🚨 NeuralTrust levanta 20M$
Productos
Seguridad en runtime de agentesProtege las interacciones de los agentes en tiempo real
Gateway de agentesConecta agentes a modelos y herramientas de forma segura
Gestión de la postura de agentesDescubre y gobierna cada agente de la empresa
AI Red TeamingPon a prueba tus modelos con ataques adversariales
Primeros pasos
Lee la documentaciónDescarga la guía para CISOsGitHub
Recursos
Centro de recursos
Guías
Blog
Newsletter
Desarrolladores
Documentación
Empresa
Sobre nosotros
Socios
Careers
Noticias
Contacto
Redes sociales
Iniciar sesiónObtener demo
Volver

Guía de Cumplimiento de la Ley de IA de la UE para Empresas 2026

Roger Howroyd 26 de junio de 2026
Compartir
Guía de Cumplimiento de la Ley de IA de la UE para Empresas 2026

La Ley de IA de la UE exige a las organizaciones clasificar cada sistema de IA que desarrollan o despliegan según su nivel de riesgo, implementar controles obligatorios para los sistemas de alto riesgo y cumplir con plazos de aplicación escalonados que van desde febrero de 2025 hasta diciembre de 2027.

Formalmente conocida como Reglamento (UE) 2024/1689, es la primera regulación obligatoria e integral sobre inteligencia artificial del mundo. Las prácticas de IA prohibidas son aplicables desde el 2 de febrero de 2025. Las obligaciones sobre modelos GPAI se aplican desde el 2 de agosto de 2025. Las obligaciones de transparencia se activan el 2 de agosto de 2026. Tras el acuerdo político del Paquete Omnibus de IA del 7 de mayo de 2026, el plazo principal para los sistemas de IA de alto riesgo se ha pospuesto: los sistemas del Anexo III deben cumplir antes del 2 de diciembre de 2027, y los sistemas del Anexo I integrados en productos antes del 2 de agosto de 2028.

La Ley tiene alcance extraterritorial: cualquier organización que despliegue IA a usuarios de la UE está en su ámbito de aplicación, independientemente de dónde tenga su sede. Las multas alcanzan hasta 35 millones de euros o el 7% de la facturación mundial anual, superando las sanciones del RGPD.

TL;DR - lo que aprenderemos en este artículo

  • La Ley de IA de la UE fases sus obligaciones en cuatro fechas clave: febrero 2025 (prácticas prohibidas), agosto 2025 (modelos GPAI), agosto 2026 (transparencia), y diciembre 2027 / agosto 2028 (sistemas de alto riesgo — pospuestos por el Omnibus).
  • La Ley se aplica a cualquier organización que comercialice IA en el mercado de la UE o cuyos resultados de IA afecten a usuarios de la UE, independientemente de dónde esté ubicada.
  • Los sistemas de IA de alto riesgo (Anexo III) incluyen IA utilizada en contratación, scoring crediticio, infraestructuras críticas, educación y aplicación de la ley, con un plazo de cumplimiento ahora fijado en diciembre de 2027.
  • El cumplimiento para los sistemas de alto riesgo exige: sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registro de eventos, supervisión humana, evaluación de conformidad, marcado CE y registro en la base de datos de la UE.
  • TrustGuard y TrustLens apoyan directamente las obligaciones de supervisión humana (Artículo 14) y monitorización postmercado (Artículo 72) exigidas para los sistemas de IA de alto riesgo.

¿Qué es la Ley de IA de la UE y a quién se aplica?

La Ley de IA de la UE (Reglamento (UE) 2024/1689) entró en vigor el 1 de agosto de 2024. Es una regulación basada en el riesgo: las obligaciones impuestas a una organización dependen completamente del tipo de sistema de IA que desarrolla o despliega, y del nivel de riesgo de ese sistema.

La Ley te aplica si se cumple alguna de las siguientes condiciones:

  • Eres un proveedor de IA (desarrollas un sistema de IA) y lo comercializas en el mercado de la UE o lo pones en servicio en la UE.
  • Eres un desplegador de IA (utilizas un sistema de IA de terceros) en la UE.
  • Eres un importador o distribuidor de sistemas de IA en la UE.
  • Tienes sede fuera de la UE, pero los resultados de tu sistema de IA se utilizan en la UE.

Este alcance extraterritorial es uno de los aspectos más importantes de la Ley para las empresas no europeas. Una empresa estadounidense que despliegue una herramienta de contratación basada en IA a empleados de la UE, o una empresa SaaS cuyo producto basado en LLMs sea utilizado por clientes de la UE, están en su ámbito de aplicación.

Definición: Un proveedor bajo la Ley de IA de la UE es cualquier persona física o jurídica que desarrolla un sistema de IA o un modelo de IA de propósito general con vistas a comercializarlo bajo su propio nombre o marca. Un desplegador es cualquier persona física o jurídica que utiliza un sistema de IA bajo su propia autoridad. (Fuente: Ley de IA de la UE, Artículo 3, Reglamento (UE) 2024/1689)

La pirámide de riesgos de la Ley de IA de la UE: los cuatro niveles explicados

La Ley de IA de la UE clasifica cada sistema de IA en uno de cuatro niveles de riesgo. Tus obligaciones de cumplimiento, y la gravedad de las posibles multas, dependen por completo del nivel en el que se encuentre tu sistema. La pirámide que aparece a continuación ilustra la estructura, de mayor a menor regulación.

Nivel 1: Riesgo inaceptable (Prohibido)

El nivel de riesgo más alto comprende las prácticas de IA tan perjudiciales para los derechos fundamentales y los valores de la UE que están prohibidas por completo bajo el Artículo 5. Estas prohibiciones están en vigor desde el 2 de febrero de 2025, no existe período de gracia ni vía de cumplimiento. Si tu organización opera un sistema en esta categoría, debe retirarse del servicio de inmediato.

Los ejemplos incluyen la puntuación social basada en IA por entidades públicas o privadas, las técnicas de manipulación subliminal y la identificación biométrica remota en tiempo real en espacios públicos por parte de las fuerzas del orden (con excepciones estrictas). El Omnibus de IA de mayo de 2026 añadió una prohibición adicional sobre la generación de imágenes íntimas sin consentimiento, efectiva desde el 2 de diciembre de 2026. (Fuente: Ley de IA de la UE, Artículo 5, Reglamento (UE) 2024/1689)

Nivel 2: Alto riesgo (Muy regulado)

Los sistemas de IA de alto riesgo son la categoría más regulada que aún está permitida. Son sistemas de IA con potencial para causar daños significativos si fallan o se usan incorrectamente. Por ejemplo, IA utilizada en aplicación de la ley, contratación, scoring crediticio, infraestructuras críticas o educación.

Como muestra la imagen, la mayoría de los sistemas de IA regulados en entornos empresariales caen aquí. Tras el Omnibus de IA, los sistemas de alto riesgo del Anexo III (basados en uso) deben cumplir antes del 2 de diciembre de 2027, y los sistemas del Anexo I integrados en productos regulados antes del 2 de agosto de 2028. Los requisitos completos de cumplimiento para este nivel se cubren en la sección siguiente.

EU AI Act risk pyramid showing four tiers: Unacceptable Risk, High Risk, Limited Risk, and Minimal Risk

Nivel 3: Riesgo limitado (Obligaciones de transparencia)

Los sistemas de riesgo limitado incluyen IA con riesgo de manipulación o engaño: chatbots, sistemas de reconocimiento de emociones e IA generativa que produce contenido sintético. La obligación aquí es la divulgación: los usuarios deben ser informados de que están interactuando con un sistema de IA.

Estas obligaciones de transparencia (Artículo 50) entran en vigor el 2 de agosto de 2026. El contenido sintético de audio, imagen, vídeo y texto también debe llevar etiquetado legible por máquina desde esa fecha. Las infracciones conllevan multas de hasta 15 millones de euros o el 3% de la facturación mundial anual. (Fuente: Ley de IA de la UE, Artículo 50, Reglamento (UE) 2024/1689)

Nivel 4: Riesgo mínimo (Sin obligaciones específicas)

La gran mayoría de los sistemas de IA actualmente desplegados caen en esta categoría: filtros de spam, videojuegos con IA, motores de recomendación y herramientas similares. La Ley de IA de la UE no impone obligaciones específicas a los sistemas de riesgo mínimo, aunque la Comisión Europea fomenta los códigos de conducta voluntarios.

Consejo de autoevaluación: Antes de asumir que tu sistema es de riesgo mínimo, verifica que no cae bajo ningún caso de uso del Anexo III. Las directrices de clasificación preliminares de la Comisión de mayo de 2026 adoptan una interpretación expansiva, más sistemas califican como de alto riesgo de lo que sugiere una lectura literal de la Ley.

El calendario de cumplimiento de la Ley de IA de la UE: cada plazo explicado

Las obligaciones de la Ley se aplican escalonadamente en cuatro fechas clave. La siguiente tabla refleja los plazos actualizados tras el acuerdo político del Omnibus de IA del 7 de mayo de 2026. (Fuente: Comisión Europea, digital-strategy.ec.europa.eu; Consejo de la UE, mayo 2026)

FechaQué se aplicaA quién afectaExposición a multas
2 feb. 2025 ✅ Ya en vigorPrácticas de IA prohibidas (Art. 5) + obligaciones de alfabetización en IA (Art. 4)Todos los operadores de sistemas de IA en la UEHasta 35M€ o el 7% de la facturación mundial
2 ago. 2025 ✅ Ya en vigorObligaciones sobre modelos GPAI (Arts. 51–55): documentación técnica, cumplimiento de derechos de autor, requisitos de seguridadProveedores de modelos de IA de propósito general (LLMs, modelos fundacionales)Hasta 15M€ o el 3% de la facturación mundial
2 ago. 2026Obligaciones de transparencia (Art. 50): los chatbots deben revelar su naturaleza como IA; el contenido sintético debe llevar etiquetas legibles por máquinaTodos los proveedores y desplegadores de sistemas de IA que interactúen con personasHasta 15M€ o el 3% de la facturación mundial
2 dic. 2027 (pospuesto por el Omnibus)Sistemas de IA de alto riesgo — Anexo III (basados en uso): contratación, scoring crediticio, infraestructuras críticas, educación, aplicación de la ley, migraciónProveedores y desplegadores de sistemas de alto riesgo del Anexo IIIHasta 30M€ o el 6% de la facturación mundial
2 ago. 2028 (pospuesto por el Omnibus)Sistemas de IA de alto riesgo — Anexo I (integrados en productos): dispositivos médicos, maquinaria, juguetes, aviación civilProveedores de IA integrada en productos reguladosHasta 30M€ o el 6% de la facturación mundial

La imagen muestra el calendario de implementación de las nuevas leyes del EU AI Act en Europa, afectando a todas las corporaciones que usan la IA y tienen usuarios Europeos.

Nota importante sobre el Omnibus de IA: El acuerdo político del 7 de mayo de 2026 pospuso el plazo del Anexo III para sistemas de alto riesgo de agosto de 2026 a diciembre de 2027. Este aplazamiento está pendiente de adopción legislativa formal, prevista antes del 2 de agosto de 2026. Las organizaciones deben planificar de acuerdo con los plazos aplazados, mientras monitorean la adopción formal. (Fuente: Latham & Watkins, mayo 2026)

¿Qué prácticas están ya prohibidas?

Desde el 2 de febrero de 2025, las siguientes prácticas de IA están prohibidas por completo bajo el Artículo 5. Operar un sistema en alguna de estas categorías constituye una infracción activa con multas de hasta 35 millones de euros o el 7% de la facturación mundial anual:

  • Puntuación social: Sistemas de IA que evalúan o clasifican a personas en función de su comportamiento social, produciendo un trato perjudicial o desfavorable.
  • Manipulación subliminal: IA que explota vulnerabilidades subconscientes para influir en el comportamiento de maneras que perjudican a las personas.
  • Categorización biométrica por atributos sensibles: Inferir raza, opinión política, creencia religiosa u orientación sexual a partir de datos biométricos.
  • Recopilación no dirigida de imágenes faciales: Creación de bases de datos de reconocimiento facial mediante rastreo de internet o grabaciones de CCTV sin objetivo específico.
  • Reconocimiento de emociones en lugares de trabajo e instituciones educativas: Con excepciones limitadas para fines médicos o de seguridad.
  • Identificación biométrica remota en tiempo real en espacios públicos: Por parte de las fuerzas del orden, con excepciones estrictas para delitos graves.
  • Perfilado predictivo de delincuencia: Evaluación del riesgo de personas basada únicamente en perfiles o rasgos de personalidad.
  • Generación de imágenes íntimas sin consentimiento: Añadida por el Omnibus de IA; prohibida desde el 2 de diciembre de 2026. (Fuente: Acuerdo político del Omnibus de IA, Consejo de la UE, 7 de mayo de 2026)

Revisa tu cartera de IA frente a esta lista ahora. Si algún sistema desplegado cae en estas categorías, debe ser retirado del servicio, no existe período de gracia para las prácticas prohibidas.

¿Qué son los sistemas de IA de alto riesgo y es el tuyo uno de ellos?

Los sistemas de IA de alto riesgo están sujetos a las obligaciones de cumplimiento más exigentes. Bajo el Artículo 6 de la Ley, un sistema es de alto riesgo si cae en una de estas dos categorías:

Categoría 1, IA integrada en productos (Art. 6(1)): IA que funciona como componente de seguridad de un producto regido por la legislación de armonización de la UE del Anexo I (dispositivos médicos, maquinaria, aviación civil, juguetes, etc.) y donde dicho producto requiere una evaluación de conformidad por terceros.

Categoría 2, IA basada en uso (Art. 6(2), Anexo III): IA utilizada en alguna de las siguientes ocho áreas:

Área del Anexo IIIEjemplos de sistemas de IA
BiometríaIdentificación biométrica remota, categorización biométrica
Infraestructuras críticasIA que gestiona tráfico, agua, energía o sistemas financieros
EducaciónIA que determina el acceso a la educación o evalúa a estudiantes
EmpleoIA para contratación, cribado de CVs, evaluación del rendimiento, decisiones de ascenso
Servicios privados esencialesIA para scoring crediticio, evaluación del riesgo de seguros de vida, priorización de llamadas de emergencia
Aplicación de la leyIA para evaluación del riesgo de delincuencia, evaluación de pruebas, perfilado criminal
Migración y control fronterizoIA para evaluación de solicitudes de asilo, scoring de riesgo en fronteras
Justicia y democraciaIA que asiste a tribunales, arbitraje y procesos democráticos

(Fuente: Ley de IA de la UE, Anexo III, Reglamento (UE) 2024/1689; Servicio de Atención de la Ley de IA de la UE, Anexo III. La justificación legislativa de las categorías de alto riesgo del Anexo III se establece en los Considerandos 48–63 del Reglamento (UE) 2024/1689, que explican por qué cada área de caso de uso supone un riesgo suficiente para la salud, la seguridad o los derechos fundamentales como para justificar controles obligatorios.)

Excepción: Un sistema incluido en el Anexo III no se considera de alto riesgo si no influye materialmente en los resultados de la toma de decisiones y no supone un riesgo significativo de daño (Art. 6(3)). Sin embargo, los proveedores que invoquen esta excepción deben documentar su evaluación antes de comercializar el sistema — y deben registrar el sistema en la base de datos de la UE independientemente.

El 19 de mayo de 2026, la Comisión Europea publicó directrices preliminares sobre la clasificación de sistemas de IA de alto riesgo. Las directrices adoptan una interpretación amplia: sustancialmente más sistemas de IA integrados en productos regulados pueden quedar dentro del régimen de alto riesgo de lo que sugiere una lectura literal de la Ley. Las empresas deben revisar las evaluaciones de ámbito previas a la luz de estas directrices. (Fuente: Osborne Clarke, mayo 2026)

Qué exige el cumplimiento para los sistemas de alto riesgo

Si tu sistema de IA está clasificado como de alto riesgo, las siguientes obligaciones se aplican bajo el Capítulo III de la Ley. Deben estar implantadas antes de que el sistema se comercialice o se ponga en servicio:

1. Sistema de gestión de riesgos (Artículo 9)

Un proceso de gestión de riesgos continuo e iterativo que cubra el ciclo de vida completo del sistema de IA. Debe identificar y analizar los riesgos conocidos y previsibles, estimar su probabilidad e impacto, e implementar las medidas de gestión de riesgos adecuadas.

2. Datos y gobernanza de datos (Artículo 10)

Los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, suficientemente representativos y — en la medida de lo posible — libres de errores y completos. Las prácticas de gobernanza de datos deben estar documentadas.

3. Documentación técnica (Artículo 11 + Anexo IV)

Documentación exhaustiva que demuestre el cumplimiento, suficiente para que las autoridades competentes evalúen la conformidad. Debe prepararse antes de comercializar el sistema y mantenerse actualizada durante todo su ciclo de vida.

4. Mantenimiento de registros / registro automático (Artículo 12)

Los sistemas de IA de alto riesgo deben ser capaces de registrar automáticamente los eventos (logs) relevantes para identificar riesgos y modificaciones sustanciales a lo largo del ciclo de vida del sistema.

5. Transparencia e instrucciones de uso (Artículo 13)

Deben proporcionarse instrucciones de uso claras a los desplegadores, que cubran el propósito previsto del sistema, las características de rendimiento, las limitaciones conocidas y las medidas de supervisión humana requeridas.

6. Supervisión humana (Artículo 14)

Los sistemas deben estar diseñados para permitir a los desplegadores supervisar, monitorizar, interpretar, anular o detener eficazmente los resultados del sistema de IA. No es una casilla de verificación — requiere la implementación técnica de mecanismos de anulación.

7. Exactitud, robustez y ciberseguridad (Artículo 15)

Los sistemas de IA de alto riesgo deben alcanzar niveles adecuados de exactitud y resiliencia frente a intentos de alterar los resultados mediante ataques adversariales, envenenamiento de datos o manipulación del modelo.

8. Evaluación de conformidad (Artículo 43)

La mayoría de los sistemas de alto riesgo del Anexo III se someten a una evaluación de conformidad interna (autoevaluación frente a los requisitos anteriores, siguiendo el procedimiento del Anexo VI). Los sistemas integrados en productos del Anexo I requieren evaluación por terceros a través de un organismo notificado.

9. Declaración de conformidad de la UE (Artículo 47) + marcado CE (Artículo 48)

Una vez completada la evaluación de conformidad, los proveedores deben redactar una declaración de conformidad de la UE y aplicar el marcado CE al sistema.

10. Registro en la base de datos de la UE (Artículo 49)

Los proveedores deben registrar los sistemas de IA de alto riesgo en la base de datos de la Ley de IA de la UE antes de comercializarlos.

TrustGuard proporciona la infraestructura de monitorización en tiempo de ejecución y supervisión del comportamiento requerida por el Artículo 14 (supervisión humana) y el Artículo 72 (monitorización postmercado), generando los registros de auditoría a prueba de manipulaciones y las alertas de anomalías que los operadores de sistemas de alto riesgo necesitan para demostrar el cumplimiento continuo.

Ver cómo TrustGuard apoya el cumplimiento del Artículo 14 de la Ley de IA de la UE

Obligaciones sobre modelos GPAI, ya en vigor

Si tu organización provee un modelo de IA de propósito general (GPAI), un modelo entrenado con grandes cantidades de datos capaz de realizar una amplia variedad de tareas, las obligaciones del Artículo 53 se aplican desde el 2 de agosto de 2025:

  • Documentación técnica debe mantenerse y proporcionarse a la Oficina de IA de la UE cuando se solicite.
  • Transparencia de los datos de entrenamiento: debe publicarse un resumen del contenido de los datos de entrenamiento.
  • Política de cumplimiento de derechos de autor: debe existir una política para respetar la legislación de derechos de autor durante el entrenamiento.
  • Resúmenes legibles por máquina de los datos de entrenamiento deben ponerse a disposición de los proveedores downstream.

Los modelos GPAI clasificados con riesgo sistémico (entrenados con más de 10²⁵ FLOPs, o designados por la Oficina de IA de la UE) tienen obligaciones adicionales bajo el Artículo 55: pruebas adversariales, notificación de incidentes a la Oficina de IA de la UE y salvaguardas de ciberseguridad.

Los proveedores de modelos GPAI ya en el mercado antes del 2 de agosto de 2025 tienen hasta el 2 de agosto de 2027 para alcanzar el pleno cumplimiento. (Fuente: legiscope.com Calendario de la Ley de IA de la UE; Ley de IA de la UE, Artículos 51–55)

Lista de verificación de cumplimiento de la Ley de IA de la UE

Utiliza esta lista de verificación para evaluar tu estado actual de cumplimiento en todas las fases de la Ley:

Inmediato (ya requerido):

  • ☐ Auditar todos los sistemas de IA frente a la lista de prácticas prohibidas del Artículo 5 — retirar del servicio los que califiquen
  • ☐ Implementar las obligaciones de alfabetización en IA (Artículo 4) — garantizar que el personal relevante comprenda las capacidades y limitaciones de la IA
  • ☐ Si provees un modelo GPAI: confirmar que la documentación técnica, el resumen de datos de entrenamiento y la política de derechos de autor están implantados

Para el 2 de agosto de 2026:

  • ☐ Implementar divulgaciones de transparencia para todos los sistemas de IA que interactúen directamente con personas (Artículo 50)
  • ☐ Garantizar que el contenido sintético de audio, imagen, vídeo y texto lleve etiquetado legible por máquina

Preparación para diciembre de 2027 (sistemas de alto riesgo del Anexo III):

  • ☐ Clasificar todos los sistemas de IA frente al Anexo III — documentar las evaluaciones de no-alto riesgo
  • ☐ Comenzar a construir el sistema de gestión de riesgos (Artículo 9) para cada sistema de alto riesgo
  • ☐ Encargar la documentación técnica (Artículo 11)
  • ☐ Implementar el registro automático / mantenimiento de registros (Artículo 12)
  • ☐ Diseñar los mecanismos de supervisión humana (Artículo 14)
  • ☐ Encargar la evaluación de conformidad (Artículo 43)
  • ☐ Registrar los sistemas en la base de datos de IA de la UE (Artículo 49)
  • ☐ Aplicar el marcado CE donde sea necesario (Artículo 48)

TrustLens automatiza el descubrimiento de sistemas de IA y la monitorización de la postura necesaria en la base del cumplimiento de la Ley de IA de la UE, proporcionando un inventario completo y continuamente actualizado de cada sistema de IA de tu organización, incluyendo las herramientas de IA en la sombra que pueden estar en el ámbito de la Ley.

Inicia tu evaluación de cumplimiento de la Ley de IA de la UE con TrustLens

Preguntas frecuentes sobre el cumplimiento de la Ley de IA de la UE

1. ¿Se aplica la Ley de IA de la UE a mi empresa si tenemos sede fuera de la UE?

Sí. La Ley tiene alcance extraterritorial. Si comercializas sistemas de IA en el mercado de la UE — o si los resultados de tus sistemas de IA se utilizan en la UE — estás en su ámbito de aplicación independientemente de dónde esté ubicada tu empresa. Esto se aplica a organizaciones de EE. UU., Reino Unido y otros países no europeos. (Fuente: surecloud.com Guía de Cumplimiento de la Ley de IA de la UE, junio 2026)

2. ¿Cuáles son las multas por incumplimiento de la Ley de IA de la UE?

Las multas dependen del tipo de infracción. Las infracciones de las prácticas prohibidas del Artículo 5 conllevan multas de hasta 35 millones de euros o el 7% de la facturación mundial anual (la cifra mayor). Las infracciones relacionadas con sistemas de alto riesgo conllevan multas de hasta 30 millones de euros o el 6% de la facturación mundial. Las infracciones de transparencia conllevan multas de hasta 15 millones de euros o el 3% de la facturación mundial. Estas sanciones superan las máximas del RGPD. (Fuente: legiscope.com)

3. ¿Se ha retrasado el plazo de agosto de 2026 para la IA de alto riesgo?

Sí. El acuerdo político del Omnibus de IA del 7 de mayo de 2026 pospuso el plazo principal para los sistemas de IA de alto riesgo del Anexo III del 2 de agosto de 2026 al 2 de diciembre de 2027. Los sistemas integrados en productos del Anexo I tienen hasta el 2 de agosto de 2028. Las obligaciones de transparencia (Artículo 50) siguen entrando en vigor el 2 de agosto de 2026, según lo previsto originalmente. (Fuente: Consejo de la UE, mayo 2026)

4. ¿Qué es una evaluación de conformidad bajo la Ley de IA de la UE?

Una evaluación de conformidad es el proceso mediante el cual un proveedor verifica que un sistema de IA de alto riesgo cumple todos los requisitos del Capítulo III de la Ley antes de comercializarlo. Para la mayoría de los sistemas del Anexo III, es una autoevaluación interna siguiendo el procedimiento del Anexo VI. Para la IA integrada en productos regulados bajo la legislación del Anexo I, se requiere la evaluación por terceros a través de un organismo notificado. (Fuente: Ley de IA de la UE, Artículo 43)

5. ¿Tienen obligaciones los desplegadores de sistemas de IA bajo la Ley de IA de la UE?

Sí. Los desplegadores de sistemas de IA de alto riesgo tienen obligaciones específicas bajo el Artículo 26, incluyendo: implementar la supervisión humana según las instrucciones del proveedor, monitorizar el sistema durante su uso, registrar el funcionamiento cuando sea posible, notificar incidentes graves y realizar evaluaciones de impacto sobre los derechos fundamentales cuando sea necesario. Los desplegadores no son pasivos — comparten la responsabilidad de cumplimiento con los proveedores.

Conclusiones clave

  • Las prácticas prohibidas de la Ley de IA de la UE (Artículo 5) son aplicables desde febrero de 2025 — cualquier organización que siga operando un sistema de IA prohibido está en infracción activa hoy.
  • El Omnibus de IA (mayo 2026) pospuso el plazo del Anexo III para sistemas de alto riesgo a diciembre de 2027, pero este aplazamiento está pendiente de adopción formal — y las obligaciones de transparencia siguen activándose en agosto de 2026.
  • La clasificación de alto riesgo es más amplia de lo que muchas organizaciones esperan: las directrices preliminares de la Comisión de mayo de 2026 adoptan una interpretación expansiva que captura más sistemas de los que sugiere una lectura literal de la Ley.
  • El cumplimiento para los sistemas de alto riesgo no es una auditoría puntual — requiere una gestión de riesgos continua, registro continuo y monitorización postmercado durante toda la vida operativa del sistema.
  • La combinación de TrustGuard, TrustLens y TrustTest de NeuralTrust aborda los tres requisitos más exigentes operativamente de la Ley de IA de la UE: supervisión humana y monitorización (Artículo 14), monitorización postmercado (Artículo 72) y pruebas de seguridad previas al despliegue (Artículo 15).

Artículos relacionados

Sobre el autor

Roger Howroyd es Head of Global SEO and AI en NeuralTrust, donde lidera la estrategia de búsqueda de la compañía en SEO, AEO, GEO y optimización para LLMs, posicionando a NeuralTrust como la referencia en seguridad para agentes de IA tanto en motores de búsqueda como en sistemas de IA generativa. Está especializado en búsqueda potenciada por IA, estrategia de contenidos, desarrollo de backlinks y SEM. Conecta en LinkedIn

NeuralTrust es una plataforma de seguridad para agentes de IA, reconocida en la Guía de Mercado de Gartner 2025 para AI Gateways. Con sede en Barcelona y certificación ISO 27001.

Suscríbete a nuestra newsletter

Compartir

Únete a los líderes que aseguran el ecosistema de agentes

Solicita una demo