación específica por rol para el personal en roles de supervisión de la IA, adquisición de IA y funciones de cumplimiento
  • Reciclaje anual, anticipado si se producen cambios regulatorios materiales
  • Formación de incorporación para los nuevos empleados antes de concederles acceso a los sistemas de IA

Los registros de formación los mantiene [la función de RR. HH./Cumplimiento] y están disponibles para auditoría.

10. Registro y escalado de incidentes

Registro. Los sistemas de IA de alto riesgo deben mantener registros de su funcionamiento suficientes para identificar las entradas y salidas a efectos de responsabilidad. Los registros del responsable del despliegue deben conservarse durante al menos 6 meses (artículo 26). La documentación técnica de los sistemas de alto riesgo tiene un requisito de conservación de 10 años (artículo 18).

Incidentes. Un incidente de IA es todo suceso en el que un sistema de IA produce un resultado — o no produce un resultado esperado — que causa o corre el riesgo de causar un perjuicio a las personas, a la organización o a terceros. Todo el personal está obligado a notificar de inmediato al Responsable de Gobernanza de la IA los presuntos incidentes de IA.

El Responsable de Gobernanza de la IA evalúa si el incidente es un «incidente grave» con arreglo al artículo 3, punto 49, de la Ley de IA de la UE. Para los proveedores, los incidentes graves deben notificarse a la autoridad de vigilancia del mercado pertinente dentro de los plazos del artículo 73 (15 días en la mayoría de los casos; 2 días en caso de infraestructuras críticas o infracción generalizada; 10 días cuando se haya producido un fallecimiento). Los responsables del despliegue deben notificar al proveedor y, cuando se requiera, a la autoridad pertinente con arreglo al artículo 26.

11. Cadencia de revisión

Esta política se revisa anualmente como mínimo. Se requiere una revisión desencadenada cuando:

  • Se produce un cambio regulatorio material (nuevas orientaciones de la Oficina de IA, modificaciones del Ómnibus Digital o equivalentes)
  • La cartera de sistemas de IA de la organización cambia significativamente (nuevo sistema de alto riesgo, nuevo uso del Anexo III)
  • Se ha producido un incidente grave y una revisión de la causa raíz justifica actualizaciones de la política
  • Una autoridad de vigilancia del mercado emite orientaciones pertinentes para el uso de la IA de la organización

El Responsable de Gobernanza de la IA es titular de la revisión; la aprobación recae en [la alta dirección/el consejo de administración].

12. Roles

RolResponsabilidad
Responsable de Gobernanza de la IAResponsabilidad general de esta política y del Registro de Sistemas Aprobados; punto de escalado; triaje de incidentes; aprobación de la clasificación
Delegado de Protección de DatosIntersección RGPD/Ley de IA; aprobación de la EIPD y la EIDF; mantenimiento del RAT
Contactos de IA de las unidades de negocioPresentación de admisiones del día a día, identificación de la IA en la sombra y mantenimiento de las disposiciones de supervisión dentro de su función
Todo el personalCumplimiento de esta política; escalado de incidentes y posibles usos prohibidos; finalización de la formación requerida

Encuadre honesto: qué es y qué no es una política

Una política es buena gobernanza. Apoya el SGC del artículo 17 (para los proveedores), satisface la obligación de alfabetización del artículo 4 para todos y proporciona un registro de intención y controles listo para auditoría. No es un entregable legal por derecho propio — el Reglamento no le exige producir un documento titulado «Política de IA». Pero es la columna vertebral práctica de casi todo lo que el Reglamento sí exige.

Para los responsables del despliegue que utilizan herramientas de IA de terceros (la situación en la que se encuentra la mayoría de las empresas), una política es especialmente valiosa porque las obligaciones del responsable del despliegue con arreglo al artículo 26 — supervisión, seguimiento de incidentes, conservación de registros, seguimiento de instrucciones — solo pasan a ser exigibles internamente una vez que se ponen por escrito y se comunican.

Para los proveedores de sistemas de alto riesgo, una política es la capa de gobernanza sin la cual el SGC del artículo 17 carece de autoridad organizativa. Debe aprobarse formalmente a nivel de alta dirección y revisarse al compás del ciclo de vida del sistema.

Cómo ayuda Confir

Una política solo es tan buena como el inventario de sistemas y las decisiones de clasificación que la sustentan. Dos cosas deben estar bien antes de que cualquiera de las secciones anteriores tenga verdadero peso: necesita saber qué sistemas de IA están en el ámbito y necesita saber cuál es el nivel de riesgo de cada uno.

La admisión basada en reglas de Confir ejecuta listas de comprobación estructuradas que identifican cada sistema de IA que su organización construye o despliega, deriva el nivel de riesgo de cada sistema con arreglo a los artículos 5 y 6 con la lógica del Anexo III y consigna los resultados en un registro de auditoría inmutable — proporcionando el Registro de Sistemas Aprobados y los registros de clasificación que exigen las secciones 4 y 5 de esta política. La misma admisión alimenta la EIDF del artículo 27 y la documentación técnica del artículo 11 / Anexo IV para los sistemas de alto riesgo.

[Comience su evaluación gratuita en confir.eu →]

Preguntas frecuentes

¿Es jurídicamente obligatoria una política de IA con arreglo a la Ley de IA de la UE? No como documento con nombre propio. Pero el artículo 4 (alfabetización en materia de IA), el artículo 17 (SGC para los proveedores de alto riesgo) y el artículo 26 (gobernanza del responsable del despliegue) exigen colectivamente una gobernanza que una política aporta. Tratarla como opcional y no producir ninguna crea una laguna difícil de defender ante un auditor o una autoridad de vigilancia del mercado.

¿Cuál es la diferencia entre esta plantilla y la política detallada de 12 secciones de /ai-compliance/policy-template? La versión detallada es un documento de programa completo con las obligaciones asignadas que cubre toda la pila de alto riesgo — requisitos de documentación técnica, el procedimiento de evaluación de la conformidad, las obligaciones del proveedor con arreglo al artículo 16 y la estructura del SGC con arreglo al artículo 17. Esta plantilla es el artefacto de gobernanza compacto: el documento de reglas que entrega a su organización, no el programa de cumplimiento que entrega a un organismo notificado.

¿Puede una sola política cubrir tanto a los proveedores como a los responsables del despliegue si hacemos ambas cosas? Sí, pero la política debe indicar explícitamente qué secciones se aplican a qué rol. Las obligaciones del proveedor y del responsable del despliegue son distintas (artículos 16 y 26, respectivamente), y algunas organizaciones abarcan ambos roles según el sistema. El artículo 25 explica las circunstancias en las que un responsable del despliegue pasa a ser proveedor — modificación sustancial, reetiquetado con su propio nombre o reutilización de un sistema más allá de su uso previsto.

¿Cuándo se aplica el artículo 4 (alfabetización en materia de IA)? Desde el 2 de febrero de 2025 — ya está vigente. Se aplica a todos los proveedores y responsables del despliegue, con independencia de que sus sistemas de IA sean de alto riesgo. No se exige ningún formato ni certificación específicos, pero debe poder demostrar que el personal pertinente tiene una comprensión suficiente de la IA para desempeñar sus funciones de forma responsable.

¿Cuáles son las sanciones por una infracción de uso prohibido del artículo 5? 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor (artículo 99, apartado 3). Para las pymes y las empresas emergentes, la multa se limita al menor de los dos importes, el porcentaje o la cantidad fija (artículo 99, apartado 6). Este es el nivel sancionador más alto del Reglamento — y las prohibiciones están vigentes desde el 2 de febrero de 2025.

¿Con qué frecuencia debemos actualizar el Registro de Sistemas Aprobados? Cada vez que se apruebe una nueva herramienta de IA para su uso, cada vez que se retire un sistema del servicio y, como mínimo, como parte de la revisión anual de la política. En la práctica, el registro necesita un proceso ligero en tiempo real — las instantáneas trimestrales pasan por alto la IA en la sombra que se acumula entre revisiones.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Template

Plantilla de política de uso de IA para el cumplimiento de la Ley de IA de la UE

Plantilla de política de uso de IA para la Ley de IA de la UE: 12 secciones que abarcan las prácticas prohibidas del Art. 5, la clasificación de riesgo del Art. 6, la supervisión del Art. 14 y los plazos de incidentes del Art. 73.

Template

Declaración UE de conformidad para IA de alto riesgo: el Artículo 47 y el Anexo V explicados

Declaración UE de conformidad para IA de alto riesgo: plantilla del Artículo 47 y del Anexo V, los 7 campos obligatorios, un ejemplo práctico y las reglas de conservación durante 10 años.

Template

Plantilla de documentación técnica del Anexo IV para IA de calificación crediticia

Plantilla práctica del Anexo IV para IA de calificación crediticia con arreglo al Anexo III, punto 5, letra b), de la Ley de IA de la UE. Las 9 áreas de contenido con ejemplos de calificación crediticia. Plazo: 2 dic 2027.