Cumplimiento del Reglamento de IA de la UE: 8 pasos antes de agosto de 2026
El cumplimiento del Reglamento de IA de la UE requiere que las organizaciones hagan un inventario de todos los sistemas de IA, los clasifiquen por nivel de riesgo según el Art. 6 y el Anexo III, implementen sistemas de gestión de riesgos (Art. 9), establezcan la gobernanza de datos (Art. 10), creen documentación técnica (Art. 11), diseñen la supervisión humana (Art. 14), completen las evaluaciones de conformidad (Art. 43) y registren los sistemas de alto riesgo en la base de datos de la UE (Art. 49) — todo antes del 2 de agosto de 2026. Con multas de hasta 35 millones de euros o el 7% del volumen de negocio anual mundial por prácticas prohibidas y 15 millones de euros o el 3% por infracciones de alto riesgo, la Comisión Europea estima los costes de cumplimiento en 6.000–7.500 € por sistema de IA de alto riesgo. Sin embargo, según una encuesta de Deloitte de 2025, solo el 29% de las organizaciones europeas han comenzado una preparación estructurada para el Reglamento de IA.
Esta guía proporciona una hoja de ruta de implementación práctica, paso a paso, con calendarios, estimaciones de costes y resultados concretos para cada paso.
Realiza la evaluación gratuita de preparación para el Reglamento de IA para entender tu punto de partida.
Antes de empezar: Comprobación de la realidad del calendario
Con aproximadamente 3,5 meses hasta la fecha límite del 2 de agosto de 2026, aquí tienes un calendario de implementación realista:
| Paso | Duración | Inicio recomendado |
|---|---|---|
| 1. Inventario de sistemas de IA | 2–3 semanas | Inmediatamente |
| 2. Clasificación de riesgos | 2–3 semanas | Semana 3 |
| 3. Verificación de prácticas prohibidas | 1 semana | Semana 5 |
| 4. Sistema de gestión de riesgos | 4–6 semanas | Semana 6 |
| 5. Gobernanza de datos | 3–4 semanas | Semana 6 (paralelo) |
| 6. Documentación técnica | 4–6 semanas | Semana 10 |
| 7. Evaluación de conformidad | 2–4 semanas | Semana 14 |
| 8. Registro y supervisión | 1–2 semanas | Semana 16 |
Tiempo total estimado: 16–18 semanas (4–4,5 meses). Si aún no has empezado, la ventana se está cerrando rápidamente.
Paso 1: Inventariar todos los sistemas de IA
Objetivo: Crear un inventario completo y preciso de todos los sistemas de IA que tu organización desarrolla, despliega o utiliza.
Por qué es importante: No puedes clasificar lo que no puedes ver. Según Gartner, el 40% de las organizaciones no puede enumerar con precisión todos los sistemas de IA que opera. La IA en la sombra — sistemas adoptados por equipos individuales sin supervisión central — es el mayor punto ciego de cumplimiento.
Qué documentar para cada sistema:
- Nombre del sistema y versión
- Proveedor (interno o tercero)
- Propósito y uso previsto
- Datos de entrada y salida
- Contexto de despliegue (qué unidad de negocio, qué geografía)
- Alcance de toma de decisiones (consultivo vs. autónomo)
- Número de personas afectadas
Resultado: Registro de sistemas de IA — un documento vivo que se convierte en la base de todas las actividades de cumplimiento posteriores.
Estimación de costes: 2.000–5.000 € (esfuerzo interno) o 5.000–15.000 € (con apoyo externo).
Error frecuente: Centrarse solo en los modelos de ML. La definición de "sistema de IA" del Reglamento (Art. 3(1)) abarca enfoques de aprendizaje automático, sistemas basados en lógica y enfoques estadísticos. Asegúrate de que tu inventario capture la IA basada en reglas, los sistemas expertos y las herramientas de toma de decisiones automatizadas junto con las redes neuronales.
Paso 2: Clasificar cada sistema por nivel de riesgo
Objetivo: Determinar a qué nivel de riesgo pertenece cada sistema de IA según los Art. 5–7 y el Anexo III.
El marco de clasificación:
| Nivel de riesgo | Desencadenante | Obligación |
|---|---|---|
| Prohibido (Art. 5) | Puntuación social, manipulación subliminal, reconocimiento de emociones en el trabajo/escuela | Debe cesar |
| Alto riesgo (Art. 6, Anexo III) | IA en biometría, infraestructura crítica, educación, empleo, servicios esenciales, fuerzas del orden, migración, justicia | Cumplimiento completo Art. 9–15 |
| Riesgo limitado (Art. 50) | Chatbots, deepfakes, reconocimiento de emociones, categorización biométrica | Divulgación de transparencia |
| Riesgo mínimo | Todo lo demás | Solo alfabetización en IA |
Puntos de decisión clave:
- ¿El sistema cae bajo alguna prohibición del Art. 5? → Si es así, cesar inmediatamente.
- ¿El sistema está listado en el Anexo III o es un componente de seguridad de un producto del Anexo I? → Si es así, alto riesgo.
- ¿Se aplica la exención del Art. 6(3)? → El sistema no es de alto riesgo si no plantea un riesgo significativo de daño, no influye materialmente en la toma de decisiones y no se utiliza para perfilar personas.
- ¿El sistema interactúa con personas o genera contenido? → Si es así, verificar las obligaciones de transparencia del Art. 50.
Resultado: Registro de clasificación de riesgos con justificación documentada para cada decisión de clasificación.
Estimación de costes: 3.000–8.000 € según el tamaño del portafolio de IA.
Paso 3: Verificar las prácticas prohibidas
Objetivo: Verificar que ningún sistema de IA en tu portafolio viola las prohibiciones del Art. 5.
Este paso es urgente: Las prácticas prohibidas han estado prohibidas desde el 2 de febrero de 2025. Si todavía operas IA prohibida, ya estás en infracción con una exposición de 35 millones de euros o el 7% del volumen de negocio.
Lista de verificación de prohibiciones del Art. 5:
- Ningún sistema de IA utiliza técnicas subliminales para manipular el comportamiento causando daño
- Ningún sistema de puntuación social está en uso
- Ninguna identificación biométrica en tiempo real en espacios públicos (a menos que aplique la excepción estrecha de fuerzas del orden)
- Ningún sistema explota las vulnerabilidades de grupos específicos (edad, discapacidad, situación económica)
- Ningún reconocimiento de emociones en lugares de trabajo o centros educativos (salvo para fines médicos o de seguridad)
- Ninguna recopilación no selectiva de imágenes de caras para bases de datos de reconocimiento
- Ninguna categorización biométrica por atributos sensibles
- Ninguna policía predictiva basada únicamente en perfilado
Resultado: Certificado de cumplimiento del Art. 5 — una confirmación formal de que no se utilizan prácticas prohibidas.
Paso 4: Implementar sistemas de gestión de riesgos (Art. 9)
Objetivo: Construir un sistema de gestión de riesgos continuo e iterativo para cada sistema de IA de alto riesgo.
El Art. 9 requiere cuatro fases:
- Identificación de riesgos: Identificar los riesgos conocidos y razonablemente previsibles derivados del uso previsto y del mal uso previsible
- Análisis de riesgos: Estimar la probabilidad y gravedad de cada riesgo identificado
- Evaluación de riesgos: Determinar si los riesgos residuales son aceptables frente a los beneficios
- Mitigación de riesgos: Implementar medidas técnicas y organizativas para reducir los riesgos
Requisitos clave:
- El sistema de gestión de riesgos debe cubrir el ciclo de vida completo de la IA — diseño, desarrollo, despliegue y post-comercialización
- Debe actualizarse regularmente con base en los datos de supervisión post-comercialización
- Las pruebas deben validar que los riesgos residuales son aceptables (Art. 9(7))
- Las pruebas deben realizarse contra métricas definidas previamente apropiadas al propósito del sistema
Resultado: Plan de gestión de riesgos por sistema de IA de alto riesgo, incluyendo registro de riesgos, medidas de mitigación y protocolos de prueba.
Estimación de costes: 6.000–7.000 € por sistema (estimación de la Comisión Europea).
Paso 5: Establecer la gobernanza de datos (Art. 10)
Objetivo: Garantizar que los conjuntos de datos de entrenamiento, validación y prueba cumplan los requisitos de calidad del Reglamento.
El Art. 10 exige:
- Calidad, relevancia y representatividad de los datos
- Examen de posibles sesgos, en particular los que afectan a características protegidas
- Propiedades estadísticas apropiadas para el entorno geográfico, conductual o funcional previsto
- Identificación y remediación de lagunas en los datos
- Salvaguardias para los datos personales cuando la supervisión de sesgos lo requiera
Implementación práctica:
- Documentar la procedencia de todos los conjuntos de datos de entrenamiento
- Implementar controles de calidad de datos (exhaustividad, precisión, consistencia)
- Realizar análisis de sesgos en características protegidas (sexo, edad, etnia, discapacidad)
- Validar que los conjuntos de datos son representativos de la población objetivo
- Establecer el control de versiones de datos y el seguimiento del linaje
Resultado: Marco de gobernanza de datos con métricas de calidad, informes de sesgos y documentación de conjuntos de datos.
Paso 6: Crear documentación técnica (Art. 11, Anexo IV)
Objetivo: Preparar documentación técnica completa para cada sistema de IA de alto riesgo antes de su comercialización.
El Anexo IV requiere documentación que cubra:
- Descripción general (propósito, desarrollador, versión, arquitectura del sistema)
- Descripción detallada de los elementos y el proceso de desarrollo
- Mecanismos de supervisión, funcionamiento y control
- Información sobre el sistema de gestión de riesgos
- Prácticas de gobernanza de datos y descripciones de conjuntos de datos
- Métricas utilizadas para medir la precisión, la robustez y la ciberseguridad
- Métricas de rendimiento determinadas a priori
- Descripción de las medidas de supervisión humana
- Vida útil esperada y procedimientos de mantenimiento
La documentación debe:
- Prepararse antes de que el sistema sea comercializado
- Mantenerse actualizada durante todo el ciclo de vida del sistema
- Estar disponible para las autoridades nacionales competentes a petición
Resultado: Paquete de documentación técnica del Anexo IV por sistema de alto riesgo.
Estimación de costes: 2.000–5.000 € por sistema (significativamente menos con herramientas de documentación automatizada).
Matproof automatiza la generación de documentación del Anexo IV — descubre cómo funciona.
Paso 7: Completar la evaluación de conformidad (Art. 43)
Objetivo: Demostrar que tu sistema de IA de alto riesgo cumple todos los requisitos aplicables.
Existen dos vías:
| Vía | Aplicable a | Proceso |
|---|---|---|
| Autoevaluación (Anexo VI) | La mayoría de los sistemas de alto riesgo | Auditoría interna del sistema de gestión de calidad |
| Evaluación de terceros (Anexo VII) | Identificación biométrica para las fuerzas del orden | Evaluación por organismo notificado |
La Comisión Europea estima que el 85% de los sistemas de IA de alto riesgo seguirán la vía de autoevaluación.
Pasos de autoevaluación:
- Verificar la conformidad del sistema de gestión de calidad (Art. 17)
- Evaluar la exhaustividad de la documentación técnica (Anexo IV)
- Verificar que se cumplen todos los requisitos Art. 9–15
- Preparar la Declaración UE de conformidad (Anexo V)
- Colocar el marcado CE
- Registrarse en la base de datos de la UE (Art. 49)
Resultado: Declaración UE de conformidad + documentación del marcado CE.
Estimación de costes: 3.000–7.500 € por sistema (estimación de la Comisión Europea).
Paso 8: Registrar e implementar la supervisión continua
Objetivo: Registrar los sistemas de alto riesgo y establecer procesos de cumplimiento continuos.
Registro (Art. 49):
- Registrar cada sistema de IA de alto riesgo en la base de datos de la UE antes de su comercialización
- Incluir descripción del sistema, uso previsto, resultados de la evaluación de conformidad e información de contacto
- Mantener actualizada la información de registro
Supervisión post-comercialización (Art. 72):
- Establecer un sistema de supervisión post-comercialización proporcionado
- Recopilar y analizar datos sobre el rendimiento del sistema de IA en condiciones reales
- Documentar y analizar los incidentes graves
Notificación de incidentes graves (Art. 73):
- Notificar los incidentes que resulten en muerte, daños graves a la salud, interrupción de infraestructura crítica o daños graves a los derechos fundamentales
- Plazo de notificación: en un plazo de 15 días desde que se tenga conocimiento del incidente
Resultado: Plan de supervisión post-comercialización + Procedimiento de respuesta a incidentes.
Resumen de costes
| Paso | Coste estimado por sistema |
|---|---|
| Inventario de sistemas de IA | 2.000–5.000 € (una vez) |
| Clasificación de riesgos | 3.000–8.000 € (una vez) |
| Verificación de prácticas prohibidas | 1.000–2.000 € (una vez) |
| Sistema de gestión de riesgos | 6.000–7.000 € |
| Gobernanza de datos | 3.000–6.000 € |
| Documentación técnica | 2.000–5.000 € |
| Evaluación de conformidad | 3.000–7.500 € |
| Registro y supervisión | 1.000–3.000 €/año |
| Total (primer año) | 21.000–43.500 € por sistema de alto riesgo |
Las organizaciones con 5–10 sistemas de IA de alto riesgo deberían presupuestar 100.000–400.000 € para el cumplimiento. Las herramientas de automatización como Matproof pueden reducir esto en un 40–70%.
Preguntas frecuentes
¿Cuánto tiempo lleva el cumplimiento del Reglamento de IA de la UE?
Para una organización que empieza desde cero, prevé 4–6 meses para un programa de cumplimiento completo que cubra inventario, clasificación, gestión de riesgos, documentación y evaluación de conformidad. Las organizaciones con marcos GRC existentes a menudo pueden completarlo en 2–3 meses.
¿Necesito una evaluación de conformidad para cada sistema de IA?
No — solo para los sistemas de IA de alto riesgo clasificados según el Art. 6 y el Anexo III. Los sistemas de riesgo mínimo y limitado no requieren evaluaciones de conformidad. La Comisión Europea estima que solo el 15% de los sistemas de IA en la UE se clasificarán como de alto riesgo.
¿Puedo empezar el cumplimiento después del 2 de agosto de 2026?
El reglamento no tiene período de gracia. A partir del 2 de agosto de 2026, todos los requisitos de IA de alto riesgo son ejecutables. Los sistemas ya en el mercado deben cumplir. Los nuevos sistemas no pueden comercializarse sin una evaluación de conformidad completada.
¿Qué pasa si mi sistema de IA es proporcionado por un tercero?
Como responsable del despliegue, tienes obligaciones separadas según el Art. 26 — incluyendo usar el sistema de acuerdo con las instrucciones del proveedor, implementar la supervisión humana, supervisar el funcionamiento del sistema y notificar los incidentes. No necesitas repetir la evaluación de conformidad del proveedor, pero debes verificar que la haya completado.
¿Hay diferencia entre el cumplimiento del Reglamento de IA de la UE y la certificación ISO 42001?
Sí. ISO 42001 es una norma voluntaria de sistemas de gestión de IA. El cumplimiento del Reglamento de IA de la UE es un requisito legal con sanciones ejecutables. La certificación ISO 42001 puede apoyar tu caso de cumplimiento pero no lo garantiza — el Reglamento de IA tiene requisitos específicos (evaluaciones de conformidad, marcado CE, registro en la base de datos de la UE) que van más allá de ISO 42001.