Cumplimiento EU AI Act

Cumplimiento del EU AI Act simplificado

El EU AI Act está en vigor. Convertimos el texto legal en un plan claro con responsables, plazos y evidencias. Comience con un análisis de brechas rápido y luego rastree todo en un solo lugar.

Iniciar evaluación gratuita Solicitar demo

Niveles de riesgo explicados

El EU AI Act utiliza un enfoque basado en riesgos con cuatro categorías principales

Riesgo inaceptable

Completamente prohibido

Puntuación social, reconocimiento de emociones en el trabajo/escuelas, categorización biométrica, biometría en tiempo real en espacios públicos, técnicas subliminales

prohibido

Alto riesgo

Controles estrictos requeridos

Selección de CV, evaluación crediticia, aplicación de la ley, dispositivos médicos, infraestructura crítica, evaluación educativa, herramientas de contratación

regulado

Riesgo limitado

Transparencia requerida

Chatbots, deepfakes, sistemas de reconocimiento de emociones, categorización biométrica (no prohibida), contenido generado por IA

divulgación

Riesgo mínimo

Pocas o ninguna obligación

Filtros de spam, videojuegos, gestión de inventario, videojuegos con IA, sistemas de recomendación simples

mínimo

Cómo VerifyWise apoya el cumplimiento del EU AI Act

Funciones concretas que abordan requisitos regulatorios específicos

Inventario de sistemas de IA con clasificación de riesgos

Registre cada sistema de IA en su organización con metadatos estructurados. Cada entrada captura propósito, fuentes de datos, contexto de despliegue y partes interesadas. La plataforma aplica criterios del Anexo III para determinar si los sistemas califican como alto riesgo, riesgo limitado o riesgo mínimo, y genera una justificación de clasificación para auditorías.

Aborda: Artículo 6 Clasificación, Artículo 9 Gestión de riesgos, Artículo 49 Registro

Generación de documentación técnica

Cree el paquete de documentación requerido según el Artículo 11. La plataforma estructura información sobre arquitectura del sistema, procedencia de datos de entrenamiento, métricas de rendimiento y limitaciones conocidas en documentos formateados que cumplen con las expectativas regulatorias. Las plantillas cubren perspectivas tanto de proveedor como de operador.

Aborda: Artículo 11 Documentación técnica, Anexo IV Requisitos

Configuración de flujos de trabajo de supervisión humana

Defina quién revisa las salidas de IA, bajo qué condiciones y con qué autoridad para anular. La plataforma permite configurar disparadores de supervisión, asignar revisores por rol o experiencia, y capturar decisiones de revisión con marcas de tiempo. Los patrones de supervisión se convierten en registros auditables que demuestran cumplimiento del Artículo 14.

Aborda: Artículo 14 Supervisión humana, Artículo 26 Obligaciones del operador

Registro operacional y retención

Capture eventos del sistema, interacciones de usuarios y salidas de decisiones con marcas de tiempo automáticas. Los registros se retienen según políticas configurables que por defecto cumplen el mínimo de seis meses para operadores. Las funciones de búsqueda y exportación apoyan investigaciones de incidentes y solicitudes de autoridades.

Aborda: Artículo 12 Registros, Artículo 26(5) Retención de registros

Seguimiento y reporte de incidentes

Registre incidentes relacionados con IA con clasificación de severidad y asigne responsables de investigación. La plataforma rastrea el progreso de remediación y genera informes de incidentes adecuados para reportes a autoridades. Los incidentes graves pueden escalarse a las autoridades dentro del plazo requerido con documentación adjunta.

Aborda: Artículo 62 Reporte de incidentes graves, Artículo 73 Sanciones

Evaluación de impacto en derechos fundamentales

Los operadores de IA de alto riesgo en ciertos sectores deben evaluar impactos en derechos fundamentales antes del despliegue. La plataforma proporciona plantillas de evaluación estructurada para riesgo de discriminación, implicaciones de privacidad, acceso a servicios y garantías de debido proceso. Las evaluaciones completadas generan registros fechados como evidencia de cumplimiento.

Aborda: Artículo 27 Evaluación de impacto en derechos fundamentales

Todas las actividades de cumplimiento se rastrean con marcas de tiempo, responsables asignados y flujos de trabajo de aprobación. Esta pista de auditoría demuestra gobernanza sistemática en lugar de documentación creada después del hecho.

Cobertura completa de requisitos del EU AI Act

VerifyWise proporciona herramientas dedicadas para cada requisito regulatorio en 15 categorías de cumplimiento

Requisitos del EU AI Act

Requisitos con herramientas dedicadas

100%

Cobertura de todas las categorías

Artículo 96/6

Gestión y evaluación de riesgos

Artículo 104/4

Gobernanza de datos

Artículo 11, Anexo IV5/5

Documentación técnica

Artículo 124/4

Registros y logging

Artículo 134/4

Transparencia e información al usuario

Artículo 145/5

Supervisión humana

Artículo 154/4

Precisión, robustez y ciberseguridad

Artículo 176/6

Sistema de gestión de calidad

Artículo 43, Anexo VI4/4

Evaluación de conformidad

Artículos 47-493/3

Registro y marcado CE

Artículo 724/4

Vigilancia post-comercialización

Artículo 733/3

Reporte de incidentes

Artículo 265/5

Obligaciones del operador

Artículo 274/4

Evaluación de impacto en derechos fundamentales

Artículo 43/3

Competencia en IA y formación

Funciones que distinguen a VerifyWise

Flujo de trabajo de marcado CE

Proceso guiado de evaluación de conformidad de 7 pasos con generación de documentos

Gateway LLM

Monitoreo en tiempo real y aplicación de políticas para uso de modelos GPAI

Registro de formación

Seguimiento de requisitos de competencia en IA y credenciales de cualificación de empleados

Gestión de incidentes

Flujos de trabajo estructurados para seguimiento de incidentes graves y reporte a autoridades

¿No está seguro si está afectado?

Realice nuestra evaluación gratuita de preparación para el EU AI Act para determinar su clasificación de riesgo y obligaciones de cumplimiento en minutos.

5 min

Evaluación rápida

Inmediato

Obtenga resultados al instante

Iniciar evaluación gratuita

Conozca su rol y obligaciones

Diferentes actores en la cadena de valor de IA tienen diferentes responsabilidades bajo el EU AI Act

Proveedores

Organizaciones que desarrollan o modifican sustancialmente sistemas de IA

Implementar sistema de gestión de riesgos durante todo el ciclo de vida
Asegurar la calidad y gobernanza de los datos de entrenamiento
Crear y mantener documentación técnica
Desarrollar capacidades de registro adecuadas
Garantizar transparencia e informar a los operadores
Implementar medidas de supervisión humana
Asegurar precisión, robustez y ciberseguridad
Establecer sistema de gestión de calidad
Realizar evaluación de conformidad y aplicar marcado CE
Registrar sistema en base de datos de la UE
Reportar incidentes graves a las autoridades

Operadores

Organizaciones que utilizan sistemas de IA bajo su responsabilidad

Asignar personal para supervisión humana
Conservar registros al menos 6 meses
Realizar evaluación de impacto en derechos fundamentales
Monitorear operación y rendimiento del sistema
Reportar incidentes graves a proveedores y autoridades
Usar el sistema de IA según las instrucciones
Asegurar datos de entrada relevantes para el propósito previsto
Informar al proveedor sobre riesgos identificados
Suspender uso si el sistema presenta riesgo
Cooperar con autoridades en investigaciones

Distribuidores/Importadores

Organizaciones que ponen sistemas de IA en el mercado de la UE

Verificar que el proveedor realizó evaluación de conformidad
Asegurar marcado CE y documentación
Verificar registro en base de datos de la UE
Almacenar y mantener documentación requerida
Asegurar condiciones de almacenamiento y transporte para mantener conformidad
Proporcionar información necesaria a las autoridades
Cesar distribución si el sistema de IA no es conforme
Informar al proveedor y autoridades sobre no conformidad
Cooperar con autoridades en medidas correctivas

Tabla comparativa de obligaciones

Referencia rápida de qué obligaciones aplican a cada rol

Obligación	Proveedor	Operador	Distribuidor
Sistema de gestión de riesgos Evaluación y mitigación de riesgos del ciclo de vida
Documentación técnica Especificaciones del sistema, datos de entrenamiento, métricas de rendimiento			Almacenar
Supervisión humana Prevenir o minimizar riesgos	Diseñar	Implementar
Logging y registros Mínimo 6 meses de retención para operadores	Habilitar	Mantener
Evaluación de conformidad Autoevaluación u organismo notificado			Verificar
Marcado CE Requerido antes de poner en mercado	Aplicar		Verificar
Registro en base de datos UE Sistemas de IA de alto riesgo	Registrar		Verificar
Evaluación de impacto en derechos fundamentales Requerido para operadores en ciertos sectores
Reporte de incidentes Incidentes graves a autoridades			Si tiene conocimiento
Vigilancia post-comercialización Monitoreo continuo del rendimiento del sistema		Monitorear uso

Nota: Muchas organizaciones pueden tener múltiples roles. Por ejemplo, si desarrolla y opera un sistema de IA, debe cumplir tanto las obligaciones de proveedor como de operador.

6 pasos hacia el cumplimiento para diciembre de 2027

Una hoja de ruta práctica para lograr el cumplimiento del EU AI Act

Paso 11-2 meses

Inventario de sistemas de IA

Catalogar todos los sistemas de IA en su organización

Identificar todos los sistemas y herramientas de IA en uso
Documentar proveedores de IA y servicios de terceros
Mapear sistemas de IA a procesos de negocio
Identificar propietarios y partes interesadas de sistemas de IA
Crear registro central de IA

Paso 22-3 meses

Clasificación de riesgos

Asignar niveles de riesgo a cada sistema de IA

Evaluar cada sistema contra categorías del Anexo III
Verificar si el sistema cae en casos de uso prohibidos
Clasificar como alto riesgo, riesgo limitado o riesgo mínimo
Documentar justificación de clasificación
Identificar su rol (proveedor, operador, distribuidor)

Paso 33-4 meses

Análisis de brechas

Identificar brechas de cumplimiento y requisitos

Comparar estado actual con requisitos del EU AI Act
Identificar documentación y procesos faltantes
Evaluar brechas técnicas de cumplimiento
Evaluar mecanismos de gobernanza y supervisión
Priorizar acciones de remediación

Paso 44-8 meses

Documentación y gobernanza

Construir documentación y controles requeridos

Crear documentación técnica para sistemas de alto riesgo
Implementar sistemas de gestión de riesgos
Establecer procedimientos de gobernanza de datos
Documentar mecanismos de supervisión humana
Crear sistema de gestión de calidad
Preparar evaluaciones de impacto en derechos fundamentales

Paso 58-10 meses

Pruebas y validación

Realizar evaluaciones de conformidad

Realizar pruebas y validación internas
Ejecutar evaluaciones de sesgo y equidad
Probar precisión, robustez y ciberseguridad
Involucrar organismo notificado si es necesario
Obtener marcado CE para sistemas aplicables
Registrar sistemas de alto riesgo en base de datos de la UE

Paso 6Continuo

Monitoreo e informes

Mantener cumplimiento y monitorear sistemas

Implementar sistemas de monitoreo continuo
Mantener registros y pistas de auditoría
Monitorear deriva de rendimiento e incidentes
Reportar incidentes graves dentro del plazo
Realizar revisiones y actualizaciones periódicas
Mantenerse informado sobre guías regulatorias

Nota: Los organismos notificados ya están reservando citas. Comience su viaje de cumplimiento ahora para cumplir con los plazos de diciembre de 2027 (Anexo III) y agosto de 2028 (Anexo I).

Iniciar viaje de cumplimiento

Fechas clave que debe conocer

Se acercan plazos críticos de cumplimiento

activo2 de febrero de 2025

Prácticas prohibidas

Las prácticas de IA prohibidas se vuelven ilegales

Puntuación social
Categorización biométrica
Reconocimiento de emociones en el trabajo/escuelas

próximo2 de agosto de 2025

Transparencia GPAI

Reglas de transparencia para IA de propósito general

Códigos de conducta
Documentación de modelos
Evaluaciones de riesgo sistémico

próximo2 de diciembre de 2026

Artículo 50(2) marca de agua

Obligaciones de divulgación de contenido sintético aplicables

Etiquetado UI de contenido generado por IA
Metadatos legibles por máquina
Capacidad de detección

próximo2 de diciembre de 2027

Anexo III alto riesgo

Los sistemas autónomos de alto riesgo deben cumplir

Sistemas de gestión de riesgos
Gobernanza de datos
Documentación técnica

próximo2 de agosto de 2028

Anexo I alto riesgo integrado

La IA en productos regulados debe cumplir

Dispositivos médicos, maquinaria, juguetes, ascensores
Vigilancia post-comercialización
Evaluaciones de conformidad

Nivel 1 - IA prohibida

35M€ o 7% de facturación global

(lo que sea mayor)

Violaciones incluyen:

Sistemas de puntuación social
IA manipulativa
Biometría en tiempo real en espacios públicos
Scraping facial no dirigido

alto

Nivel 2 - Violaciones de alto riesgo

15M€ o 3% de facturación global

(lo que sea mayor)

Violaciones incluyen:

Sistemas de IA de alto riesgo no conformes
Violaciones de obligaciones de sistemas de IA
No realizar evaluaciones de impacto requeridas

medio

Nivel 3 - Violaciones de información

7,5M€ o 1,5% de facturación global

(lo que sea mayor)

Violaciones incluyen:

Proporcionar información falsa
No proporcionar información a autoridades
Documentación incompleta

Requisitos de IA de propósito general (GPAI)

Las obligaciones para proveedores de GPAI entraron en vigor el 2 de agosto de 2025

¿Qué califica como IA de propósito general?

La IA de propósito general se refiere a modelos entrenados con datos amplios que pueden realizar una variedad de tareas sin haber sido diseñados para un propósito específico. Estos modelos fundacionales impulsan muchas aplicaciones downstream, desde chatbots hasta asistentes de código y generadores de imágenes. El EU AI Act crea obligaciones específicas para organizaciones que desarrollan estos modelos y para aquellas que construyen aplicaciones con ellos.

Modelos de lenguaje grande

GPT-4, Claude, Gemini, Llama, Mistral

Generación de imágenes

Midjourney, DALL-E, Stable Diffusion

Modelos multimodales

GPT-4o, Gemini Pro Vision, Claude 3.5

Generación de código

GitHub Copilot, Amazon CodeWhisperer

¿Es usted proveedor de GPAI o integrador downstream?

Proveedor de GPAI

Usted desarrolló o entrenó el modelo fundacional

Se aplican obligaciones completas de transparencia GPAI
Debe proporcionar documentación para usuarios downstream
Responsable del cumplimiento de derechos de autor en entrenamiento
Requisitos de riesgo sistémico si supera el umbral

Ejemplos: OpenAI, Anthropic, Google DeepMind, Meta AI

Proveedor downstream

Usted desarrolla aplicaciones usando modelos GPAI vía API o integración

Debe obtener documentación del proveedor GPAI
Responsable del cumplimiento de su aplicación específica
Los casos de uso de alto riesgo activan obligaciones de alto riesgo
No puede trasladar responsabilidad al proveedor del modelo fundacional

Ejemplos: Empresas usando API de GPT-4, API de Claude o modelos ajustados

Niveles de obligación GPAI

Estándar

Modelos GPAI generales

Todos los modelos de IA de propósito general

Proporcionar documentación técnica
Entregar información y documentación a proveedores downstream
Implementar política de derechos de autor y publicar resumen de datos de entrenamiento
Asegurar eficiencia energética cuando sea posible

Riesgo sistémico

Modelos GPAI con riesgo sistémico

>10²⁵ FLOPs o designado por la Comisión

Realizar evaluación de modelo y evaluación de riesgo sistémico
Realizar pruebas adversariales
Rastrear, documentar y reportar incidentes graves
Asegurar protección de ciberseguridad adecuada
Implementar medidas de mitigación de riesgos
Reportar anualmente a la Oficina de IA

Entendiendo el umbral de riesgo sistémico

Los modelos entrenados con más de 10²⁵ operaciones de punto flotante (FLOPs) se clasifican automáticamente como de riesgo sistémico. La Comisión Europea también puede designar modelos basándose en sus capacidades, alcance o potencial de daño grave, independientemente del cómputo de entrenamiento. Los modelos actuales que probablemente alcancen este umbral incluyen GPT-4 y sucesores, Claude 3 Opus y versiones posteriores, Gemini Ultra y las variantes más grandes de Llama de Meta.

La clasificación de riesgo sistémico desencadena obligaciones adicionales: evaluaciones completas de modelos, red teaming adversarial, seguimiento y reporte de incidentes, ciberseguridad mejorada e informes anuales a la Oficina de IA de la UE.

Disposiciones para GPAI de código abierto

Excepción

Obligaciones reducidas aplican si

Pesos del modelo están públicamente disponibles
Metodología de entrenamiento está documentada abiertamente
Publicado bajo licencia de código abierto calificante
Parámetros y arquitectura están publicados

Sin excepción

Obligaciones completas aún aplican si

El modelo tiene riesgo sistémico (>10²⁵ FLOPs)
Usted modifica y despliega comercialmente
Usado en aplicaciones de alto riesgo bajo Anexo III
El modelo está integrado en productos regulados

Si está construyendo sobre modelos GPAI

La mayoría de las organizaciones que usan IA son integradores downstream, no proveedores de modelos fundacionales. Si accede a GPT-4, Claude o modelos similares vía APIs para construir sus propias aplicaciones, estas obligaciones aplican a usted.

Obtener y revisar documentación técnica del proveedor GPAI

Evaluar si su caso de uso específico califica como alto riesgo

Implementar supervisión humana apropiada para su aplicación

Documentar cómo ha integrado el modelo GPAI

Establecer logging y monitoreo para su despliegue

Crear avisos de transparencia para usuarios finales

Definir procedimientos de respuesta a incidentes para problemas relacionados con IA

La Oficina de IA de la UE

La Oficina de IA de la UE dentro de la Comisión Europea proporciona supervisión centralizada para modelos GPAI. Emite orientación, desarrolla códigos de conducta, evalúa modelos de riesgo sistémico y coordina con autoridades nacionales. Los proveedores de GPAI con modelos de riesgo sistémico deben reportar directamente a la Oficina de IA. La Oficina también sirve como recurso para integradores downstream que buscan claridad sobre sus obligaciones.

Plantillas de políticas

Repositorio completo de políticas de gobernanza de IA

Acceda a 37 plantillas de políticas de gobernanza de IA listas para usar, alineadas con los requisitos del EU AI Act, ISO 42001 y NIST AI RMF

Gobernanza central

• Política de gobernanza de IA
• Política de gestión de riesgos de IA
• Principios de IA responsable
• Carta ética de IA
• Aprobación y lanzamiento de modelos
• Aseguramiento de calidad de IA
+ 6 políticas más

Datos y seguridad

• Política de uso de datos de IA
• Minimización de datos para IA
• Adquisición de datos de entrenamiento
• Manejo de datos sensibles
• Seguridad y hardening de prompts
• Respuesta a incidentes de IA
+ 2 políticas más

Legal y cumplimiento

• Política de riesgo de proveedores de IA
• Cumplimiento regulatorio
• Preparación para marcado CE
• Registro de sistemas de alto riesgo
• Documentación y trazabilidad
• Responsabilidad y roles de IA
+ 7 políticas más

Explorar todas las plantillas de políticas

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento del EU AI Act

Sí. La regulación tiene alcance extraterritorial, lo que significa que cualquier organización cuya producción de sistemas de IA o cuyos resultados se utilicen en el mercado de la UE está dentro del alcance. Esto incluye empresas SaaS estadounidenses, consultoras y cualquier empresa cuya IA afecte a ciudadanos de la UE, independientemente de dónde tenga sede la empresa. Ver Artículo 2 para la definición completa del alcance.

Usted todavía tiene obligaciones como operador bajo el Artículo 26. Esto incluye requisitos de transparencia, disposiciones de supervisión humana y registro adecuado. El proveedor asume ciertas obligaciones upstream, pero usted sigue siendo responsable de operar el sistema dentro de su organización.

Las prácticas prohibidas bajo el Artículo 5 están completamente prohibidas y acarrean las penalizaciones más altas. Los sistemas de alto riesgo bajo el Anexo III pueden operar siempre que cumpla con requisitos estrictos de documentación, gestión de riesgos, supervisión humana y evaluación de conformidad. La distinción determina si puede usar el sistema en absoluto o cuánta gobernanza se requiere.

Las prácticas prohibidas pueden resultar en multas de hasta 35 millones de euros o el 7% de la facturación anual global, lo que sea mayor. Las violaciones de alto riesgo pueden alcanzar 15 millones de euros o el 3% de la facturación. Las violaciones de información (documentación incompleta, falta de cooperación con autoridades) pueden resultar en 7,5 millones de euros o el 1,5% de la facturación. Ver Artículo 99 para la estructura completa de multas.

La implementación es escalonada según el Artículo 113, con fechas revisadas tras el acuerdo ómnibus de mayo de 2026. Las prácticas prohibidas y las obligaciones de alfabetización en IA del Artículo 4 aplican desde febrero de 2025. Las reglas de transparencia GPAI aplican desde agosto de 2025. Las obligaciones de marca de agua del Artículo 50(2) aplican desde diciembre de 2026. Los sistemas autónomos de alto riesgo del Anexo III deben cumplir antes de diciembre de 2027, y la IA integrada en productos regulados del Anexo I antes de agosto de 2028.

Los proveedores de GPAI tienen obligaciones específicas bajo el Artículo 53 respecto a documentación, cumplimiento de derechos de autor y transparencia downstream. Los modelos que superan 10^25 FLOPs (o designados por la Comisión) tienen requisitos adicionales de riesgo sistémico bajo el Artículo 55, incluyendo pruebas adversariales y reporte de incidentes. Si construye aplicaciones usando estos modelos, usted sigue siendo responsable del cumplimiento de su caso de uso específico.

Los sistemas de alto riesgo requieren documentación técnica según el Artículo 11 y Anexo IV, que cubre arquitectura del sistema y capacidades, registros de gobernanza de datos de entrenamiento, métricas de rendimiento y precisión, procedimientos de gestión de riesgos, mecanismos de supervisión humana y registros operacionales (mínimo seis meses de retención).

La mayoría de los sistemas de IA de alto riesgo pueden usar autoevaluación interna bajo procedimientos del Anexo VI. Biometría para aplicación de la ley, ciertos sistemas de seguridad de infraestructura crítica y dispositivos médicos específicos requieren evaluación de terceros por organismos notificados acreditados. Verifique su categoría del Anexo III para determinar la ruta aplicable.

La regulación incluye disposiciones de proporcionalidad para organizaciones más pequeñas. Puede usar enfoques de documentación simplificados, participar en sandboxes regulatorios para pruebas y priorizar sus sistemas de mayor riesgo. Las obligaciones centrales aún aplican, pero la implementación puede escalarse a sus recursos. Muchas PYMEs comienzan con inventario de IA y clasificación de riesgos antes de construir gobernanza completa.

Funcionan como marcos complementarios. El GDPR gobierna el procesamiento de datos personales, mientras que el AI Act aborda los riesgos del sistema de IA independientemente de si hay datos personales involucrados. La IA de alto riesgo que procesa datos personales activa requisitos bajo ambos: necesita evaluaciones de impacto de protección de datos del GDPR junto con evaluaciones de conformidad del AI Act y documentación técnica.

Los sistemas existentes deben lograr cumplimiento para la fecha límite relevante (diciembre de 2027 para sistemas autónomos de alto riesgo del Anexo III, agosto de 2028 para IA integrada en productos regulados del Anexo I). Comience ahora inventariando y clasificando su cartera de IA actual. Los sistemas modificados sustancialmente después de agosto de 2025 se tratan como nuevos sistemas con obligaciones inmediatas bajo el Artículo 111.

La IA en la sombra se refiere a herramientas de IA utilizadas sin supervisión de gobernanza. Los enfoques de detección incluyen monitorear el tráfico de red en busca de llamadas a APIs de IA (OpenAI, Anthropic, Google), revisar informes de gastos en busca de suscripciones de IA, encuestar a empleados sobre el uso de herramientas y revisar extensiones de navegador. La mayoría de las organizaciones descubren más uso de IA de lo esperado cuando hacen este ejercicio.

La autoevaluación significa que su equipo interno realiza la evaluación de conformidad bajo los procedimientos del Anexo VI. La evaluación por organismo notificado significa que un tercero acreditado evalúa su sistema bajo el Artículo 43. La mayoría de la IA de alto riesgo califica para autoevaluación. Las categorías que requieren revisión externa incluyen identificación biométrica remota para aplicación de la ley, IA como componente de seguridad en productos regulados y ciertas aplicaciones de infraestructura crítica.

Los modelos GPAI de código abierto publicados bajo licencias calificantes con parámetros públicamente disponibles tienen obligaciones de transparencia reducidas bajo el Artículo 53(2). La exención desaparece si el modelo tiene riesgo sistémico o si lo modifica y despliega comercialmente (lo que puede convertirlo en proveedor con obligaciones completas). Las aplicaciones de alto riesgo construidas sobre modelos de código abierto aún requieren cumplimiento completo, independientemente de la licencia del modelo subyacente.

Los sistemas de alto riesgo requieren monitoreo continuo como parte de la vigilancia post-comercialización bajo el Artículo 72. Las revisiones formales de cumplimiento deben ocurrir al menos anualmente, más cuando haya cambios significativos en el sistema, incidentes o nuevas guías regulatorias. El cumplimiento es continuo y no una certificación única.

Los estados miembros de la UE deben establecer sandboxes regulatorios de IA para agosto de 2027 bajo el Artículo 57 (plazo extendido por el acuerdo ómnibus de mayo de 2026). Estos entornos controlados permiten probar IA innovadora bajo supervisión regulatoria, a menudo con protección de responsabilidad y retroalimentación acelerada. Contacte a su autoridad nacional competente de IA para conocer la disponibilidad del sandbox y los procesos de solicitud en su jurisdicción.

El Artículo 4 requiere que las organizaciones aseguren que los empleados tengan suficiente competencia en IA apropiada para su rol. El personal que opera sistemas de IA debe entender capacidades y limitaciones. Aquellos responsables de la supervisión de IA necesitan conocimiento más profundo de factores de riesgo y procedimientos de escalamiento. Los requisitos de formación escalan con el nivel de riesgo de los sistemas manejados.

Cada estado miembro designa autoridades nacionales competentes y autoridades de vigilancia del mercado bajo el Artículo 70. La Oficina de IA de la UE (dentro de la Comisión Europea) supervisa específicamente los modelos GPAI. Los mecanismos de aplicación incluyen inspecciones, acciones correctivas y sanciones administrativas. Hay protección para denunciantes que reporten violaciones. Las empresas no pertenecientes a la UE que pongan IA en el mercado de la UE deben designar un representante autorizado en la Unión.

¿Listo para el cumplimiento?

Comience su viaje de cumplimiento del EU AI Act hoy con nuestras herramientas completas de evaluación y seguimiento.

Iniciar evaluación gratuita Programar demo