AI Sigil Logo
Contact Us
Back to all insights
A blueprint illustrating the structured approach to implementing high-risk AI requirements.

Sections

Requisitos de Alto Riesgo de la Ley de IA de la UE: Lo que las Empresas Deben Saber

Requisitos de Alto Riesgo de la Ley de IA de la UE: Lo Que Las Empresas Necesitan Saber

Con la implementación de la Ley de IA de la UE, las organizaciones que desarrollen, utilicen, importen y distribuyan sistemas de IA de alto riesgo enfrentarán nuevas obligaciones establecidas en las Secciones 2 y 3 de la ley. De estas, los proveedores y desplegadores enfrentarán el conjunto más sustantivo y estructurado de obligaciones, como se encuentra en los Artículos 9 a 15. Estos requisitos están diseñados para asegurar que los sistemas de IA de alto riesgo identificados no socaven los derechos fundamentales, la seguridad y la salud de los ciudadanos europeos.

La Ley de IA define cuatro niveles de riesgo: prohibido, alto riesgo, riesgo limitado y riesgo mínimo. Los sistemas prohibidos están totalmente prohibidos (Artículo 5), mientras que los sistemas de riesgo limitado enfrentan solo ligeras obligaciones de transparencia (por ejemplo, divulgaciones de chatbots). En contraste, los sistemas de alto riesgo vienen con la carga de cumplimiento más detallada, especialmente para proveedores y desplegadores. Por esta razón, nos enfocaremos aquí: estas son las reglas que más probablemente impactarán los procesos organizacionales, la adquisición y la supervisión.

¿Qué Son los Sistemas de IA de Alto Riesgo?

Además del alcance delineado, que indica que los sistemas de IA de alto riesgo tienen el potencial de socavar intereses públicos protegidos identificados, la Ley de IA proporciona una definición adicional al establecer casos de uso específicos (que se encuentran en el Anexo III). Estos casos de uso se discuten dentro de Dominios, que incluyen: biometría; infraestructura crítica; educación y formación profesional; empleo, gestión de trabajadores y acceso al autoempleo; acceso y disfrute de servicios y beneficios privados y públicos esenciales; aplicación de la ley; gestión de migración, asilo y control fronterizo; y la administración de justicia y procesos democráticos. Dentro de cada uno de estos Dominios, se aclaran los casos de uso o aplicaciones de alto riesgo. La Comisión ha dejado claro que estos Dominios y Casos de Uso pueden evolucionar con el tiempo.

Además del enfoque de Dominios y Casos de Uso, la definición de sistemas de IA de alto riesgo se extiende a los sistemas de IA cubiertos por legislación de armonización específica (encontrada en el Anexo I). Esto incluye sistemas de IA que son componentes de seguridad de productos ya regulados bajo las leyes de seguridad de productos de la UE, como los que se encuentran en dispositivos médicos (por ejemplo, el Reglamento de Dispositivos Médicos) o maquinaria (por ejemplo, el Reglamento de Maquinaria).

Fechas Clave a Conocer:

  • 2 de agosto de 2026 → Todos los sistemas de IA de alto riesgo deben cumplir con los requisitos básicos (Artículos 9–49), incluyendo gestión de riesgos, gobernanza de datos y evaluación de conformidad.
  • 2 de agosto de 2027 → Fecha límite de cumplimiento para sistemas de IA de alto riesgo integrados en productos regulados (por ejemplo, dispositivos médicos, maquinaria) bajo las leyes de seguridad de productos de la UE.

Si su organización construye, compra o utiliza IA en estas áreas, es probable que se vea afectada, y la preparación debe comenzar ahora.

Antes de profundizar en el cumplimiento, primero debe saber con certeza si su organización desarrolla o utiliza sistemas de IA que caen en la categoría de alto riesgo. Sin esta claridad, está expuesto a riesgos significativos. Esta evaluación no siempre es clara, ya que algunos casos de uso especializados pueden requerir consulta con equipos legales. Por ejemplo, un agente de detección de fraude podría usarse de tal manera que evalúe el riesgo de fraude y lo incorpore en el costo de una prima de seguro. Si esto califica como un sistema de alto riesgo requiere consideración: la IA para detectar fraude no es inherentemente de alto riesgo; pero usar IA para determinar los costos del seguro sí lo es. Por lo tanto, el primer paso para cualquier organización es una evaluación exhaustiva y documentada de su cartera de IA para calificar qué sistemas están afectados.

Artículos 9-15: Obligaciones Clave y Preguntas Abiertas

Una vez que haya evaluado su cartera y identificado sus sistemas de alto riesgo, ¿qué sigue? En el resto de este artículo, recorreremos las obligaciones centrales delineadas en los Artículos 9-15. Mientras que estos son críticos, hay más en la historia de la Ley de IA de la UE, incluyendo los roles de diferentes actores, cumplimiento para IA de propósito general y cómo funcionará la ejecución (lo que cubriremos en actualizaciones futuras).

1. Artículo 9 – Sistema de Gestión de Riesgos

Lo que sabemos: Debe implementar un proceso de gestión de riesgos documentado y continuo que cubra todo el ciclo de vida de la IA, desde el diseño hasta el monitoreo post-mercado. Esto incluye identificar y evaluar riesgos conocidos y previsibles para la salud, la seguridad y los derechos fundamentales.

Lo que es ambiguo:

  • Qué cuenta como un riesgo “conocido y previsible”;
  • Cómo se pueden identificar riesgos donde los sistemas de IA son novedosos y donde los datos operativos son limitados (un problema de brecha de datos);
  • Cómo deberían ser las metodologías de reentrenamiento cuando se descubren nuevos riesgos y cómo el reentrenamiento debería integrarse en la actualización de controles de riesgo (un problema de mejores prácticas).

2. Artículo 10 – Datos y Gobernanza de Datos

Lo que sabemos: Los sistemas de IA deben ser entrenados, validados y probados en conjuntos de datos que sean relevantes, representativos, libres de errores y completos, dentro de límites razonables.

Lo que es ambiguo:

  • Definiciones operativas de “representativo” o “libre de errores”;
  • Umbrales aceptables para imperfecciones de datos;
  • Qué medidas de mitigación son aceptables cuando los datos ideales no están disponibles (por ejemplo, conjuntos de datos históricos sesgados).

3. Artículo 11 – Documentación Técnica

Lo que sabemos: Debe mantener documentación técnica detallada que demuestre el cumplimiento (incluyendo diseño del sistema, propósito previsto, fuentes de datos de entrenamiento, métodos de prueba y controles de riesgo) como se describe en el Anexo IV de la ley.

Lo que es ambiguo:

  • Aclaración sobre el nivel de detalle requerido en múltiples temas obligatorios;
  • Orientación sobre cómo manejar información confidencial o sensible de propiedad intelectual;
  • Cómo gestionar actualizaciones a lo largo del tiempo (por ejemplo, versionado, trazabilidad).

4. Artículo 12 – Mantenimiento de Registros

Lo que sabemos: Los sistemas de alto riesgo deben registrar automáticamente eventos para apoyar la trazabilidad, el seguimiento del rendimiento y el monitoreo post-mercado. Los registros deben ser resistentes a manipulaciones y retenidos adecuadamente.

Lo que es ambiguo:

  • Las directrices de implementación que cubren temas clave como la granularidad, formato y retención de registros son esperadas, especialmente en relación con el monitoreo post-mercado (Artículos 29–30).

5. Artículo 13 – Transparencia e Información para Usuarios

Lo que sabemos: Los usuarios deben ser informados en términos claros sobre:

  • El propósito previsto del sistema,
  • Sus limitaciones y características de rendimiento,
  • Cómo utilizarlo adecuadamente.

Lo que es ambiguo:

  • Qué califica como información significativa para los usuarios finales o individuos afectados;
  • Cómo los requisitos de alfabetización en IA (Art 4) se alinean con el Art 13;
  • Cómo esto interactúa con secretos comerciales o modelos de caja negra (por ejemplo, aprendizaje profundo).

6. Artículo 14 – Supervisión Humana

Lo que sabemos: Debe diseñar sistemas para asegurar supervisión humana efectiva que prevenga o minimice riesgos. Los mecanismos de supervisión deben ser documentados, y las personas asignadas a roles de supervisión deben estar adecuadamente capacitadas.

Lo que es ambiguo:

  • Qué cuenta como supervisión humana suficiente en la práctica;
  • Aclaración sobre los modos de interacción con el sistema (por ejemplo, humano-en-el-ciclo, en-el-ciclo, sobre-el-ciclo);
  • Qué nivel de autoridad o capacidad de intervención debe tener el humano.

7. Artículo 15 – Precisión, Robustez y Ciberseguridad

Lo que sabemos: Los sistemas de IA de alto riesgo deben mantener niveles apropiados de precisión, robustez y ciberseguridad a lo largo de su ciclo de vida, y resistir errores, abusos o ataques adversariales.

Lo que es ambiguo:

  • Referencias de rendimiento o umbrales de tolerancia;
  • Si la precisión debe ser uniforme a través de subpoblaciones o contextos;
  • Qué estándares o certificaciones de ciberseguridad se esperan.

Monitoreo Post-Mercado (Artículos 29-30)

Los Artículos 9–15 interactúan estrechamente con las obligaciones de monitoreo post-despliegue. Por ejemplo:

  • Si la precisión de su sistema se degrada con el tiempo, debe ser detectada, reportada y corregida.
  • Se requieren evaluaciones de riesgo continuas después de la entrada al mercado; este no es un proceso de «una sola vez».

Estamos esperando más orientación sobre cómo alinear estas tareas operativas con los requisitos de cumplimiento.

¿Qué Puede Hacer Ahora?

Para asegurar que las partes interesadas y los equipos estén preparados para cumplir con las nuevas obligaciones una vez que lleguen al mercado, muchas organizaciones están tomando medidas hacia el cumplimiento a pesar de las ambigüedades existentes. Si bien esto puede requerir revisar las aproximaciones operativas de lo que se espera según la guía que se publique más adelante, el objetivo es reducir la distancia entre las prácticas actuales hoy y las prácticas delineadas bajo la guía una vez que esté disponible.

Aunque se espera la guía, algunos ejemplos de lo que los stakeholders no técnicos pueden hacer para comenzar a prepararse:

  • Obtener una sólida comprensión de los requisitos de alto riesgo según lo delineado en la Ley de IA.
  • Mapear su uso actual y planificado de IA contra el Anexo III (dominios de alto riesgo) y el Anexo I (legislación de armonización de la Unión) para designar cuáles de sus sistemas de IA pueden calificar como de alto riesgo.
  • Evaluar si sus prácticas actuales cumplen con los Artículos 9–15 en principio.
  • Identificar brechas clave como prácticas de registro, roles de supervisión, políticas de gobernanza de datos y definición de responsabilidades en su equipo y organización para que sepa dónde enfocar sus energías más adelante.
  • Comenzar a construir una política de cumplimiento respaldada por documentación, que se necesitará más adelante.

¿Qué Siguiente?

Se espera que la Comisión publique directrices de implementación en la segunda mitad de 2025. Mientras tanto, una preparación temprana, guiada por la estructura de los Artículos 9–15, es la mejor manera de mantenerse a la vanguardia y demostrar un liderazgo responsable en IA.

Esté atento: continuaremos publicando actualizaciones prácticas para ayudarle a operacionalizar la Ley de IA de la UE con claridad y confianza.

More Insights

Compass

Guía Práctica de IA Responsable para Desarrolladores .NET

noviembre 21, 2025 Conformité éthique IA,Éthique IA,Ética de IA,Etica dell'IA,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Responsabilidad de IA,Responsabilità dell'IA
La era de la Inteligencia Artificial (IA) está sucediendo ahora, y aunque ofrece velocidad y precisión en sectores como la banca y la salud, plantea desafíos éticos sobre su confianza. Para abordar...
Read More
A blueprint of a building illustrating the structured guidelines of the EU AI Act.

Guía sobre las Especificaciones de Derechos de Autor en la Nueva Ley de IA de la UE

noviembre 21, 2025 Conformità IA dell'UE,Cumplimiento de la UE,Gobernanza de IA de la Unión Europea,Governance dell'IA dell'Unione Europea,IA,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation de la propriété intellectuelle IA
La Oficina de la IA de la UE ha publicado un borrador sobre las obligaciones de los proveedores de modelos de inteligencia artificial de propósito general, que debe ser finalizado antes del 2 de mayo...
Read More
A digital key to signify access and permission in the AI landscape.

Consentimiento, cumplimiento y confianza del cliente en la era de la IA

noviembre 21, 2025 Concienciación sobre Regulación de IA,Conformità Regolatoria,Conformité IA,Consapevolezza sulla Regolamentazione dell'IA,Cumplimiento de IA de la UE,Cumplimiento Regulatorio,Éthique IA,Etica dell'IA,IA,Inteligencia Artificial,Régulation IA
La inteligencia artificial promete un valor tremendo para los mercadólogos, pero solo si se alimenta de datos de calidad recopilados de manera responsable. La transparencia ahora subyace en la...
Read More
A circuit board

El papel de la IA en la gestión de riesgos y cumplimiento en la banca

noviembre 21, 2025 Conformità Regolatoria,Conformité des systèmes IA,Conformité IA pour les entreprises,Cumplimiento Regulatorio,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation financière IA
En la compleja red de operaciones bancarias de hoy, la inteligencia artificial (IA) se convierte en el nuevo motor de gestión de riesgos, esencial para que las instituciones financieras identifiquen...
Read More
A blueprint illustrating the structured guidelines and regulations for AI development.

Ley de Transparencia en IA: Un Hito en California

noviembre 21, 2025 Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Regolamentazione dell'Intelligenza Artificiale,Regulación de IA,Transparence IA,Transparencia en IA,Trasparenza nell'IA
Los legisladores de California han hecho historia al aprobar una ley pionera sobre la transparencia en inteligencia artificial que se centra en los "modelos fronterizos", los sistemas de inteligencia...
Read More
A robotic arm

Oficina Nacional de IA: Autoridad Central para la Ley de la UE

noviembre 21, 2025 Conformità IA dell'UE,Conformité IA EU,Cumplimiento de IA de la UE,Gobernanza de IA de la Unión Europea,Governance dell'IA dell'Unione Europea,IA,Inteligencia Artificial,Regolamentazione dell'IA,Regulación de IA,Régulation IA EU,Régulation technologique IA
El Gobierno ha designado 15 autoridades competentes bajo la Ley de IA de la UE y ha anunciado planes para establecer una Oficina Nacional de IA, que actuará como la autoridad central en Irlanda. Esta...
Read More
A broken chain link

Desafíos legales del uso de IA en el proceso de contratación

noviembre 21, 2025 Conformité IA pour les entreprises,Éthique IA,Ética de IA,Etica dell'IA,Gobernanza de IA,Governance dell'IA,IA,Inteligencia Artificial,Regolamentazione dell'IA,Régulation IA,Responsabilidad de IA
El uso de herramientas de IA en el proceso de solicitud permite a las empresas optimizar sus procesos, pero los empleadores deben asegurarse de que los sistemas utilizados sean transparentes, no...
Read More
Los Cuatro Pilares de los Guardrails en GenAI: Construyendo Sistemas de IA Responsables

Los Cuatro Pilares de los Guardrails en GenAI: Construyendo Sistemas de IA Responsables

noviembre 21, 2025 Conformité IA,Éthique IA,Etica dell'IA,Governance dell'IA,IA,Intelligenza Artificiale,Régulation IA,Responsabilità dell'IA
A medida que la inteligencia artificial generativa transforma cómo operan las empresas, es fundamental implementar sistemas de guardrails para asegurar un despliegue responsable. Estos guardrails, que...
Read More
A community garden that symbolizes growth through inclusion and diversity.

IA Responsable para Mercados Emergentes: Inclusión desde el Diseño

noviembre 21, 2025 Conformité IA,Éthique IA,Gobernanza de IA,Governance dell'IA,IA,IA Ética,Inteligencia Artificial
La inteligencia artificial está transformando el mundo, pero los beneficios no llegan a todos de manera equitativa. Es fundamental diseñar sistemas de IA inclusivos que aborden las barreras de...
Read More