AnuncioCronograma de implementación del EU AI Act: fechas clave para los implementadores
KLA Digital Logo
KLA Digital
EU AI Act2 de enero de 202625 min de lectura

Requisitos del Reglamento Europeo de IA: Lo que los responsables de cumplimiento deben saber en 2026

La guía definitiva para responsables de cumplimiento: plazos de aplicación escalonados, clasificación de alto riesgo, documentación del Anexo IV, requisitos de supervisión humana, régimen sancionador y estrategias prácticas de implementación.

Antonella Serine

El Reglamento Europeo de Inteligencia Artificial ya es aplicable, y los responsables de cumplimiento deben actuar con determinación: las prácticas de IA prohibidas son sancionables desde el 2 de febrero de 2025, con multas de hasta 35 millones de euros o el 7 % del volumen de negocios global. El margen de preparación se reduce rápidamente, ya que los requisitos completos para los sistemas de IA de alto riesgo entran en vigor el 2 de agosto de 2026. Esta guía exhaustiva ofrece el marco de referencia autorizado y práctico que los responsables de cumplimiento necesitan para navegar la regulación de IA más ambiciosa del mundo.

El calendario de implementación escalonado exige una actuación inmediata

Comprender con precisión el calendario de cumplimiento es esencial para la asignación de recursos y el diseño del programa. El Reglamento Europeo de IA (Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024, pero opera mediante una aplicación escalonada que exige respuestas organizativas diferenciadas en cada etapa.

Desde el 2 de febrero de 2025, ya son aplicables las ocho categorías de prácticas de IA prohibidas. Estas incluyen los sistemas de puntuación social, la IA que explota vulnerabilidades derivadas de la edad o la discapacidad, la categorización biométrica que infiera atributos sensibles, la identificación biométrica remota en tiempo real en espacios públicos (con excepciones limitadas para las fuerzas de seguridad), el reconocimiento de emociones en entornos laborales y educativos, la recopilación masiva de imágenes faciales mediante scraping de bases de datos, y las técnicas de IA manipuladoras o engañosas.

La fecha límite del 2 de agosto de 2025 activó las obligaciones relativas a los modelos de IA de propósito general (GPAI), que exigen a los proveedores de modelos fundacionales mantener documentación técnica, establecer políticas de cumplimiento en materia de derechos de autor y publicar resúmenes de los datos de entrenamiento. Los modelos que superen los 10^25 FLOP de cómputo de entrenamiento se clasifican como de riesgo sistémico y están sujetos a obligaciones adicionales.

La fecha crítica del 2 de agosto de 2026 activa el marco de cumplimiento completo para los sistemas de IA de alto riesgo enumerados en el Anexo III, que abarca biometría, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración y procesos democráticos. Las organizaciones deben completar las evaluaciones de conformidad, implantar sistemas de gestión de la calidad, establecer marcos de gestión de riesgos e inscribir los sistemas en la base de datos de la UE antes de desplegar IA de alto riesgo a partir de esa fecha.

  • 2 de febrero de 2025: Prácticas de IA prohibidas aplicables con sanciones máximas
  • 2 de agosto de 2025: Obligaciones de modelos GPAI en vigor; autoridades nacionales designadas
  • 2 de agosto de 2026: Plena aplicación de los requisitos para sistemas de IA de alto riesgo conforme al Anexo III
  • 2 de agosto de 2027: Período de transición ampliado para IA de alto riesgo en productos regulados (productos sanitarios, maquinaria, vehículos)

El rol del responsable de cumplimiento requiere un reposicionamiento organizativo

El Reglamento Europeo de IA no impone un cargo específico de "Responsable de Cumplimiento de IA", pero establece estructuras de rendición de cuentas que, en la práctica, requieren un liderazgo centralizado en gobernanza de IA. El artículo 17, apartado 1, letra m) exige a los proveedores establecer "un marco de rendición de cuentas que defina las responsabilidades de la dirección y demás personal" en materia de cumplimiento de IA, un lenguaje que implica roles de supervisión dedicados.

Las principales firmas de asesoría recomiendan establecer estructuras formales de gobernanza de IA que incluyan un Director de IA o Responsable de Gobernanza de IA a nivel de alta dirección, un comité consultivo de IA multidisciplinar que integre las funciones jurídica, de cumplimiento, de producto y técnica, así como líneas de reporte claras al nivel de consejo de administración.

  • Los proveedores desarrollan sistemas de IA o los introducen en el mercado, asumiendo la responsabilidad principal de cumplimiento
  • Los implementadores utilizan sistemas de IA bajo su autoridad, con obligaciones más leves pero sustanciales
  • Los implementadores pueden convertirse en proveedores mediante cambio de marca, modificaciones sustanciales o reutilización de IA de propósito general para aplicaciones de alto riesgo
  • Los contratos con proveedores y los procedimientos de control de cambios deben gestionar activamente el riesgo de conversión involuntaria en proveedor

Los requisitos de alfabetización en IA exigen inversiones inmediatas en formación

Las obligaciones de alfabetización en IA del artículo 4 son aplicables desde el 2 de febrero de 2025 y exigen tanto a proveedores como a implementadores garantizar "un nivel suficiente de alfabetización en IA de su personal y demás personas que se ocupen del funcionamiento y la utilización de sistemas de IA en su nombre". La Comisión Europea ha aclarado que esta obligación se extiende a contratistas, proveedores de servicios e incluso, potencialmente, a clientes que utilicen sistemas de IA de la organización.

Los programas de formación deben abordar la comprensión general de la IA, las obligaciones específicas del puesto, la concienciación sobre los riesgos de los sistemas desplegados y la aplicación práctica a las responsabilidades cotidianas. El incumplimiento de los requisitos de alfabetización en IA no genera sanciones directas, pero una formación inadecuada constituye un factor agravante que incrementa las sanciones por otras infracciones del Reglamento de IA.

  • Miembros del consejo y directivos: Formación en gobernanza estratégica de IA y supervisión de riesgos
  • Personal operativo: Directrices de uso práctico y procedimientos de supervisión humana
  • Personal de riesgos y cumplimiento: Metodología de clasificación y requisitos de documentación
  • Equipos técnicos: Formación especializada en gobernanza de datos y validación de modelos

La clasificación de riesgo determina toda la carga de cumplimiento

El sistema de clasificación de riesgo en cuatro niveles del Reglamento — prohibido, alto riesgo, riesgo limitado y riesgo mínimo — configura de manera fundamental las obligaciones de cumplimiento. Los errores de clasificación representan lo que múltiples firmas de asesoría denominan "el error más fundamental y de mayor repercusión" en el cumplimiento del Reglamento de IA.

La clasificación de alto riesgo se activa por dos vías. La primera abarca los sistemas de IA utilizados como componentes de seguridad de productos, o que constituyen en sí mismos productos, sujetos a la legislación de armonización vigente de la UE. La segunda abarca los sistemas de IA en ocho categorías de casos de uso especificadas en el Anexo III.

La excepción del artículo 6, apartado 3 permite que los sistemas que, de otro modo, se clasificarían como de alto riesgo queden excluidos de esa clasificación si realizan tareas procedimentales limitadas, mejoran actividades humanas previamente completadas, detectan patrones de toma de decisiones sin sustituir la evaluación humana, o realizan tareas preparatorias. No obstante, esta excepción no se aplica si el sistema realiza perfilado de personas.

  • Biometría: Identificación remota, reconocimiento de emociones
  • Infraestructuras críticas: Sistemas digitales, transporte, servicios públicos esenciales
  • Educación: Admisiones, evaluación, supervisión de exámenes
  • Empleo: Contratación, seguimiento del rendimiento, decisiones de despido
  • Servicios esenciales: Calificación crediticia, evaluación de riesgos de seguros, despacho de emergencias
  • Aplicación de la ley: Evaluación de pruebas, evaluación de riesgos
  • Migración y control fronterizo
  • Administración de justicia y procesos democráticos

Documentación técnica y sistemas de gestión de la calidad

Los proveedores de sistemas de IA de alto riesgo deben mantener documentación técnica exhaustiva que cubra nueve categorías especificadas en el Anexo IV: descripción general del sistema, metodología de diseño y desarrollo, requisitos de datos, información de supervisión y control, documentación de gestión de riesgos, registros de cambios durante el ciclo de vida, normas armonizadas aplicadas, documentación de conformidad y planes de vigilancia poscomercialización.

El artículo 17 exige sistemas de gestión de la calidad con políticas, procedimientos e instrucciones documentados que abarquen la estrategia de cumplimiento normativo, los procedimientos de diseño y desarrollo, los requisitos de ensayo y validación, los sistemas de gestión de datos, la integración de la gestión de riesgos, la vigilancia poscomercialización, la notificación de incidentes y los marcos de rendición de cuentas.

Los análisis de expertos indican que más del 70 % de los fallos de cumplimiento se deben a errores de documentación y no a defectos técnicos, lo que convierte las prácticas sistemáticas de documentación en la inversión de cumplimiento con mayor impacto.

  • La documentación debe conservarse durante 10 años tras la introducción del sistema en el mercado
  • Los registros automáticos generados por sistemas de alto riesgo deben conservarse al menos 6 meses
  • Las entidades financieras pueden satisfacer los requisitos del SGC a través de los mecanismos de gobernanza existentes
  • La Comisión se ha comprometido a publicar plantillas simplificadas para pymes y empresas emergentes

Las obligaciones de supervisión humana generan requisitos operativos

El artículo 14 exige que los sistemas de IA de alto riesgo estén diseñados para permitir una supervisión efectiva por personas físicas durante su uso, con herramientas adecuadas de interfaz persona-máquina. El Reglamento reconoce múltiples modelos de supervisión: human-in-command (persona al mando), human-in-the-loop (persona en el bucle), human-on-the-loop (persona sobre el bucle) y human-over-the-loop (persona por encima del bucle).

Los mecanismos técnicos facilitadores deben permitir a los implementadores comprender las capacidades y limitaciones del sistema, supervisar las operaciones incluyendo la detección de anomalías, reconocer los riesgos de sesgo de automatización, interpretar correctamente los resultados, decidir no utilizar los resultados en cualquier situación, e intervenir o interrumpir el funcionamiento mediante mecanismos de parada.

Para los sistemas de identificación biométrica remota, el Reglamento exige la verificación por dos personas: la identificación debe ser confirmada por al menos dos personas cualificadas con la competencia, formación y autoridad adecuadas.

  • El personal de supervisión humana debe poseer la competencia y la autoridad necesarias
  • Las responsabilidades de supervisión no pueden impedir el desempeño de otras tareas operativas
  • La documentación de las medidas de supervisión debe incluirse en la documentación técnica
  • Deben mantenerse registros auditables de las intervenciones de supervisión

Los procedimientos de evaluación de conformidad varían según la categoría del sistema

Los sistemas de IA de alto riesgo requieren una evaluación de conformidad antes de su introducción en el mercado, que puede realizarse por dos vías. La autoevaluación mediante control interno (Anexo VI) está permitida para los sistemas incluidos en los puntos 2 a 8 del Anexo III (educación, empleo, servicios esenciales, aplicación de la ley, migración, procesos democráticos).

La evaluación por terceros realizada por organismos notificados (Anexo VII) es obligatoria para los sistemas de identificación biométrica incluidos en el punto 1 del Anexo III, cuando no existan normas armonizadas o no se apliquen íntegramente, y cuando existan especificaciones comunes que no se apliquen.

Para los sistemas de IA integrados en productos regulados conforme a la legislación del Anexo I (productos sanitarios, maquinaria), los proveedores siguen el procedimiento de evaluación de conformidad previsto en dicha legislación, integrando los requisitos del Reglamento de IA.

Los requisitos de gobernanza de datos imponen controles sistemáticos de calidad

El artículo 10 establece requisitos de calidad de datos para los sistemas de IA de alto riesgo que utilizan técnicas de datos de entrenamiento. Las prácticas de gobernanza de datos exigidas incluyen opciones de diseño documentadas que demuestren la pertinencia, documentación del proceso de recopilación de datos, supuestos explícitos sobre lo que los datos miden, documentación de los procesos de preparación, evaluaciones de disponibilidad, examen de sesgos e identificación de lagunas en los datos.

Los conjuntos de datos deben ser pertinentes, suficientemente representativos, exentos de errores en la mayor medida posible, completos para la finalidad prevista y poseer propiedades estadísticas adecuadas respecto a las poblaciones objetivo.

La relación con el RGPD genera sinergias y tensiones simultáneas. Los principios de minimización de datos del RGPD deben conciliarse con los requisitos de exhaustividad del Reglamento de IA, una tensión que exige una documentación cuidadosa de las determinaciones de necesidad.

Vigilancia poscomercialización y notificación de incidentes

El artículo 72 exige a los proveedores establecer sistemas de vigilancia poscomercialización proporcionados a los riesgos del sistema, que recopilen, documenten y analicen activamente datos de rendimiento relevantes durante toda la vida útil del sistema.

La notificación de incidentes graves conforme al artículo 73 impone plazos estrictos: los fallecimientos deben notificarse en un plazo de 10 días; las infracciones generalizadas o las perturbaciones de infraestructuras críticas requieren notificación en 2 días; otros incidentes graves requieren notificación en 15 días.

  • No existe un mecanismo de ventanilla única: los proveedores deben notificar a cada Estado miembro afectado
  • Los implementadores deben informar inmediatamente a los proveedores de los incidentes graves
  • Si no se puede contactar con el proveedor, las obligaciones de notificación recaen directamente sobre el implementador
  • Se esperan plantillas del plan de vigilancia poscomercialización por parte de la Comisión antes de febrero de 2026

El régimen sancionador genera una exposición financiera considerable

El Reglamento establece tres niveles de sanción que generan un riesgo financiero significativo. Las infracciones por prácticas de IA prohibidas pueden alcanzar hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial, la cifra que resulte mayor. La mayoría de las demás infracciones del Reglamento de IA pueden alcanzar hasta 15 millones de euros o el 3 % del volumen de negocios. El suministro de información incorrecta o engañosa puede sancionarse con hasta 7,5 millones de euros o el 1 % del volumen de negocios.

Para las pymes y las empresas emergentes, se aplican los mismos importes y porcentajes máximos, pero prevalece el que resulte inferior (no superior), lo que supone un alivio significativo para las organizaciones de menor tamaño.

  • Los factores determinantes de la sanción incluyen la naturaleza, gravedad, duración de la infracción y el número de personas afectadas
  • La cooperación con las autoridades y las medidas de mitigación influyen en la determinación de la sanción
  • El artículo 99 permite a los Estados miembros establecer normas sobre la responsabilidad de las personas físicas
  • Las sanciones para proveedores de modelos GPAI se aplazan hasta agosto de 2026

El panorama de aplicación sigue en construcción

La Oficina Europea de IA, establecida dentro de la DG CNECT con más de 125 empleados, ostenta jurisdicción exclusiva sobre la aplicación relativa a los modelos de IA de propósito general y coordina con las autoridades nacionales a través del Comité de IA.

La designación de autoridades nacionales sigue siendo incompleta: a mediados de 2025, solo tres Estados miembros habían designado íntegramente tanto las autoridades de notificación como las de vigilancia del mercado. Los enfoques de implementación varían desde modelos centralizados con una única agencia hasta modelos distribuidos entre los reguladores sectoriales existentes.

No se han comunicado públicamente acciones de ejecución ni sanciones significativas a principios de 2026. Sin embargo, las señales regulatorias sugieren que las áreas prioritarias iniciales serán las prácticas prohibidas, la transparencia de los modelos GPAI y, a partir de agosto de 2026, la IA en empleo y contratación, la calificación crediticia y las aplicaciones sanitarias.

Las consideraciones sectoriales configuran las estrategias de cumplimiento

Los servicios financieros se enfrentan a una complejidad particular, dado que la calificación crediticia y la evaluación de riesgos en seguros de vida y salud están expresamente clasificadas como de alto riesgo. Los reguladores financieros nacionales actúan como autoridades de vigilancia del mercado. El Reglamento permite aprovechar los marcos existentes de gestión del riesgo de modelos y de gobernanza interna para el cumplimiento del SGC.

La IA en sanidad y productos sanitarios se beneficia de un período de transición ampliado hasta agosto de 2027 para los sistemas integrados en productos regulados. Las obligaciones del implementador plantean desafíos para hospitales y centros sanitarios que pueden carecer de recursos técnicos.

Las aplicaciones de IA en recursos humanos y contratación están expresamente clasificadas como de alto riesgo, lo que exige transparencia con los candidatos, datos de entrenamiento libres de sesgos, supervisión humana de las decisiones y seguimiento continuo. La prohibición del reconocimiento de emociones en el entorno laboral es de aplicación inmediata.

Integración con los marcos de cumplimiento existentes

La integración con el RGPD presenta sinergias naturales en materia de transparencia, exactitud, rendición de cuentas, gobernanza de datos y no discriminación. Los Registros de Actividades de Tratamiento deben ampliarse para incluir inventarios de sistemas de IA. Las Evaluaciones de Impacto relativas a la Protección de Datos deben integrarse con las Evaluaciones de Impacto en Derechos Fundamentales.

La infraestructura de GRC existente puede incorporar los requisitos del Reglamento de IA a través de marcos consolidados, como el Marco de Gestión de Riesgos de IA del NIST, la norma ISO/IEC 42001 sobre Sistemas de Gestión de IA y las prácticas sectoriales de gestión del riesgo de modelos.

  • La certificación ISO/IEC 42001 por sí sola no otorga presunción de conformidad
  • El modelo de las tres líneas de defensa se aplica de forma natural a la gobernanza de IA
  • El Marco de Auditoría de IA de ISACA proporciona bibliotecas de controles en gobernanza y operaciones
  • La primera línea operativa crea procesos para la identificación y tratamiento de riesgos de IA

Preguntas frecuentes

¿Se aplica el Reglamento Europeo de IA a empresas no europeas?

Sí, el alcance extraterritorial implica que las empresas no europeas cuyos resultados de sistemas de IA afecten a personas en la UE están sujetas a todas las obligaciones de cumplimiento, incluido el requisito de designar un representante autorizado para los proveedores establecidos fuera de la UE.

¿Cuáles son las sanciones por incumplimiento?

Las infracciones por prácticas de IA prohibidas pueden alcanzar hasta 35 millones de euros o el 7 % del volumen de negocios anual global. Las infracciones relativas a sistemas de alto riesgo pueden alcanzar hasta 15 millones de euros o el 3 % del volumen de negocios. El suministro de información engañosa puede sancionarse con hasta 7,5 millones de euros o el 1 %.

¿Cómo se demuestra la supervisión humana ante un auditor?

Los auditores buscan evidencia de que las personas pueden intervenir y efectivamente intervienen en las decisiones de IA. Esto implica procedimientos de supervisión documentados, evidencia de las capacidades de intervención humana, registros de aprobaciones y anulaciones, y registros auditables que demuestren el funcionamiento efectivo del sistema de supervisión.

¿Cuándo entran en vigor los requisitos para los sistemas de IA de alto riesgo?

Los requisitos completos de cumplimiento para los sistemas de IA de alto riesgo conforme al Anexo III entran en vigor el 2 de agosto de 2026. Los sistemas de IA de alto riesgo integrados en productos ya regulados por la legislación de armonización de la UE disponen de un período de transición ampliado hasta el 2 de agosto de 2027.

¿Cuál es la diferencia entre un proveedor y un implementador?

Los proveedores desarrollan sistemas de IA o los introducen en el mercado bajo su propio nombre, asumiendo la responsabilidad principal de cumplimiento. Los implementadores utilizan sistemas de IA bajo su autoridad, con obligaciones más leves. De forma crucial, los implementadores pueden convertirse en proveedores mediante cambio de marca, modificaciones sustanciales o reutilización de sistemas para aplicaciones de alto riesgo.

Conclusiones clave

El Reglamento Europeo de Inteligencia Artificial representa un cambio fundamental en las expectativas de gobernanza de IA, al imponer obligaciones específicas respaldadas por sanciones cuantiosas. Los responsables de cumplimiento se enfrentan a un margen de actuación cada vez más reducido: con la aplicación de las prohibiciones ya en vigor, las obligaciones de GPAI vigentes y los requisitos completos para sistemas de alto riesgo que llegarán en agosto de 2026, la inversión estratégica en programas de cumplimiento es urgente. Las organizaciones que ejecuten bien su estrategia obtendrán una ventaja competitiva gracias a un cumplimiento demostrable que se convierte en un diferenciador de mercado. Quienes se demoren se enfrentarán no solo al riesgo de sanción, sino también a disrupciones operativas a medida que los requisitos se compriman en plazos cada vez más reducidos. El momento del compromiso estratégico es ahora.

Recursos relacionados

Guía de clasificación de IA de alto riesgoGuía de documentación del Anexo IVLista de verificación de auditoría de IACronograma de implementación del Reglamento Europeo de IAGenerador de plantillas del Anexo IVCentro de recursos del Reglamento Europeo de IAEjemplo de paquete de evidenciasSolicitar una demostración

Artículos relacionados

Más sobre EU AI Act

Francia y prEN 18286: Qué implica el debate nacional para los proveedores en la UE

Un análisis neutral del debate del comité espejo francés sobre prEN 18286 y lo que indica en materia de proporcionalidad para pymes, calidad de las normas y estrategia de implementación en los Estados miembros de la UE.

Ecosistema de normas del Reglamento Europeo de IA: por qué prEN 18286 no es una norma aislada

Un mapa práctico de las normas complementarias a prEN 18286, incluyendo gestión de riesgos, fiabilidad, ciberseguridad, gobernanza de datos y dependencias en la evaluación de conformidad.

Mapeo del Artículo 17 en prEN 18286: Cobertura, Lagunas e Implicaciones para la Auditoría

Cómo interpretar el mapeo del Anexo ZA en el borrador de consulta prEN 18286, dónde la cobertura es sólida, qué dependencias persisten y cómo construir evidencia de cumplimiento defendible.

Artículo anterior

Clasificación de la IA de alto riesgo en virtud del Reglamento Europeo de Inteligencia Artificial

Véalo en acción

¿Listo para automatizar su evidencia de cumplimiento normativo?

Reserve una demostración de 20 minutos para ver cómo KLA le ayuda a demostrar la supervisión humana y exportar documentación de Annex IV lista para auditoría.

Reserve una demostración Ver Evidence Pack