La fecha límite de la Ley de IA de la UE se acerca rápidamente. Para el 2 de agosto de 2026, todas las organizaciones que utilicen sistemas de IA en la Unión Europea deberán cumplir con la nueva normativa para sistemas de alto riesgo. Aquí tienes tu lista de verificación completa para el cumplimiento normativo.
Empiece por catalogar todos los sistemas de IA de su organización. Esto incluye herramientas obvias como los chatbots y los motores de recomendación, pero también otras menos evidentes: selección automatizada de CV, mantenimiento predictivo, algoritmos de puntuación crediticia e incluso el enrutamiento del servicio de atención al cliente mejorado con IA.
La Ley de IA define cuatro niveles de riesgo. Las prácticas prohibidas (artículo 5) deben cesar de inmediato; esto incluye la puntuación social, la IA manipuladora y la identificación biométrica en tiempo real en espacios públicos. Los sistemas de alto riesgo (anexo III) requieren medidas de cumplimiento exhaustivas. Los sistemas de riesgo limitado necesitan etiquetas de transparencia. Los sistemas de riesgo mínimo no tienen obligaciones específicas.
Para cada sistema de IA de alto riesgo, se necesita un proceso de gestión de riesgos documentado. Esto implica identificar los riesgos potenciales, evaluar su probabilidad y gravedad, implementar medidas de mitigación y supervisar continuamente la aparición de nuevos riesgos tras la implementación.
Los datos de entrenamiento deben ser pertinentes, representativos y estar libres de sesgos. Documente de dónde proceden sus datos, cómo se procesaron y qué controles de calidad se llevaron a cabo. No se trata solo de un requisito técnico, sino de una obligación legal con sanciones significativas en caso de incumplimiento.
Todo sistema de alto riesgo necesita una documentación técnica exhaustiva: la finalidad del sistema, su arquitectura, las métricas de rendimiento, las limitaciones conocidas y las instrucciones para la supervisión humana. Esta documentación debe estar a disposición de las autoridades reguladoras cuando estas lo soliciten.
Designe a personas que puedan supervisar, interpretar y anular las decisiones de la IA. Estas personas encargadas de la supervisión deben comprender las capacidades y limitaciones del sistema, poder intervenir en cualquier momento y tener la autoridad para detener el sistema si es necesario.
Antes de comercializar un sistema de IA de alto riesgo, debe completar una evaluación de la conformidad. Para la mayoría de los sistemas, esto puede hacerse internamente. Sin embargo, ciertas categorías —en particular los sistemas de identificación biométrica— requieren una evaluación por parte de un organismo notificado externo.
Las multas son considerables: hasta 35 millones de euros o el 7 % de la facturación anual global por prácticas prohibidas, y hasta 15 millones de euros o el 3 % por infracciones de alto riesgo. A diferencia del RGPD, se espera que la aplicación de la normativa sea proactiva en lugar de basarse en las denuncias.
El mensaje es claro: las organizaciones que empiecen a prepararse ahora tendrán una ventaja competitiva. Las que esperen se arriesgan no solo a recibir multas, sino también a perder la confianza de los clientes en un mercado cada vez más consciente de la IA.