Skip to content
Confir.
Prueba gratuita
Blog

Lista de comprobación de cumplimiento de la Ley de IA de la UE: plantilla de casillas fase por fase

Template6 April 2026· 19 min de lectura

Lista de comprobación de cumplimiento de la Ley de IA de la UE fase por fase. Elementos con casillas para inventario, clasificación, construcción de alto riesgo, EIDF, Artículo 50 y vigilancia poscomercialización.

Imprima esta lista de comprobación y recórrala sistema por sistema. Cada fase se asigna a los artículos que la rigen. Para una explicación completa de lo que exige cada obligación y de cómo interpretar las reglas de clasificación, consulte la guía de la lista de comprobación de cumplimiento de la Ley de IA de la UE: esa página desentraña el razonamiento; esta es el artefacto de trabajo que va marcando.

Ámbito: Reglamento (UE) 2024/1689. Plazos vigentes a junio de 2026 (acuerdo político del Ómnibus Digital, 7 de mayo de 2026). Alto riesgo = 2 de diciembre de 2027 (sistemas autónomos del Anexo III) / 2 de agosto de 2028 (componentes de seguridad de productos del Anexo I).

Fase 1 — Inventariar todos los sistemas de IA

Antes de que sea posible cualquier clasificación, necesita un registro completo de lo que tiene.

  • Todos los sistemas de IA que la organización construye, despliega, importa o distribuye están registrados en un inventario central
  • Cada entrada registra el nombre del sistema, la versión, la finalidad prevista y la función empresarial que respalda
  • Se incluyen las herramientas de IA de terceros utilizadas en una capacidad profesional (SaaS comercial, API, modelos integrados)
  • Se capturan los componentes de IA integrados en productos o flujos de trabajo, no solo las herramientas autónomas
  • Al inventario se le asigna un responsable y una cadencia de revisión

Fase 2 — Clasificar cada sistema y confirmar su papel

La clasificación en virtud del Artículo 6 (en relación con el Anexo III) determina qué fases siguientes se aplican. La determinación del papel en virtud de los Artículos 16 y 26 determina quién debe las obligaciones.

2a — Cribar las prácticas prohibidas (Artículo 5)

Las prohibiciones del Artículo 5 están en vigor desde el 2 de febrero de 2025. Aquí no hay prórroga de plazo.

  • Cada sistema se contrasta con la lista del Artículo 5: manipulación subliminal (5, apdo. 1, letra a)); explotación de vulnerabilidades (5, apdo. 1, letra b)); puntuación social por parte de autoridades públicas (5, apdo. 1, letra c)); predicción de la comisión de delitos basada únicamente en la elaboración de perfiles (5, apdo. 1, letra d)); extracción no selectiva de imágenes faciales (5, apdo. 1, letra e)); reconocimiento de emociones en el lugar de trabajo o en la educación (5, apdo. 1, letra f)); categorización biométrica sensible (5, apdo. 1, letra g)); identificación biométrica remota en tiempo real en espacios públicos con fines de garantía del cumplimiento del Derecho, salvo las excepciones permitidas (5, apdo. 1, letra h))
  • Todo sistema que coincida con una descripción del Artículo 5 ha sido retirado o discontinuado

2b — Clasificar como de alto riesgo (Artículo 6 + Anexo III)

  • Cada sistema se contrasta con los ocho epígrafes del Anexo III: biometría; infraestructuras críticas; educación y formación profesional; empleo y gestión de los trabajadores; acceso a servicios esenciales privados y públicos (incluidas la solvencia / calificación crediticia y la evaluación de riesgos y fijación de precios en seguros de vida y de salud); garantía del cumplimiento del Derecho; migración, asilo y control fronterizo; administración de justicia y procesos democráticos
  • Para cualquier coincidencia con el Anexo III, se aplica el filtro del Artículo 6, apartado 3: ¿desempeña el sistema únicamente una tarea procedimental limitada, mejora una actividad humana previamente realizada, detecta patrones de toma de decisiones sin influir en la evaluación humana, o realiza un trabajo puramente preparatorio? Si la respuesta es sí —y el sistema no elabora perfiles de personas físicas—, puede aplicarse la exención del art. 6, apdo. 3, y debe documentarse
  • Los sistemas que son componentes de seguridad de productos regulados enumerados en el Anexo I (p. ej., máquinas, productos sanitarios) se señalan para la vía del producto del Anexo I (plazo: 2 de agosto de 2028, no 2 de diciembre de 2027)
  • Las decisiones de clasificación —incluidas las posibles reclamaciones de exención del art. 6, apdo. 3— se documentan con el razonamiento registrado

2c — Clasificar como de riesgo limitado (Artículo 50)

Las obligaciones de transparencia del Artículo 50 se aplican a partir del 2 de agosto de 2026.

  • Cada sistema se comprueba frente al ámbito del Artículo 50: sistemas de IA que interactúan con personas físicas (chatbots); sistemas que generan o manipulan contenido de imagen, audio o vídeo (ultrafalsificaciones, medios sintéticos); sistemas de reconocimiento de emociones o de categorización biométrica; texto generado por IA sobre asuntos de interés público
  • Los sistemas dentro del ámbito se señalan para la Fase 6 (transparencia del Artículo 50)

2d — Confirmar su papel para cada sistema

  • Para cada sistema: ¿es la organización el proveedor (Artículo 16) —es decir, desarrolló el sistema y lo introdujo en el mercado o lo puso en servicio bajo su propio nombre/marca—?
  • Para cada sistema: ¿es la organización el responsable del despliegue (Artículo 26) —es decir, utiliza el sistema bajo su propia autoridad en un contexto profesional—?
  • Para cada sistema: ¿es la organización un importador (Artículo 23) o un distribuidor (Artículo 24)?
  • Se comprueba el cambio de papel del Artículo 25: ¿cambia la marca, modifica sustancialmente o cambia la finalidad prevista de un sistema de un tercero la organización? Si la respuesta es sí, se activan las obligaciones del proveedor (Artículo 16)
  • Papel asignado para cada sistema, con la justificación documentada

Fase 3 — Alfabetización en materia de IA (Artículo 4)

En vigor desde el 2 de febrero de 2025. Se aplica a toda la IA, no solo a la de alto riesgo.

  • El personal que opera, supervisa o toma decisiones utilizando sistemas de IA ha recibido medidas de alfabetización en materia de IA proporcionadas a su función
  • Las medidas de alfabetización cubren qué hacen los sistemas de IA pertinentes, sus limitaciones y la supervisión humana requerida
  • La organización puede demostrar, si se le pide, que existen medidas de alfabetización y que se mantienen actualizadas
  • No se requiere ninguna certificación obligatoria, pero deben conservarse pruebas de una formación proporcionada

Fase 4 — Lista de comprobación de construcción del proveedor de alto riesgo

Plazo: 2 de diciembre de 2027 (sistemas autónomos del Anexo III) / 2 de agosto de 2028 (productos del Anexo I).

Complete esta fase para cada sistema clasificado como de alto riesgo en el que la organización sea el proveedor. Recorra los artículos en orden: cada uno alimenta al siguiente.

Sistema de gestión de riesgos (Artículo 9)

  • Se establece y mantiene un sistema de gestión de riesgos como un proceso iterativo y continuo a lo largo de todo el ciclo de vida del sistema
  • Se documenta la identificación y el análisis de los riesgos conocidos y razonablemente previsibles en el uso previsto y el uso indebido previsible
  • La evaluación de los riesgos a partir de los datos de la vigilancia poscomercialización se incorpora al proceso
  • Se adoptan medidas de gestión de riesgos y se verifica su eficacia
  • Se documenta una evaluación del riesgo residual que demuestra que los riesgos residuales son aceptables

Datos y gobernanza de datos (Artículo 10)

  • Los conjuntos de datos de entrenamiento, validación y prueba están sujetos a prácticas documentadas de gobernanza de datos
  • Se examinan la pertinencia, la representatividad y la ausencia de errores de los conjuntos de datos
  • Se documentan los posibles sesgos —y cómo se abordan—
  • Se registran la procedencia de los datos y la metodología de recopilación cuando proceda

Documentación técnica — Anexo IV (Artículo 11)

  • La documentación técnica que cubre las nueve áreas del Anexo IV se prepara antes de la introducción en el mercado
  • La documentación incluye una descripción general; una descripción del proceso de diseño y desarrollo; información sobre la vigilancia, el funcionamiento y el control; la documentación de gestión de riesgos; los cambios realizados durante el ciclo de vida; las normas aplicables y la base de la evaluación de la conformidad; la declaración de conformidad
  • La documentación se mantiene actualizada cuando el sistema cambia materialmente
  • La documentación está disponible para las autoridades de vigilancia del mercado que lo soliciten y se conserva durante al menos 10 años (Artículo 18)

Conservación de registros (Artículo 12)

  • El sistema está diseñado para permitir el registro automático de eventos a lo largo de todo su funcionamiento
  • Los registros cubren al menos el período operativo de cada uso
  • Los registros se almacenan de forma segura y se conservan según se exige

Transparencia hacia los responsables del despliegue (Artículo 13)

  • Se elaboran instrucciones de uso para los responsables del despliegue, que cubren: la finalidad prevista del sistema; las capacidades y limitaciones; las métricas de rendimiento y los niveles de exactitud; los requisitos de supervisión humana y los medios técnicos para ejercer la supervisión; los riesgos para la salud, la seguridad y los derechos fundamentales; los requisitos de mantenimiento y cuidado

Supervisión humana (Artículo 14)

  • El sistema está diseñado de modo que las personas físicas asignadas a la supervisión puedan comprender plenamente sus resultados y sus limitaciones
  • Las personas de supervisión pueden hacer caso omiso o anular el resultado del sistema
  • Las personas de supervisión pueden intervenir en el funcionamiento del sistema o detenerlo
  • Las medidas de supervisión se identifican y se incorporan al diseño técnico, no se dejan únicamente a controles procedimentales

Exactitud, robustez y ciberseguridad (Artículo 15)

  • El sistema alcanza un nivel adecuado de exactitud para su finalidad prevista; las métricas de exactitud están documentadas
  • El sistema es resiliente frente a errores, fallos e incoherencias, incluidos los procedentes de entradas de terceros
  • Se implementan y documentan medidas de ciberseguridad proporcionadas al contexto de despliegue

Sistema de gestión de la calidad (Artículo 17)

  • Se establece un SGC que cubre: la estrategia de cumplimiento normativo; las técnicas y procedimientos de diseño del sistema; la gestión de datos; las pruebas, la validación y la vigilancia; la implementación de la supervisión humana; la notificación de incidentes; la vigilancia posdespliegue
  • El SGC es proporcionado al tamaño de la organización

Evaluación de la conformidad (Artículo 43)

  • Se determina la vía de evaluación de la conformidad aplicable: autoevaluación interna del Anexo VI (la mayoría de las categorías del Anexo III); vía de organismo notificado del Anexo VII (Anexo III, punto 1, biometría, cuando no se aplican normas armonizadas)
  • Se completa la evaluación de la conformidad y se documentan los resultados
  • La evaluación se repite o actualiza si el sistema se modifica sustancialmente (Artículo 3, apartado 23)

Declaración UE de conformidad (Artículo 47)

  • Se elabora una declaración UE de conformidad que contiene toda la información exigida por el Anexo V
  • La declaración está firmada por un representante autorizado del proveedor
  • La declaración se mantiene actualizada y se actualiza ante cambios materiales del sistema
  • La declaración se pone a disposición de los responsables del despliegue y las autoridades que lo soliciten

Marcado CE (Artículo 48)

  • El marcado CE se coloca en el sistema o en su documentación únicamente tras una evaluación de la conformidad satisfactoria
  • También se cumplen los requisitos de marcado CE específicos de cualquier regulación de producto que se solape

Registro en la base de datos de la UE (Artículo 49)

  • El sistema se registra en la base de datos de la UE para los sistemas de IA de alto riesgo (Artículo 71) antes de introducirlo en el mercado
  • La información de registro es completa, exacta y se mantiene actualizada
  • Toda reclamación de exención del Artículo 6, apartado 3, también se registra en virtud del Artículo 49

Fase 5 — Evaluación de impacto relativa a los derechos fundamentales (Artículo 27)

Se aplica solo a determinados responsables del despliegue, no a todos. Compruébelo con cuidado.

La EIDF del Artículo 27 es obligatoria para: los organismos públicos que despliegan IA de alto riesgo; las entidades privadas que prestan servicios públicos; y los responsables del despliegue de sistemas de las categorías 5(b) (solvencia/calificación crediticia) o 5(c) (evaluación de riesgos y fijación de precios en seguros de vida y de salud) del Anexo III. No se aplica automáticamente a los empleadores privados ni a la mayoría de los responsables del despliegue B2B.

  • La organización ha determinado si entra dentro del ámbito del Artículo 27
  • Si está dentro del ámbito: se realiza una EIDF antes del despliegue, que cubre los derechos fundamentales pertinentes, las personas afectadas y las medidas de mitigación
  • Si está dentro del ámbito: la EIDF se registra ante la autoridad de vigilancia del mercado pertinente
  • Si está dentro del ámbito: la EIDF se actualiza cuando el contexto del despliegue cambia materialmente
  • Cuando existe una EIPD en virtud del artículo 35 del RGPD, la EIDF se coordina con ella o se basa en ella (Artículo 27, apartado 4)

Fase 6 — Transparencia del Artículo 50 (riesgo limitado)

Se aplica a partir del 2 de agosto de 2026.

  • Los sistemas que interactúan directamente con personas físicas (chatbots, agentes conversacionales) revelan al usuario que está interactuando con una IA, salvo que el contexto lo haga obvio
  • Los sistemas que generan contenido sintético de audio, imagen, vídeo o texto marcan ese contenido como generado o manipulado artificialmente en un formato legible por máquina
  • Los sistemas de reconocimiento de emociones o de categorización biométrica informan a las personas sometidas a ellos
  • El texto generado por IA sobre asuntos de interés público (elecciones, salud pública) se etiqueta como generado por IA
  • Las obligaciones de divulgación se cumplen en el momento de la primera interacción, de forma clara y en un formato accesible

Fase 7 — Vigilancia poscomercialización y notificación de incidentes

Vigilancia poscomercialización (Artículo 72)

Para los proveedores de sistemas de alto riesgo. Comienza en el despliegue; sin un plazo único: es una obligación continua.

  • Existe un plan de vigilancia poscomercialización antes de que se despliegue el sistema
  • Los datos de los sistemas desplegados se recopilan y revisan activamente frente al plan
  • Las conclusiones de la vigilancia retroalimentan el sistema de gestión de riesgos del Artículo 9
  • La intensidad de la vigilancia es proporcionada al nivel de riesgo del sistema

Notificación de incidentes graves (Artículo 73)

Para los proveedores. El deber del responsable del despliegue es señalar los incidentes al proveedor y a la autoridad pertinente en virtud del Artículo 26.

  • Se define y se hace operativo un proceso para identificar los incidentes graves antes del despliegue
  • Se comprenden y se siguen los plazos de notificación: a más tardar 15 días desde el conocimiento (incidentes graves generales); 2 días para una perturbación a gran escala o grave e irreversible de una infraestructura crítica; 10 días cuando una persona ha fallecido (Artículo 73, apartados 2 a 4)
  • Los informes a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente se presentan sin demora; se permite un informe inicial incompleto que se completa después (Artículo 73, apartado 5)
  • Se mantienen registros de los incidentes graves

Lista de comprobación del responsable del despliegue de alto riesgo (Artículo 26)

Para las organizaciones que son responsables del despliegue de un sistema de IA de alto riesgo de un tercero, en lugar de (o además de) ser proveedores.

  • El sistema se utiliza únicamente para su finalidad prevista, tal como la especifica el proveedor
  • Se asigna a una persona física a la supervisión humana con la competencia y la autoridad requeridas
  • Se siguen las instrucciones de uso del proveedor
  • El sistema se vigila durante el despliegue; se identifican anomalías, riesgos o fallos de funcionamiento
  • Los incidentes graves y los fallos de funcionamiento se notifican al proveedor; los incidentes graves que representen un riesgo también se notifican a la autoridad de vigilancia del mercado pertinente
  • Cuando el sistema se utiliza en un contexto laboral, se informa a los trabajadores afectados o a sus representantes antes de su uso
  • Los registros se conservan durante al menos 6 meses
  • Se evalúa la aplicabilidad de la Fase 5 (EIDF del Artículo 27) a este despliegue

Cómo ayuda Confir

El motor basado en reglas de Confir ejecuta esta lista de comprobación como un flujo de trabajo guiado. Inventaría sus sistemas de IA, clasifica cada uno en virtud de los Artículos 5 y 6 utilizando la lógica del Anexo III, y deriva su papel. Después impulsa una evaluación estructurada a través de cuatro áreas de cumplimiento —clasificación de riesgo (AIRC), datos y robustez técnica (AITR), transparencia y supervisión (AITO), y gobernanza y vigilancia poscomercialización (AIGM)— y genera el paquete de documentación técnica del Anexo IV y la declaración de conformidad del Artículo 47.

El resultado es una vista de lista de comprobación en vivo para cada sistema de su cartera, que muestra qué está completo, en curso o pendiente. Sin hojas de cálculo. Determinista, reproducible, defendible en una auditoría.

[Inicie su evaluación gratuita en confir.eu →]

Preguntas frecuentes

¿Cuándo se aplican realmente estas obligaciones? Las prohibiciones del Artículo 5 y la alfabetización en materia de IA del Artículo 4 están en vigor desde el 2 de febrero de 2025. Las obligaciones de GPAI (Artículos 51 a 55) se aplican a partir del 2 de agosto de 2025. La transparencia de riesgo limitado del Artículo 50 se aplica a partir del 2 de agosto de 2026. Para la IA de alto riesgo, el acuerdo político del Ómnibus Digital de mayo de 2026 fija el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III y el 2 de agosto de 2028 para la IA de alto riesgo integrada en productos regulados (Anexo I).

¿Se aplica esta lista de comprobación si solo utilizamos herramientas de IA de terceros? La Fase 1 (inventario), la Fase 2d (determinación del papel), la Fase 3 (alfabetización en materia de IA del Artículo 4) y la Fase 6 (Artículo 50, si procede) se aplican en todo caso. Si despliega profesionalmente un sistema de IA de alto riesgo de un tercero, se aplica la lista de comprobación del responsable del despliegue del Artículo 26. Los proveedores soportan las obligaciones de construcción más pesadas de la Fase 4; la mayoría de las empresas que utilizan herramientas comerciales son responsables del despliegue.

¿Cuál es la diferencia entre esta página y la guía de la lista de comprobación de la Ley de IA de la UE? Esta página es el artefacto imprimible y basado en casillas: fases y elementos que marcar. La guía de la lista de comprobación de cumplimiento de la Ley de IA de la UE explica qué exige cada obligación, cómo funciona la lógica de clasificación y cuáles son los errores comunes. Utilice ambas: lea la guía para comprender; utilice esta plantilla para hacer seguimiento del progreso.

¿Necesito un organismo notificado para la evaluación de la conformidad? Solo para el Anexo III, punto 1 (biometría), cuando no se han aplicado normas armonizadas: eso requiere la vía de organismo notificado del Anexo VII. Todas las demás categorías del Anexo III utilizan la autoevaluación interna del Anexo VI. La IA de alto riesgo integrada en productos del Anexo I sigue la vía integrada de evaluación de la conformidad del producto.

¿Cuáles son las sanciones por incumplimiento? Tres tramos en virtud del Artículo 99: 35 000 000 EUR o el 7 % por infracciones del Artículo 5; 15 000 000 EUR o el 3 % por la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo; 7 500 000 EUR o el 1 % por facilitar información incorrecta o engañosa a las autoridades. Para las pymes y las empresas emergentes, la multa es el menor de los dos importes, el porcentaje o la cantidad fija (Artículo 99, apartado 6).

¿Sustituye una EIDF a una EIPD del RGPD? No. Una EIPD del RGPD (artículo 35 del RGPD) cubre el riesgo de protección de datos y la dirige el delegado de protección de datos. Una evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27 de la Ley de IA cubre el abanico más amplio de derechos fundamentales. El Artículo 27, apartado 4, permite que la EIDF se base en una EIPD existente, pero no son intercambiables.

¿Qué es la exención del Artículo 6, apartado 3, y cómo la utilizo? Un sistema en un ámbito del Anexo III no es de alto riesgo si cumple cualquiera de cuatro condiciones: desempeña únicamente una tarea procedimental limitada; mejora una actividad humana previamente realizada; detecta patrones de toma de decisiones sin influir en la evaluación humana; o realiza un trabajo preparatorio. Todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo. Los proveedores deben documentar la evaluación y registrar la reclamación en virtud del Artículo 49.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Template

Plantilla de política de uso de IA para el cumplimiento de la Ley de IA de la UE

Plantilla de política de uso de IA para la Ley de IA de la UE: 12 secciones que abarcan las prácticas prohibidas del Art. 5, la clasificación de riesgo del Art. 6, la supervisión del Art. 14 y los plazos de incidentes del Art. 73.

Template

Declaración UE de conformidad para IA de alto riesgo: el Artículo 47 y el Anexo V explicados

Declaración UE de conformidad para IA de alto riesgo: plantilla del Artículo 47 y del Anexo V, los 7 campos obligatorios, un ejemplo práctico y las reglas de conservación durante 10 años.

Template

Plantilla de documentación técnica del Anexo IV para IA de calificación crediticia

Plantilla práctica del Anexo IV para IA de calificación crediticia con arreglo al Anexo III, punto 5, letra b), de la Ley de IA de la UE. Las 9 áreas de contenido con ejemplos de calificación crediticia. Plazo: 2 dic 2027.