Quick Answer
Para cumplir el EU AI Act , una empresa debe seguir cinco pasos: determinar su rol (proveedor o responsable del despliegue), inventariar y clasificar sus sistemas por nivel de riesgo, aplicar las obligaciones correspondientes, superar la evaluación de conformidad y el marcado CE si hay alto riesgo, y documentar la gobernanza. Esta checklist práctica le guía por cada fase. ¿Eres proveedor o responsable del despliegue? El primer paso del Reglamento de IA es identificar tu rol, porque determina tus obligaciones. ¿Cuál es la diferencia entre proveedor y deployer? Eres proveedor si desarrollas un sistema de IA, o si lo comercializas o pones en servicio bajo tu propia marca, incluso si lo encargaste a un tercero. Eres responsable del despliegue ( deployer ) si utilizas un sistema de IA bajo tu autoridad en el marco de una actividad profesional. Atención: si modificas sustancialmente un sistema de alto riesgo o le pones tu marca, puedes convertirte en proveedor y asumir sus obligaciones, mucho más exigentes.
Para cumplir el EU AI Act, una empresa debe seguir cinco pasos: determinar su rol (proveedor o responsable del despliegue), inventariar y clasificar sus sistemas por nivel de riesgo, aplicar las obligaciones correspondientes, superar la evaluación de conformidad y el marcado CE si hay alto riesgo, y documentar la gobernanza. Esta checklist práctica le guía por cada fase.
¿Eres proveedor o responsable del despliegue?
El primer paso del Reglamento de IA es identificar tu rol, porque determina tus obligaciones.
¿Cuál es la diferencia entre proveedor y deployer?
Eres proveedor si desarrollas un sistema de IA, o si lo comercializas o pones en servicio bajo tu propia marca, incluso si lo encargaste a un tercero. Eres responsable del despliegue (deployer) si utilizas un sistema de IA bajo tu autoridad en el marco de una actividad profesional. Atención: si modificas sustancialmente un sistema de alto riesgo o le pones tu marca, puedes convertirte en proveedor y asumir sus obligaciones, mucho más exigentes. Una misma empresa puede ser proveedora de unos sistemas y desplegadora de otros.
Clasifica el riesgo de tus sistemas
No puedes cumplir lo que no conoces. Elabora un inventario de IA con todos los sistemas que desarrollas, integras o utilizas, y asigna a cada uno su nivel de riesgo.
¿Cómo determino el nivel de riesgo de un sistema?
- Inaceptable (prohibido): ¿realiza social scoring, manipulación dañina o identificación biométrica prohibida? Si es así, debe retirarse.
- Alto riesgo: ¿es componente de seguridad de un producto regulado (Anexo I) o pertenece a un área sensible del Anexo III (empleo, crédito, educación, infraestructuras, etc.)?
- Riesgo limitado: ¿interactúa con personas (chatbot) o genera contenido sintético (deepfakes)? Aplica transparencia.
- Riesgo mínimo: el resto. Sin obligaciones específicas.
¿Necesitas ayuda con cloud?
Reserva una reunión gratuita de 30 minutos con uno de nuestros especialistas en cloud. Analizamos tu necesidad y damos recomendaciones concretas — sin compromiso.
Checklist de cumplimiento paso a paso
Esta tabla resume las acciones clave por nivel de riesgo y rol.
| Paso | Acción | Aplica a |
|---|---|---|
| 1. Inventario | Catalogar todos los sistemas de IA en uso y desarrollo | Todos |
| 2. Rol | Definir si eres proveedor o responsable del despliegue por sistema | Todos |
| 3. Clasificación | Asignar nivel de riesgo a cada sistema | Todos |
| 4. Prohibiciones | Retirar o rediseñar cualquier práctica prohibida | Todos |
| 5. Transparencia | Avisar de interacción con IA y etiquetar contenido sintético | Riesgo limitado |
| 6. Gestión de riesgos | Implantar sistema de gestión de riesgos y gobernanza de datos | Alto riesgo |
| 7. Supervisión humana | Garantizar control humano efectivo y registros (logs) | Alto riesgo |
| 8. Conformidad | Superar la evaluación de conformidad y aplicar el marcado CE | Alto riesgo (proveedor) |
| 9. Registro | Inscribir el sistema en la base de datos de la UE | Alto riesgo (proveedor) |
| 10. Alfabetización | Formar al personal en uso responsable de la IA | Todos |
Evaluación de conformidad y marcado CE para alto riesgo
Si eres proveedor de un sistema de alto riesgo, antes de comercializarlo debes superar una evaluación de conformidad que demuestre el cumplimiento de los requisitos del Reglamento.
¿Qué implica el marcado CE en la IA de alto riesgo?
El proceso suele incluir: implantar un sistema de gestión de calidad, elaborar la documentación técnica, realizar la evaluación (en muchos casos mediante control interno, y en otros con intervención de un organismo notificado), emitir la declaración UE de conformidad y colocar el marcado CE. Además, hay que registrar el sistema en la base de datos de la UE y establecer un sistema de seguimiento poscomercialización para vigilar incidentes durante su vida útil. El marcado CE indica que el sistema cumple la normativa y puede circular en el mercado único.
Documentación y gobernanza
La trazabilidad es la columna vertebral del cumplimiento. Reúne y mantén actualizada la documentación que demuestre tu diligencia.
¿Qué documentación y gobernanza necesito?
- Documentación técnica del sistema y registros automáticos de eventos (logs).
- Políticas de gobernanza de datos: calidad, representatividad y trazabilidad de los conjuntos de entrenamiento.
- Instrucciones de uso claras para los responsables del despliegue.
- Evaluaciones de impacto sobre derechos fundamentales cuando proceda, coordinadas con las exigencias del RGPD.
- Roles y responsabilidades internas: designa propietarios de IA, un comité de gobernanza y procesos de revisión.
- Alfabetización en IA: asegura que el personal que opera los sistemas tenga formación suficiente.
Calendario: qué priorizar y cuándo
El EU AI Act entró en vigor el 1 de agosto de 2024 y se aplica por fases. Las prohibiciones rigen desde febrero de 2025 y las obligaciones de los modelos de propósito general (GPAI) desde agosto de 2025.
¿Cuándo debo tener listo el cumplimiento de alto riesgo?
Las obligaciones de alto riesgo estaban previstas inicialmente para el 2 de agosto de 2026 (Anexo III) y el 2 de agosto de 2027 (Anexo I). En 2026, el paquete de simplificación Digital Omnibus propuso aplazarlas (Anexo III hacia diciembre de 2027 y Anexo I hacia agosto de 2028), pero a la fecha de esta checklist ese aplazamiento aún no estaba formalmente adoptado. No fijes tu planificación sobre una fecha futura no confirmada: verifica el calendario vigente y prepárate con margen, ya que mientras no se adopte el Omnibus la fecha original sigue siendo la referencia legal.
Cómo empezar
Un plan de arranque pragmático para los próximos 90 días:
- Semanas 1-3: crea el inventario de IA y asigna roles y niveles de riesgo.
- Semanas 4-6: elimina cualquier práctica prohibida y aplica de inmediato las obligaciones de transparencia, que tienen bajo coste y alto impacto.
- Semanas 7-10: para los sistemas de alto riesgo, abre los expedientes de gestión de riesgos, gobernanza de datos y documentación técnica.
- Semanas 11-13: define el modelo de gobernanza, designa responsables, planifica la evaluación de conformidad y la formación del personal.
Como editor especializado en nube e IA con certificación ISO 27001, en Opsio recomendamos integrar la gobernanza de IA en los procesos de seguridad y privacidad existentes en lugar de crear un silo nuevo.
Preguntas frecuentes
¿Cuándo se aplica el EU AI Act?
Desde el 1 de agosto de 2024, de forma escalonada. Las prohibiciones rigen desde febrero de 2025 y las obligaciones GPAI desde agosto de 2025. Las de alto riesgo estaban previstas para 2026-2027, pero el paquete de simplificación de 2026 propone aplazarlas; verifica el calendario vigente.
¿Aplica a mi empresa si está fuera de la UE?
Sí, si tu sistema de IA produce resultados que se utilizan en la UE. El alcance es extraterritorial e independiente del lugar de establecimiento de la empresa.
¿En qué se diferencia el EU AI Act del RGPD?
El RGPD regula los datos personales y el AI Act regula la seguridad y los derechos en torno al sistema de IA como producto. Son complementarios y, a menudo, hay que cumplir ambos a la vez.
¿Qué sanciones contempla?
Hasta 35 M€ o el 7 % de la facturación anual mundial por prácticas prohibidas, 15 M€ o el 3 % por otras infracciones y 7,5 M€ o el 1 % por información incorrecta a las autoridades.
¿Necesitas profundizar? Repasa nuestra explicación completa del Reglamento de IA (EU AI Act) o habla con nuestro equipo de consultoría de IA para diseñar tu hoja de ruta de cumplimiento.
Esta checklist ofrece información general y no constituye asesoramiento jurídico. Verifique el texto vigente del Reglamento (UE) 2024/1689 y consulte a un profesional para su caso concreto.
Written By
Country Manager, India
Praveena lidera las operaciones de Opsio en India, aportando más de 17 años de experiencia multisectorial en IA, fabricación, DevOps y servicios gestionados.
Editorial standards: Este artículo fue escrito por profesionales cloud y revisado por nuestro equipo de ingeniería. Actualizamos el contenido trimestralmente. Opsio mantiene independencia editorial.