Checklist de cumplimiento de la Ley de IA de la UE para 2026: que debes tener preparado

El plazo del 2 de agosto de 2026 esta a menos de cinco meses. En esa fecha, los requisitos completos para sistemas de IA de alto riesgo bajo la Ley de IA de la UE seran ejecutables — con multas de hasta 15 millones de euros o el 3% de la facturacion global por incumplimiento.

Este checklist cubre cada obligacion que los proveedores de sistemas de IA de alto riesgo deben cumplir. Usalo para auditar donde te encuentras e identificar que falta por hacer.

Paso 1: Determina si la Ley de IA te aplica

Antes de trabajar en los requisitos tecnicos, confirma tus obligaciones.

• [ ] Clasifica tu sistema de IA. ¿Es de alto riesgo segun el Anexo III? Los dominios de alto riesgo incluyen biometria, infraestructura critica, educacion, empleo, acceso a servicios esenciales, aplicacion de la ley, migracion y administracion de justicia.
• [ ] Determina tu rol. ¿Eres proveedor (desarrollaste el sistema o lo mandaste desarrollar y lo comercializas bajo tu nombre) o implementador (usas el sistema bajo tu autoridad)?
• [ ] Verifica el alcance territorial. La Ley de IA se aplica a proveedores que comercializan sistemas en el mercado de la UE e implementadores ubicados en la UE — pero tambien a proveedores e implementadores fuera de la UE si la salida de su sistema se usa en la UE. Si no estas seguro, este articulo explica el alcance extraterritorial.
• [ ] Verifica que el sistema no este exento. Los sistemas usados exclusivamente para fines militares, de defensa o seguridad nacional estan excluidos. Los sistemas usados puramente para investigacion y desarrollo cientifico tambien estan exentos. La mayoria de los sistemas de IA comerciales no lo estan.

Paso 2: Sistema de gestion de riesgos (Articulo 9)

El Articulo 9 requiere un sistema documentado de gestion de riesgos que se ejecute durante todo el ciclo de vida del sistema de IA — no una evaluacion puntual.

• [ ] Identifica y analiza los riesgos conocidos y razonablemente previsibles que el sistema de IA puede plantear para la salud, la seguridad o los derechos fundamentales.
• [ ] Estima y evalua los riesgos que pueden surgir cuando el sistema se usa de acuerdo con su proposito previsto y en condiciones de mal uso razonablemente previsible.
• [ ] Adopta medidas de gestion de riesgos para eliminar o reducir los riesgos identificados. Cuando los riesgos no puedan eliminarse, implementa medidas de mitigacion (salvaguardas tecnicas, supervision humana, informacion al usuario).
• [ ] Prueba el sistema para identificar las medidas de gestion de riesgos mas apropiadas. Las pruebas deben ser adecuadas al proposito previsto y usar conjuntos de datos de prueba recopilados independientemente cuando sea apropiado.
• [ ] Documenta el proceso de gestion de riesgos incluyendo las decisiones tomadas, los riesgos identificados, las medidas adoptadas y los riesgos residuales aceptados con justificacion.
• [ ] Planifica la monitorizacion continua y la actualizacion del sistema de gestion de riesgos durante todo el ciclo de vida del sistema, no solo en el despliegue.

Paso 3: Gobernanza de datos (Articulo 10)

Los conjuntos de datos de entrenamiento, validacion y prueba deben cumplir estandares de calidad especificos.

• [ ] Documenta tus practicas de gobernanza de datos incluyendo las decisiones de diseno, los procesos de recopilacion de datos y las operaciones de preparacion (anotacion, etiquetado, limpieza, enriquecimiento).
• [ ] Asegura que los conjuntos de datos sean relevantes, suficientemente representativos y tan libres de errores como sea posible en vista del proposito previsto del sistema.
• [ ] Evalua los datos en busca de posibles sesgos que podrian llevar a resultados discriminatorios, particularmente respecto a los grupos de personas en quienes el sistema esta destinado a usarse.
• [ ] Identifica y aborda las lagunas o deficiencias de datos y documenta como se mitigan.
• [ ] Considera las propiedades estadisticas de los datos, incluyendo, cuando sea aplicable, las personas o grupos de personas en quienes el sistema esta destinado a usarse.
• [ ] Cuando se procesan categorias especiales de datos personales (Articulo 10(5)), asegura que esto sea estrictamente necesario para la deteccion y correccion de sesgos, con salvaguardas apropiadas.

Paso 4: Documentacion tecnica (Articulo 11 / Anexo IV)

La documentacion tecnica detallada debe elaborarse antes de que el sistema se comercialice y mantenerse actualizada.

• [ ] Descripcion general del sistema de IA: proposito previsto, desarrolladores, version, como el sistema interactua con hardware y software, regulaciones aplicables.
• [ ] Descripcion detallada de los elementos del sistema y del proceso de desarrollo: metodos y pasos tomados para el desarrollo, especificaciones de diseno, arquitectura del sistema, recursos computacionales, procesamiento de datos, metodologias de entrenamiento, decisiones clave de diseno y justificacion.
• [ ] Mecanismos de monitorizacion, funcionamiento y control: capacidades y limitaciones, grados de precision para personas o grupos especificos, resultados no deseados previsibles, medidas de supervision humana, especificaciones tecnicas de los datos de entrada.
• [ ] Documentacion de gestion de riesgos: descripcion completa del sistema de gestion de riesgos implementado segun el Articulo 9.
• [ ] Descripcion de cambios a lo largo del ciclo de vida: si el sistema ha sido modificado, que cambio y por que.
• [ ] Metricas de rendimiento y resultados de pruebas: referencias de precision, robustez y ciberseguridad, registros de pruebas, resultados de validacion.
• [ ] Descripcion del sistema de gestion de calidad implementado.

Este es tipicamente el elemento que mas tiempo consume de este checklist. Annexa puede generar un primer borrador de tu documentacion tecnica del Anexo IV analizando tu codigo fuente real — dandote un punto de partida en lugar de una pagina en blanco.

Paso 5: Conservacion de registros y logging (Articulo 12)

Los sistemas de IA de alto riesgo deben estar disenados para registrar eventos automaticamente durante la operacion.

• [ ] Habilita el registro automatico de eventos relevantes para identificar riesgos a nivel nacional y modificaciones sustanciales a lo largo del ciclo de vida del sistema.
• [ ] Los registros deben recoger como minimo: el periodo de cada uso, la base de datos de referencia contra la que se verificaron los datos de entrada, los datos de entrada que produjeron una coincidencia y la identificacion de las personas fisicas involucradas en la verificacion de resultados.
• [ ] Asegura que los registros sean proporcionados al proposito previsto del sistema y cumplan con la legislacion de proteccion de datos.
• [ ] Conserva los registros durante un periodo apropiado al proposito previsto, y al menos seis meses salvo que la ley aplicable disponga lo contrario.

Paso 6: Transparencia e informacion a los implementadores (Articulo 13)

El sistema debe venir con documentacion clara para los implementadores (las organizaciones que lo usan).

• [ ] Proporciona instrucciones de uso que incluyan la identidad y datos de contacto del proveedor, las capacidades y limitaciones del sistema, el proposito previsto y el nivel de precision.
• [ ] Describe las circunstancias conocidas o razonablemente previsibles bajo las cuales el sistema puede crear riesgos para la salud, la seguridad o los derechos fundamentales.
• [ ] Especifica las metricas de rendimiento del sistema, incluyendo las metricas para grupos especificos de personas en quienes el sistema esta destinado a usarse.
• [ ] Describe las medidas de supervision humana y como implementarlas eficazmente.
• [ ] Especifica la vida util esperada del sistema y las medidas de mantenimiento y cuidado necesarias.

Paso 7: Supervision humana (Articulo 14)

El sistema debe estar disenado para permitir una supervision humana efectiva durante el periodo en que esta en uso.

• [ ] Habilita la supervision humana mediante herramientas de interfaz humano-maquina apropiadas, identificadas por el proveedor antes de que el sistema se comercialice.
• [ ] Asegura que el supervisor humano pueda comprender plenamente las capacidades y limitaciones del sistema, interpretar correctamente la salida, decidir no usar el sistema o ignorar su salida, e intervenir o interrumpir el sistema.
• [ ] Para sistemas de alto riesgo que identifican o afectan a personas: asegura que al menos dos personas fisicas independientes verifiquen la salida del sistema antes de que se tome una accion basada en esa salida (salvo que las circunstancias especificas lo justifiquen).

Paso 8: Precision, robustez y ciberseguridad (Articulo 15)

• [ ] Declara y documenta los niveles de precision del sistema, incluyendo las metricas utilizadas para medirlos.
• [ ] Asegura la resiliencia ante errores, fallos o inconsistencias que puedan ocurrir en el entorno del sistema o entre otros sistemas con los que interactua.
• [ ] Implementa soluciones de redundancia tecnica cuando sea apropiado (planes de respaldo, mecanismos de seguridad).
• [ ] Protege contra ataques adversarios relevantes para el sistema, incluyendo envenenamiento de datos, manipulacion del modelo e inputs adversarios (inyeccion de prompts, ataques de evasion).
• [ ] Implementa medidas de ciberseguridad apropiadas a los riesgos, incluyendo proteccion contra acceso no autorizado, extraccion del modelo y fuga de datos.

Paso 9: Sistema de gestion de calidad (Articulo 17)

Los proveedores deben implementar un sistema de gestion de calidad documentado.

• [ ] Documenta una estrategia de cumplimiento que incluya una evaluacion de los requisitos regulatorios aplicables.
• [ ] Establece procesos para diseno, control de diseno, desarrollo, control de calidad y aseguramiento de la calidad.
• [ ] Define procedimientos de examen, prueba y validacion a realizar antes, durante y despues del desarrollo.
• [ ] Especifica los estandares tecnicos aplicados, y cuando no se apliquen estandares armonizados en su totalidad, explica los medios utilizados para cumplir los requisitos.
• [ ] Establece sistemas para la gestion de datos incluyendo recopilacion, analisis, etiquetado, almacenamiento, filtracion, mineria, agregacion, retencion y cualquier otra operacion de datos.
• [ ] Implementa un sistema de monitorizacion post-comercializacion de acuerdo con el Articulo 72.
• [ ] Define procedimientos para la notificacion de incidentes y comunicacion con las autoridades nacionales competentes.
• [ ] Documenta la gestion de recursos incluyendo la gestion de la cadena de suministro y componentes de terceros.
• [ ] Establece un marco de responsabilidad que incluya las responsabilidades de la direccion y otro personal.

Paso 10: Evaluacion de conformidad y comercializacion

Antes de comercializar el sistema en el mercado de la UE, completa los requisitos administrativos.

• [ ] Realiza la evaluacion de conformidad (Articulo 43). La mayoria de los sistemas de alto riesgo bajo el Anexo III pueden usar el procedimiento de control interno (Anexo VI). Ciertos sistemas biometricos requieren evaluacion por terceros por un organismo notificado.
• [ ] Redacta la declaracion de conformidad de la UE (Articulo 47) — una declaracion formal de que el sistema cumple todos los requisitos.
• [ ] Coloca el marcado CE (Articulo 48) — indicando conformidad con la Ley de IA.
• [ ] Registra el sistema en la base de datos de la UE para sistemas de IA de alto riesgo (Articulo 49) — esto debe hacerse antes de que el sistema se comercialice.
• [ ] Designa un representante autorizado en la UE si estas establecido fuera de la Union (Articulo 22).

Cronograma: que priorizar

Con menos de cinco meses hasta el 2 de agosto de 2026:

Haz ahora (marzo-abril 2026):

• Clasifica todos tus sistemas de IA — sabe cuales son de alto riesgo
• Empieza la documentacion tecnica (Anexo IV) — esto es lo que mas tiempo lleva
• Comienza la documentacion de tu sistema de gestion de riesgos
• Audita la gobernanza de tus datos de entrenamiento

Haz despues (mayo-junio 2026):

• Completa el sistema de gestion de calidad
• Implementa el logging y la conservacion de registros
• Prepara las instrucciones para implementadores
• Valida los mecanismos de supervision humana

Finaliza (julio 2026):

• Realiza la evaluacion de conformidad
• Prepara la declaracion de conformidad de la UE
• Registra en la base de datos de la UE
• Coloca el marcado CE

Las empresas que empiecen ahora tendran tiempo para iterar. Las que esperen hasta julio estaran improvisando — y la documentacion lo reflejara.

Empieza ya

El elemento mas largo de este checklist es la documentacion tecnica. Si quieres comprimir semanas de trabajo en horas, el triaje de riesgo gratuito de Annexa clasifica tu sistema en minutos, y el plan Pro genera un dossier completo del Anexo IV a partir de tu codigo fuente real por 49 euros/mes.

Ya uses una herramienta o lo hagas manualmente, lo importante es empezar. Agosto esta mas cerca de lo que parece.