Plantilla de análisis de brechas de la Ley de IA: una matriz de cumplimiento lista para copiar
Plantilla gratuita de análisis de brechas de la Ley de IA: matriz lista para copiar que asigna cada obligación a brecha, responsable y fecha objetivo.
Un análisis de brechas conforme al Reglamento (UE) 2024/1689 (la Ley de IA de la UE) confronta cada obligación vinculante con tus controles actuales para revelar la diferencia, y luego asigna a cada brecha una prioridad, un responsable y una fecha objetivo. Para un sistema de IA de alto riesgo, las obligaciones esenciales están en los artículos 9 a 15, con las obligaciones del proveedor en el artículo 16 y las del responsable del despliegue en el artículo 26.
Esta página te da la matriz como una tabla markdown limpia que puedes pegar directamente en Google Sheets o Excel y empezar a rellenar hoy. Se diferencia de una lista de comprobación de sí/no: una lista confirma que existe un control; un análisis de brechas mide la distancia entre el estado actual y el requisito legal y convierte cada brecha en una acción con responsable y fecha.
Antes de rellenar una sola fila, clasifica tus sistemas conforme al artículo 6 y al anexo III y confirma qué plazos te vinculan realmente: el calendario cambió en 2026 y no todas las fechas se movieron. Las secciones siguientes recorren la clasificación, te entregan la matriz, explican cada fila y muestran cómo priorizar y subsanar.
Qué es un análisis de brechas de la Ley de IA
Un análisis de brechas es el paso de diagnóstico previo a la subsanación. No es una política, un control ni una aprobación: es la comparación estructurada que te dice, obligación por obligación, a qué distancia está tu organización del requisito legal y qué hará falta para cerrar la diferencia.
Análisis de brechas frente a lista de comprobación de cumplimiento
Los dos artefactos son complementarios, no intercambiables. Una lista de comprobación responde a ¿existe el control? con una marca. Un análisis de brechas responde a ¿a qué distancia estamos, quién se encarga del trabajo y para cuándo? Usa la lista de comprobación de cumplimiento para verificar la existencia; usa la matriz de esta página para planificar y secuenciar el trabajo.
| Dimensión | Lista de comprobación de cumplimiento | Matriz de análisis de brechas |
|---|---|---|
| Salida por elemento | Sí / no / parcial | Diferencia + prioridad + responsable + fecha |
| Pregunta que responde | ¿Existe el control? | ¿A qué distancia estamos y quién la cierra? |
| Mejor para | Verificación, preparación de auditoría | Planificación, secuenciación, subsanación |
| Formato | Lista de casillas | Matriz de ocho columnas |
| Ciclo de vida | Confirmación puntual | Documento vivo, con nueva línea base |
Quién necesita hacerlo: proveedores, responsables del despliegue, importadores
Define el alcance del análisis primero por rol, porque el conjunto de obligaciones depende de él. Un proveedor (artículo 16) desarrolla un sistema de alto riesgo y lo introduce en el mercado con su propio nombre; un responsable del despliegue (artículo 26) lo utiliza bajo su propia autoridad en un contexto profesional; un importador (artículo 23) y un distribuidor (artículo 24) se sitúan en la cadena de suministro entre ambos. Una misma organización suele ser a la vez proveedor y responsable del despliegue para distintos sistemas, así que ejecuta la matriz por sistema, no por empresa.
Cómo está estructurada esta plantilla
La matriz tiene ocho columnas: Requisito | Artículo | Aplica (S/N) | Estado actual | Brecha | Prioridad | Responsable | Fecha objetivo. Las dos primeras columnas son fijas; el resto las rellenas tú. Ejecuta primero el cribado de aplicabilidad: clasifica cada sistema conforme al artículo 6 y al anexo III para que la columna Aplica se base en una decisión documentada, no en una suposición. Una vez existan las brechas con fecha, combina la matriz con la hoja de ruta de implementación para secuenciarlas en un plan de ejecución.
Antes de empezar: clasifica tus sistemas y confirma qué plazos te vinculan
La matriz solo se aplica por completo a los sistemas de alto riesgo. Dos preguntas deciden cuánto rellenas: ¿en qué nivel de riesgo está cada sistema? y ¿qué fechas me vinculan realmente ahora mismo?
Clasificación del riesgo conforme al artículo 6 y al anexo III
Determina el nivel de riesgo antes que nada:
- Prohibido: prácticas prohibidas de plano en virtud del artículo 5 (en vigor desde el 2 de febrero de 2025).
- Alto riesgo: en virtud del artículo 6(1) cuando el sistema es un componente de seguridad de un producto cubierto por la legislación de armonización del anexo I, o del artículo 6(2) cuando entra en un caso de uso independiente del anexo III.
- Riesgo limitado: obligaciones de transparencia del artículo 50 (chatbots, contenido sintético, ultrafalsificaciones).
- Riesgo mínimo: sin obligaciones específicas más allá de las transversales.
La matriz de obligaciones completa que sigue está escrita para sistemas de alto riesgo. Para un sistema de riesgo limitado solo rellenas las filas de transparencia, alfabetización y rol.
Qué está ya en vigor hoy
Tres conjuntos de obligaciones te vinculan ahora y no se aplazaron:
- Las prohibiciones del artículo 5, desde el 2 de febrero de 2025.
- Las obligaciones del proveedor de GPAI en virtud de los artículos 51 a 55, desde el 2 de agosto de 2025.
- La obligación de alfabetización en IA del artículo 4, que se aplica a toda la IA, no solo a la de alto riesgo.
Mantén estas filas en la parte superior de la matriz, con independencia de cualquier cambio en el calendario del alto riesgo.
El aplazamiento del Ómnibus Digital: acordado, aún no es ley
Un acuerdo político provisional sobre el Ómnibus Digital (alcanzado el 6-7 de mayo de 2026, con el texto del COREPER confirmado en torno al 13 de mayo de 2026) acordó aplazar las obligaciones de alto riesgo de los sistemas independientes del anexo III del artículo 6(2) del 2 de agosto de 2026 al 2 de diciembre de 2027, y las obligaciones de alto riesgo de los productos del anexo I del artículo 6(1) del 2 de agosto de 2027 al 2 de agosto de 2028.
A junio de 2026, este aplazamiento está acordado pero aún no es ley. Todavía requiere una votación en el pleno del Parlamento Europeo, la adopción formal del Consejo y la publicación en el Diario Oficial. Hasta que eso ocurra, el texto vigente fija el 2 de agosto de 2026 para los sistemas de alto riesgo independientes del anexo III. Planifica frente a la fecha más temprana hasta que se publique el cambio y luego actualiza tus fechas objetivo.
Dos puntos más importan para la secuenciación. Las nuevas fechas son fechas de calendario fijas: se rechazó la propuesta de "parar el reloj" que habría ligado el retraso a la disponibilidad de normas armonizadas, así que no trates el calendario como dependiente de las normas. Y se añadió un nuevo plazo del 2 de diciembre de 2026 (una prohibición de CSAM / "nudificadores" más obligaciones de marcado de contenidos), mientras que la mayoría de las obligaciones de transparencia del artículo 50 no cambian, con el marcado de contenidos y las marcas de agua pasando al 2 de diciembre de 2026.
La plantilla de análisis de brechas de la Ley de IA lista para copiar
Copia la tabla siguiente directamente en una hoja de cálculo. Las dos primeras columnas son referencia fija; rellena las seis restantes por sistema. Mantén separadas visualmente las filas del proveedor y del responsable del despliegue para que una organización de doble rol vea ambos conjuntos de obligaciones sin contarlas dos veces.
| Requisito | Artículo | Aplica (S/N) | Estado actual | Brecha | Prioridad | Responsable | Fecha objetivo |
|---|---|---|---|---|---|---|---|
| Sistema de gestión de riesgos | art. 9 | ||||||
| Datos y gobernanza de datos | art. 10 | ||||||
| Documentación técnica | art. 11 / anexo IV | ||||||
| Conservación de registros y archivo de logs | art. 12 | ||||||
| Transparencia e instrucciones de uso | art. 13 | ||||||
| Supervisión humana | art. 14 | ||||||
| Precisión, solidez, ciberseguridad | art. 15 | ||||||
| Obligaciones del proveedor (consolidadas) | art. 16 | ||||||
| Registro en la base de datos de la UE | art. 49 | ||||||
| Obligaciones del responsable del despliegue | art. 26 | ||||||
| Evaluación de impacto sobre los derechos fundamentales (EIDF) | art. 27 | ||||||
| Alfabetización en IA | art. 4 | ||||||
| Cribado de prácticas prohibidas | art. 5 | ||||||
| Transparencia de riesgo limitado | art. 50 |
Definiciones de las columnas
- Aplica (S/N): el resultado de tu cribado del artículo 6 y por rol, no una suposición.
- Estado actual: hecho respaldado por pruebas: la política, el registro o el documento reales, enlazados. Una aspiración no es un estado actual.
- Brecha: el control o artefacto concreto que falta, descrito de forma específica.
- Prioridad: determinada por la fecha vinculante y el tramo sancionador en el que se sitúa la brecha.
- Responsable: una única persona con nombre y apellidos, nunca un equipo.
- Fecha objetivo: planificada hacia atrás desde el plazo correspondiente, con margen para la revisión.
Filas del proveedor frente a las del responsable del despliegue
Los artículos 9 a 16 y el 49 son filas del proveedor. El artículo 26 es el conjunto de filas del responsable del despliegue, y el artículo 27 (EIDF) se aplica solo a determinados responsables del despliegue. El artículo 4 (alfabetización) y el artículo 5 (prohibiciones) vinculan a ambos. Añade una nota de cabecera a la hoja de cálculo donde quede registrada la decisión de clasificación y la fecha vinculante asumida, para que la matriz sea auditable más adelante cuando alguien pregunte por qué se fijó una fecha.
Fila por fila: qué exige cada obligación
Esta sección explica la sustancia que hay detrás de cada celda de Requisito para que tus descripciones de Brecha se basen en lo que el artículo exige de verdad.
Riesgo, datos y documentación (artículos 9 a 12)
Sistema de gestión de riesgos, artículo 9. Un sistema de gestión de riesgos continuo e iterativo que recorre todo el ciclo de vida del sistema, identifica y mitiga los riesgos razonablemente previsibles para la salud, la seguridad y los derechos fundamentales, y verifica la eficacia de las medidas adoptadas.
Datos y gobernanza de datos, artículo 10. Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad —pertinentes, suficientemente representativos y, en la mayor medida posible, libres de errores y completos— bajo prácticas documentadas de gobernanza de datos que examinen el sesgo y la procedencia.
Documentación técnica, artículo 11 y anexo IV. Documentación técnica elaborada antes de introducir el sistema en el mercado y mantenida actualizada, que contenga cada elemento enumerado en el anexo IV (descripción del sistema, diseño y desarrollo, vigilancia, métricas de rendimiento, gestión de riesgos).
Conservación de registros y archivo de logs, artículo 12. El sistema debe permitir técnicamente el registro automático de eventos (logs) durante su vida útil, con un grado de trazabilidad adecuado a su finalidad prevista.
Transparencia, supervisión y solidez (artículos 13 a 15)
Transparencia e instrucciones de uso, artículo 13. El sistema debe ser suficientemente transparente e ir acompañado de instrucciones de uso que permitan a los responsables del despliegue interpretar y utilizar el resultado de forma adecuada.
Supervisión humana, artículo 14. Debe incorporarse una supervisión efectiva por personas físicas, de modo que una persona pueda comprender el resultado, vigilar el funcionamiento e intervenir en el sistema o detenerlo durante su uso.
Precisión, solidez, ciberseguridad, artículo 15. Niveles adecuados de precisión, solidez y ciberseguridad, declarados y mantenidos de forma coherente a lo largo del ciclo de vida.
Proveedor, responsable del despliegue, alfabetización, registro y EIDF (artículos 16, 26, 4, 49, 27)
Las obligaciones del proveedor, artículo 16, consolidan los deberes del proveedor: garantizar la conformidad, elaborar la documentación, el registro y las medidas correctoras. Las obligaciones del responsable del despliegue, artículo 26, exigen el uso con arreglo a las instrucciones, la supervisión humana, la pertinencia de los datos de entrada cuando el responsable del despliegue los controla, la vigilancia del funcionamiento y la conservación de registros. La alfabetización en IA, artículo 4, exige un nivel suficiente de alfabetización en IA entre el personal que opera o utiliza los sistemas. El registro en la base de datos de la UE, artículo 49, exige registrar los sistemas de alto riesgo en la base de datos de la UE antes de su introducción en el mercado o puesta en servicio. La EIDF, artículo 27, exige a determinados responsables del despliegue —organismos de Derecho público y actores especificados— realizar una evaluación de impacto sobre los derechos fundamentales antes del despliegue. Cruza la referencia con el flujo de evaluación de riesgos de IA para las filas del artículo 9 y del artículo 27, ya que ambas dependen de un método estructurado de puntuación de riesgos.
Cómo rellenar y priorizar la matriz
Sigue estos pasos para cada sistema, en orden:
- Clasifica y confirma el rol. Fija la columna Aplica a partir del cribado del artículo 6 y por rol. Una fila que no aplica se marca con N, con el motivo en Estado actual.
- Captura el estado actual a partir de pruebas. Enlaza la política, el registro o el documento reales, nunca una intención. Una afirmación no verificable es en sí misma una brecha.
- Describe la brecha de forma concreta. Nombra el control o artefacto concreto que falta, no un vago "hay que trabajarlo".
- Puntúa la prioridad en dos ejes. Pondera la proximidad a la fecha vinculante frente al tramo sancionador en el que se sitúa la brecha, para que las obligaciones más expuestas asciendan a lo más alto.
- Asigna un único responsable con nombre. Una sola persona por fila, con autoridad para actuar, no un equipo ni un departamento.
- Planifica la fecha objetivo hacia atrás. Trabaja en sentido inverso desde el plazo correspondiente, dejando margen para la revisión de pruebas y para cualquier tiempo de preparación de la evaluación de la conformidad.
Fijar la prioridad por plazo y tramo de incumplimiento
La exposición sancionadora debe modelar la prioridad. Las multas del artículo 99 son escalonadas:
| Tipo de incumplimiento | Límite (la cifra que sea mayor) | Referencia |
|---|---|---|
| Prácticas prohibidas del artículo 5 | 35 millones EUR o el 7 % del volumen de negocios anual mundial | art. 99(3) |
| La mayoría de los incumplimientos de obligaciones de alto riesgo | 15 millones EUR o el 3 % del volumen de negocios anual mundial | art. 99(4) |
| Información incorrecta / incompleta / engañosa a las autoridades | 7,5 millones EUR o el 1 % del volumen de negocios anual mundial | art. 99(5) |
Para las pymes y las empresas emergentes, se aplica un límite proporcional en virtud del artículo 99(6): la multa es el menor de la suma fija o el porcentaje, lo que puede cambiar la prioridad relativa para las organizaciones más pequeñas.
Asignar responsables y fechas objetivo
Un análisis de brechas no es algo puntual. La gestión de riesgos del artículo 9 y la vigilancia poscomercialización al estilo del artículo 72 lo convierten en un documento vivo, así que vuelve a ejecutar la matriz con una periodicidad fija y versiona cada pasada. Los responsables siguen siendo responsables a lo largo de las nuevas líneas base; las fechas objetivo solo se mueven cuando se mueve la fecha vinculante o las pruebas.
De las brechas a un plan de subsanación
Una matriz rellenada es la entrada para la ejecución, no su final. Convierte cada celda de Brecha no vacía en una tarea del backlog, con el responsable y la fecha objetivo intactos, y luego secuéncialas.
Convertir la matriz en una hoja de ruta
Secuencia el backlog por prioridad y dependencia en la hoja de ruta de implementación. Mantén las filas ya en vigor —artículo 5, las obligaciones de GPAI de los artículos 51 a 55 y la alfabetización del artículo 4— en lo más alto, con independencia de cualquier aplazamiento, porque vinculan hoy.
Dónde encaja la norma ISO 42001
Mapea los controles solapados una sola vez. Un sistema de gestión de IA conforme a la norma ISO/IEC 42001 cubre buena parte del terreno de los artículos 9, 10 y 17, así que la evaluación de brechas de la ISO 42001 puede ejecutarse junto a esta matriz para evitar trabajo duplicado. Cuando un control satisfaga ambos marcos, registra la prueba una vez y referénciala desde ambos.
Mantener el análisis al día a medida que la ley se mueve
Trata la fecha vinculante asumida como una variable. Cuando el aplazamiento del Ómnibus Digital se publique en el Diario Oficial, actualiza la columna Fecha objetivo desde la línea base del 2 de agosto de 2026 a las fechas acordadas del 2 de diciembre de 2027 (anexo III) y del 2 de agosto de 2028 (anexo I). Vuelve a fijar la línea base tras cada cambio material del modelo, nueva finalidad prevista o actualización normativa. Si aún no conoces tu rol o nivel de riesgo, empieza por por dónde empezar antes de rellenar filas, y mantén la matriz versionada para que el rastro de auditoría de las decisiones sobreviva.
Cómo te ayuda Confir
Confir genera automáticamente este análisis de brechas. A partir de un sistema de IA registrado, lo clasifica conforme a los artículos 5 y 6 usando la lógica del anexo III, determina qué artículos aplican y rellena previamente las columnas Requisito, Artículo y Aplica, de modo que tu equipo parte de una matriz estructurada en lugar de una hoja en blanco. Cada fila se corresponde con una disposición concreta de un artículo o anexo, y las brechas se vinculan a las pruebas subyacentes y se les asignan responsables y fechas objetivo dentro de la plataforma, así que la exportación refleja la plantilla lista para copiar de arriba.
El motor de síntesis es determinista y basado en reglas: cada obligación se corresponde con una disposición definida mediante la misma lógica cada vez, sin inferencia de modelos ni alucinaciones. Las fechas vinculantes se actualizan automáticamente a medida que se mueve el calendario legal —incluida la distinción entre lo que está en vigor y lo que está acordado pero aún no es ley—, de modo que las fechas objetivo nunca se desvían del texto vigente. Usa la plantilla estática de aquí para definir el alcance a mano; usa Confir cuando necesites mantener, documentar y volver a fijar la línea base de la matriz en una cartera de sistemas.
Preguntas frecuentes
¿Qué es un análisis de brechas de la Ley de IA? Es una evaluación estructurada que confronta cada obligación vinculante del Reglamento (UE) 2024/1689 con los controles actuales de tu organización para identificar la diferencia, es decir, la brecha. Para cada obligación registras el estado actual, el control que falta, una prioridad, un responsable y una fecha objetivo, lo que produce un plan de subsanación priorizado y auditable en lugar de una simple lista de aprobado/suspenso.
¿Qué obligaciones de la Ley de IA cubre la plantilla de análisis de brechas? Cubre los ámbitos de obligaciones de alto riesgo: gestión de riesgos (artículo 9), gobernanza de datos (artículo 10), documentación técnica (artículo 11 y anexo IV), conservación de registros (artículo 12), transparencia (artículo 13), supervisión humana (artículo 14) y precisión y ciberseguridad (artículo 15). También incluye las obligaciones del proveedor (artículo 16), las del responsable del despliegue (artículo 26), la alfabetización en IA (artículo 4), el registro (artículo 49) y la EIDF (artículo 27).
¿Cuándo se aplican las obligaciones de alto riesgo de la Ley de IA? El texto vigente fija actualmente el 2 de agosto de 2026 para los sistemas de alto riesgo independientes del anexo III. El acuerdo del Ómnibus Digital de mayo de 2026 lo aplazaría al 2 de diciembre de 2027 y los sistemas integrados en productos del anexo I al 2 de agosto de 2028, pero a junio de 2026 ese cambio está acordado, aún no es ley: todavía requiere una votación del Parlamento, la adopción del Consejo y la publicación en el Diario Oficial.
¿Cuáles son las sanciones por incumplir la Ley de IA? Incumplir las prohibiciones del artículo 5 puede costar hasta 35 millones EUR o el 7 % del volumen de negocios anual mundial. La mayoría de los demás incumplimientos de obligaciones llegan hasta 15 millones EUR o el 3 %. Facilitar información incorrecta, incompleta o engañosa a las autoridades llega hasta 7,5 millones EUR o el 1 %. Las pymes y las empresas emergentes se benefician de un límite proporcional en virtud del artículo 99(6).
¿Cómo relleno una matriz de análisis de brechas de la Ley de IA? Clasifica primero el nivel de riesgo y el rol de cada sistema, luego marca qué artículos aplican. Registra el estado actual a partir de pruebas reales, no de intenciones. Describe cada brecha como un control concreto que falta, fija la prioridad por la proximidad del plazo y la exposición sancionadora, asigna un único responsable con nombre por fila y planifica hacia atrás una fecha objetivo desde el plazo vinculante correspondiente.
¿Es lo mismo un análisis de brechas que una lista de comprobación de cumplimiento de la Ley de IA? No. Una lista de comprobación confirma si existe un control con una respuesta de sí/no. Un análisis de brechas va más allá: mide la distancia entre tu estado actual y el requisito legal y luego convierte cada brecha en una acción de subsanación con responsable, fecha y prioridad. Usa una lista de comprobación para verificar la existencia y un análisis de brechas para planificar el trabajo.
¿Qué está ya en vigor hoy en la Ley de IA? Las prohibiciones del artículo 5 se aplican desde el 2 de febrero de 2025, y las obligaciones del proveedor de GPAI de los artículos 51 a 55 desde el 2 de agosto de 2025. La obligación de alfabetización en IA del artículo 4 también se aplica. El Ómnibus Digital no las aplazó, así que vinculan hoy con independencia de cualquier cambio en el calendario del alto riesgo: mantenlas en lo más alto de tu matriz.
Guías relacionadas
- the full EU AI Act gap analysis method
- the compliance checklist
- the compliance checklist template
- the implementation roadmap
- the ISO 42001 gap assessment
- AI risk assessment
- where to start
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →