Log in
Sign up
Sumi-e manga lineart of a single brass legal seal resting on plain paper, symbolising the EU AI Act regulatory framework

Sections

Reglamento de IA de la UE, la guía operativa para el cumplimiento en 2026

Lo esencial

  • El Reglamento (UE) 2024/1689, conocido como Reglamento de IA de la UE, entró en vigor el 1 de agosto de 2024 y pasa a ser plenamente aplicable el 2 de agosto de 2026; las prácticas prohibidas están vigentes desde el 2 de febrero de 2025 y las obligaciones sobre modelos de IA de propósito general desde el 2 de agosto de 2025 (Comisión Europea).
  • El texto somete cada uso de IA a cuatro filtros independientes: prácticas prohibidas (artículo 5), sistemas de alto riesgo (artículo 6 con anexo III), obligaciones de transparencia (artículo 50) y régimen de modelos de propósito general (capítulo V). Un mismo sistema puede activar varios filtros a la vez.
  • Los proveedores de sistemas de alto riesgo deben sostener una gestión continua de riesgos, gobernar los datos, documentar, registrar, garantizar una supervisión humana efectiva, llevar a cabo una evaluación de conformidad y mantener un seguimiento poscomercialización dentro de un sistema de gestión de la calidad anclado en el artículo 17.
  • Los proveedores de modelos de propósito general asumen desde agosto de 2025 un núcleo de obligaciones; los modelos con riesgo sistémico, identificados por el umbral de 10^25 FLOPs o los criterios del anexo XIII, soportan además evaluación contradictoria, notificación de incidentes y ciberseguridad (artículo 51).
  • Las sanciones alcanzan el mayor entre 35 millones de euros o el 7 % de la facturación mundial para las prácticas prohibidas; las pymes disponen de un tope proporcional, y el código de buenas prácticas GPAI es una vía documentada de cumplimiento.

Qué regula realmente el Reglamento de IA de la UE

El Reglamento de IA de la UE, formalmente Reglamento (UE) 2024/1689, es la primera ley horizontal del mundo sobre inteligencia artificial. Se aplica a todo sistema de IA introducido en el mercado de la Unión o cuyas salidas se utilicen en la Unión, con independencia del lugar de establecimiento del proveedor. Una startup estadounidense, una plataforma británica o un fabricante japonés entran dentro del ámbito en cuanto un usuario europeo pueda verse afectado por las salidas del sistema. El texto entró en vigor el 1 de agosto de 2024. Las obligaciones se activan por oleadas: prácticas prohibidas el 2 de febrero de 2025, obligaciones GPAI el 2 de agosto de 2025, el grueso del régimen, anexo III incluido, el 2 de agosto de 2026 y la integración en productos del anexo I el 2 de agosto de 2027 (AI Act Service Desk). En febrero de 2025 la Comisión publicó dos documentos interpretativos vinculantes. El primero define qué es un sistema de IA conforme al artículo 3, apartado 1, sobre la base de siete características: funcionamiento basado en máquina, autonomía, adaptabilidad, finalidad, inferencia, generación de salidas e influencia en el entorno (directrices sobre la definición). El segundo comenta las ocho prácticas prohibidas del artículo 5 (directrices sobre prácticas prohibidas). Sin esos dos pasos de calificación, el resto del reglamento se sostiene sobre nada. El 7 de mayo de 2026 el Consejo y el Parlamento Europeo alcanzaron un acuerdo político para simplificar el régimen, en particular la carga documental para las pymes (nota de prensa del Consejo). Las obligaciones sustantivas descritas en esta guía no varían; solo se aligeran las formalidades de aplicación.

Los cuatro niveles de riesgo, descifrados

El reglamento no encasilla los sistemas de IA en cuatro cajas estancas. Somete cada sistema en paralelo a cuatro pruebas, y un mismo sistema puede fallar en varias. Cada prueba funciona como una puerta independiente.

Riesgo inaceptable, artículo 5

El artículo 5 prohíbe rotundamente ocho familias de prácticas, con excepciones estrictas: manipulación subliminal con daño significativo, explotación de vulnerabilidades por edad o discapacidad, puntuación social por autoridades públicas, policía predictiva basada solo en perfilado, recolección no dirigida de imágenes faciales para construir bases de reconocimiento, reconocimiento de emociones en el trabajo y la escuela, categorización biométrica que infiera atributos sensibles, identificación biométrica remota en tiempo real en espacios públicos (artículo 5). Estas prohibiciones se aplican desde el 2 de febrero de 2025.

Alto riesgo, artículo 6 con anexos I y III

Un sistema se considera de alto riesgo en dos casos. Primero, cuando es componente de seguridad de un producto o producto en sí mismo regulado por el derecho sectorial del anexo I (productos sanitarios, máquinas, juguetes, automoción, aviación). Segundo, cuando recae en alguno de los ocho ámbitos autónomos del anexo III: biometría, infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios esenciales, aplicación de la ley, migración y control de fronteras, administración de justicia y procesos democráticos (artículo 6, anexo III).

Riesgo de transparencia, artículo 50

La IA con menos consecuencias que interactúa con personas o genera contenidos sintéticos debe declararse. Los agentes conversacionales deben advertir que hablan como máquina. Las imágenes, audios y vídeos generados por IA, incluidos los ultrafalsos, deben llevar marcas de procedencia legibles por máquina.

Riesgo mínimo

El resto, que sigue siendo la gran mayoría de las aplicaciones reales, no acarrea obligaciones. Los filtros antispam y la IA en los videojuegos se citan expresamente. La Comisión promueve códigos voluntarios pero no impone costes de cumplimiento. Cinco preguntas cortas ofrecen un primer cribado: el uso entra en el artículo 5? está regulado por el anexo I o III? es un modelo de propósito general por sí mismo? produce contenido que parece humano? toca a una persona que merece ser informada? Cada sí abre una vía paralela.

Quién soporta las obligaciones: proveedor, responsable del despliegue, importador, distribuidor

El reglamento distingue cuatro papeles cuya carga difiere mucho. Un proveedor desarrolla el sistema o lo encarga, y lo introduce en el mercado de la Unión con su nombre. Asume la carga más pesada: documentación técnica, evaluación de conformidad, marcado CE, declaración UE de conformidad, seguimiento poscomercialización, inscripción en la base de datos UE de sistemas de alto riesgo, notificación de incidentes. Un responsable del despliegue usa el sistema en el marco de una actividad profesional. Sus obligaciones son más ligeras pero concretas: asegurar la efectividad de la supervisión humana, seguir las instrucciones del proveedor, monitorizar la operación, conservar registros cuando se exija, realizar una evaluación de impacto sobre derechos fundamentales en determinados sistemas del anexo III, e informar a los trabajadores afectados cuando el sistema se utilice en su entorno laboral. Un importador introduce en el mercado un sistema de un proveedor establecido fuera de la Unión. Comprueba que el trabajo de conformidad se ha realizado, que la documentación está completa y que los puntos de contacto son alcanzables. Un distribuidor pone a disposición el sistema en la cadena sin modificarlo. Verifica que el marcado CE y los documentos requeridos acompañen al producto, y comunica a la cadena cualquier duda seria. La proporcionalidad para pymes está incorporada. Las pymes y empresas emergentes gozan de acceso prioritario a los espacios controlados de pruebas, tarifas reducidas en los organismos notificados y el tope bajo de cada tramo sancionador. No elimina las obligaciones, reduce el coste de cumplimiento. Quien compra IA en lugar de construirla es casi siempre responsable del despliegue, y sus contratos deben traer por escrito las evidencias del proveedor. La plataforma de gobierno de IA de AI Sigil está construida justamente alrededor de ese flujo probatorio.

Obligaciones para los sistemas de alto riesgo

Los proveedores de sistemas de alto riesgo concentran el grueso de las obligaciones. La estructura se traduce directamente en controles operativos. Gestión de riesgos, artículo 9. Proceso continuo e iterativo a lo largo de todo el ciclo de vida. En la práctica: un registro documentado de riesgos, revisiones periódicas alineadas con las releases, evidencias de que los riesgos residuales se han comunicado a los responsables del despliegue. Datos y gobierno de los datos, artículo 10. Conjuntos de entrenamiento, validación y prueba pertinentes, representativos y, en la medida de lo posible, libres de errores y completos, con documentación de las fases de preparación. En la práctica: fichas de conjunto de datos, registros de procedencia, diagnósticos de sesgo, políticas de retención. Documentación técnica, artículo 11 y anexo IV. Un expediente de diseño completo: descripción general, propósito previsto, decisiones de arquitectura, validación, plan de seguimiento poscomercialización. El expediente se mantiene al día. Registro, artículo 12. Trazas automatizadas del funcionamiento durante toda la vida del sistema, que permitan la trazabilidad de las salidas. Transparencia e información al responsable del despliegue, artículo 13. Instrucciones de uso claras que cubran características, capacidades, límites y nivel de exactitud esperado. Supervisión humana, artículo 14. Integrada en el diseño, con medidas proporcionadas al riesgo, para que una persona física pueda intervenir, interpretar, anular o detener. Exactitud, robustez y ciberseguridad, artículo 15. Objetivos de rendimiento definidos y publicados, resiliencia frente a errores e inconsistencias, medidas de ciberseguridad ajustadas a la superficie de ataque, en particular contra envenenamiento de datos, ejemplos adversariales e inversión de modelo. Sistema de gestión de la calidad, artículo 17. El armazón que sostiene el resto. Un conjunto documentado de políticas, procedimientos, responsabilidades y registros de auditoría. Aquí es donde el alineamiento con ISO/IEC 42001 paga más. Evaluación de conformidad, artículo 43. Control interno para la mayoría de los sistemas del anexo III; evaluación por organismo notificado para identificación biométrica y determinados casos del anexo I. Resultado: marcado CE, declaración UE de conformidad e inscripción en la base de datos UE. Seguimiento poscomercialización y notificación de incidentes. Los datos operativos vuelven al proveedor; los incidentes graves se comunican a las autoridades nacionales en plazos cortos. Cada bloque es, operativamente, una familia de controles: un titular, una política, un artefacto de evidencia, una cadencia de actualización.

Obligaciones GPAI y riesgo sistémico

Los modelos de IA de propósito general, los modelos fundacionales aguas arriba de muchas aplicaciones, tienen su propio capítulo. Núcleo del artículo 53, aplicable a todo modelo introducido en el mercado de la Unión desde el 2 de agosto de 2025: documentación técnica para la AI Office y los proveedores aguas abajo, política de respeto del derecho de autor conforme al derecho de la Unión, resumen suficientemente detallado del contenido de entrenamiento. Los modelos de código abierto disfrutan de una exención parcial, manteniendo el respeto del derecho de autor y el resumen de entrenamiento. Clasificación como riesgo sistémico, artículo 51. Un modelo se presume con capacidades de gran impacto, y por tanto con riesgo sistémico, una vez que la potencia de cálculo acumulada de entrenamiento supera 10^25 operaciones en coma flotante. La Comisión también puede designarlo por los criterios del anexo XIII: número de usuarios, número de parámetros, puntos de referencia de capacidad, dependencias aguas abajo (artículo 51). Obligaciones reforzadas del artículo 55 para los modelos sistémicos: evaluación estandarizada con pruebas adversariales, evaluación y mitigación de riesgos a escala de la Unión, notificación de incidentes graves a la AI Office, ciberseguridad adecuada del modelo y de su infraestructura (artículo 55). La Comisión publicó el código de buenas prácticas GPAI el 10 de julio de 2025 (página del código). La firma es voluntaria pero los firmantes lo usan como medio adecuado para demostrar el cumplimiento de los artículos 53 y 55.

Gobierno y aplicación: AI Office, autoridades nacionales, sanciones

La aplicación del reglamento descansa en dos planos. La AI Office, alojada en la Comisión, ejerce poderes directos sobre las reglas GPAI (capítulo V). Cada Estado miembro designa una o varias autoridades de vigilancia del mercado para el resto. Algunos Estados han creado un regulador de IA dedicado; otros han confiado el expediente a autoridades de protección de datos o a reguladores sectoriales (autoridades de vigilancia del mercado). A partir del 2 de agosto de 2026 estas autoridades podrán auditar la documentación de los proveedores, acceder a los datos de entrenamiento y validación y, en supuestos definidos, exigir acceso al código fuente. Pueden ordenar medidas correctivas, restringir o retirar un sistema del mercado e imponer sanciones. El artículo 99 establece tres tramos (artículo 99):

  • Prácticas prohibidas: hasta 35 millones de euros o 7 % de la facturación mundial, la cifra más alta.
  • Incumplimiento de requisitos de alto riesgo o de obligaciones de transparencia: hasta 15 millones de euros o 3 %.
  • Información incorrecta, incompleta o engañosa a las autoridades: hasta 7,5 millones de euros o 1 %.

Las pymes y empresas emergentes gozan del tope bajo en cada tramo. Además, los Estados miembros deberán contar con un espacio controlado de pruebas a escala nacional el 2 de agosto de 2026.

Crosswalk con ISO/IEC 42001 y NIST AI RMF

Nadie construye gobierno de la IA solo contra el reglamento. La mayoría de los equipos combinan tres referencias: ISO/IEC 42001 para el sistema de gestión, NIST AI RMF para las operaciones de riesgo y el Reglamento de IA de la UE como base legal. La relación es por capas. El NIST AI RMF aporta la metodología operativa, las funciones Govern-Map-Measure-Manage y un vocabulario de tratamiento del riesgo. ISO/IEC 42001, publicada en 2023, es la primera norma internacional de sistema de gestión de IA; certificarse es la vía más limpia para demostrar madurez organizativa. El Reglamento de IA de la UE convierte esas prácticas voluntarias en obligación legal para alto riesgo y GPAI. Una correspondencia utilizable a nivel de obligación:

  • Artículo 9 gestión de riesgos ↔ NIST AI RMF Map y Measure ↔ ISO/IEC 42001 apartados 6.1 y 8.
  • Artículo 10 gobierno de datos ↔ NIST AI RMF Map 4 ↔ controles del anexo B de ISO/IEC 42001.
  • Artículo 11 documentación técnica ↔ NIST AI RMF Manage 4 ↔ ISO/IEC 42001 apartado 7.5.
  • Artículo 14 supervisión humana ↔ NIST AI RMF Govern 1 ↔ control de ISO/IEC 42001 sobre roles de supervisión.
  • Artículo 17 sistema de gestión de la calidad ↔ el envoltorio entero de ISO/IEC 42001.

CEN-CENELEC está preparando una norma armonizada, prEN 18286, que tenderá un puente formal entre ISO/IEC 42001 y la evaluación de conformidad del reglamento. Publicación prevista en 2026.

Calendario de aplicación, trimestre a trimestre

La mayor parte de los responsables de cumplimiento necesita un plan de proyecto, no un párrafo. Así se lee el calendario en forma operativa.

  • T1 2025 (en vigor). Prácticas prohibidas (artículo 5) y alfabetización en IA (artículo 4) aplicables. Repasar el inventario contra las ocho prohibiciones y apagar o rediseñar radicalmente lo que corresponda.
  • T3 2025 (en vigor). Obligaciones GPAI del artículo 53 activas para los modelos nuevos. Estructuras de gobierno (AI Office, autoridades nacionales) en funcionamiento. Los proveedores de modelos necesitan ya su expediente técnico y su política de derechos de autor.
  • T3 2026 (ocho semanas antes). Aplicación del grueso del régimen. Cada sistema de alto riesgo del anexo III en el mercado exige expediente completo de evaluación de conformidad, marcado CE, inscripción en la base de datos UE y un seguimiento poscomercialización activo. Los espacios controlados de pruebas nacionales deben estar disponibles.
  • T3 2027. Las obligaciones de alto riesgo se extienden a la IA integrada en productos del anexo I (productos sanitarios, máquinas, juguetes, automoción). Los organismos notificados sectoriales validan los componentes de IA.

El acuerdo político del 7 de mayo de 2026 no mueve esas fechas. Reduce el papeleo para pymes y algunas expectativas del anexo III.

Cómo arrancar el cumplimiento en los próximos 90 días

Quien empieza desde cero a mediados de 2026 debería priorizar cuatro pasos antes de buscar la perfección.

  1. Construir un inventario de IA. Listar cada sistema en producción, en piloto y en pipeline de compra. Etiquetar cada uno con su papel (interno, comprado, embebido en un SaaS), su función y los datos personales que toca.
  2. Clasificar cada sistema con las cuatro pruebas paralelas. Artículo 5, artículo 6 y anexo III, artículo 50, capítulo V. Una hoja de cálculo basta en esta fase.
  3. Realizar un análisis de brechas de los candidatos de alto riesgo y GPAI frente a los artículos 9 a 17 (y 53 a 55 para proveedores de modelo). Marcar cada obligación como presente, parcial o ausente, y asignar un responsable.
  4. Levantar un armazón de evidencias, idealmente sobre un sistema de gestión ISO/IEC 42001. Cada obligación exige una política, un rol, un artefacto y una cadencia.

Si ya hay ISO/IEC 42001 en marcha, están hechos cerca del 60 % del camino. Resta añadir los artefactos específicos del reglamento (expediente de evaluación, inscripción en base de datos UE, plan de seguimiento poscomercialización, proceso de notificación de incidentes).

Preguntas frecuentes

Desde cuándo se aplica el Reglamento de IA de la UE? El reglamento entró en vigor el 1 de agosto de 2024 y es plenamente aplicable el 2 de agosto de 2026. Las prácticas prohibidas están en vigor desde el 2 de febrero de 2025; las obligaciones GPAI desde el 2 de agosto de 2025. La integración en productos del anexo I actúa el 2 de agosto de 2027. Los poderes ejecutivos de la Comisión se activan con el grueso del régimen en agosto de 2026. Se aplica fuera de la UE? Sí. Tiene alcance extraterritorial: cubre a todo proveedor que introduzca un sistema en el mercado de la Unión y a todo responsable del despliegue o proveedor cuyas salidas se utilicen en la Unión, sea cual sea su lugar de establecimiento. Un desarrollador estadounidense con un solo usuario europeo está dentro, como ocurre con el RGPD respecto a datos personales. Qué es un sistema de alto riesgo? Dos supuestos. Primero, cuando es componente de seguridad o producto cubierto por el derecho sectorial del anexo I (productos sanitarios, máquinas, automoción). Segundo, cuando entra en alguno de los ocho ámbitos del anexo III: biometría, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración y fronteras, justicia y procesos democráticos. Qué cambia para los modelos GPAI? Todo modelo GPAI introducido en el mercado de la Unión desde el 2 de agosto de 2025 debe publicar documentación técnica, política de derechos de autor y resumen suficientemente detallado del contenido de entrenamiento. Los modelos clasificados como sistémicos según el artículo 51, hoy los entrenados con más de 10^25 FLOPs, soportan además evaluación contradictoria, notificación de incidentes a la AI Office y mitigación de riesgos a escala de la Unión. Firmar el código de buenas prácticas GPAI es un medio adecuado de cumplimiento. Cuánto suman las sanciones? El artículo 99 fija tres tramos. Las prácticas prohibidas exponen hasta 35 millones de euros o 7 % de la facturación mundial, la cifra más alta. Las infracciones de los requisitos de alto riesgo o de las obligaciones de transparencia llegan hasta 15 millones de euros o 3 %. La información engañosa a las autoridades hasta 7,5 millones de euros o 1 %. Las pymes gozan del tope bajo. Las autoridades nacionales pueden ordenar en paralelo medidas correctivas o retirada del mercado. Qué relación guarda con ISO 42001 y NIST AI RMF? Los tres referenciales se complementan. NIST AI RMF es un marco voluntario para operaciones de riesgo. ISO/IEC 42001 es la norma de sistema de gestión, la línea más limpia para industrializar el gobierno. El Reglamento de IA de la UE es la base legal. Un equipo que opera un sistema ISO/IEC 42001 y usa el NIST AI RMF como metodología satisface la mayor parte de las expectativas documentales y de proceso del reglamento; queda añadir los artefactos específicos (expediente de evaluación, inscripción en base de datos UE, proceso de notificación de incidentes).

Conclusión

El Reglamento de IA de la UE plantea una pregunta que cualquier operador debería hacerse ya: qué uso de la IA está listo para defender por escrito? El texto no inventa el gobierno, lo vuelve auditable. Los equipos que combinen un sistema de gestión ISO/IEC 42001 con flujos de evidencias limpios absorberán 2026 como una lista de comprobación. Quien espere descubrirá que la evaluación de conformidad, la inscripción en la base de datos UE y el seguimiento poscomercialización no se retro-instalan con prisa. Inicien el inventario, clasifiquen los sistemas según las cuatro pruebas paralelas y elijan el referencial que convierte cada obligación en un control. El reglamento entrega los estándares; queda hacerlos suyos.

Elena Vargas

El riesgo principal de la IA generativa: por qué las alucinaciones dominan a cualquier otra falla

El riesgo dominante de la IA generativa no es el sesgo ni la propiedad intelectual. Es la alucinación. Aquí está la prueba y el plan para los desplegantes.

Shadow AI: por qué la IA en la sombra es ante todo un problema de gobierno

El Shadow AI rompe los inventarios exigidos por el Reglamento de IA, ISO 42001 y NIST RMF. Cómo descubrirlo y registrarlo en un inventario único.

Reglamento de IA de la UE, la guía operativa para el cumplimiento en 2026

El Reglamento 2024/1689 explicado a los operadores. Categorías de riesgo, GPAI, evaluación de conformidad, sanciones y calendario 2026.

Regulación de la IA en 2026: el manual del operador

Mapear las obligaciones de IA por tipo. Transparencia, riesgo, vigilancia en el Reglamento europeo, NIST, ISO 42001 y el Convenio del Consejo de Europa.

Herramientas de gobernanza de IA en 2026: la plataforma de cumplimiento y su ecosistema

Las herramientas de gobernanza de IA tienen dos capas: una plataforma nativa de cumplimiento y herramientas complementarias. Mapeo por rol AI Act, ISO 42001, NIST RMF.

El reglamento europeo de inteligencia artificial: manual operativo para proveedores e implementadores

El reglamento europeo de IA, descodificado por rol. Proveedor, implementador, GPAI: quién debe hacer qué, con qué plazo, con qué artefacto de gobernanza.