Las obligaciones del Reglamento de IA de la UE dependen de dos variables: su rol (proveedor, responsable del despliegue, importador, distribuidor) y la clasificación de su sistema (el riesgo inaceptable está prohibido; después vienen el riesgo alto, limitado y mínimo). La mayoría de las empresas son responsables del despliegue: utilizan sistemas de IA suministrados por terceros.
El Reglamento de IA de la UE (Reglamento (UE) 2024/1689) define cuatro niveles de riesgo. Riesgo inaceptable (artículo 5): prácticas prohibidas. Riesgo alto (artículo 6 y anexo III): obligaciones reforzadas. Riesgo limitado: obligaciones de transparencia. Riesgo mínimo: sin obligaciones vinculantes.
Para el responsable del despliegue de un sistema de alto riesgo, las principales obligaciones se establecen en el artículo 26: utilizar el sistema conforme a las instrucciones del proveedor, garantizar la supervisión humana, monitorizar el funcionamiento, notificar incidentes graves, conservar los registros automáticos, informar a las personas afectadas y, en ciertos casos, realizar una evaluación de impacto sobre los derechos fundamentales (FRIA, artículo 27).
Para el proveedor de un sistema de alto riesgo, las obligaciones son más exigentes (artículos 9 a 21): un sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registro automático de eventos, transparencia hacia los responsables del despliegue, evaluación de la conformidad ex ante, marcado CE, registro en la base de datos de la UE, una declaración de conformidad y vigilancia poscomercialización.
Para los sistemas de riesgo limitado (chatbots, ultrafalsificaciones, contenido generado por IA): una obligación de transparencia (artículo 50); los usuarios deben saber que interactúan con una IA o que el contenido ha sido generado por IA. La prioridad de preparación antes del 2 de agosto de 2026: inventariar sus sistemas de IA, clasificar cada uno según el anexo III, identificar su rol para cada sistema y priorizar la puesta en conformidad de los sistemas de alto riesgo.
Empiece por su rol, no por la tecnología: la mayoría de las organizaciones son responsables del despliegue, y el artículo 26 es una lista mucho más corta que las obligaciones de proveedor de los artículos 9 a 21; saber qué papel desempeña delimita todo el programa.
Una Declaración de Aplicabilidad documenta qué controles se seleccionan para el AIMS y por qué aplican, creando trazabilidad entre riesgos, requisitos y controles.
Un AIMS ayuda a una organización a gobernar cómo se planifica, implementa, opera y mejora la IA, de modo que las iniciativas de IA se mantengan controladas, consistentes y auditables.
Se prepara asegurando que el alcance, los controles, la información documentada y la evidencia operativa estén en su sitio, y validándolos después mediante auditoría interna y revisión por la dirección antes de la auditoría de certificación.
Se mantiene eficaz mediante monitorización y medición, auditorías internas, revisión por la dirección y mejora continua basada en no conformidades e indicadores de desempeño.
La ISO 27001 le da ventaja sobre la ISO 42001, no un pase libre. Esto es lo que se traslada, lo que es nuevo y cómo ampliar su SGSI hacia un SGIA, paso a paso.
El Reglamento (UE) 2024/1689 es la primera ley europea horizontal y basada en el riesgo que regula la IA, aplicable por fases de 2025 a 2027 (artículo 6(1) diferido a 2027). La guía experta.
Todas las preguntas frecuentes →
Base de conocimiento completa
Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.