Plantilla de registro de sistemas de IA: el primer artefacto del cumplimiento del Reglamento de IA
Plantilla lista para copiar: 10 columnas y guía campo por campo, la columna vertebral de los artículos 11 y 12. Plazo de alto riesgo: 2 dic 2027.
Un registro de sistemas de IA es el artefacto fundacional, el primer paso del cumplimiento del Reglamento (UE) 2024/1689: un registro estructurado con una fila por sistema de IA que recoge qué hace cada sistema, quién lo posee, cómo se clasifica y en qué punto de la conformidad se encuentra. Es la capa operativa que vuelve manejables las obligaciones legales, y el primer documento que pide ver una autoridad competente.
El Reglamento (UE) 2024/1689 no impone un único formato legal de registro. Pero el artículo 11 exige que los proveedores de alto riesgo elaboren la documentación técnica conforme al anexo IV, y el artículo 12 obliga a que los sistemas de alto riesgo conserven registros automáticos durante toda su vida útil. No puedes cumplir ninguna de las dos obligaciones sobre un conjunto de sistemas que no has enumerado. El registro es la forma de enumerarlos, clasificarlos y gobernarlos.
Esta página te da una plantilla limpia de diez columnas lista para copiar, una guía campo por campo anclada a los artículos aplicables, un ejemplo resuelto y el panorama de sanciones y plazos tal como está en junio de 2026.
Qué es un registro de sistemas de IA, y por qué va primero
El término preciso: registro, no inventario de almacén
Usa la palabra registro con intención. Un registro es un documento de control disciplinado, una fila por sistema, más acotado y estandarizado que un inventario de IA amplio, de tipo almacén, que barre cada herramienta, integración e instancia de IA en la sombra. El inventario es el ejercicio de descubrimiento; el registro es el artefacto gobernado que produce. El inventario encuentra; el registro gobierna.
Cada fila corresponde a un sistema de IA según la definición del artículo 3(1): un sistema basado en máquinas que infiere, a partir de las entradas que recibe, salidas como predicciones, recomendaciones, decisiones o contenidos. Si una herramienta encaja en esa definición, se gana una fila. Si no, permanece en el inventario más amplio como contexto, pero no satura el registro gobernado.
Por qué es el primer paso
El registro va primero porque toda obligación posterior lo presupone. La clasificación de riesgo del artículo 6, el sistema de gestión de riesgos del artículo 9, la documentación técnica del artículo 11, la conservación de registros del artículo 12 y el registro en la base de datos de la UE del artículo 49 dan por hecho que ya sabes qué sistemas de IA operas y cómo se clasifica cada uno. No puedes acotar obligaciones que no has enumerado.
El registro no es en sí un formato legal, pero es la columna vertebral operativa que hace funcionar el reglamento, y lo primero que pide una autoridad de vigilancia del mercado en el ejercicio de sus competencias de supervisión y acceso (artículos 74-77). La secuencia práctica es: construye un inventario de IA como barrido de descubrimiento y luego destila el registro gobernado a partir de él.
La columna vertebral de la documentación del artículo 11 y la conservación de registros del artículo 12
El registro es el eje del que cuelga el resto de tu base de evidencias de alto riesgo. Dos obligaciones se apoyan directamente en él.
Documentación técnica: artículo 11
El artículo 11 exige que los proveedores de sistemas de IA de alto riesgo elaboren la documentación técnica conforme al anexo IV antes de introducir el sistema en el mercado, y que la mantengan al día. El registro aporta el eje de ese expediente: identidad del sistema, finalidad prevista, rol, clasificación y estado de conformidad se mapean directamente a las secciones del anexo IV. Mantén el registro y el expediente de documentación técnica del artículo 11 en la misma fuente única para que no se desincronicen entre auditorías.
Conservación de registros: artículo 12
El artículo 12 exige que los sistemas de IA de alto riesgo permitan técnicamente el registro automático de eventos —logs— durante toda la vida útil del sistema. El registro es donde documentas que el registro automático está activado, dónde se almacenan los logs y el régimen de conservación. Es el índice de tu evidencia de conservación de registros del artículo 12, no los logs en sí.
Documento vivo, no una instantánea
El registro es un documento vivo. Debe revisarse de nuevo ante una modificación sustancial (artículo 3(23): un cambio que afecte al cumplimiento de los requisitos por el sistema o altere su finalidad prevista), ante un cambio en el contexto de uso, cuando la lista del anexo III se modifique conforme al artículo 7 y tras cualquier incidente grave notificable conforme al artículo 73. Un campo de Fecha de última revisión impone esa cadencia.
Como la documentación del artículo 11 debe reflejar el sistema tal como se introdujo en el mercado, y los logs del artículo 12 corren durante toda la vida útil del sistema, un registro desactualizado es en sí una brecha de cumplimiento. Un sistema actualizado sin la correspondiente revisión del registro y de la documentación es no conforme: la brecha no es la actualización, es el silencio en el expediente.
La plantilla de registro de sistemas de IA (lista para copiar)
Aquí tienes el núcleo universal de diez columnas. Pégalo directamente en un documento markdown, en un wiki o en una hoja de cálculo y empieza a rellenar una fila por sistema.
| Nombre del sistema | Responsable | Finalidad prevista (art. 3) | Rol proveedor/responsable del despliegue | Nivel de riesgo (art. 6 / anexo III) | Categorías de datos personales | Modelo de terceros / dependencia de GPAI | Estado de despliegue | Estado de conformidad | Fecha de última revisión |
| ------------------ | ----------- | --------------------------- | ---------------------------------------- | ------------------------------------ | ------------------------------ | ---------------------------------------- | -------------------- | --------------------- | ------------------------ |
| | | | | | | | | | |
Mantén el registro central en estas diez columnas. Las organizaciones con sistemas de alto riesgo lo ampliarán con un puñado de campos específicos de alto riesgo —Subpunto del anexo III, Exención del artículo 6(3) invocada, Estado de la EIDF (artículo 27) y Fecha de registro del artículo 49—, pero el núcleo de diez columnas es el punto de partida universal para cualquier conjunto de sistemas.
Dos reglas rigen el comportamiento de las filas:
- Una fila por sistema distinto en una cadena de versión. Una versión modificada sustancialmente genera una nueva fila vinculada en lugar de sobrescribir la anterior, de modo que el historial de cambios sobrevive.
- La plantilla vacía es inútil sin gobernanza. El valor está en la disciplina de campos que sigue, no en las columnas en sí. Un registro que nadie posee y nadie revisa es una hoja de cálculo, no un control.
Guía campo por campo
Cada columna lleva una referencia a un artículo porque cada columna hace trabajo regulatorio. Rellénalas con ese trabajo en mente.
Identidad y titularidad
- Nombre del sistema. El nombre interno más cualquier nombre comercial o de producto. Una fila por sistema distinto, versionada cuando una entrega cambie de forma sustancial la funcionalidad.
- Responsable. Una persona concreta y responsable, no un equipo. Es quien responde de la exactitud de la fila y de activar las revisiones, y la persona a la que un auditor escala. «El equipo de datos» no es un responsable; «la responsable de RR. HH.» sí.
Finalidad, rol y nivel de riesgo
- Finalidad prevista (art. 3). Una descripción precisa de lo que hace el sistema, el tipo de decisión (ordenación, predicción, clasificación, generación) y la población afectada. Este texto alimenta directamente el artículo 11 / anexo IV e impulsa la clasificación del artículo 6, así que escríbelo como si lo fuera a leer un regulador, porque podría hacerlo.
- Rol proveedor/responsable del despliegue. Selecciona el rol bajo el reglamento: proveedor (artículo 16), responsable del despliegue (artículo 26), importador (artículo 23) o distribuidor (artículo 24). Conforme al artículo 25, comercializar un sistema de un tercero bajo tu propia marca, modificarlo sustancialmente o cambiar su finalidad prevista te convierte a ti en el proveedor. La mayoría de las empresas que usan herramientas de terceros son responsables del despliegue; los proveedores SaaS que incorporan funciones de IA son proveedores.
- Nivel de riesgo (art. 6 / anexo III). Uno de estos: prohibido (artículo 5), alto riesgo (artículo 6 con anexo III o anexo I), riesgo limitado (transparencia del artículo 50) o mínimo. Para el alto riesgo vía artículo 6(2), registra el punto concreto del anexo III; por ejemplo,
anexo III, punto 5(b)para la evaluación de solvencia, no el vago «categoría 5». La precisión aquí es lo que hace defendible la clasificación de riesgo.
Datos, dependencias y campos de estado
- Categorías de datos personales. Las categorías tratadas: nombre, biométricos, salud, ubicación, comportamiento. Es la referencia cruzada con tu registro de actividades del artículo 30 del RGPD y el disparador para decidir si hace falta una EIPD (artículo 35 del RGPD) o una EIDF (artículo 27).
- Modelo de terceros / dependencia de GPAI. Nombra el modelo subyacente y su proveedor cuando el sistema se construye sobre un modelo de IA de uso general. Registra si has recibido la documentación posterior del anexo XII del proveedor de GPAI conforme al artículo 53.
- Estado de despliegue. Desarrollo / Piloto / Producción / Retirado. Los sistemas de alto riesgo en desarrollo deben ya estar rastreados, porque la documentación del artículo 11 tiene que estar lista antes de la introducción en el mercado, no añadirse después.
- Estado de conformidad. No iniciado / En curso / Completo / Caducado. La evaluación de la conformidad del artículo 43 debe completarse antes de introducir en el mercado un sistema de alto riesgo: la vía de autoevaluación del anexo VI para la mayoría de los puntos del anexo III, la vía del organismo notificado del anexo VII para la biometría del anexo III, punto 1.
- Fecha de última revisión. La fecha en que se verificó por última vez la fila, con la próxima revisión programada. Una fecha de revisión vencida sin actualización es una brecha de cumplimiento documentada: peor que no tener fecha, porque demuestra que lo sabías.
Ejemplo resuelto: una fila de registro completa
Una plantilla es abstracta hasta que la rellenas. Aquí tienes una fila de alto riesgo completa para una herramienta de cribado de currículums:
| Nombre del sistema | Responsable | Finalidad prevista (art. 3) | Rol proveedor/responsable del despliegue | Nivel de riesgo (art. 6 / anexo III) | Categorías de datos personales | Modelo de terceros / dependencia de GPAI | Estado de despliegue | Estado de conformidad | Fecha de última revisión |
| ------------------ | -------------------- | -------------------------------------------------------- | ---------------------------------------- | ------------------------------------ | -------------------------------------------------- | ---------------------------------------- | -------------------- | ------------------------------------------------ | ------------------------ |
| TalentRank v2.1 | Responsable de RR. HH.| Ordena a los candidatos para la preselección en selección | Responsable del despliegue (art. 26) | Alto riesgo — anexo III, punto 4(a) | nombre, historial laboral, idoneidad inferida | ninguno / modelo gradient-boosted propio | Producción | Autoevaluación del proveedor completa (anexo VI) | 2026-05-15 |
Cómo leer una entrada rellena
Esa única fila responde simultáneamente a cuatro preguntas:
- La clasificación del artículo 6. La ordenación en selección encaja en el anexo III, punto 4(a), así que el nivel es alto riesgo: la clasificación está resuelta y registrada.
- El alcance de la documentación del artículo 11. El texto de finalidad prevista y el rol te dicen exactamente qué expediente del anexo IV debe existir.
- Un indicador de EIDF del artículo 27. Una EIDF no es automática en selección de personal, pero un sistema que elabora perfiles de personas físicas nunca opta a la exención de tarea acotada del artículo 6(3), de modo que la exención no puede invocarse para descartarla, y la cuestión de la EIDF debe evaluarse, no presumirse.
- El requisito de registro automático del artículo 12. Un sistema de alto riesgo en producción debe tener el registro automático activado e indexado.
Por qué importa la motivación de la clasificación
Contrasta eso con una fila de bajo impacto. Un asistente interno de redacción aterriza en mínimo, pero aun así se gana una fila, porque una clasificación es una conclusión que documentas, no una suposición que haces. La fila del registro recoge la motivación de la clasificación y la fecha en que se alcanzó. Esa motivación es el artefacto que entregas a una autoridad competente si alguna vez se cuestiona tu nivel; sin ella, argumentas de memoria.
Sanciones y el plazo de alto riesgo (a junio de 2026)
Un registro inexacto o desactualizado no es un problema cosmético. Genera una exposición sancionadora real y socava la base de evidencias que sustenta las obligaciones de alto riesgo más amplias.
Los tres niveles de sanción: artículo 99
| Nivel | Multa máxima | Qué cubre |
|---|---|---|
| Artículo 99(3) | 35 000 000 € o el 7 % del volumen de negocios anual mundial total | Infracciones de prácticas prohibidas del artículo 5 |
| Artículo 99(4) | 15 000 000 € o el 3 % del volumen de negocios anual mundial total | Incumplimiento de la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo que sustenta tu registro |
| Artículo 99(5) | 7 500 000 € o el 1 % del volumen de negocios anual mundial total | Facilitar información incorrecta, incompleta o engañosa a organismos notificados o autoridades competentes |
El nivel más bajo es el 1 %, nunca el 1,5 %. Y conforme al artículo 99(6), las multas para pymes y empresas emergentes se limitan proporcionalmente a la cuantía menor entre el porcentaje y el importe fijo, así que las empresas más pequeñas no deben dar por hecho que las cifras de cabecera se aplican sin cambios.
Dónde muerde el registro: un registro inexacto o desactualizado es precisamente el tipo de información incorrecta o incompleta que activa el nivel del artículo 99(5) cuando se comparte con una autoridad, y socava la base de evidencias de los artículos 11/12 que respalda la exposición mayor del artículo 99(4).
La advertencia del Ómnibus Digital
El Ómnibus Digital alcanzó un acuerdo político provisional el 6-7 de mayo de 2026, con el texto del COREPER confirmado en torno al 13 de mayo de 2026. Acordó aplazar las obligaciones autónomas de alto riesgo del anexo III (artículo 6(2)) del 2 de agosto de 2026 al 2 de diciembre de 2027, y las obligaciones de alto riesgo integradas en productos del anexo I (artículo 6(1)) del 2 de agosto de 2027 al 2 de agosto de 2028.
La advertencia crítica: a junio de 2026 este aplazamiento está acordado pero aún no es ley. Todavía requiere una votación en el pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial. Hasta que eso ocurra, el texto vigente sigue fijando el 2 de agosto de 2026 para las obligaciones de alto riesgo del anexo III. Planifica frente a la fecha anterior hasta que la nueva entre realmente en vigor.
No todo se movió. Las prohibiciones del artículo 5 se aplican desde el 2 de febrero de 2025; las obligaciones de GPAI de los artículos 51-55, desde el 2 de agosto de 2025; y se añadió un nuevo plazo fijo del 2 de diciembre de 2026 (la prohibición de material de abuso sexual infantil / «desnudadores» más el marcado de contenidos del artículo 50). Son fechas de calendario fijas: la propuesta de «parar el reloj», que habría ligado el retraso a la disponibilidad de normas armonizadas, fue rechazada, así que nunca describas el calendario como dependiente de las normas.
Cómo el registro sustenta las auditorías y el registro del artículo 49
El papel de preparación ante auditorías
El registro es el primer documento que pide una autoridad de vigilancia del mercado. Demuestra que has enumerado, clasificado y asignado titularidad de cada sistema de IA antes de que examine ninguno en concreto (competencias de supervisión y acceso de los artículos 74-77). Una organización que presenta un registro limpio a requerimiento transmite control; la que se afana por improvisar una lista transmite lo contrario.
Alimentar la base de datos del artículo 49
Para los sistemas de alto riesgo, el registro aporta los datos estructurados que se presentan a la base de datos de la UE conforme al artículo 49: los proveedores deben registrarse antes de introducir un sistema de alto riesgo en el mercado, y los proveedores que invocan la exención del artículo 6(3) también deben registrarse. La base de datos en sí se establece conforme al artículo 71. Cuanto más limpios sean los campos de tu registro, menos retrabajo cuesta la presentación del artículo 49.
Control de versiones y registros de cambios
Cada fila necesita un registro de cambios inmutable: quién cambió qué campo, cuándo y por qué. Esa traza de auditoría, no la instantánea actual, es lo que prueba que una clasificación se hizo en una fecha dada y no se retrodató. La revisión trimestral es el mínimo práctico; los sistemas de alto riesgo en producción merecen una comprobación operativa mensual de logs, registros de supervisión y estado de incidentes, todo reflejado en el campo de Fecha de última revisión.
Por último, los registros distribuidos y sin titular fallan en la auditoría. Designa a un único responsable a nivel de organización —el responsable de cumplimiento, el DPD o el líder de gobernanza de IA— para el registro en su conjunto, con responsables de cada sistema que certifiquen sus propias filas en cada ciclo.
Cómo ayuda Confir
Confir construye y mantiene automáticamente tu registro de sistemas de IA a medida que incorporas sistemas. Respondes a escenarios en lenguaje natural sobre cada sistema, y el motor determinista y basado en reglas de Confir deduce el rol (proveedor artículo 16 / responsable del despliegue artículo 26 / importador artículo 23 / distribuidor artículo 24) y el nivel de riesgo (prohibido / alto / limitado / mínimo) en unos pocos pasos, no en un cuestionario legal de 40 preguntas.
La clasificación aplica la misma lógica siempre: las mismas entradas producen siempre el mismo nivel y la misma motivación citada, sin inferencia de modelos y sin alucinaciones. Esa reproducibilidad es justo lo que hace que un registro sea defendible ante una autoridad competente.
Una sola entrada alimenta luego todo lo posterior: el registro de riesgos de IA del artículo 9, el paquete de documentación técnica del artículo 11 / anexo IV, el índice de registro automático del artículo 12 y los datos de registro del artículo 49, todo conservado en una única fuente para que no se desincronicen. Cada cambio de campo se escribe en un registro de auditoría inmutable y con marca temporal, de modo que la cadencia de revisión de documento vivo y el historial de cambios que espera el reglamento se mantienen sin consultores y sin un proyecto de implantación. Si empiezas desde cero, la plantilla de inventario de IA es el complemento de descubrimiento que alimenta el registro.
Preguntas frecuentes
¿Qué es un registro de sistemas de IA bajo el Reglamento de IA?
Es un registro interno estructurado, con una fila por sistema de IA, que recoge el nombre de cada sistema, su responsable, su finalidad prevista, el rol de proveedor o responsable del despliegue, el nivel de riesgo, los datos, las dependencias y el estado de conformidad. El Reglamento (UE) 2024/1689 no impone un formato fijo, pero el registro es la columna vertebral práctica de la documentación técnica del artículo 11 y de la conservación de registros del artículo 12.
¿Es legalmente obligatorio un registro de sistemas de IA?
No existe un único formato legal de registro, pero es obligatorio en la práctica. Los proveedores deben elaborar la documentación técnica del artículo 11 y activar el registro automático del artículo 12 antes de introducir un sistema de alto riesgo en el mercado, y demostrar el cumplimiento a las autoridades conforme a los artículos 74-77. No puedes cumplir esas obligaciones sobre varios sistemas sin un registro mantenido.
¿Cuál es la diferencia entre un inventario de IA y un registro de sistemas de IA?
Un inventario de IA es el barrido amplio de descubrimiento que saca a la luz cada herramienta, integración e instancia de IA en la sombra. El registro de sistemas de IA es el artefacto de control gobernado, una fila por sistema, destilado a partir de él: el expediente clasificado, con titular y con control de versiones que alimenta la documentación del artículo 11, el registro del artículo 49 y las auditorías. El inventario encuentra; el registro gobierna.
¿Qué columnas debe tener un registro de sistemas de IA?
Como mínimo diez: nombre del sistema, responsable, finalidad prevista (artículo 3), rol de proveedor o responsable del despliegue, nivel de riesgo (artículo 6 / anexo III), categorías de datos personales, modelo de terceros o dependencia de GPAI, estado de despliegue, estado de conformidad y fecha de última revisión. Las organizaciones con sistemas de alto riesgo lo amplían con el subpunto del anexo III, el estado de la EIDF y la fecha de registro del artículo 49.
¿Cuándo es el plazo de alto riesgo del Reglamento de IA?
El Ómnibus Digital acordó en mayo de 2026 aplazar las obligaciones autónomas de alto riesgo del anexo III al 2 de diciembre de 2027, y las de alto riesgo integradas en productos del anexo I al 2 de agosto de 2028. A junio de 2026 esto está acordado pero aún no es ley —pendiente de una votación en el Parlamento, la adopción del Consejo y la publicación en el Diario Oficial—, así que el texto vigente sigue fijando el 2 de agosto de 2026 para el alto riesgo del anexo III hasta entonces.
¿Cuáles son las sanciones por incumplir el Reglamento de IA?
Tres niveles conforme al artículo 99: hasta 35 000 000 € o el 7 % del volumen de negocios mundial por prácticas prohibidas (artículo 99(3)); hasta 15 000 000 € o el 3 % por la mayoría de los demás incumplimientos de obligaciones (artículo 99(4)); y hasta 7 500 000 € o el 1 % por facilitar información incorrecta o engañosa a las autoridades (artículo 99(5)). Las pymes y empresas emergentes tienen un límite proporcional conforme al artículo 99(6).
¿Puedo mantener mi registro de sistemas de IA en una hoja de cálculo?
Sí, al principio, para un conjunto pequeño sin sistemas de alto riesgo. Las hojas de cálculo fallan al escalar: no imponen la lógica de clasificación, no enlazan con la documentación del artículo 11 ni prueban cuándo se introdujo una entrada. Una hoja de cálculo sin marcas temporales no puede demostrar que una clasificación no se retrodató, algo que importa en cuanto una autoridad competente revisa tus registros.
Guías relacionadas
- build an AI inventory
- the AI inventory template
- the AI risk register
- Article 11 technical documentation
- Article 12 record-keeping
- risk classification
Última revisión: junio de 2026. Cita el Reglamento (UE) 2024/1689 (Reglamento de IA).
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →