EU AI Act (Reglamento UE 2024/1689): la guía completa de conformidad frente al plazo del 2 de agosto de 2026
ai-governance
regulatory-updates

EU AI Act (Reglamento UE 2024/1689): la guía completa de conformidad frente al plazo del 2 de agosto de 2026

El Reglamento (UE) 2024/1689 es la primera ley europea horizontal y basada en el riesgo que regula la IA, aplicable por fases de 2025 a 2027 (artículo 6(1) diferido a 2027). La guía experta.

Alexis HIRSCHHORN
Alexis HIRSCHHORN
13 min read

El EU AI Act (Reglamento (UE) 2024/1689) es la primera ley europea horizontal, integral y basada en el riesgo que regula la inteligencia artificial, ampliamente citada como la primera regulación de este tipo a nivel mundial. Adoptado en 2024 y aplicable progresivamente entre 2025, 2026 y 2027, fija normas vinculantes para los sistemas de IA introducidos en el mercado de la UE o cuyo output se utiliza en la UE, independientemente de dónde esté establecido el proveedor. El hito del 2 de agosto de 2026 es operativamente significativo para la mayoría de las organizaciones: dispara el grueso de las obligaciones, incluidas las normas sobre sistemas de alto riesgo del Anexo III. El régimen de clasificación del artículo 6(1) para la IA de alto riesgo integrada en productos bajo la legislación de armonización de la UE se difiere al 2 de agosto de 2027.

Esta guía explica los cuatro niveles de riesgo, a quién afecta, el calendario de aplicación escalonado, las sanciones, la relación con ISO/IEC 42001 y cómo construir una hoja de ruta de conformidad que resista una auditoría. Está pensada para responsables de gobernanza de IA, CISOs, responsables de cumplimiento, jefes de producto y equipos jurídicos en la UE, el Reino Unido y Suiza.

En Abilene Academy formamos a profesionales de la gobernanza de IA en las certificaciones PECB ISO 42001 Lead Implementer, Lead Auditor y Lead AI Risk Manager. Las páginas que siguen reflejan lo que nuestros formadores observan en el terreno: qué cláusulas se interpretan mal, dónde ayuda ISO 42001 y dónde no, y qué distingue una conformidad sobre el papel de una conformidad lista para auditoría antes de agosto de 2026.

Fecha de aplicación clave del EU AI Act

El 2 de agosto de 2026 dispara el grueso de las obligaciones en los 27 Estados miembros de la UE, incluidas las normas sobre sistemas de alto riesgo del Anexo III. El régimen del artículo 6(1), que captura la IA de alto riesgo integrada en productos cubiertos por la legislación de armonización de la UE, se difiere al 2 de agosto de 2027. Fuente: Reglamento (UE) 2024/1689, artículo 113.

Sanción máxima bajo el EU AI Act

35 millones de euros o el 7 % del volumen de negocios anual mundial total, la cifra más alta de las dos. La multa administrativa máxima por infracciones de las prácticas de IA prohibidas en el artículo 5. Fuente: Reglamento (UE) 2024/1689, artículo 99.

¿Qué es el EU AI Act?

El EU AI Act en breve

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, por el que se establecen normas armonizadas sobre inteligencia artificial. El Reglamento entró en vigor el 1 de agosto de 2024 y se aplica por fases entre el 2 de febrero de 2025 y el 2 de agosto de 2027. Como reglamento (no directiva), se aplica directamente en los 27 Estados miembros de la UE sin transposición nacional.

El EU AI Act es una regulación horizontal y basada en el riesgo de la inteligencia artificial. En lugar de dirigirse a sectores o casos de uso específicos, clasifica los sistemas de IA por el riesgo que plantean a los derechos fundamentales, la seguridad y la sociedad, e impone obligaciones proporcionales a ese riesgo. El Reglamento cubre toda la cadena de valor de la IA: proveedores (quienes desarrollan o introducen sistemas de IA en el mercado), responsables del despliegue (quienes los utilizan en un contexto profesional), importadores, distribuidores y representantes autorizados. Se aplica independientemente de dónde esté establecido el proveedor siempre que el sistema de IA se introduzca en el mercado de la UE o su output se utilice en la UE.

El Reglamento forma parte de la estrategia digital más amplia de la UE que incluye el RGPD, la Ley de Servicios Digitales, la Ley de Mercados Digitales, NIS 2 y DORA. Coexiste con regulaciones sectoriales (productos sanitarios, seguridad automotriz, servicios financieros) en lugar de reemplazarlas. Los sistemas de IA integrados en productos regulados heredan obligaciones de ambos regímenes.

El enfoque basado en el riesgo: cuatro niveles

Widget

Diagrama en pirámide de la clasificación a cuatro niveles del EU AI Act: riesgo inaceptable (prohibido), alto riesgo (obligaciones extensas), riesgo limitado (obligaciones de transparencia), riesgo mínimo (ninguna obligación específica).

Plazos de conformidad del EU AI Act: el calendario escalonado

El EU AI Act se aplica por fases, no de golpe. El artículo 113 del Reglamento fija cuatro fechas de aplicación clave repartidas entre 2025, 2026 y 2027. Cada una marca un conjunto distinto de obligaciones que pasan a ser jurídicamente exigibles. Las organizaciones deben cartografiar su inventario de IA contra este calendario para entender qué obligaciones se aplican y cuándo.

Widget

Cronología vertical de las fechas de aplicación del EU AI Act, desde el 1 de agosto de 2024 (entrada en vigor) hasta el 2 de agosto de 2027 (IA de alto riesgo en productos regulados): 1 ago 2024 entrada en vigor, 2 feb 2025 prácticas prohibidas y alfabetización en IA, 2 ago 2025 obligaciones GPAI y gobernanza, 2 ago 2026 fecha principal de aplicación, 2 ago 2027 productos regulados.

Para la mayoría de las organizaciones, el 2 de agosto de 2026 es el hito mayor de aplicación. Las prácticas prohibidas son aplicables desde febrero de 2025; las normas para proveedores de IA de uso general desde agosto de 2025. Agosto de 2026 trae el régimen operativo para los sistemas de alto riesgo del Anexo III: gestión de riesgos, gobernanza de datos, documentación técnica, conservación de registros, transparencia, supervisión humana, precisión, robustez y ciberseguridad, junto con las obligaciones de evaluación de conformidad, declaración UE de conformidad, marcado CE y vigilancia poscomercialización. El régimen de clasificación del artículo 6(1), que captura la IA de alto riesgo integrada en productos cubiertos por la legislación de armonización de la UE, se difiere al 2 de agosto de 2027.

¿A quién se aplica el EU AI Act?

El Reglamento cubre seis categorías de actores a lo largo de la cadena de valor de la IA:

  • Proveedores: entidades que desarrollan un sistema de IA o lo hacen desarrollar y lo introducen en el mercado de la UE o lo ponen en servicio bajo su propio nombre. Asumen las obligaciones más pesadas, especialmente para los sistemas de alto riesgo.
  • Responsables del despliegue (usuarios): entidades que utilizan un sistema de IA en un contexto profesional dentro de la UE. Asumen obligaciones sobre la conformidad con el uso previsto, la supervisión humana, los datos de entrada, la retención de registros y la evaluación de impacto para ciertos usos de alto riesgo.
  • Importadores: entidades establecidas en la UE que introducen en el mercado un sistema de IA con el nombre de un proveedor extracomunitario. Deben verificar la documentación de conformidad del proveedor antes de introducir el sistema en el mercado.
  • Distribuidores: entidades de la cadena de suministro que ponen a disposición un sistema de IA en el mercado de la UE, distintas del proveedor o el importador. Deben verificar el marcado CE y la documentación adjunta.
  • Fabricantes: entidades que introducen un sistema de IA en el mercado junto con un producto que fabrican, bajo su propio nombre.
  • Representantes autorizados: representantes establecidos en la UE designados por los proveedores extracomunitarios. Conservan una copia de la documentación técnica y la declaración UE de conformidad, y cooperan con las autoridades en nombre del proveedor.

Alcance extraterritorial: Reino Unido, Estados Unidos y Suiza en el ámbito de aplicación

El artículo 2 fija un ámbito de aplicación territorial inusualmente amplio. El Reglamento se aplica a los proveedores y responsables del despliegue establecidos fuera de la UE cuando el output producido por el sistema de IA se utiliza en la UE. Un proveedor SaaS estadounidense cuya IA puntua CVs para un empleador de la UE entra en el ámbito de aplicación. Una FinTech británica que utiliza un motor de decisión de crédito IA sobre clientes de la UE entra en el ámbito de aplicación. Un fabricante suizo de productos sanitarios que introduce un dispositivo de diagnóstico con IA en el mercado de la UE entra en el ámbito de aplicación. No existe un mecanismo de «adecuación» comparable al del RGPD; el Reglamento simplemente se aplica.

El enfoque británico: basado en principios, no horizontal

El Reino Unido está desarrollando su propio marco de regulación de IA basado en una supervisión por principios a cargo de los reguladores existentes (ICO, CMA, FCA, MHRA, Ofcom). Se espera que el Cyber Security and Resilience Bill y el UK AI Bill más amplio (todavía en consulta en 2026) introduzcan obligaciones sectoriales en lugar de una ley horizontal. Las empresas británicas con clientes en la UE deben cumplir con el EU AI Act independientemente de la regulación doméstica británica; ambos regímenes coexistirán probablemente.

Sistemas de IA de alto riesgo: el corazón operativo del Reglamento

La mayor parte del trabajo operativo de conformidad se centra en los sistemas de IA de alto riesgo. El Reglamento define el alto riesgo de dos maneras. Primero, los sistemas de IA utilizados como componentes de seguridad en productos cubiertos por la legislación de armonización de la UE recogida en el Anexo I (productos sanitarios, automoción, maquinaria, juguetes, ascensores, etc.) heredan el estatus de alto riesgo de la regulación de producto subyacente. Segundo, los sistemas de IA utilizados en los ocho ámbitos listados en el Anexo III son de alto riesgo por defecto:

  • Identificación y categorización biométrica (donde no esté ya prohibida por el artículo 5)
  • Gestión de infraestructuras críticas (tráfico rodado, agua, gas, electricidad, infraestructuras digitales)
  • Educación y formación profesional (admisión, evaluación, vigilancia de comportamientos)
  • Empleo, gestión de trabajadores y acceso al autoempleo (contratación, selección de CV, asignación de tareas, evaluación del desempeño, despido)
  • Acceso a servicios privados y públicos esenciales (solvencia, prestaciones públicas, despacho de llamadas de emergencia, tarificación de seguros de salud y vida)
  • Aplicación de la ley (evaluación de riesgos, polígrafos, fiabilidad de las pruebas, perfilado, policía predictiva)
  • Gestión de la migración, el asilo y el control fronterizo
  • Administración de justicia y procesos democráticos

Trampa frecuente: infracategorizar el alto riesgo

El fallo de conformidad más frecuente es no clasificar los sistemas de alto riesgo como tales. Las organizaciones subestiman el ámbito de aplicación porque piensan que «alto riesgo» implica peligroso, cuando en realidad captura la IA empresarial cotidiana: herramientas de selección de CV, scoring crediticio de clientes, software de vigilancia de empleados, evaluaciones de contratación asistidas por IA. Un inventario de los sistemas de IA mapeado contra el Anexo III es el primer paso más importante.

Las siete obligaciones para los proveedores de IA de alto riesgo

Obligaciones de los proveedores de IA de alto riesgo, artículos 9 a 15 del EU AI Act
Conforme al Capítulo III, Sección 2 del EU AI Act, los proveedores de sistemas de IA de alto riesgo deben implementar y documentar lo siguiente:
  • 1. Sistema de gestión de riesgos (artículo 9): proceso documentado e iterativo que identifica y mitiga los riesgos razonablemente previsibles para la salud, la seguridad y los derechos fundamentales a lo largo de todo el ciclo de vida del sistema de IA.
  • 2. Gobernanza de datos (artículo 10): los datos de entrenamiento, validación y prueba deben ser pertinentes, suficientemente representativos, libres de errores y completos. Examinados frente a sesgos que puedan derivar en discriminación.
  • 3. Documentación técnica (artículo 11): documentación exhaustiva que permita a las autoridades evaluar la conformidad. Incluye la arquitectura del sistema, los datos de entrenamiento, los métodos de validación y las métricas de desempeño.
  • 4. Conservación de registros (artículo 12): registro automático de eventos durante el funcionamiento para asegurar la trazabilidad y la vigilancia poscomercialización.
  • 5. Transparencia e información a los responsables del despliegue (artículo 13): instrucciones de uso claras, que incluyan las capacidades del sistema, sus limitaciones, el nivel esperado de precisión y las medidas de supervisión humana.
  • 6. Supervisión humana (artículo 14): diseño del sistema que permita una supervisión humana efectiva por personas físicas, incluida la capacidad de anular, detener o revertir las salidas del sistema.
  • 7. Precisión, robustez y ciberseguridad (artículo 15): nivel de desempeño adecuado, resiliencia frente a errores, fallos o incoherencias, y protección contra los intentos de alterar el uso o el desempeño mediante acceso no autorizado.

Obligaciones de los responsables del despliegue: más ligeras pero reales

Los responsables del despliegue, es decir, las organizaciones que usan sistemas de IA con fines profesionales, asumen obligaciones más ligeras pero reales bajo el artículo 26. Deben usar los sistemas de IA de alto riesgo conforme a las instrucciones de uso del proveedor, asignar la supervisión humana a personas competentes, asegurar que los datos de entrada sean pertinentes para la finalidad prevista, vigilar el funcionamiento y notificar al proveedor cualquier incidente grave, conservar los registros durante al menos seis meses, e informar a los representantes de los trabajadores y a los trabajadores afectados antes de desplegar un sistema de alto riesgo en el lugar de trabajo. Los responsables del despliegue del sector público y los de los sectores bancario y asegurador están sujetos a la obligación adicional de evaluación de impacto en los derechos fundamentales bajo el artículo 27.

IA de uso general: un régimen propio

Los modelos de IA de uso general (GPAI), los modelos de fundación detrás de sistemas como ChatGPT, Claude, Gemini y sus alternativas de código abierto, están regulados bajo un régimen separado (Capítulo V, artículos 51 a 56) que pasó a ser aplicable el 2 de agosto de 2025. Todos los proveedores de GPAI deben mantener documentación técnica, proporcionar información a los proveedores aguas abajo que integren el modelo, establecer una política de cumplimiento del derecho de autor y publicar un resumen suficientemente detallado de los datos de entrenamiento. Los proveedores de modelos GPAI clasificados como con riesgo sistémico (actualmente desencadenado por una potencia de cómputo de entrenamiento superior a 10^25 FLOPs) asumen obligaciones adicionales: evaluación del modelo, evaluación de riesgos sistémicos, notificación de incidentes graves a la Oficina de IA y medidas de ciberseguridad adecuadas.

¿Eres responsable del despliegue o proveedor de GPAI?

Las organizaciones que usan GPAI a través de API comerciales (OpenAI, Anthropic, Google) son responsables del despliegue aguas abajo, no proveedores. Pero las organizaciones que afinan modelos GPAI de código abierto para sus propios productos pueden convertirse en proveedores ellas mismas bajo el Reglamento, con todas las obligaciones de proveedor asociadas. La clasificación jurídica depende de si el fine-tuning modifica sustancialmente el modelo.

Sanciones: entre las más altas de la regulación europea

El EU AI Act prevé algunas de las multas administrativas más altas de la regulación europea, superando incluso los techos del RGPD. El artículo 99 establece tres niveles de sanción en función del tipo de infracción:

Multas administrativas EU AI Act por categoría de infracción (artículo 99)

Categoría de infracción: Prácticas de IA prohibidas (artículo 5)

Multa máxima35 millones EUR o el 7 % del volumen de negocios anual mundial total, la cifra más alta de las dos

Categoría de infracción: Otras infracciones de obligaciones

Multa máxima15 millones EUR o el 3 % del volumen de negocios anual mundial total, la cifra más alta de las dos

Categoría de infracción: Información incorrecta/incompleta/engañosa a las autoridades

Multa máxima7,5 millones EUR o el 1 % del volumen de negocios anual mundial total, la cifra más alta de las dos

Categoría de infracción: Pymes y start-ups

Multa máximaTechos proporcionales aplicados (el menor de los dos valores, no el mayor)

La aplicación es nacional. Cada Estado miembro designa una o varias autoridades de vigilancia del mercado para aplicar el Reglamento en su territorio, y la Oficina de IA a nivel europeo se ocupa de la supervisión de los proveedores de GPAI y coordina los casos transfronterizos. La asignación de autoridades difiere según el Estado miembro y aún se está finalizando en varias jurisdicciones en 2026; las organizaciones deben verificar la autoridad competente para su establecimiento antes de apoyarse en un punto de contacto específico. El Comité Europeo de Inteligencia Artificial asegura una aplicación coherente en toda la Unión.

EU AI Act e ISO 42001: el camino de operacionalización

ISO/IEC 42001:2023 es la norma internacional para sistemas de gestión de IA, y proporciona el camino más directo para operacionalizar la conformidad con el EU AI Act. La estructura de la norma se alinea estrechamente con las obligaciones de los proveedores de IA de alto riesgo del Capítulo III del Reglamento, a la vez que añade controles de sistema de gestión familiares para quien se haya formado en ISO 27001 o ISO 9001.

Mapeo entre obligaciones EU AI Act de alto riesgo y controles ISO 42001

Obligación EU AI Act: Gestión de riesgos (art. 9)

Correspondencia ISO 42001Cláusula 6, Planificación de riesgos de IA; Anexo A.5, Evaluación de riesgos de IA

Obligación EU AI Act: Gobernanza de datos (art. 10)

Correspondencia ISO 42001Anexo A.7, Gestión de datos; A.7.4, Calidad de los datos

Obligación EU AI Act: Documentación técnica (art. 11)

Correspondencia ISO 42001Cláusula 7.5, Información documentada; Anexo A.8, Información para las partes interesadas

Obligación EU AI Act: Conservación de registros (art. 12)

Correspondencia ISO 42001Anexo A.6.2, Recursos; A.9.3, Procedimientos operativos

Obligación EU AI Act: Transparencia (art. 13)

Correspondencia ISO 42001Anexo A.8.2, Información para los usuarios de IA

Obligación EU AI Act: Supervisión humana (art. 14)

Correspondencia ISO 42001Anexo A.6.2.6, Supervisión humana

Obligación EU AI Act: Precisión/robustez/ciberseguridad (art. 15)

Correspondencia ISO 42001Anexo A.6.2.7-A.6.2.8, Desempeño, robustez, seguridad

ISO 42001 no es un atajo de conformidad; la certificación no sustituye las obligaciones específicas de evaluación de conformidad, marcado CE y vigilancia poscomercialización del AI Act. Pero proporciona evidencias auditables para la mayoría de las obligaciones aplicables a los sistemas de alto riesgo, estructura la documentación que las autoridades requerirán y demuestra un compromiso directivo que mitiga las sanciones en caso de infracción. Para las organizaciones que parten de cero, ISO 42001 es el marco más eficiente para estructurar un programa de gobernanza de IA. Las plataformas GRC unificadas como Acuna operacionalizan esta alineación consolidando los controles EU AI Act, ISO 42001 e ISO 27001 en un único marco de referencia auditable.

Construir la hoja de ruta de conformidad EU AI Act

Con agosto de 2026 a menos de tres meses, la ventana de conformidad es estrecha. Una hoja de ruta defendible tiene seis pasos, cada uno produciendo entregables concretos que resisten una auditoría.

Hoja de ruta EU AI Act en seis pasos
Hoja de ruta indicativa en seis pasos para organizaciones que apuntan a la conformidad EU AI Act para agosto de 2026. Cada paso se adapta al rol de la organización (proveedor, responsable del despliegue, importador) y a su cartera de IA.
  • 1. Inventario de IA: identificar cada sistema de IA en desarrollo o producción, incluida la IA de terceros integrada en tus productos o flujos de trabajo. Sin inventario no hay conformidad.
  • 2. Clasificación: mapear cada sistema contra los cuatro niveles de riesgo y las categorías del Anexo III. Documentar la justificación; será lo primero que pregunten las autoridades.
  • 3. Gap analysis: para los sistemas de alto riesgo, evaluar el estado actual contra los artículos 9 a 15. Para los responsables del despliegue, contra el artículo 26. Para los usuarios de GPAI, contra las obligaciones aguas abajo.
  • 4. Gobernanza: nombrar responsables imputables (responsable de gobernanza de IA, AI risk officer), definir las vías de escalado, integrar el riesgo de IA en los marcos de gestión de riesgos corporativos existentes.
  • 5. Implantación: desplegar el sistema de gestión de riesgos, los controles de gobernanza de datos, la documentación técnica, el registro de eventos, los mecanismos de transparencia, los procedimientos de supervisión humana y las medidas de ciberseguridad.
  • 6. Evaluación de conformidad y vigilancia: completar el procedimiento de evaluación de conformidad adecuado (autoevaluación u organismo notificado según el tipo de sistema), preparar la declaración UE de conformidad, fijar el marcado CE donde sea exigido, establecer la vigilancia poscomercialización.

Las organizaciones ya certificadas en ISO 27001 o que operan programas RGPD maduros parten con ventaja; los controles de gobernanza de datos, documentación, control de acceso y respuesta a incidentes se solapan sustancialmente. Las organizaciones que parten de cero necesitan de 12 a 18 meses para un programa de conformidad creíble; con tres meses hasta agosto de 2026, la estrategia práctica es triar por riesgo y criticidad de conformidad.

Formación y certificación: las rutas de practicante EU AI Act

Tres rutas de certificación PECB cubren las competencias operativas que el EU AI Act exige. Responden a roles diferentes y convergen en un objetivo común: construir organizaciones capaces de demostrar, no solo afirmar, su gobernanza de IA.

ISO 42001 Lead Implementer (5 días)

La certificación ISO 42001 Lead Implementer es la referencia para los profesionales responsables del diseño, despliegue y gestión de un sistema de gestión de IA alineado con ISO 42001:2023. Es la ruta que se convierte directamente en preparación operativa para el EU AI Act: las cláusulas de sistema de gestión estructuran las obligaciones de alto riesgo, y los controles del Anexo A producen la documentación que las autoridades inspeccionarán. Para responsables de gobernanza de IA, CISOs que asumen alcance de IA y responsables de cumplimiento en sectores regulados.

ISO 42001 Lead Auditor (5 días)

La certificación ISO 42001 Lead Auditor forma a los profesionales para planificar, conducir y reportar auditorías de primera, segunda y tercera parte de sistemas de gestión de IA. Con el EU AI Act introduciendo evaluaciones de conformidad por organismo notificado para ciertos sistemas de alto riesgo, los Lead Auditors ISO 42001 cualificados escasean en la UE y el Reino Unido. Adecuada para auditores internos, consultores y profesionales que construyen credibilidad de auditoría independiente.

Lead AI Risk Manager (5 días)

La certificación Lead AI Risk Manager se centra en la metodología de riesgo específica para IA que el EU AI Act exige bajo el artículo 9. Cubre la identificación, clasificación, evaluación, mitigación y vigilancia de los riesgos de IA a lo largo de todo el ciclo de vida de la IA. La metodología se integra con los marcos de gestión de riesgos corporativos ISO 31000 a la vez que aborda dimensiones específicas de la IA: deriva del modelo, sesgo en los datos de entrenamiento, robustez adversarial, explicabilidad y comportamientos emergentes. Apropiada para risk officers, responsables de ética de IA y profesionales que construyen una práctica de gobernanza de IA centrada en el riesgo.

Abilene Academy es el único Partner PECB Titanium en Suiza, con una tasa de aprobación de exámenes PECB del 99 % y más de 2.500 profesionales formados en 120 países. Las tres certificaciones están disponibles en presencial, aula virtual, e-learning y autoaprendizaje, en español, inglés y francés. Para situar la gobernanza de IA en el panorama regulatorio más amplio, consulta también nuestra guía completa de la Directiva NIS 2 y nuestra guía completa de conformidad DORA.

Vista desde el terreno por Alexis Hirschhorn, Formador principal, Abilene Academy

«El plazo de agosto de 2026 no se mueve. Lo que vemos en nuestros clientes es un patrón consistente: el trabajo técnico de conformidad es alcanzable en tres a seis meses una vez que el inventario es honesto. Lo que mata los calendarios es el inventario mismo; la mayoría de las organizaciones no saben cuántos sistemas de IA operan realmente, quién los posee ni qué datos de entrenamiento circulan por ellos. Construye primero el inventario; el resto es ejecución.»

Fuentes y referencias

Preguntas frecuentes

El EU AI Act (Reglamento (UE) 2024/1689) entró en vigor el 1 de agosto de 2024 con fechas de aplicación escalonadas. Hitos clave: 2 de febrero de 2025 (prácticas de IA prohibidas y obligaciones de alfabetización en IA aplicables); 2 de agosto de 2025 (normas de gobernanza y obligaciones para los proveedores de IA de uso general); 2 de agosto de 2026 (se aplican la mayoría de las obligaciones restantes, incluidas las normas sobre sistemas de alto riesgo del Anexo III); 2 de agosto de 2027 (régimen de clasificación del artículo 6(1) para la IA de alto riesgo integrada en productos regulados cubiertos por la legislación de armonización de la UE). El plazo del 2 de agosto de 2026 es el momento operativamente más significativo para la mayoría de las organizaciones que despliegan IA en la UE, aunque la fecha de 2027 importa para cualquier IA integrada en productos regulados.

El Reglamento se aplica a los proveedores que introducen sistemas de IA en el mercado de la UE o los ponen en servicio en la UE, a los responsables del despliegue (usuarios) de sistemas de IA situados en la UE, a los proveedores y responsables del despliegue establecidos fuera de la UE cuando el output del sistema de IA se utiliza en la UE, a los importadores y distribuidores de sistemas de IA, a los fabricantes que introducen un sistema de IA en el mercado bajo su propio nombre, y a los representantes autorizados de proveedores extracomunitarios. Las empresas británicas y estadounidenses cuyos productos de IA son utilizados por clientes de la UE entran en el ámbito de aplicación por la portada extraterritorial del Reglamento.

El incumplimiento de las prácticas de IA prohibidas (artículo 5) puede generar multas administrativas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial total, la cifra más alta de las dos. Otras infracciones del Reglamento pueden derivar en multas de hasta 15 millones de euros o el 3 % del volumen de negocios mundial. La provisión de información incorrecta, incompleta o engañosa a las autoridades está sujeta a multas de hasta 7,5 millones de euros o el 1 % del volumen de negocios mundial. Las pymes y start-ups se benefician de techos proporcionales.

El EU AI Act utiliza una clasificación de riesgos en cuatro niveles. Riesgo inaceptable: prácticas de IA totalmente prohibidas (puntuación social por parte de los gobiernos, identificación biométrica remota en tiempo real en espacios públicos con excepciones limitadas, IA manipuladora que explota vulnerabilidades). Alto riesgo: sistemas de IA sometidos a obligaciones extensas (selección de CV, scoring crediticio, infraestructuras críticas, productos sanitarios, aplicación de la ley, acceso a la educación). Riesgo limitado: obligaciones de transparencia (los usuarios deben ser informados de que están interactuando con una IA; el contenido generado por IA debe estar marcado). Riesgo mínimo: ninguna obligación específica (la mayoría de las IA de consumo como los filtros antispam o la IA en videojuegos).

ISO/IEC 42001:2023 es la norma internacional para sistemas de gestión de IA y proporciona el camino más directo para operacionalizar la conformidad con el EU AI Act. Los controles de la norma se corresponden estrechamente con muchas exigencias del AI Act: gestión de riesgos de IA (artículo 9), gobernanza de datos (artículo 10), documentación técnica (artículo 11), conservación de registros (artículo 12), transparencia (artículo 13), supervisión humana (artículo 14) y precisión/robustez/ciberseguridad (artículo 15). Un sistema de gestión ISO 42001 no es un atajo de conformidad, pero sí proporciona evidencias auditables para la mayoría de las obligaciones aplicables a los sistemas de alto riesgo.

El EU AI Act no se aplica directamente a las empresas con sede en el Reino Unido que operen únicamente en el Reino Unido, pero tiene un alcance extraterritorial significativo. Las organizaciones británicas entran en el ámbito de aplicación cuando introducen sistemas de IA en el mercado de la UE, cuando su output de IA se utiliza en la UE independientemente de dónde se aloje el sistema, o cuando actúan como representantes autorizados o importadores para clientes de la UE. Las empresas británicas que prestan servicios de IA a clientes de la UE deben por tanto cumplir, incluso sin establecimiento en la UE. El Reino Unido está desarrollando su propio marco de regulación de IA pero actualmente se apoya en una supervisión basada en principios por los reguladores existentes (ICO, CMA, FCA, MHRA).

Construir un inventario de IA defendible frente al EU AI Act sigue una lógica en cinco pasos prácticos que las organizaciones maduras están aplicando antes del plazo del 2 de agosto de 2026.

Primer paso: identificar todos los sistemas de IA en desarrollo y producción, incluidos los componentes de terceros (APIs GPAI como OpenAI o Anthropic, modelos open-source afinados, funcionalidades de IA integradas en productos SaaS adquiridos). No olvidar los experimentos de «shadow IT» lanzados por equipos de negocio sin validación central: ahí suelen esconderse los sistemas de mayor riesgo.

Segundo paso: para cada sistema, documentar su ciclo de vida (quién lo desarrolla, quién lo despliega, por dónde circulan los datos de entrenamiento e inferencia), su caso de uso de negocio (RR. HH., finanzas, operaciones, cliente) y sus salidas (decisiones, recomendaciones, contenido generado). El nivel de detalle debe permitir a un auditor entender el sistema sin hacer preguntas.

Tercer paso: cualificar el rol de la organización para ese sistema en el sentido de los artículos 3 y 25. Proveedor, responsable del despliegue, importador, distribuidor, fabricante o representante autorizado. Las obligaciones difieren radicalmente entre estos roles, y la misma organización puede ser proveedor en algunos sistemas y responsable del despliegue en otros.

Cuarto paso: clasificar cada sistema contra las ocho categorías del Anexo III y el régimen del artículo 6(1) para identificar los sistemas de alto riesgo. Aquí se juega el grueso del perímetro regulatorio aplicable al 2 de agosto de 2026. Documentar la justificación de cada clasificación: será lo primero que pidan las autoridades.

Quinto paso: conservar el inventario en un repositorio vivo con marcado temporal de las evaluaciones, propietarios nombrados (responsable de gobernanza de IA, AI risk officer) y flujo de trabajo de actualización. Excel basta para arrancar; las plataformas GRC unificadas son preferibles más allá de una veintena de sistemas.

El inventario se convierte después en el cimiento de los artículos 9 a 15 (gestión de riesgos, gobernanza de datos, documentación técnica, conservación de registros, transparencia, supervisión humana, precisión). Las organizaciones que se saltan este paso terminan reconstruyendo el inventario bajo presión justo antes de una auditoría, lo que añade entre tres y seis meses al cronograma.

Para estructurar este proceso en un sistema de gestión auditable alineado con las exigencias del EU AI Act, la certificación PECB ISO 42001 Lead Implementer es la vía más directa: cubre exactamente las competencias de inventario/clasificación/gobernanza que el reglamento exige. Formación certificada de 5 días, examen PECB incluido, sesiones en español, francés e inglés, presenciales u online: https://www.abileneacademy.ch/es/training/iso-42001-lead-implementer

Clasificar un sistema de IA según el Anexo III del EU AI Act sigue un árbol de decisión en cuatro pasos que se puede aplicar sin experiencia jurídica previa.

Paso 1: identificar el caso de uso primario del sistema. La clasificación no depende de la tecnología utilizada (machine learning, LLM, reglas simbólicas) sino de la finalidad operativa. Un sistema que calcula un scoring crediticio para clientes particulares y un sistema que detecta fraude en transacciones no se clasifican igual, aunque su stack técnico sea idéntico.

Paso 2: confrontar ese caso de uso con las ocho categorías del Anexo III. Identificación biométrica y categorización (punto 1), gestión de infraestructuras críticas (punto 2), educación y formación profesional (punto 3), empleo y gestión de trabajadores (punto 4), acceso a servicios privados y públicos esenciales (punto 5), aplicación de la ley (punto 6), gestión de la migración y control fronterizo (punto 7), administración de justicia y procesos democráticos (punto 8). Si el sistema encaja con alguno de los ocho puntos, es por defecto de alto riesgo.

Paso 3: verificar la excepción del artículo 6(3). El reglamento prevé que un sistema de IA encuadrado en el Anexo III no se considere de alto riesgo si cumple una de cuatro condiciones: realiza una tarea procedimental estrecha, mejora el resultado de una actividad humana ya completada, detecta patrones de decisión o desviaciones respecto a patrones de decisión previos sin reemplazar ni influir en la decisión humana, o realiza una tarea preparatoria para una evaluación pertinente. Esta excepción es estrecha; documentar rigurosamente la justificación, porque la autoridad de vigilancia cuestionará sistemáticamente las clasificaciones «no alto riesgo» que invoquen el artículo 6(3) sin evidencias operativas.

Paso 4: si la excepción no aplica, el sistema es de alto riesgo y los artículos 9 a 15 aplican íntegramente a partir del 2 de agosto de 2026. Notificar el sistema a la base de datos europea (artículo 71) y preparar la conformidad operativa.

Para los sistemas integrados en productos cubiertos por la legislación de armonización de la UE (productos sanitarios, automoción, maquinaria), aplica el artículo 6(1), con un plazo diferido al 2 de agosto de 2027.

La competencia central aquí es el análisis de riesgo específico de IA, que difiere del análisis de riesgo de seguridad clásico: se habla de sesgo de datos de entrenamiento, deriva del modelo, robustez adversarial, explicabilidad. La certificación PECB Lead AI Risk Manager cubre esta metodología de extremo a extremo, alineada con el artículo 9 e integrada con los marcos ISO 31000. Formación 5 días, examen PECB incluido: https://www.abileneacademy.ch/es/training/lead-ai-risk-manager

La documentación técnica exigida por el artículo 11 del EU AI Act es precisa en su contenido (Anexo IV) pero sin formato impuesto. Prepararla sigue un proceso de seis entregables, que hay que producir y mantener durante todo el ciclo de vida del sistema de IA de alto riesgo.

Entregable 1: descripción general del sistema. Finalidad, versión, contexto de uso previsto, mercados objetivo, público afectado. Incluir una descripción en lenguaje natural comprensible por un auditor no técnico. Es la puerta de entrada de la documentación y condiciona la comprensión del resto.

Entregable 2: descripción detallada de los elementos del sistema. Arquitectura, métodos y etapas de desarrollo, decisiones de diseño, hipótesis sobre los usuarios y el entorno, procesos de gestión de datos (recolección, etiquetado, limpieza, actualización), medidas de supervisión humana integradas. Es el entregable más técnico y voluminoso.

Entregable 3: información sobre capacidades, desempeño y limitaciones. Nivel de precisión esperado y observado, métricas de robustez, umbrales de incertidumbre, condiciones ambientales de funcionamiento, limitaciones conocidas, casos de uso excluidos. Esta información debe ser suficientemente detallada para que un responsable del despliegue pueda comunicarla a los usuarios finales (artículo 13).

Entregable 4: descripción del sistema de gestión de riesgos implementado conforme al artículo 9. Metodología, resultados de evaluación, medidas de mitigación, plan de vigilancia de los riesgos residuales.

Entregable 5: descripción de las modificaciones aportadas al sistema durante su ciclo de vida. Aquí es donde fallan muchas organizaciones: la documentación inicial está correcta, pero las actualizaciones no se trazan. El expediente no captura el sistema realmente desplegado seis meses después. Establecer un procedimiento de gestión del cambio con versionado de la documentación es innegociable.

Entregable 6: lista de normas armonizadas aplicadas total o parcialmente, y descripción de las soluciones adoptadas para responder a las exigencias esenciales cuando no se aplican normas. Incluir también la declaración UE de conformidad (artículo 47) y los informes de los organismos notificados si corresponde.

El error más frecuente es tratar la documentación técnica como un entregable puntual producido antes de la introducción en el mercado. En realidad es un sistema documental vivo, integrado en el ciclo de vida del sistema de IA, que debe estar disponible y actualizado para las autoridades durante diez años después de la introducción en el mercado (artículo 18).

La certificación PECB ISO 42001 Lead Implementer cubre el diseño y mantenimiento de este sistema documental en el marco de un sistema de gestión de IA auditable. La cláusula 7.5 (información documentada) y el Anexo A.8 (información para las partes interesadas) de la norma se mapean directamente sobre las exigencias del artículo 11. Formación y certificación: https://www.abileneacademy.ch/es/training/iso-42001-lead-implementer

Formaciones relacionadas

Cursos mencionados en este artículo

ISO 42001 Lead Implementer

Este curso ISO/IEC 42001 Lead Implementer forma a profesionales para diseñar y desplegar un Sistema de Gestión de Inteligencia Artificial que resista el escrutinio regulatorio, ético y operativo.

Ver curso

ISO 42001 Lead Auditor

Esta formación ISO/IEC 42001 Lead Auditor prepara a profesionales de auditoría, riesgos y cumplimiento para evaluar Sistemas de Gestión de Inteligencia Artificial (AIMS) de forma estructurada y defendible. El curso se centra en planificar, ejecutar y cerrar auditorías ISO/IEC 42001 en entornos organizativos reales, abordando gobernanza, uso ético de la IA, gestión de riesgos y las expectativas regulatorias que marcan 2024-2025. Los participantes aprenden a interpretar los requisitos de ISO/IEC 42001 desde la perspectiva de un auditor, evaluar evidencia objetiva y formular conclusiones de auditoría que resistan el escrutinio de la certificación y la revisión ejecutiva.

Ver curso

Lead AI Risk Manager

Esta formación Lead AI Risk Manager prepara a los profesionales para diseñar, operar y defender un programa de gestión de riesgos de IA alineado con las expectativas regulatorias y de gobernanza. El curso se centra en la identificación práctica de riesgos, la trazabilidad de decisiones y estrategias de mitigación defendibles a lo largo del ciclo de vida de la IA.

Ver curso

ISO 27001 Lead Implementer

La capacitación de Implementador Líder ISO 27001 le permitirá adquirir la experiencia necesaria para apoyar a una organización en el establecimiento, la implementación, la gestión y el mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la ISO/IEC 27001.

Ver curso
Tags:#EU AI Act#Gobernanza IA#Reglamento 2024/1689#ISO 42001#IA alto riesgo#GPAI#Plazo agosto 2026#Conformidad IA#Unión Europea#España

Certifícate

ISO 27001, NIS2, gobernanza de IA y más. Únase a 2.500+ profesionales.

Ver cursos
Preguntar a nuestra IA

Related Articles

Continue exploring topics that matter to your organization

DORA: la guía completa de cumplimiento para entidades financieras europeas, exigencias, riesgos de terceros TIC y sanciones (2026)

DORA: la guía completa de cumplimiento para entidades financieras europeas, exigencias, riesgos de terceros TIC y sanciones (2026)

El reglamento DORA (UE 2022/2554) impone un marco europeo de resiliencia operativa digital al sector financiero desde el 17 de enero de 2025. Guía completa: 5 pilares, NIS 2, sanciones.

Alexis HIRSCHHORN
12 may 2026
ISO 27001 para FinTechs suizas: la guía de la realidad FINMA (2026)

ISO 27001 para FinTechs suizas: la guía de la realidad FINMA (2026)

ISO 27001 en una FinTech suiza se lee a través de seis capas regulatorias: FINMA, ISG, nLPD, DORA, EU AI Act. La guía experta 2026 sobre alcance, riesgo de proveedores y reporte de incidentes.

Alexis HIRSCHHORN
28 abr 2026
ISO 14001:2026: la guía completa de la nueva norma de gestión ambiental

ISO 14001:2026: la guía completa de la nueva norma de gestión ambiental

ISO 14001:2026 publicada el 15 de abril de 2026. Guía completa con los siete cambios sustantivos respecto a la versión de 2015, calendario de transición, ruta de implantación, ruta de auditoría y formación certificante PECB.

Géraldine RAYET
16 abr 2026

Usamos cookies para mejorar su experiencia

Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.