Skip to content
Confir.
Prueba gratuita
Blog

Herramientas de resumen con IA y la Ley de IA de la UE: guía de clasificación

Guide4 May 2026· 16 min de lectura

Los resumidores de IA son de riesgo mínimo con arreglo a la Ley de IA de la UE. Conozca cuándo se aplica el marcado del Artículo 50 y qué cambia si su herramienta alimenta un proceso de alto riesgo.

La mayoría de las empresas que construyen o despliegan un resumidor de IA — un digestor de documentos, un copiloto de notas de reuniones, un asistente de clasificación de correo electrónico — aterrizan en el mismo lugar con arreglo al Reglamento (UE) 2024/1689: riesgo mínimo. El resumen no figura en el Anexo III. Sin evaluación de la conformidad, sin sistema de gestión de riesgos del Artículo 9, sin documentación técnica del Artículo 11. Dicho esto, dos ángulos de la Ley de IA de la UE pueden aun así tocar a un resumidor según cómo funcione y qué contexto alimente: los requisitos de transparencia del Artículo 50 que se aplican a partir del 2 de agosto de 2026 y — cuando la función se sitúa dentro de un proceso que es en sí mismo de alto riesgo — las obligaciones de ese sistema circundante.

Esta guía recorre la lógica de clasificación paso a paso, cubre las obligaciones de marcado del Artículo 50 que deben cumplir los proveedores de contenido generado por IA, explica cómo se asignan las obligaciones de los modelos de IA de uso general (GPAI) a lo largo de la cadena de suministro y establece qué hacer cuando un resumidor se conecta a un flujo de trabajo genuinamente de alto riesgo.

¿Es un resumidor de IA de alto riesgo con arreglo a la Ley de IA de la UE?

El punto de partida es el Artículo 6 del Reglamento (UE) 2024/1689, que define los sistemas de IA de alto riesgo por referencia a dos vías. La primera vía (Artículo 6, apartado 1) cubre la IA que es un componente de seguridad de un producto regido por la legislación de la UE sobre productos enumerada en el Anexo I — máquinas, productos sanitarios, vehículos, etc. Una función de resumen de textos no encaja en esa descripción.

La segunda vía (Artículo 6, apartado 2) pregunta si el sistema figura en el Anexo III. Ese anexo establece ocho ámbitos: biometría, infraestructuras críticas, educación y formación profesional, empleo y gestión de los trabajadores, acceso a servicios esenciales como la solvencia y los seguros de salud, garantía del cumplimiento del Derecho, migración y control fronterizo, y la administración de justicia. El resumen con IA de documentos, reuniones o correos electrónicos no aparece en ninguna de esas categorías.

Eso convierte a un resumidor autónomo en de riesgo mínimo por defecto. El nivel de obligaciones para los sistemas de riesgo mínimo no comporta obligaciones obligatorias — la Ley fomenta los códigos de conducta voluntarios, nada más. Las empresas que quieran documentar su conclusión (y deberían, porque los reguladores pueden preguntar) solo necesitan una breve nota interna que registre por qué no se aplica el Anexo III.

Una salvedad que conviene conocer: el Artículo 6, apartado 3, prevé un filtro adicional para los sistemas del Anexo III — un sistema que técnicamente entra en uno de los ocho ámbitos puede aun así escapar a la clasificación de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales (por ejemplo, si desempeña una tarea procedimental limitada o mejora una actividad humana previamente realizada). Para un resumidor, es poco probable que necesite ese filtro, porque no llegará al Anexo III en primer lugar. Pero está bien saber que existe, porque en el momento en que un resumidor se reconfigura para alimentar una decisión del Anexo III, el análisis del Artículo 6, apartado 3, pasa a ser pertinente.

El ángulo de la transparencia del Artículo 50

El riesgo mínimo no significa que el Artículo 50 sea irrelevante. El Artículo 50 del Reglamento (UE) 2024/1689 — que se aplica a partir del 2 de agosto de 2026 — impone deberes de divulgación a los proveedores y a los responsables del despliegue de determinados sistemas de IA con independencia de su nivel de riesgo.

Los dos apartados que con mayor probabilidad afectan a un resumidor son el Artículo 50, apartado 1, y el Artículo 50, apartado 4.

El Artículo 50, apartado 1, exige a los proveedores de sistemas de IA que interactúan con personas físicas en tiempo real garantizar que esas personas sean informadas de que están interactuando con una IA, salvo que resulte obvio por el contexto. Si su resumidor es un asistente conversacional — una interfaz de chat en la que un usuario teclea una pregunta y la IA responde en tiempo real —, esto se aplica. La divulgación debe entregarse a más tardar al comienzo de la primera interacción y de una manera clara, distinguible e inteligible. Los responsables del despliegue de tales sistemas comparten la obligación.

El Artículo 50, apartado 4, va más allá. Exige a los proveedores de sistemas de IA que generan contenido sintético de texto, audio, imagen o vídeo garantizar que ese resultado se marque en un formato legible por máquina, de modo que pueda detectarse como generado o manipulado artificialmente. Esta es la obligación de marcado de las ultrasuplantaciones y el contenido sintético, y un resumidor de documentos que escribe prosa sintetizada de varios párrafos entra de lleno en la definición de texto sintético generado por IA. La obligación recae en el proveedor del sistema de IA — la empresa que lo introduce en el mercado o lo pone en servicio con su propio nombre (Artículo 16). El Artículo 50, apartado 4, incluye excepciones: cuando el contenido ha sido objeto de una edición menor, cuando una persona ha alterado sustancialmente el resultado de la IA o cuando el marcado no es técnicamente viable para el tipo de contenido. Las excepciones son reales pero específicas; los proveedores deberían evaluarlas explícitamente en lugar de dar por sentado que se aplican.

El Artículo 50, apartado 5, dispone que las obligaciones se apliquen de una manera proporcionada y técnicamente sólida, y el Artículo 50, apartado 6, es una cláusula sin perjuicio que preserva otros deberes jurídicos (RGPD, derechos de autor, etc.).

Una infracción del Artículo 50 entra en el nivel de 15 000 000 € o el 3 % del volumen de negocios anual mundial total en virtud del Artículo 99, apartado 4 — la cifra que sea mayor (para las empresas que cumplen los requisitos de pyme, el Artículo 99, apartado 6, limita la multa al menor de los dos importes). El Artículo 50 no es una norma de poca importancia. Para las empresas que comercializan un resumidor o copiloto de cara al cliente, colocar un marcador de contenido sintético legible por máquina en el resultado generado es la acción de cumplimiento más concreta que priorizar antes del 2 de agosto de 2026.

Si está construido sobre un modelo fundacional

Muchos resumidores se construyen sobre un modelo de IA de uso general — un LLM al que se accede vía API (OpenAI, Mistral, Google u otros). La Ley de IA de la UE maneja esto a través del Capítulo V, Artículos 51 a 56, que imponen un conjunto independiente de obligaciones directamente al proveedor del modelo — la empresa que entrenó y distribuye el propio modelo. Esas obligaciones se aplican desde el 2 de agosto de 2025.

El principio importa para las empresas que construyen sobre estos modelos: las obligaciones de los GPAI permanecen con el proveedor del modelo, no con usted. Usted clasifica el sistema de IA que construye y es responsable de él. Si su resumidor es de riesgo mínimo o de riesgo limitado (Artículo 50), esa clasificación se aplica a su sistema. No está obligado a cumplir la pila de GPAI del Capítulo V por el mero hecho de haber utilizado un modelo fundacional accesible por API como componente.

Lo que sí se deriva de usar un modelo GPAI es el análisis de roles del Artículo 25. Cuando una empresa construye una aplicación sobre un modelo de un tercero y la introduce en el mercado con su propio nombre, esa empresa es el proveedor de la aplicación, con las obligaciones del proveedor del Artículo 16. Las obligaciones del proveedor del modelo (Artículo 53 — documentación técnica, información aguas abajo, política de derechos de autor y resumen de los datos de entrenamiento) son problema del proveedor del modelo, no del constructor de la aplicación. Esta separación es intencionada e importante: si construye un resumidor sobre una API de LLM y lo vende a clientes con su marca, es un proveedor de un sistema de IA de riesgo mínimo con deberes de marcado del Artículo 50; no está obligado además a producir la documentación técnica de GPAI del Artículo 53 para el modelo subyacente.

Cuando un resumidor toca un proceso de alto riesgo

El valor por defecto de riesgo mínimo se mantiene para el resumen autónomo. Puede cambiar si conecta el resumidor a un proceso que es en sí mismo de alto riesgo con arreglo al Anexo III.

Considere una plataforma de contratación que utiliza un resumidor para condensar los currículos de los candidatos antes de presentarlos a un seleccionador. El resumidor en sí no es de alto riesgo. Pero si esa condensación alimenta, influye en o forma parte de un sistema de IA utilizado para el cribado en la contratación, la preselección o la evaluación de candidatos — Anexo III, punto 4, letra a) —, entonces el sistema global es de alto riesgo. Las obligaciones (gestión de riesgos del Artículo 9, gobernanza de datos del Artículo 10, documentación técnica del Artículo 11, supervisión humana del Artículo 14, evaluación de la conformidad del Artículo 43 antes de la entrada en el mercado) se vinculan al sistema en su conjunto, no solo al paso de decisión del Anexo III. Un resumidor integrado dentro de ese sistema hereda las obligaciones del sistema en el que vive.

La misma lógica se aplica en otros contextos del Anexo III. Un resumidor que destila expedientes de evaluación de la solvencia para un prestamista (Anexo III, punto 5, letra b)); que lee resúmenes de historias clínicas que alimentan un modelo de fijación de precios de riesgo de seguros de salud (punto 5, letra c)); o que condensa información de inteligencia de garantía del cumplimiento del Derecho antes de que un sistema de elaboración de perfiles la procese (punto 6) — en cada caso, la clasificación del Anexo III del sistema circundante es la que rige.

La prueba es si el resumidor es un componente significativo en el flujo de decisión del Anexo III. Si es verdaderamente periférico — genera un resumen que un humano lee después junto con el original completo, tomando el humano el juicio trascendental de forma independiente —, el filtro del Artículo 6, apartado 3, puede aplicarse. Pero todo sistema que elabora perfiles de personas físicas es siempre de alto riesgo en virtud del Artículo 6, apartado 3, con independencia de las funciones que desempeñe. Si el resumidor es uno de los datos de entrada de un perfil utilizado para tomar una decisión trascendental sobre una persona, trátelo como parte del sistema de alto riesgo.

Qué hacer

Empiece por la clasificación. Documente, para cada resumidor que construya o despliegue, por qué queda fuera del Anexo III. Para la mayoría de los resumidores esto ocupa un párrafo: el sistema no aparece en ninguno de los ocho encabezamientos del Anexo III; no sirve como componente de seguridad de un producto cubierto por el Anexo I. Conserve esa nota en su registro de IA.

Después trabaje el Artículo 50 para cualquier resumidor que se comercialice a clientes o interactúe con usuarios. Si es un asistente conversacional, añada la divulgación del Artículo 50, apartado 1, antes o en la primera interacción. Si genera texto sintético (la mayoría de los resumidores lo hacen), evalúe si se aplica el marcado legible por máquina del Artículo 50, apartado 4, e impleméntelo o documente la excepción aplicable. Esto no es opcional a partir del 2 de agosto de 2026.

Si el resumidor se integra con un producto o servicio que pudiera tocar un ámbito del Anexo III — software de RR. HH., flujos de trabajo de concesión de préstamos, sistemas de admisibilidad a prestaciones, herramientas de apoyo judicial —, vuelva a ejecutar la clasificación para el sistema combinado, no para el resumidor de forma aislada.

Dos riesgos operativos se sitúan fuera de la clasificación de la Ley de IA de la UE, pero deben gestionarse igualmente. Primero, la confidencialidad y la fuga de datos: si el resumidor envía el contenido de los documentos a una API de un tercero, esos datos pueden tratarse fuera de sus controles de gobernanza de datos. Evalúe si el contenido es dato personal (lo que activa las obligaciones del RGPD), contractualmente confidencial o jurídicamente privilegiado. Estos son riesgos reales que una revisión de fuga de datos debería abordar. Consulte IA y riesgos de fuga de datos. Segundo, la exactitud y la alucinación: los resúmenes pueden omitir, tergiversar o fabricar contenido. Para las decisiones que se toman sobre la base de un resumen — en lugar del documento de origen —, esto es una cuestión de calidad operativa que sus procesos internos deberían detectar. Ninguno de los dos riesgos cambia el nivel de clasificación de la Ley de IA de la UE, pero ambos afectan a la exposición a la responsabilidad y a la confianza del usuario.

Cómo ayuda Confir

Clasificar correctamente un resumidor — y documentar esa clasificación de una manera que resista el escrutinio — requiere más que un párrafo de análisis cuando su sistema interactúa con otras herramientas, cambia con el tiempo o se sitúa dentro de un producto más amplio.

El flujo de trabajo de clasificación de Confir aplica una lista de comprobación basada en reglas y determinista a cada sistema de IA que registra. La misma admisión produce la misma conclusión cada vez, y la regla que se activó está escrita en lenguaje sencillo — lo que importa cuando un regulador pregunta cómo llegó a su conclusión. Para un resumidor, los controles de transparencia del Artículo 50 de Confir (parte de las áreas de evaluación AIRC y AITO) le guían específicamente por las preguntas del Artículo 50, apartados 1 y 4: ¿es este un sistema conversacional en tiempo real? ¿Genera texto sintético? El resultado es una clasificación documentada con las citas pertinentes del Artículo adjuntas.

Si su resumidor está integrado en un flujo de trabajo que sí cruza al Anexo III, Confir ejecuta la pila completa de alto riesgo — gestión de riesgos, documentación técnica del Artículo 11 / Anexo IV, la declaración de conformidad del Artículo 47 y la evaluación de impacto relativa a los derechos fundamentales del Artículo 27 cuando proceda. Basado en reglas, no generado por IA.

Preguntas frecuentes

¿Se considera de alto riesgo un resumidor de IA con arreglo a la Ley de IA de la UE?

No, no por sí solo. El resumen de textos con IA — resumen de documentos, reuniones o correos electrónicos — no aparece en el Anexo III del Reglamento (UE) 2024/1689 y no es un componente de seguridad de un producto regulado con arreglo al Anexo I. La clasificación por defecto es de riesgo mínimo. La única excepción es cuando el resumidor es un componente significativo de un sistema de IA que sí cumple los requisitos de alto riesgo con arreglo al Anexo III — en ese caso, las obligaciones del sistema circundante se aplican al conjunto.

¿Se aplica el Artículo 50 a un resumidor que genera texto escrito por IA?

Sí. El Artículo 50, apartado 4, exige a los proveedores de sistemas de IA que generan contenido de texto sintético marcar ese resultado en un formato legible por máquina, de modo que pueda detectarse como generado artificialmente. La mayoría de los resumidores producen prosa sintética y entran dentro de esta obligación. Se aplica a partir del 2 de agosto de 2026. El Artículo 50, apartado 1, exige adicionalmente que se informe a los usuarios de los asistentes conversacionales de IA de que están interactuando con una IA al comienzo de la interacción.

¿Quién es responsable de las obligaciones del modelo GPAI si mi resumidor utiliza una API de LLM?

Lo es el proveedor del modelo GPAI. El Capítulo V de la Ley de IA de la UE (Artículos 51 a 56, en vigor desde el 2 de agosto de 2025) sitúa la carga de cumplimiento — documentación técnica, información aguas abajo, política de derechos de autor, resumen de los datos de entrenamiento — en la empresa que entrenó y distribuyó el modelo. Cuando construye una aplicación sobre una API de modelo y la publica con su propio nombre, es el proveedor de la aplicación (Artículo 16), clasificada por lo que hace su aplicación. La pila del Capítulo V del proveedor del modelo no es suya de soportar.

¿Qué ocurre si mi resumidor alimenta una decisión de contratación, de crédito o de RR. HH.?

Eso cambia el análisis. Si el resumidor es un componente integrado en un sistema utilizado para el cribado en la contratación (Anexo III, punto 4, letra a)), la evaluación de la solvencia (punto 5, letra b)) u otra finalidad del Anexo III, el sistema en su conjunto puede ser de alto riesgo. La pregunta clave es si el resultado del resumidor influye en o forma parte del flujo de decisión del Anexo III. Si es genuinamente periférico — una herramienta de conveniencia que un humano descarta en favor del documento principal —, el filtro del Artículo 6, apartado 3, puede excluir el sistema global. Si da forma a lo que ven los responsables de la decisión, trate el sistema combinado como de alto riesgo y aplique la pila completa de obligaciones.

¿Cubre la Ley de IA de la UE los riesgos de fuga de datos y de alucinación?

No afectan al nivel de clasificación, pero importan. La fuga de datos — enviar datos confidenciales o personales a una API de un tercero — es una cuestión del RGPD y contractual, no de nivel de riesgo de la Ley de IA de la UE. La alucinación — que el resumidor invente o tergiverse contenido — es un riesgo operativo y de exactitud que hay que gestionar a través de sus procesos de calidad. Para los sistemas de alto riesgo, el Artículo 15 (exactitud, robustez y ciberseguridad) y el Artículo 9 (el sistema de gestión de riesgos) proporcionan el anclaje legal. Para los resumidores de riesgo mínimo, estas siguen siendo obligaciones de buenas prácticas, no legales.

¿Cuándo entran realmente en vigor las obligaciones del Artículo 50?

El Artículo 50 se aplica a partir del 2 de agosto de 2026. La fecha general de aplicación de las obligaciones de transparencia de riesgo limitado de la Ley de IA de la UE no fue aplazada por el Ómnibus Digital (que movió únicamente las obligaciones de alto riesgo del Anexo III, ahora exigibles a partir del 2 de diciembre de 2027). Las empresas deberían estar incorporando el marcado de contenido sintético del Artículo 50, apartado 4, en sus productos ahora, antes de la fecha de agosto de 2026, en lugar de apresurarse a adaptarlo.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.