Compliancechecklistcompliancecto

Lista de verificación de cumplimiento del Reglamento de IA de la UE para CTOs y CIOs

Lista de verificación práctica de cumplimiento para líderes tecnológicos — evalúe sus sistemas de IA, comprenda los requisitos y construya una hoja de ruta de cumplimiento del Reglamento de IA de la UE antes del plazo de 2026.

February 15, 202516 min read

El Reglamento de IA de la UE (Reglamento 2024/1689) ya es ley, y sus obligaciones se están aplicando según un calendario estricto. Como CTO o CIO, usted es la persona con mayor probabilidad de asumir la parte técnica del cumplimiento — y la que deberá responder cuando el consejo pregunte: "¿Estamos preparados?"

Este artículo proporciona una lista de verificación estructurada y accionable para ayudarle a evaluar la posición de su organización, identificar brechas y construir una hoja de ruta de cumplimiento. Está diseñada para líderes tecnológicos en empresas que desarrollan, despliegan o adquieren sistemas de IA que afectan al mercado de la UE.

Las prácticas de IA prohibidas son exigibles desde el 2 de febrero de 2025. Las obligaciones para los modelos de IA de uso general entran en vigor el 2 de agosto de 2025. La plena aplicación para los sistemas de IA de alto riesgo comienza el 2 de agosto de 2026. El momento de actuar es ahora.

Fase 1: Descubrimiento e inventario

Antes de poder cumplir, necesita saber qué tiene. La mayoría de las organizaciones subestiman significativamente el número de sistemas de IA que operan.

Lista de verificación: Inventario de sistemas de IA

  • Identificar todos los sistemas de IA en toda la organización — no solo los etiquetados como "IA". La definición del reglamento (Artículo 3(1)) es amplia: cualquier sistema basado en máquinas diseñado para operar con distintos niveles de autonomía que genera resultados como predicciones, recomendaciones, decisiones o contenido.
  • Incluir la IA de terceros — sistemas que adquiere, integra o accede mediante API. Como operador, tiene obligaciones incluso para sistemas que no construyó.
  • Mapear los sistemas de IA con las funciones de negocio — RRHH, servicio al cliente, detección de fraude, moderación de contenido, cadena de suministro, marketing, funcionalidades del producto, herramientas internas.
  • Documentar el propósito y alcance de cada sistema — qué decisiones influye, qué datos procesa, a quién afectan sus resultados.
  • Identificar al proveedor de cada sistema — ¿está construido internamente, adquirido a un proveedor o es de código abierto? Sus obligaciones difieren según su papel en la cadena de valor.

La definición de "sistema de IA" del reglamento es intencionadamente amplia. Abarca modelos de aprendizaje automático, sistemas expertos basados en reglas, enfoques estadísticos y sistemas híbridos. En caso de duda, incluya un sistema en su inventario — es mucho mejor sobreclasificar y luego excluir que omitir un sistema que resulte estar en el ámbito de aplicación.

Lista de verificación: Identificación de roles

El Reglamento de IA asigna diferentes obligaciones según su rol. Puede desempeñar múltiples roles simultáneamente:

  • Proveedor (Artículo 3(3)) — desarrolla un sistema de IA o tiene uno desarrollado en su nombre y lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca
  • Operador (Artículo 3(4)) — utiliza un sistema de IA bajo su autoridad (aunque no lo haya construido)
  • Importador — introduce en el mercado de la UE un sistema de IA de un proveedor establecido fuera de la UE
  • Distribuidor — pone a disposición un sistema de IA en el mercado de la UE sin ser proveedor ni importador
  • Representante autorizado — está mandatado por un proveedor no perteneciente a la UE para actuar en su nombre

Fase 2: Clasificación de riesgos

El corazón del Reglamento de IA es su enfoque basado en riesgos. Sus obligaciones dependen enteramente de la categoría de riesgo en la que se clasifique cada sistema de IA.

Lista de verificación: Filtro de prácticas prohibidas (Artículo 5)

  • Revisar cada sistema de IA frente a las ocho prácticas prohibidas del Artículo 5
  • Señalar cualquier sistema que implique: técnicas subliminales o manipuladoras, explotación de grupos vulnerables, puntuación social, policía predictiva individual, recopilación no selectiva de imágenes faciales, reconocimiento de emociones en lugares de trabajo/centros educativos, categorización biométrica para atributos sensibles, o identificación biométrica remota en tiempo real en espacios públicos
  • Para los sistemas señalados: determinar de inmediato si el sistema debe ser descontinuado, rediseñado o si entra en una excepción limitada
  • Documentar su análisis para cada sistema — incluida la justificación de por qué los sistemas cercanos al límite no están prohibidos
Unacceptable Risk

Lista de verificación: Clasificación de alto riesgo (Artículos 6 y Anexo III)

  • Verificar el Anexo I — ¿su sistema de IA sirve como componente de seguridad de, o es en sí mismo, un producto cubierto por la legislación de armonización de la UE (dispositivos médicos, maquinaria, juguetes, vehículos, aviación, etc.)?
  • Verificar el Anexo III — ¿su sistema de IA entra en una de las ocho áreas de alto riesgo?
    • Identificación y categorización biométrica
    • Gestión y operación de infraestructuras críticas
    • Educación y formación profesional (admisiones, evaluaciones)
    • Empleo, gestión de trabajadores y acceso al trabajo por cuenta propia (contratación, asignación de tareas, supervisión, evaluación)
    • Acceso a servicios privados esenciales y públicos (calificación crediticia, fijación de precios de seguros, servicios de emergencia)
    • Aplicación de la ley (evaluación de riesgos, polígrafos, análisis de pruebas)
    • Migración, asilo y control de fronteras
    • Administración de justicia y procesos democráticos
  • Aplicar la excepción del Artículo 6(3) — incluso si está en el Anexo III, un sistema no es de alto riesgo si no presenta un riesgo significativo de daño. Documente esta evaluación cuidadosamente si la invoca.
  • Documentar la justificación de la clasificación de cada sistema de IA — esto será un artefacto clave en cualquier investigación regulatoria
High Risk

Lista de verificación: Sistemas de riesgo limitado y mínimo

  • Identificar los sistemas con obligaciones de transparencia (Artículo 50) — chatbots, deepfakes, reconocimiento de emociones, categorización biométrica
  • Clasificar los sistemas restantes como riesgo mínimo — se fomentan códigos de conducta voluntarios, pero no hay obligaciones imperativas
  • Documentar todas las clasificaciones en su registro de IA

Automatice su documentación de cumplimiento

Ctrl AI genera trazas de ejecución preparadas para auditoría y resultados con etiquetas de confianza para cada decisión de IA, proporcionando a los CTOs la base probatoria que esperan los reguladores.

Conozca Ctrl AI

Fase 3: Análisis de brechas para sistemas de alto riesgo

Si ha identificado sistemas de IA de alto riesgo, aquí es donde comienza el trabajo sustantivo. Los Artículos 8 a 15 definen los requisitos.

Lista de verificación: Gobernanza de datos (Artículo 10)

  • Documentar los conjuntos de datos de entrenamiento, validación y prueba — incluyendo su procedencia, relevancia, representatividad y cualquier brecha o sesgo conocido
  • Implementar criterios de calidad de datos — examinar los datos en busca de errores, incompletitudes y sesgos antes del entrenamiento y de forma continua
  • Garantizar una gobernanza de datos adecuada — incluyendo los procesos de recogida de datos, etiquetado, limpieza y operaciones de enriquecimiento
  • Abordar los sesgos en los conjuntos de datos — especialmente en relación con las características protegidas (género, etnia, edad, discapacidad)
  • Para el tratamiento de datos personales: confirmar el cumplimiento del RGPD, incluida la base jurídica, la minimización de datos y la limitación de la finalidad

Lista de verificación: Documentación técnica (Artículo 11)

  • Preparar la documentación técnica antes de que un sistema se introduzca en el mercado — esto no es opcional y debe mantenerse actualizada
  • Incluir todos los elementos especificados en el Anexo IV: descripción general, proceso de desarrollo, supervisión y control, gestión de riesgos, cambios y normas aplicadas
  • Asegurar que la documentación sea lo suficientemente completa para que las autoridades evalúen el cumplimiento — la documentación vaga o superficial no será suficiente

Lista de verificación: Conservación de registros y registro de actividades (Artículo 12)

  • Implementar el registro automático de eventos durante el funcionamiento del sistema de IA — el reglamento exige trazabilidad
  • Asegurar que los registros capturen: el período de cada uso, la base de datos de referencia contra la que se comprobaron los datos de entrada, los datos de entrada cuya búsqueda llevó a una coincidencia, y la identificación de las personas involucradas en la supervisión humana
  • Definir los períodos de conservación de los registros — como mínimo durante el período adecuado a la finalidad prevista del sistema, y no menos de seis meses salvo que se especifique lo contrario
  • Asegurar que los registros sean accesibles para los operadores y estén disponibles para las autoridades previa solicitud

Lista de verificación: Transparencia e información (Artículo 13)

  • Diseñar sistemas para que sean transparentes — los operadores deben poder comprender y utilizar los resultados del sistema de forma apropiada
  • Proporcionar instrucciones de uso claras que abarquen: finalidad prevista, nivel de precisión y robustez, limitaciones conocidas, riesgos de uso indebido previsible, medidas de supervisión humana y especificaciones de datos de entrada esperadas
  • Cuando sea aplicable: informar a las personas de que están sujetas a una decisión adoptada por un sistema de IA de alto riesgo

Lista de verificación: Supervisión humana (Artículo 14)

  • Diseñar los sistemas para una supervisión humana eficaz — esto significa una supervisión real y significativa, no un mero formalismo
  • Asegurar que el supervisor humano pueda: comprender plenamente las capacidades y limitaciones del sistema, interpretar correctamente los resultados, decidir no utilizar el sistema o anular sus resultados, e intervenir o detener el sistema
  • Implementar mecanismos de "humano en el bucle" o "humano sobre el bucle" apropiados al nivel de riesgo y contexto
  • Formar a las personas responsables de la supervisión humana — deben tener la competencia, la formación y la autoridad para ejercer su función

Lista de verificación: Precisión, robustez y ciberseguridad (Artículo 15)

  • Definir y declarar las métricas de precisión — el sistema debe alcanzar el nivel de precisión apropiado para su finalidad prevista
  • Probar la robustez — el sistema debe funcionar de manera coherente en las condiciones esperadas y gestionar los errores o inconsistencias de forma adecuada
  • Implementar medidas de ciberseguridad — proteger contra la manipulación no autorizada de terceros de los datos de entrenamiento, las entradas o el propio modelo (envenenamiento de datos, ejemplos adversariales, extracción del modelo)
  • Documentar todos los resultados de las pruebas e incluirlos en la documentación técnica

Fase 4: Preparación organizativa

El cumplimiento técnico es necesario pero no suficiente. También necesita estructuras y procesos organizativos.

Lista de verificación: Sistema de gestión de la calidad (Artículo 16)

  • Establecer un sistema de gestión de la calidad proporcionado al tamaño de su organización — políticas y procedimientos documentados para el desarrollo, despliegue y supervisión de los sistemas de IA
  • Incluir la estrategia de cumplimiento, la asignación de recursos y la responsabilidad en el SGC
  • Implementar un sistema de vigilancia poscomercialización (Artículo 72) — procesos sistemáticos para recopilar y analizar datos sobre el rendimiento de sus sistemas de IA después del despliegue
  • Definir un proceso de notificación de incidentes graves (Artículo 73) — debe informar a las autoridades en un plazo de 15 días desde que tenga conocimiento de un incidente grave

Lista de verificación: Evaluación de la conformidad (Artículos 43-44)

  • Determinar qué procedimiento de evaluación de la conformidad se aplica a cada sistema de alto riesgo — control interno (Anexo VI) o evaluación por terceros (Anexo VII)
  • Identificar si se requiere un organismo notificado — esto es obligatorio para determinados sistemas de IA biométricos y de infraestructuras críticas
  • Preparar la declaración UE de conformidad (Artículo 47) — una declaración formal de que el sistema cumple todos los requisitos aplicables
  • Colocar el marcado CE (Artículo 48) antes de introducir el sistema en el mercado
  • Registrar el sistema en la base de datos de la UE (Artículo 49)

Lista de verificación: Obligaciones del operador (Artículo 26)

Si despliega (utiliza) sistemas de IA de alto riesgo construidos por otros:

  • Utilizar el sistema de conformidad con las instrucciones de uso del proveedor
  • Asignar la supervisión humana a personas con la competencia, formación y autoridad necesarias
  • Asegurar que los datos de entrada sean pertinentes y suficientemente representativos para la finalidad prevista del sistema
  • Supervisar el funcionamiento del sistema e informar de cualquier incidente grave al proveedor y a la autoridad pertinente
  • Realizar una evaluación de impacto en los derechos fundamentales (Artículo 27) si es un organismo de derecho público o una entidad privada que presta servicios públicos
  • Informar a las personas de que están sujetas a una decisión de un sistema de IA de alto riesgo, cuando sea necesario

Las obligaciones del operador se aplican incluso si compró un sistema de IA a un proveedor que afirma ser "conforme con el Reglamento de IA de la UE". El cumplimiento es una responsabilidad compartida. No puede externalizar sus obligaciones como operador a su proveedor.

Fase 5: Calendario y hoja de ruta

Construya una hoja de ruta concreta con hitos alineados con la aplicación escalonada del reglamento.

Fase 6: Cumplimiento continuo

El cumplimiento no es un proyecto puntual. El Reglamento de IA exige una supervisión y adaptación continuas.

Lista de verificación: Obligaciones continuas

  • Supervisar el rendimiento del sistema de IA tras el despliegue — realizar un seguimiento de las métricas de precisión, sesgo y fiabilidad a lo largo del tiempo
  • Actualizar la documentación técnica siempre que el sistema sea sustancialmente modificado (Artículo 43(4))
  • Notificar los incidentes graves a la autoridad de vigilancia del mercado pertinente dentro del plazo requerido
  • Mantenerse al día con las orientaciones regulatorias — la Oficina de IA, el Comité de IA y las autoridades nacionales emitirán actos de ejecución, normas y códigos de buenas prácticas a lo largo de 2025-2027
  • Realizar auditorías internas periódicas de sus sistemas de IA frente a los requisitos del reglamento
  • Reciclar a sus equipos a medida que evolucione el panorama regulatorio
  • Mantener su registro de IA — mantenerlo actualizado a medida que los sistemas se añaden, modifican o retiran

Las organizaciones que traten el cumplimiento del Reglamento de IA como un programa continuo — no como un ejercicio de casillas de un solo uso — se encontrarán mejor posicionadas no solo para el cumplimiento regulatorio, sino para construir sistemas de IA genuinamente fiables. Los requisitos de gobernanza de datos, transparencia, supervisión humana y robustez son simplemente buenas prácticas de ingeniería codificadas en ley.

Errores comunes de los líderes tecnológicos

Basándose en los requisitos del reglamento y las primeras señales de aplicación, estos son los errores que los CTOs y CIOs deberían evitar activamente:

Subestimar el alcance. La definición de "sistema de IA" del Reglamento de IA es más amplia de lo que muchos esperan. Si solo busca sistemas explícitamente etiquetados como "IA" o "ML", pasará por alto los sistemas basados en reglas, los modelos estadísticos y la IA integrada en herramientas de terceros.

Tratar el cumplimiento como algo solo jurídico. El cumplimiento del Reglamento de IA requiere un trabajo técnico profundo — gobernanza de datos, registro, pruebas, documentación. Los equipos jurídicos no pueden hacerlo solos. El liderazgo de ingeniería debe estar directamente involucrado.

Ignorar las obligaciones del operador. Muchos CTOs asumen que si compran un sistema de IA a un proveedor conforme, están cubiertos. No lo están. Los operadores tienen obligaciones independientes de supervisión humana, supervisión y calidad de los datos de entrada.

Retrasar la acción. Con las prácticas prohibidas ya exigibles y las obligaciones de alto riesgo entrando en vigor en agosto de 2026, las organizaciones que no han iniciado su programa de cumplimiento ya están retrasadas.

Pasar por alto las obligaciones de los modelos GPAI. Si su organización proporciona o ajusta un modelo de IA de uso general, se aplican requisitos adicionales en virtud de los Artículos 51-55, con aplicación a partir de agosto de 2025.

Conclusión

El cumplimiento del Reglamento de IA de la UE es un desafío técnico y organizativo que se sitúa directamente en el dominio del CTO y el CIO. La lista de verificación anterior proporciona un camino estructurado desde el descubrimiento hasta el cumplimiento continuo, alineado con el calendario de aplicación escalonado del reglamento.

Las organizaciones que navegarán esta transición de la manera más fluida son aquellas que comiencen ahora, inviertan en un inventario y clasificación sistemáticos, y traten el cumplimiento no como una carga sino como una oportunidad para construir sistemas de IA transparentes, robustos y dignos de confianza.

El plazo es claro. Los requisitos están definidos. La cuestión es si su organización estará preparada.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Artículos relacionados

Compliance7 min read

Requisitos de documentación técnica para sistemas de IA

Qué documentación técnica se exige en virtud del Reglamento de IA de la UE — requisitos del Anexo IV, registros de gestión de riesgos, documentación de gobernanza de datos y cómo mantener el cumplimiento.

Compliance6 min read

Evaluación de la conformidad en el Reglamento de IA de la UE

Guía sobre los procedimientos de evaluación de la conformidad para los sistemas de IA de alto riesgo — control interno, evaluación por terceros, marcado CE y declaración UE de conformidad explicados.

Compliance10 min read

Requisitos de supervisión humana del Reglamento de IA de la UE

Guía sobre las obligaciones de supervisión humana del Artículo 14 — qué deben implementar los operadores, prevención del sesgo de automatización y el derecho a anular las decisiones de IA en sistemas de alto riesgo.