NIS2 y DORA en vigor. EU AI Act es el próximo — reserva una demo
Todos los marcos normativos
Marco normativo

Cumplimiento de la Ley de IA de la UE, completamente automatizado

La Ley de IA de la UE es la primera regulación integral de inteligencia artificial del mundo - obligatoria desde el 2 de agosto de 2026. Matproof cubre la clasificación de riesgo, la detección de prácticas prohibidas, la gobernanza de datos, la supervisión humana y la evaluación de conformidad.

Solicitar una demo

Que es la Ley de IA de la UE?

La Ley de IA de la UE (Reglamento 2024/1689) es el primer marco legal integral del mundo que regula la inteligencia artificial. Adoptada por el Parlamento Europeo en marzo de 2024 y publicada en el Diario Oficial el 12 de julio de 2024, establece normas armonizadas para el desarrollo, la comercialización y el uso de sistemas de IA en toda la Unión Europea. El reglamento adopta un enfoque basado en el riesgo, con obligaciones que van desde prohibiciones absolutas hasta requisitos de transparencia y documentación.

La Ley de IA clasifica los sistemas de IA en cuatro niveles de riesgo: prohibido (prácticas de IA que plantean riesgos inaceptables para los derechos fundamentales), alto riesgo (IA utilizada en áreas críticas como biometría, educación, empleo, aplicación de la ley y servicios esenciales), riesgo limitado (IA que requiere obligaciones específicas de transparencia como chatbots y deepfakes) y riesgo mínimo (toda otra IA sin obligaciones específicas más allá de la alfabetización en IA).

Para los sistemas de IA de alto riesgo, el reglamento establece requisitos integrales que cubren la gestión de riesgos (Art. 9), la gobernanza de datos (Art. 10), la documentación técnica (Art. 11), el mantenimiento de registros (Art. 12), la transparencia (Art. 13), la supervisión humana (Art. 14) y la precisión, robustez y ciberseguridad (Art. 15). Los proveedores también deben implementar sistemas de gestión de calidad y someterse a evaluaciones de conformidad antes de comercializar los sistemas.

La Ley de IA también introduce obligaciones para los modelos de IA de propósito general (GPAI) bajo los Artículos 53-55, incluyendo documentación técnica, cumplimiento de derechos de autor y requisitos adicionales para modelos que planteen riesgos sistémicos. El reglamento se aplica mediante una combinación de la Oficina Europea de IA, autoridades nacionales competentes y organismos de vigilancia del mercado.

Quien necesita cumplir con la Ley de IA de la UE?

La Ley de IA de la UE se aplica a cualquier organización que desarrolle, despliegue o utilice sistemas de IA dentro del mercado de la UE o que sirva a este. El alcance es deliberadamente amplio para abarcar toda la cadena de valor de la IA:

Proveedores de IA (Desarrolladores)

  • Empresas que desarrollan sistemas de IA para el mercado de la UE
  • Proveedores de modelos GPAI (p. ej., desarrolladores de modelos fundacionales)
  • Desarrolladores de IA de código abierto (con exenciones para investigación)
  • Empresas no pertenecientes a la UE cuya salida de IA se utiliza en la UE
  • Fabricantes de productos que integran IA en productos regulados
  • Empresas que adaptan o afinan modelos de IA de terceros

Implementadores de IA (Usuarios)

  • Organismos del sector público que utilizan sistemas de IA de alto riesgo
  • Instituciones financieras que utilizan IA para la calificación crediticia
  • Empleadores que utilizan IA para contratación y decisiones de RRHH
  • Proveedores de atención sanitaria que utilizan sistemas de diagnóstico con IA
  • Empresas que utilizan IA para identificación biométrica
  • Cualquier organización que utilice IA de alto riesgo dentro de la UE

Todas las organizaciones que utilicen IA en la UE deben garantizar la alfabetización en IA entre su personal (Art. 4), independientemente de si sus sistemas de IA se clasifican como de alto riesgo. Esta obligación se aplica desde el 2 de febrero de 2025. Para los proveedores e implementadores de IA de alto riesgo, el conjunto completo de obligaciones se aplica desde el 2 de agosto de 2026.

Not sure if you're compliant?

Take the free EU AI Act readiness assessment — 10 questions, 3 minutes.

Check your readiness

Requisitos clave de la Ley de IA de la UE

1. Clasificación de riesgo de IA (Artículos 5-7, Anexo III)

La base del cumplimiento de la Ley de IA es clasificar correctamente cada sistema de IA según su nivel de riesgo. El Artículo 5 define las prácticas prohibidas (vigentes desde febrero de 2025). Los Artículos 6-7 y el Anexo III definen las categorías de alto riesgo que cubren biometría, infraestructura crítica, educación, empleo, servicios esenciales, aplicación de la ley, migración y justicia. Las organizaciones deben mantener un inventario de sistemas de IA, clasificar cada sistema y revisar periódicamente las clasificaciones a medida que evolucionan los casos de uso.

2. Sistema de gestión de riesgos de IA (Artículo 9)

Los proveedores de IA de alto riesgo deben establecer un sistema de gestión de riesgos continuo e iterativo que cubra todo el ciclo de vida. Esto incluye identificar y analizar riesgos conocidos y previsibles, estimar y evaluar riesgos derivados del uso previsto y del uso indebido, adoptar medidas de mitigación de riesgos y realizar pruebas para garantizar que los riesgos residuales sean aceptables. El sistema de gestión de riesgos debe estar documentado, actualizarse periódicamente y probarse a lo largo del ciclo de vida del sistema de IA.

3. Gobernanza de datos (Artículo 10)

Los conjuntos de datos de entrenamiento, validación y prueba para IA de alto riesgo deben cumplir requisitos estrictos de gobernanza. Esto incluye garantizar la calidad, relevancia, representatividad y ausencia de errores de los datos. Los conjuntos de datos deben examinarse en busca de posibles sesgos, particularmente aquellos que afectan a características protegidas. Cuando el tratamiento de datos personales sea necesario para la monitorización de sesgos, deben implementarse salvaguardas específicas. Las prácticas de gobernanza de datos deben estar documentadas y ser auditables.

4. Supervisión humana (Artículo 14)

Los sistemas de IA de alto riesgo deben diseñarse para permitir una supervisión humana efectiva. Los operadores humanos deben poder comprender plenamente las capacidades y limitaciones del sistema, interpretar correctamente los resultados, decidir cuándo no usar el sistema o anular su resultado e intervenir o interrumpir la operación. Para la identificación biométrica en tiempo real, se aplican salvaguardas adicionales, incluyendo la exigencia de que al menos dos personas confirmen los resultados de identificación.

5. Documentación técnica y transparencia (Artículos 11-13)

Los proveedores deben preparar documentación técnica detallada según el Anexo IV antes de comercializar un sistema de IA de alto riesgo. Esto cubre el diseño del sistema, la metodología de desarrollo, los procedimientos de monitorización y prueba, las métricas de precisión y las limitaciones conocidas. Los implementadores deben recibir instrucciones claras de uso que incluyan la identidad del proveedor, las características del sistema, las métricas de rendimiento, los riesgos conocidos y las medidas de supervisión humana necesarias.

6. Evaluación de conformidad y marcado CE (Artículos 19-20, 43)

Antes de comercializar un sistema de IA de alto riesgo en el mercado de la UE, los proveedores deben realizar una evaluación de conformidad, preparar una Declaración UE de Conformidad (Anexo V) y colocar el marcado CE. La evaluación puede ser autorrealizada para la mayoría de los sistemas de alto riesgo utilizando un enfoque de sistema de gestión de calidad (Anexo VII), pero los sistemas de IA biométrica utilizados por las fuerzas de seguridad requieren una evaluación por un organismo notificado. Los sistemas también deben registrarse en la base de datos de la UE.

7. Obligaciones para modelos de IA de propósito general (Artículos 53-55)

Los proveedores de modelos GPAI deben preparar y mantener documentación técnica, proporcionar información a proveedores posteriores, establecer políticas de cumplimiento de derechos de autor y publicar resúmenes de datos de entrenamiento. Los modelos GPAI que planteen riesgos sistémicos (basados en cómputo acumulativo o designación de la Comisión) enfrentan obligaciones adicionales: evaluación del modelo para riesgos sistémicos, pruebas adversarias, notificación de incidentes graves a la Oficina de IA y protecciones adecuadas de ciberseguridad.

Sanciones por incumplimiento de la Ley de IA de la UE

La Ley de IA establece uno de los regímenes sancionadores más significativos en la regulación tecnológica de la UE, con multas calculadas como el mayor entre un importe fijo o un porcentaje de la facturación anual global:

Hasta 35M EUR / 7%

por violaciones de prácticas de IA prohibidas (Artículo 5) - las sanciones más severas del reglamento

Hasta 15M EUR / 3%

por incumplimiento de las obligaciones de IA de alto riesgo, requisitos de modelos GPAI u obligaciones de organismos notificados

Hasta 7,5M EUR / 1%

por suministrar información incorrecta, incompleta o engañosa a las autoridades u organismos notificados

Proporcionalidad para PYMES

Las PYMES y startups enfrentan el menor entre el importe fijo o el límite porcentual - garantizando que las sanciones sean proporcionadas

Más allá de las sanciones económicas, el incumplimiento puede resultar en la retirada de sistemas de IA del mercado, la restricción de uso y daños reputacionales. Las autoridades nacionales de vigilancia del mercado tienen amplias facultades de investigación y corrección, y la Oficina Europea de IA supervisa directamente a los proveedores de modelos GPAI.

Cómo prepararse para el cumplimiento de la Ley de IA de la UE

Con las obligaciones de IA de alto riesgo aplicables desde el 2 de agosto de 2026, las organizaciones deben comenzar la preparación ahora. Este es un enfoque estructurado para lograr el cumplimiento:

  1. 1

    Inventario y clasificación de sistemas de IA

    Cree un inventario completo de todos los sistemas de IA utilizados o desarrollados por su organización. Clasifique cada sistema según los niveles de riesgo definidos en los Artículos 5-7 y el Anexo III. Identifique prácticas prohibidas, casos de uso de alto riesgo y obligaciones de transparencia. Este inventario se convierte en la base de todas las actividades de cumplimiento posteriores.

  2. 2

    Análisis de brechas contra los requisitos

    Para cada sistema de IA de alto riesgo, evalúe las prácticas actuales contra el conjunto completo de requisitos de los Artículos 9-15. Identifique brechas en gestión de riesgos, gobernanza de datos, documentación técnica, registro, transparencia, supervisión humana y precisión/robustez. Priorice la remediación según el riesgo y la complejidad de implementación.

  3. 3

    Sistema de gestión de riesgos de IA

    Establezca un proceso de gestión de riesgos continuo e iterativo para cada sistema de IA de alto riesgo. Documente la identificación, análisis, evaluación y tratamiento de riesgos. Implemente protocolos de prueba para validar que los riesgos residuales sean aceptables. Asegúrese de que el sistema cubra todo el ciclo de vida de la IA, desde el diseño hasta el despliegue y la monitorización posterior a la comercialización.

  4. 4

    Gobernanza de datos y pruebas de sesgo

    Implemente prácticas de gobernanza de datos para conjuntos de datos de entrenamiento, validación y prueba. Establezca criterios de calidad, verificaciones de representatividad y procesos de examen de sesgos. Documente la procedencia de los datos, los pasos de preprocesamiento y cualquier limitación. Configure la monitorización continua de sesgos para los sistemas desplegados.

  5. 5

    Preparación para la evaluación de conformidad

    Prepare la documentación técnica según el Anexo IV, implemente un sistema de gestión de calidad según el Artículo 17 y prepare la Declaración UE de Conformidad según el Anexo V. Para los sistemas de identificación biométrica utilizados por las fuerzas de seguridad, contrate un organismo notificado para la evaluación de terceros. Registre los sistemas en la base de datos de la UE según el Artículo 49.

  6. 6

    Alfabetización en IA y cumplimiento continuo

    Implemente un programa de alfabetización en IA para todo el personal según el Artículo 4. Establezca la monitorización posterior a la comercialización (Artículo 72), la notificación de incidentes graves (Artículo 73) y los procesos continuos de supervisión humana. Integre el cumplimiento de la Ley de IA en el marco existente de gobernanza, riesgo y cumplimiento de su organización.

Preguntas frecuentes sobre la Ley de IA de la UE

Que es la Ley de IA de la UE?

La Ley de IA de la UE (Reglamento 2024/1689) es el primer marco legal integral del mundo para la inteligencia artificial. Establece un enfoque basado en el riesgo para regular los sistemas de IA, con obligaciones que van desde prohibiciones absolutas hasta requisitos de transparencia. Los sistemas de IA de alto riesgo enfrentan los requisitos más estrictos, incluyendo gestión de riesgos, gobernanza de datos y evaluaciones de conformidad. La aplicación completa comienza el 2 de agosto de 2026.

Quien necesita cumplir con la Ley de IA de la UE?

La Ley de IA se aplica a proveedores (desarrolladores) e implementadores (usuarios) de sistemas de IA comercializados en el mercado de la UE o cuya salida se utiliza en la UE. Esto incluye empresas con sede en la UE, empresas no pertenecientes a la UE que sirven a mercados de la UE y proveedores de modelos de IA de propósito general. Todas las organizaciones que utilicen IA en la UE deben garantizar la alfabetización en IA entre su personal.

Cuáles son las sanciones por incumplimiento?

Las sanciones son severas: hasta 35 millones de euros o el 7% de la facturación anual global por prácticas de IA prohibidas, hasta 15 millones de euros o el 3% por obligaciones de IA de alto riesgo, y hasta 7,5 millones de euros o el 1% por proporcionar información incorrecta. Las PYMES y startups enfrentan límites proporcionalmente menores.

Que se considera un sistema de IA de alto riesgo?

Los sistemas de IA de alto riesgo se definen en el Anexo III e incluyen IA utilizada en: identificación biométrica, gestión de infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios esenciales, aplicación de la ley, migración y control de fronteras, y administración de justicia.

Cuál es la diferencia entre la Ley de IA de la UE e ISO 42001?

La Ley de IA de la UE es un reglamento legalmente vinculante con aplicación y sanciones, mientras que ISO 42001 es una norma internacional voluntaria para sistemas de gestión de IA. ISO 42001 puede ayudar a demostrar el cumplimiento, pero no lo garantiza. La Ley de IA tiene requisitos específicos como evaluaciones de conformidad, marcado CE y notificación de incidentes que van más allá de ISO 42001.

Cuándo es ejecutable la Ley de IA de la UE?

La Ley de IA entró en vigor el 1 de agosto de 2024 con implementación por fases: prácticas de IA prohibidas desde el 2 de febrero de 2025; obligaciones de modelos GPAI desde el 2 de agosto de 2025; y requisitos completos de IA de alto riesgo desde el 2 de agosto de 2026.

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Funcionalidades clave

Clasificación de riesgo de IA (Art. 6)

Inventario automatizado de sistemas de IA con clasificación de riesgo según las categorías del Anexo III. Monitorización continua de sistemas prohibidos, de alto riesgo, de riesgo limitado y de riesgo mínimo.

Detección de prácticas prohibidas (Art. 5)

Analice todos los casos de uso de IA contra las prohibiciones del Artículo 5 - manipulación subliminal, puntuación social, inferencia de emociones y categorización biométrica. Alertas automatizadas y remediación.

Sistema de gestión de riesgos (Art. 9)

Construya y mantenga sistemas continuos de gestión de riesgos de IA. Identificación, análisis, evaluación y tratamiento de riesgos - con trazabilidad completa y recopilación de evidencias.

Supervisión humana (Art. 14)

Documente las medidas de supervisión humana para IA de alto riesgo. Seguimiento de roles del operador, procedimientos de intervención, capacidades de anulación y prevención del sesgo de automatización.

Documentación técnica (Art. 11)

Genere y mantenga la documentación técnica del Anexo IV. Diseño del sistema, metodología de desarrollo, procedimientos de prueba y métricas de rendimiento - todo en un solo lugar.

Evaluación de conformidad (Art. 19)

Prepárese para las evaluaciones de conformidad con análisis automatizado de brechas. Generación de la Declaración UE de Conformidad y documentación del marcado CE.

¿Por qué Matproof?

Cubre todas las obligaciones de la Ley de IA de la UE en una sola plataforma
Clasificación de riesgo impulsada por IA según las categorías del Anexo III
Políticas predefinidas para las 8 áreas clave de gobernanza de IA
100% residencia de datos en la UE (alojado en Alemania)

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Historias de clientes

Equipos que dejaron de temer la temporada de auditorías.

85%menos tiempo de preparación

Matproof nos ahorró meses de preparación de auditoría. Conectamos nuestras herramientas el lunes y el viernes ya teníamos evidencias mapeadas a DORA. Nuestro auditor quedó impresionado por la profundidad de la pista de auditoría.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

¿Listo para comenzar?

¿Listo para comenzar?

Descubra cómo Matproof automatiza el cumplimiento para su organización.

Solicitar una demo