Bluewaves ← Todas las notas
La cuenta atrás de agosto
Bertrand 24 de febrero de 2026

La cuenta atrás de agosto

14 min de lectura

2 de agosto de 2026. Esa es la fecha en que las disposiciones de la Ley de IA de la UE para sistemas de IA de alto riesgo entran plenamente en vigor. No las disposiciones de modelos GPAI y gobernanza — esas aplican desde el 2 de agosto de 2025. No las prácticas prohibidas — esas entraron en vigor en febrero de 2025. Las disposiciones de alto riesgo. Las que tienen dientes.

Cinco meses a partir de hoy.

No es otro artículo sobre “lo que la Ley de IA de la UE significa para tu empresa”. El mercado ha producido miles de esos. Son abstractos, exhaustivos y operativamente inútiles — diseñados para demostrar la familiaridad del autor con la regulación, no para ayudar a una empresa a prepararse para el cumplimiento.

Esto es un desglose específico, artículo por artículo, de lo que una empresa que despliega sistemas de IA necesita tener en su sitio para el 2 de agosto de 2026. Está escrito para empresas de 50 a 500 empleados que han desplegado o están desplegando sistemas de IA que pueden caer bajo la clasificación de alto riesgo. Asume que no has empezado a prepararte. Cinco meses es suficiente — si empiezas ahora.

¿Tu sistema es de alto riesgo?

El Artículo 6 define los sistemas de IA de alto riesgo en dos categorías:

Categoría 1 (Artículo 6(1)): Sistemas de IA que son componentes de seguridad de productos, o son ellos mismos productos, cubiertos por la legislación de armonización de la UE listada en el Anexo I. Esto incluye maquinaria, dispositivos médicos, juguetes, equipos de radio, aviación civil, vehículos, equipos marinos, sistemas ferroviarios y otros. Si tu sistema de IA está integrado en o actúa como componente de seguridad de un producto cubierto por estas directivas, es de alto riesgo por defecto.

Categoría 2 (Artículo 6(2) y Anexo III): Sistemas de IA utilizados en áreas específicas de alto riesgo listadas en el Anexo III. Las ocho áreas son:

  1. Identificación y categorización biométrica. Sistemas de identificación biométrica remota, reconocimiento de emociones, categorización biométrica.
  2. Gestión y operación de infraestructura crítica. Sistemas de IA usados como componentes de seguridad en la gestión del tráfico por carretera, suministro de agua, gas, calefacción y electricidad.
  3. Educación y formación profesional. Sistemas de IA que determinan acceso a la educación, evalúan resultados de aprendizaje, monitorizan comportamiento prohibido durante exámenes.
  4. Empleo, gestión de trabajadores y acceso al autoempleo. Sistemas de IA para cribado de candidatos, segmentación de anuncios de empleo, decisiones de contratación, asignación de tareas, monitorización y evaluación del rendimiento de trabajadores, y decisiones sobre promoción o despido.
  5. Acceso a servicios esenciales privados y públicos. Calificación crediticia, tarificación de seguros, elegibilidad para prestaciones sociales, despacho de servicios de emergencia.
  6. Aplicación de la ley. Evaluaciones de riesgo individual, detección de mentiras, evaluación de pruebas, elaboración de perfiles.
  7. Migración, asilo y control de fronteras. Evaluaciones de riesgo, verificación de documentos, procesamiento de solicitudes.
  8. Administración de justicia y procesos democráticos. Sistemas de IA que asisten en investigación jurídica, análisis de casos o determinación de penas.

Para una pyme de la UE con 50–500 empleados, las clasificaciones de alto riesgo más habituales son: empleo (cualquier herramienta de IA usada en contratación, evaluación de rendimiento o gestión de personal) y servicios esenciales (cualquier herramienta de IA usada en decisiones crediticias, evaluaciones de seguros o elegibilidad para prestaciones).

La clasificación no tiene que ver con el modelo. Tiene que ver con el caso de uso. El mismo modelo de lenguaje que genera textos de marketing (riesgo mínimo) se convierte en alto riesgo cuando evalúa solicitudes de empleo. El modelo no cambió. El caso de uso cambió. Las obligaciones siguen.

La excepción del Artículo 6(3): Los sistemas de IA listados en el Anexo III pueden excluirse de la clasificación de alto riesgo si no suponen “un riesgo significativo de daño” para la salud, la seguridad o los derechos fundamentales. La empresa debe documentar por qué aplica la excepción. Si hay duda, clasifica como alto riesgo. El coste de sobreclasificar es cumplimiento. El coste de infraclasificar es ejecución.

Los cinco requisitos — artículo por artículo

Si tu sistema es de alto riesgo, aplican cinco conjuntos de requisitos. Aquí están, con acciones operativas específicas para cada uno.

Requisito 1: Sistema de gestión de riesgos (Artículo 9)

Necesitas un sistema de gestión de riesgos documentado que identifique, analice, evalúe y mitigue los riesgos de tu sistema de IA. No es una evaluación de riesgos puntual. Es un “proceso iterativo continuo” que funciona durante todo el ciclo de vida del sistema.

Qué significa en la práctica:

Antes del 2 de agosto: Documenta los riesgos conocidos de tu sistema de IA. No riesgos genéricos de IA. Los riesgos de tu sistema específico. ¿Qué ocurre cuando se equivoca? ¿A quién afecta? ¿Con qué gravedad? ¿Qué categorías de error son más probables? (La ficha técnica del modelo — sobre la que he escrito — es tu fuente principal para los riesgos a nivel de modelo.)

Crea un registro de riesgos que vincule cada riesgo identificado con una medida de mitigación. La mitigación debe ser específica: “Realizamos revisión manual de todas las decisiones automatizadas que afectan al empleo individual” es una mitigación. “Monitorizamos el sistema en busca de riesgos” no lo es.

Establece un proceso para actualizar el registro de riesgos cuando el sistema cambie, cuando el caso de uso se amplíe o cuando se identifique un nuevo riesgo en producción. El proceso debe especificar quién es responsable, con qué frecuencia se revisa el registro y qué desencadena una revisión ad-hoc.

Esfuerzo estimado: 2–3 semanas de trabajo dedicado para un despliegue típico de pyme. Una persona, a tiempo parcial, con experiencia en el dominio del área de aplicación del sistema de IA.

Requisito 2: Gobernanza de datos (Artículo 10)

Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad especificados en la regulación. Los datos deben ser “relevantes, suficientemente representativos y, en la medida de lo posible, libres de errores y completos”. Debes documentar las características de los datos, su fuente, el proceso de recogida y cualquier operación de preprocesamiento.

Qué significa en la práctica:

Si has ajustado el modelo (fine-tuning): Documenta el conjunto de datos de ajuste. ¿Qué datos se usaron? ¿De dónde vinieron? ¿Qué controles de calidad se aplicaron? ¿Estaban presentes características protegidas (edad, género, etnia, discapacidad) en los datos? Si es así, ¿cómo se gestionaron? ¿Había sesgos conocidos en los datos? Si es así, ¿qué mitigaciones se aplicaron?

Si usas un modelo pre-entrenado vía API: La ficha técnica del modelo y la documentación de datos del proveedor contribuyen a este requisito, pero sigues siendo responsable de los datos que tu sistema procesa. Documenta los datos que entran en tu sistema: datos de clientes, datos operativos, los documentos de tu pipeline RAG. Los mismos criterios de calidad aplican.

Si no tienes esta documentación: Empieza a construirla ahora. El esfuerzo es documentación retrospectiva de decisiones ya tomadas. Es tedioso. No es complejo. Un becario con una plantilla y acceso al equipo de datos puede producir el 80 % de la documentación requerida en dos semanas.

Esfuerzo estimado: 1–2 semanas para un sistema que usa un modelo pre-entrenado vía API. 3–4 semanas para un sistema con fine-tuning propio.

Requisito 3: Documentación técnica (Artículo 11 y Anexo IV)

Debes producir documentación técnica antes de que el sistema se comercialice o se ponga en servicio. El Anexo IV especifica el contenido en detalle:

  • Descripción general del sistema de IA y su propósito previsto
  • Descripción detallada de los elementos del sistema de IA y su proceso de desarrollo
  • Información detallada sobre la monitorización, funcionamiento y control del sistema
  • Descripción del sistema de gestión de riesgos
  • Descripción de los cambios realizados en el sistema a lo largo de su ciclo de vida
  • Lista de las normas armonizadas aplicadas
  • Descripción de las medidas implementadas para asegurar el cumplimiento de los requisitos pertinentes

Qué significa en la práctica:

Es un ejercicio de documentación. El sistema ya existe (o se está construyendo). La documentación técnica describe lo que existe. El principio clave: escríbelo de forma que un revisor técnico competente pueda entender qué hace el sistema, cómo lo hace, qué riesgos plantea y qué controles están implementados.

El documento no necesita ser bonito. Necesita ser preciso, completo y mantenido. Un documento vivo que se actualiza cuando el sistema cambia cumple. Un documento pulido que era preciso hace seis meses y no se ha actualizado no cumple.

Esfuerzo estimado: 3–4 semanas para la documentación inicial. Mantenimiento continuo: 2–4 horas al mes.

Requisito 4: Conservación de registros y logging (Artículo 12)

El sistema de IA debe registrar automáticamente eventos relevantes para identificar riesgos y facilitar la vigilancia post-comercialización. Los registros deben incluir: el periodo de cada uso, la base de datos de referencia contra la que se verificaron los datos de entrada, los datos de entrada para los cuales la búsqueda produjo coincidencia, y la identificación de las personas físicas implicadas en la verificación de los resultados.

Qué significa en la práctica:

Tu sistema de IA debe producir trazas de auditoría. Cada decisión que el sistema toma (o recomienda) debe registrarse con detalle suficiente para reconstruir la decisión a posteriori. El registro debe incluir: la entrada, la salida, la marca temporal y la identidad de cualquier revisor humano.

Para una pyme que despliega una IA de atención al cliente o una herramienta de cribado de RRHH, esto significa implementar logging estructurado en la capa de aplicación. El esfuerzo de ingeniería es modesto — la mayoría de los frameworks modernos de despliegue de IA soportan logging estructurado. El coste de almacenamiento es proporcional al volumen: un sistema que procesa 500 decisiones al día genera aproximadamente 15 MB de logs estructurados al mes con verbosidad moderada.

Esfuerzo estimado: 1–2 semanas de ingeniería para la implementación. Coste continuo mínimo.

Requisito 5: Supervisión humana (Artículo 14)

He escrito un artículo completo sobre esto (“El error de 500 000 €”). El resumen: el sistema debe diseñarse para ser supervisado de forma efectiva por personas físicas. La supervisión debe ser significativa — evaluación independiente, autoridad práctica de anulación, tiempo suficiente y variación demostrada en los resultados.

Qué significa en la práctica:

Construye la interfaz de revisión. Diseña el flujo de trabajo. Forma a los revisores. Monitoriza las tasas de anulación. Todo esto debe estar en su sitio antes del 2 de agosto.

Esfuerzo estimado: 3–5 semanas para el desarrollo de interfaz, diseño de flujo de trabajo y formación de revisores.

La evaluación de conformidad

Los Artículos 16–22 definen las obligaciones de los proveedores de sistemas de IA de alto riesgo — los requisitos que una empresa debe cumplir para demostrar que su sistema de IA de alto riesgo es conforme.

Para la mayoría de despliegues de pyme (los no cubiertos por legislación de armonización de la UE específica del Anexo I), la evaluación de conformidad es una evaluación interna según el Artículo 43(2). No necesitas un auditor externo. No necesitas un organismo notificado. Evalúas tu propio cumplimiento basándote en los requisitos de los Artículos 8–15, documentas la evaluación y emites una declaración de conformidad de la UE (Artículo 47).

Esto es importante: para la mayoría de los casos de uso de pymes, la conformidad se autoevalúa. La regulación confía en el operador para evaluar su propio cumplimiento — siempre que la evaluación esté documentada, la documentación se mantenga y el sistema esté sujeto a vigilancia post-comercialización.

La declaración de conformidad es un documento de una página que establece: este sistema de IA, utilizado para este propósito, cumple los requisitos de la Ley de IA de la UE. Hace referencia a la documentación técnica, al sistema de gestión de riesgos y al sistema de gestión de calidad.

La declaración debe conservarse durante diez años después de que el sistema de IA se comercialice.

El requisito de registro

El Artículo 49 exige que los sistemas de IA de alto riesgo se registren en la base de datos de la UE para sistemas de IA de alto riesgo autónomos (establecida bajo el Artículo 71) antes de su comercialización o puesta en servicio.

El registro es electrónico, a través de un portal mantenido por la Oficina de IA. La información requerida es: nombre y datos de contacto del proveedor, descripción del propósito previsto, estado del sistema de IA (en el mercado, retirado, retirado del mercado), descripción de cómo se pone a disposición el sistema, y la declaración de conformidad de la UE.

El registro no es un mecanismo de control de acceso. Es un mecanismo de transparencia. La base de datos es pública. Registrar tu sistema demuestra intención de cumplimiento. No registrar un sistema de alto riesgo operativo es en sí mismo una infracción.

El cronograma

Cinco meses. Este es un cronograma realista para una pyme que no ha empezado a prepararse:

Meses 1–2 (marzo–abril 2026): Clasificación de riesgos. Determina si tus sistemas de IA son de alto riesgo según el Artículo 6 y el Anexo III. Inventaría todos los sistemas de IA en uso en la empresa — incluidas las herramientas adoptadas por equipos individuales sin supervisión central de IT. Empieza la documentación de gestión de riesgos (Artículo 9) y gobernanza de datos (Artículo 10) para cualquier sistema clasificado como de alto riesgo.

Mes 3 (mayo 2026): Documentación técnica. Produce la documentación técnica del Anexo IV para cada sistema de alto riesgo. Implementa el logging estructurado (Artículo 12) si no está ya en su sitio. Empieza a desarrollar la interfaz y el flujo de trabajo de supervisión humana (Artículo 14).

Mes 4 (junio 2026): Implementación de supervisión humana. Completa la interfaz de revisión, forma a los revisores, establece el flujo de trabajo. Empieza la evaluación de conformidad interna. Identifica brechas y resuélvelas.

Mes 5 (julio 2026): Finalización de la evaluación de conformidad. Emite la declaración de conformidad de la UE. Registra los sistemas de alto riesgo en la base de datos de la UE. Establece el proceso de vigilancia post-comercialización. Documéntalo todo.

2 de agosto de 2026: Disposiciones plenamente en vigor. Tus sistemas cumplen, están registrados y monitorizados — o no, y estás operando en infracción.

El sistema de gestión de calidad

El Artículo 17 exige a los proveedores de sistemas de IA de alto riesgo implementar un sistema de gestión de calidad. Este requisito se pasa por alto frecuentemente en los artículos de cuenta atrás porque suena genérico. No lo es.

El sistema de gestión de calidad debe incluir: políticas y procedimientos para la implementación de los requisitos de la Ley de IA, técnicas y procedimientos para el diseño, control de diseño y verificación de diseño del sistema de IA de alto riesgo, técnicas y procedimientos para su desarrollo, control de calidad y aseguramiento de calidad, procedimientos de examen, prueba y validación a realizar antes, durante y después del desarrollo del sistema, y procedimientos de gestión de datos.

Para una pyme, el sistema de gestión de calidad no necesita estar certificado ISO 9001. Necesita estar documentado, implementado y mantenido. Un sistema de gestión de calidad práctico para un despliegue de IA de pyme es un documento de 10–15 páginas que especifica: quién es responsable de qué, cómo se controlan los cambios en el sistema, cómo se prueba el sistema antes de las actualizaciones, cómo se informan e investigan los incidentes post-comercialización, y cómo se mantiene la documentación actualizada.

El documento lleva aproximadamente una semana en producirse. Debe existir antes del 2 de agosto. Debe seguirse después del 2 de agosto. La brecha entre tener el documento y seguir el documento es la brecha que las acciones de ejecución apuntan.

El marco sancionador

El Artículo 99 define las sanciones por incumplimiento:

  • Infracciones de prácticas de IA prohibidas (Artículo 5): hasta 35 millones de euros o el 7 % de la facturación global anual.
  • Infracciones de requisitos de alto riesgo (Artículos 8–15): hasta 15 millones de euros o el 3 % de la facturación global anual.
  • Suministro de información incorrecta a reguladores: hasta 7,5 millones de euros o el 1 % de la facturación global anual.

Para las pymes, la regulación prevé sanciones proporcionales — las multas se calculan en relación con el tamaño de la empresa y la gravedad de la infracción. Pero “proporcional” no es “insignificante”. Una multa del 3 % de los ingresos para una empresa con 10 millones de euros de facturación anual son 300 000 €. Para muchas pymes, eso es existencial.

La regulación también prevé medidas de ejecución no financieras: órdenes de retirar sistemas de IA del mercado, órdenes de modificar sistemas de IA, y declaraciones públicas identificando a empresas incumplidoras y sus sistemas.

La posición

Cinco meses es tiempo suficiente para cumplir. Cinco meses no es tiempo suficiente para procrastinar, formar un grupo de trabajo, encargar una consultoría y luego cumplir.

La regulación es específica. Los requisitos son enumerables. La evaluación de conformidad es interna. El registro es electrónico. Nada de esto requiere un ejército de abogados ni un presupuesto de consultoría de seis cifras.

Lo que requiere es una decisión: cumpliremos para el 2 de agosto. Esa decisión, tomada hoy, te da cinco meses de trabajo estructurado. Esa decisión, tomada en junio, te da cinco semanas de pánico.

La Ley de IA de la UE no es ambigua sobre lo que exige. Solo es ambigua sobre si te la tomarás en serio antes de que llegue la fecha límite.

Cinco meses. La cuenta atrás está en marcha.

Escrito por
Bertrand
Tecnólogo Creativo

Emprendedor en serie con doctorado en IA y veinticinco años construyendo sistemas por toda Europa. Crea código como surfea: leyendo patrones, encontrando el flujo, haciendo que lo difícil parezca sencillo.

← Todas las notas