Plantilla de cuestionario para proveedores de IA: diligencia debida de la Ley de IA de la UE para responsables del despliegue
Formule las preguntas correctas antes de incorporar a un proveedor de IA. Más de 35 preguntas asociadas a los Artículos 6, 13, 14, 43, 47, 53, 72, 73 — plazo: 2 de diciembre de 2027.
Antes de firmar un contrato con un proveedor de un sistema de IA, la Ley de IA de la UE crea expectativas claras para usted como responsable del despliegue. En virtud del Artículo 26, debe utilizar el sistema únicamente dentro de su finalidad prevista y verificar que el proveedor ha cumplido sus obligaciones. Para los sistemas de IA de alto riesgo del Anexo III, la documentación técnica del Anexo IV del proveedor es su prueba de cumplimiento principal. Un cuestionario de seguridad informática estándar no le proporcionará nada de eso.
Esta plantilla organiza las preguntas que un responsable del despliegue debe formular en ocho temas que se asocian a las obligaciones del Reglamento sobre los proveedores. Para los sistemas de IA de alto riesgo, envíe la plantilla completa y solicite pruebas documentales — no declaraciones. Para las herramientas de riesgo mínimo o limitado, las secciones 1, 2 y 4 suelen ser suficientes.
Una nota de enfoque: esto es diligencia debida del responsable del despliegue, no una lista de «obligaciones del proveedor» legales. El Reglamento impone obligaciones a los proveedores (Artículo 16), los responsables del despliegue (Artículo 26), los importadores (Artículo 23) y los distribuidores (Artículo 24) — «vendedor» no es una categoría jurídica. Cuando envía estas preguntas, está ejerciendo su derecho, y su responsabilidad, de verificar que el proveedor ha hecho lo que la ley exige.
El plazo de cumplimiento para los sistemas autónomos de alto riesgo del Anexo III es el 2 de diciembre de 2027, ampliado respecto de la fecha original de agosto de 2026 en virtud del acuerdo político del Ómnibus Digital de mayo de 2026. La IA de alto riesgo integrada en productos regulados del Anexo I se aplica a partir del 2 de agosto de 2028. El incumplimiento de las obligaciones del proveedor y del responsable del despliegue conlleva una multa máxima de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4).
1. Clasificación y rol — ¿Es el sistema de alto riesgo?
En virtud del Artículo 6, un sistema es de alto riesgo si entra dentro de uno de los ocho ámbitos de casos de uso del Anexo III y no se aplica la exención del Artículo 6, apartado 3. Esa exención elimina la condición de alto riesgo únicamente cuando el sistema desempeña una tarea procedimental limitada, mejora una actividad humana previamente realizada, detecta patrones sin influir en la evaluación humana o realiza un trabajo preparatorio — y nunca se aplica a un sistema que elabora perfiles de personas físicas.
| # | Pregunta |
|---|---|
| 1.1 | ¿Cuál es el nombre completo del sistema, su versión y el nombre jurídico de la organización que lo introduce en el mercado de la UE? |
| 1.2 | ¿Ha realizado su organización una clasificación formal en virtud del Artículo 6 y el Anexo III? ¿Cuál es el resultado — prohibido, alto riesgo, riesgo limitado o riesgo mínimo — y cuál es la justificación por escrito? |
| 1.3 | Si es de alto riesgo: ¿qué epígrafe del Anexo III se aplica y qué subpunto concreto (p. ej., punto 4, letra a), para el cribado automatizado de currículos; punto 5, letra b), para la calificación crediticia)? |
| 1.4 | ¿Incorpora el sistema alguna práctica prohibida en virtud del Artículo 5 — incluidas la identificación biométrica remota en tiempo real en espacios públicos, la puntuación social, la manipulación subliminal o el reconocimiento de emociones en entornos laborales o educativos? Confirme sí / no / no aplicable con una breve explicación. |
| 1.5 | ¿Es su organización el proveedor de este sistema (Artículo 16), o es usted responsable del despliegue de un sistema de un tercero? Si es lo segundo, ¿quién es el proveedor y cómo se abordan sus obligaciones del Artículo 16? |
| 1.6 | ¿Se ha modificado la finalidad prevista del sistema desde su introducción inicial en el mercado? ¿Quién determinó si esa modificación era «sustancial» en virtud del Artículo 3, punto 23, y cuál fue el resultado? |
La trampa del Artículo 25. Si su organización pone su propio nombre en un sistema de IA de alto riesgo, lo modifica sustancialmente o cambia su finalidad prevista, el Artículo 25 le reclasifica de responsable del despliegue a proveedor — y todas las obligaciones del Artículo 16 pasan a ser suyas: evaluación de la conformidad, documentación del Anexo IV, marcado CE, registro en la base de datos de la UE. Los contratos deben exigir que el proveedor le notifique antes de cualquier cambio que pudiera activar este cambio.
2. Pruebas de conformidad — ¿Ha demostrado el proveedor el cumplimiento?
Para la mayoría de los sistemas del Anexo III, la evaluación de la conformidad sigue la vía de autoevaluación interna del Anexo VI. Para los sistemas del Anexo III, punto 1 (biometría), se aplica generalmente la vía de organismo notificado del Anexo VII cuando no se han utilizado normas armonizadas. Una vez evaluado, el proveedor emite una declaración UE de conformidad (Artículo 47), coloca el marcado CE (Artículo 48) y registra el sistema en la base de datos de la UE en virtud del Artículo 49 (la base de datos establecida en virtud del Artículo 71).
| # | Pregunta |
|---|---|
| 2.1 | ¿Se ha completado la evaluación de la conformidad en virtud del Artículo 43? ¿Fue una autoevaluación interna (Anexo VI) o la llevó a cabo un organismo notificado de la UE (Anexo VII)? |
| 2.2 | ¿Existe una declaración UE de conformidad (Artículo 47)? ¿Puede compartirse una copia? |
| 2.3 | ¿Lleva el sistema el marcado CE en virtud del Artículo 48? |
| 2.4 | ¿Se ha registrado el sistema en la base de datos de la Ley de IA de la UE en virtud del Artículo 49? En caso afirmativo, facilite el identificador de registro. |
| 2.5 | ¿Cuándo se completó la evaluación de la conformidad más reciente? ¿Se ha producido un cambio significativo desde entonces? En caso afirmativo, ¿se reevaluó la conformidad en virtud del Artículo 43, apartado 4? |
3. Documentación técnica y transparencia
El Artículo 11 exige que los proveedores de IA de alto riesgo mantengan un expediente de documentación técnica conforme al Anexo IV que abarque nueve áreas: descripción general del sistema; lógica de diseño; información sobre los datos de entrenamiento, validación y prueba; métricas de rendimiento y limitaciones; disposiciones de supervisión; el sistema de gestión de riesgos del Artículo 9; cambios del ciclo de vida; normas aplicadas; y la declaración de conformidad. El Artículo 13 da derecho a los responsables del despliegue a información suficiente para un uso significativo. Sin acceso al menos a un resumen de ese expediente, un responsable del despliegue no puede verificar el cumplimiento.
| # | Pregunta |
|---|---|
| 3.1 | ¿Se mantiene documentación técnica conforme al Anexo IV? ¿Hay una copia o un resumen disponible para la revisión del responsable del despliegue en virtud del Artículo 13? |
| 3.2 | Describa la lógica general del sistema y los supuestos de diseño clave. |
| 3.3 | ¿Qué conjuntos de datos de entrenamiento, validación y prueba se utilizaron? Describa las fuentes, los intervalos de fechas, la cobertura geográfica y la composición demográfica cuando proceda. |
| 3.4 | ¿Qué pruebas de sesgo se realizaron? Facilite métricas de rendimiento desglosadas (exactitud, precisión, exhaustividad) por subgrupos demográficos pertinentes cuando proceda. |
| 3.5 | ¿Cuáles son las limitaciones conocidas del sistema y las condiciones bajo las cuales el rendimiento se degrada? |
| 3.6 | ¿Qué especificaciones de exactitud, solidez y ciberseguridad se declaran en virtud del Artículo 15, y qué pruebas las respaldan? |
4. Gobernanza de datos (Artículo 10) y RGPD
El Artículo 10 exige que los conjuntos de datos de entrenamiento, validación y prueba se rijan por prácticas adecuadas de gobernanza de datos: pertinencia, representatividad y ausencia de errores cuando sea factible. El RGPD discurre en paralelo: una EIPD en virtud del artículo 35 del RGPD se activa cuando es probable que el tratamiento entrañe un alto riesgo para las personas físicas, y el artículo 22 del RGPD rige las decisiones individuales automatizadas con efectos significativos.
| # | Pregunta |
|---|---|
| 4.1 | ¿Qué datos personales trata el sistema durante la inferencia? ¿Incluye datos de categorías especiales en virtud del artículo 9 del RGPD? |
| 4.2 | ¿Cuál es la base jurídica del artículo 6 del RGPD para el tratamiento de inferencia? Cuando se traten datos de categorías especiales, ¿qué condición del artículo 9 del RGPD se aplica? |
| 4.3 | ¿Dónde se tratan y almacenan los datos? Si se producen transferencias internacionales, ¿qué mecanismo se aplica — cláusulas contractuales tipo, decisión de adecuación u otro? |
| 4.4 | ¿Cómo se aplican las prácticas de gobernanza de datos del Artículo 10? ¿Cómo se evalúa la representatividad y se corrigen los patrones discriminatorios? |
| 4.5 | ¿Se ha realizado una EIPD en virtud del artículo 35 del RGPD? ¿Pueden compartirse la EIPD o sus conclusiones? ¿Existe un acuerdo de tratamiento de datos que cubra la inferencia de IA? |
5. Diseño de la supervisión humana (Artículo 14)
El Artículo 14 es una obligación del proveedor — las medidas de supervisión deben incorporarse al sistema antes de que llegue al responsable del despliegue. Si la arquitectura del sistema no admite una intervención significativa, el deber del responsable del despliegue del Artículo 26 de aplicar esas medidas se hace imposible de cumplir.
| # | Pregunta |
|---|---|
| 5.1 | Describa los mecanismos de supervisión humana incorporados a este sistema en virtud del Artículo 14. ¿Cómo puede el personal del responsable del despliegue supervisar el funcionamiento en tiempo real, interpretar los resultados y anular o detener las decisiones? |
| 5.2 | ¿Qué información muestra el sistema para sustentar la revisión humana — puntuaciones de confianza, indicadores de incertidumbre, explicaciones del razonamiento o marcas de auditoría? |
| 5.3 | ¿Impide el diseño del sistema las decisiones totalmente automatizadas con efectos significativos sobre las personas físicas sin la posibilidad de intervención humana? ¿Cómo se implementa? |
| 5.4 | ¿Qué registros genera el sistema en virtud del Artículo 12, y durante cuánto tiempo? ¿Son esos registros accesibles para el responsable del despliegue? |
6. Registro de eventos (Artículos 12 y 19), gestión de incidentes (Artículo 73) y vigilancia poscomercialización (Artículo 72)
El Artículo 12 exige que los sistemas de IA de alto riesgo generen registros automáticamente. El Artículo 19 exige que los proveedores conserven los registros que controlan durante al menos seis meses. El Artículo 73 exige que los incidentes graves se notifiquen a la autoridad nacional de vigilancia del mercado — en un plazo de 15 días desde que se tuvo conocimiento en virtud del Artículo 73, apartado 2, de 2 días en caso de perturbación de infraestructuras críticas o infracción generalizada (73, apartado 3), o de 10 días cuando se haya producido un fallecimiento (73, apartado 4). El Artículo 72 rige la vigilancia poscomercialización continua del proveedor. Estas son obligaciones del proveedor, pero los responsables del despliegue necesitan entenderlas: la exposición contractual y regulatoria puede ir en ambas direcciones cuando un proveedor no notifica.
| # | Pregunta |
|---|---|
| 6.1 | ¿Qué registro de eventos genera el sistema en virtud del Artículo 12? ¿Qué registra cada entrada, durante cuánto tiempo se conservan los registros en virtud del Artículo 19, y qué registros son accesibles para el responsable del despliegue? |
| 6.2 | Describa el sistema de vigilancia poscomercialización mantenido en virtud del Artículo 72. ¿Qué métricas se siguen y qué umbrales activan una escalada? |
| 6.3 | ¿Ha experimentado este sistema algún incidente grave en virtud del Artículo 3, punto 49, desde el despliegue? ¿Se notificaron en virtud del Artículo 73, y cuál fue el resultado? |
| 6.4 | ¿Cuál es el compromiso contractual del proveedor sobre los plazos de notificación al responsable del despliegue para los incidentes graves o los cambios significativos del sistema? |
7. GPAI — Documentación para los proveedores posteriores (Artículos 53 y 55, Anexo XII)
Las obligaciones sobre los modelos de GPAI en virtud del Artículo 53 se aplican desde el 2 de agosto de 2025. El Artículo 53 exige que todos los proveedores de GPAI elaboren documentación técnica y faciliten a los responsables del despliegue posteriores — mediante un resumen técnico del Anexo XII — información suficiente para comprender las capacidades, las limitaciones y las condiciones de uso del modelo. Para los modelos de GPAI con riesgo sistémico (la presunción iuris tantum del Artículo 51 se aplica a partir de 10²⁵ FLOP de capacidad de cálculo de entrenamiento), se aplican salvaguardias adicionales en virtud del Artículo 55.
| # | Pregunta |
|---|---|
| 7.1 | ¿Constituye este sistema un modelo de GPAI en virtud del Artículo 3, punto 63, o lo incorpora? En caso afirmativo, ¿qué modelo y quién es el proveedor del modelo de GPAI? |
| 7.2 | ¿Se ha clasificado el modelo de GPAI como de riesgo sistémico en virtud del Artículo 51? En caso afirmativo, ¿qué salvaguardias del Artículo 55 — pruebas adversarias, notificación de incidentes, medidas de ciberseguridad — ha implementado el proveedor de GPAI? |
| 7.3 | ¿Qué documentación para los proveedores posteriores facilita el proveedor de GPAI en virtud del Artículo 53, apartado 1, letra b)? ¿Dispone usted, como responsable del despliegue, de un resumen técnico del Anexo XII? |
| 7.4 | ¿Cuáles son las restricciones de casos de uso del proveedor de GPAI, y afectan a la aplicación prevista por el responsable del despliegue? |
8. Vigilancia poscomercialización, actualizaciones y compromiso continuo
El cumplimiento en el lanzamiento no significa cumplimiento en la renovación. Los sistemas de IA cambian; los conjuntos de datos derivan. El responsable del despliegue necesita certeza contractual de que el proveedor mantendrá el cumplimiento y dará aviso cuando algo material cambie.
| # | Pregunta |
|---|---|
| 8.1 | ¿Cuál es el proceso del proveedor para mantener el cumplimiento de la Ley de IA de la UE a lo largo del ciclo de vida del sistema, incluso después del plazo de alto riesgo del 2 de diciembre de 2027? |
| 8.2 | ¿Se compromete el proveedor contractualmente a notificar al responsable del despliegue antes de cualquier cambio significativo que pueda activar una reevaluación de la conformidad en virtud del Artículo 43, apartado 4, o un cambio de la finalidad prevista? |
| 8.3 | ¿Qué derechos de auditoría tiene el responsable del despliegue sobre la documentación técnica del Anexo IV tras un cambio significativo del sistema? |
| 8.4 | ¿Qué seguro de responsabilidad civil profesional o de errores y omisiones tiene el proveedor que cubra las reclamaciones por incumplimiento de la Ley de IA? |
Puntuación y evaluación
Pondere las respuestas según el nivel de riesgo. Para los sistemas de IA de alto riesgo, una respuesta de cuestionario es el paso inicial de la diligencia debida — deben revisarse las pruebas documentales.
Descalificadores para el despliegue de IA de alto riesgo:
- Sistema clasificado como prohibido en virtud del Artículo 5
- No se ha completado la evaluación de la conformidad
- El proveedor no puede producir ninguna documentación técnica del Anexo IV
- No hay ningún mecanismo de supervisión humana incorporado al sistema
- Se han producido incidentes graves sin notificación regulatoria en virtud del Artículo 73
Señales de alerta que requieren seguimiento:
- Análisis de clasificación ausente o superficial — «no creemos que sea de alto riesgo» sin análisis del Anexo III
- La documentación técnica existe en principio, pero no está disponible para la revisión del responsable del despliegue
- La supervisión humana existe sobre el papel, pero la arquitectura del sistema no admite una intervención significativa
- No hay EIPD en virtud del artículo 35 del RGPD para un sistema que trata datos personales a escala
- El proveedor no puede identificar al proveedor del modelo de GPAI ni confirmar si existe un resumen del Anexo XII
Indicadores positivos sólidos:
- Documentación técnica compartida proactivamente sin necesidad de insistir
- Evaluación de la conformidad por organismo notificado (Anexo VII) para los sistemas biométricos
- Métricas de rendimiento desglosadas disponibles sin que se soliciten
- Certificación ISO/IEC 42001 implantada o formalmente en curso
- Un contacto de cumplimiento de IA designado que habla con referencias a artículos concretos, no solo de política general
Cómo ayuda Confir
El motor basado en reglas de Confir registra las respuestas del proveedor frente a obligaciones concretas — clasificación en virtud de los Artículos 5 y 6, pruebas de conformidad en virtud de los Artículos 43, 47, 48 y 49, transparencia en virtud del Artículo 13, supervisión humana en virtud del Artículo 14. La misma admisión produce siempre el mismo hallazgo: determinista, reproducible, explicable. Cuando las respuestas apuntan a una carencia, Confir la señala frente al artículo pertinente para que su equipo sepa qué escalar. Las evaluaciones de proveedores se incorporan a su registro de IA de toda la organización en el módulo de gobernanza AIGM (Artículos 9, 72, 73).
Preguntas frecuentes
¿Es suficiente enviar este cuestionario para el cumplimiento del responsable del despliegue de la Ley de IA de la UE?
No. El Artículo 26 exige que los responsables del despliegue verifiquen que los proveedores han realizado una evaluación de la conformidad adecuada — no que se limiten a recopilar declaraciones. Para los sistemas de IA de alto riesgo, debe revisar la documentación técnica real del Anexo IV, no solo una respuesta de cuestionario que afirma que existe. El «sí, cumplimos» de un proveedor no tiene valor probatorio sin la documentación que lo respalde. Trate las respuestas del cuestionario como el paso inicial de la diligencia debida, no como la conclusión.
¿Con qué frecuencia debemos volver a enviar este cuestionario a los proveedores de IA existentes?
Como mínimo anualmente, y siempre que un proveedor anuncie una actualización significativa del modelo, un ciclo de reentrenamiento, un cambio de la finalidad prevista del sistema o un incidente. El Artículo 26 exige que los responsables del despliegue utilicen los sistemas de IA conforme a las instrucciones del proveedor — y esas instrucciones cambian cuando cambian los sistemas. Es una obligación continua, no un ejercicio único de incorporación.
¿Qué ocurre si un proveedor se niega a responder a las preguntas sobre la documentación técnica?
Para los sistemas de IA de alto riesgo, la negativa a facilitar o resumir la documentación técnica del Anexo IV es un fallo de cumplimiento por parte del proveedor. El Artículo 13 exige que los proveedores faciliten a los responsables del despliegue información suficiente para comprender las capacidades, las limitaciones y los requisitos de supervisión del sistema. Un proveedor que no puede producir ese material incumple sus obligaciones de transparencia. Para los sistemas de riesgo mínimo o limitado, unas respuestas incompletas pueden ser proporcionadas según el caso de uso.
¿Afecta el riesgo de cambio de rol del Artículo 25 a cómo debemos estructurar los contratos con los proveedores?
Debería. Si su organización pone su propio nombre en un sistema de IA, lo modifica sustancialmente (según se define en el Artículo 3, punto 23) o cambia su finalidad prevista de forma material, el Artículo 25 le reclasifica de responsable del despliegue a proveedor — lo que activa toda la pila de obligaciones del Artículo 16: evaluación de la conformidad, documentación del Anexo IV, marcado CE, registro en la base de datos de la UE. Los contratos deben exigir que el proveedor le notifique antes de cualquier cambio que pudiera activar este cambio y confirmar que el proveedor asume las obligaciones del Artículo 16 para el sistema tal como se suministra.
¿Debe enviarse este cuestionario a los proveedores de SaaS cuyos productos incluyen funciones de IA?
Sí, cuando la función de IA desempeñe una función que se califique como de alto riesgo en virtud del Anexo III — con independencia de lo periférica que sea respecto del producto más amplio. Un módulo de contratación con cribado automatizado de currículos es del Anexo III, punto 4, letra a), tanto si es un producto autónomo como si está integrado en un sistema de información de RR. HH. La obligación del Artículo 26 del responsable del despliegue se aplica a la función de IA con independencia de cómo esté empaquetada. Si el proveedor no puede decirle si su función de IA se ha clasificado, eso es en sí mismo un hallazgo significativo.
¿Cuál es la exposición sancionadora si un responsable del despliegue confía en un proveedor no conforme?
La exposición propia del responsable del despliegue en virtud del Artículo 26 es independiente de la del proveedor en virtud del Artículo 16. Utilizar un sistema de IA de alto riesgo sin verificar la evaluación de la conformidad del proveedor es una infracción del Artículo 26 — que conlleva una multa máxima de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor, en virtud del Artículo 99, apartado 4. El incumplimiento del proveedor no protege al responsable del despliegue. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, la cantidad fija o el porcentaje — pero el cumplimiento sigue siendo obligatorio.
Guías relacionadas
- Lista de comprobación del cumplimiento del responsable del despliegue de la Ley de IA de la UE
- exenciones de la IA de código abierto
- deberes del importador y del distribuidor
- marco de obligaciones del responsable del despliegue
- plantilla de política de IA
- requisitos de transparencia del Artículo 13
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →