Auditoría de IA y Compliance AI Act

El AI Act entró en vigor el 1 de agosto de 2024 y su aplicación es progresiva hasta 2027. Para muchas empresas, las obligaciones más urgentes ya son exigibles o lo serán en los próximos meses. Ignorar el calendario puede suponer multas significativas o tener que retirar sistemas de producción.

Esta guía resume lo que necesitas saber desde la perspectiva operativa: cómo clasifica el AI Act los sistemas, qué obliga exactamente, cómo hacer una auditoría de IA y qué documentación tienes que preparar.

Qué es el AI Act y a quién afecta

El AI Act (Reglamento UE 2024/1689) fue publicado en el Diario Oficial de la UE el 12 de julio de 2024. Es el primer marco regulatorio vinculante sobre IA a escala global. Según la Comisión Europea, su objetivo es garantizar que los sistemas de IA sean seguros, transparentes, trazables y respetuosos con los derechos fundamentales.

El reglamento afecta a cualquier empresa que opere en la UE y que sea proveedora, desplegadora, importadora o distribuidora de sistemas de IA. El nivel de obligación depende del rol y del riesgo del sistema. No todas las empresas tienen las mismas obligaciones.

• Proveedor: quien desarrolla un sistema de IA y lo pone en el mercado bajo su nombre. Tiene las obligaciones más exigentes.
• Desplegador: quien usa un sistema de IA de un proveedor en su propia actividad empresarial. Tiene obligaciones de supervisión y documentación.
• Importador: quien introduce en la UE un sistema de IA fabricado fuera de ella.
• Distribuidor: quien comercializa un sistema de IA sin modificarlo.

Clasificación de sistemas de IA por nivel de riesgo

El AI Act clasifica los sistemas en cuatro categorías según su nivel de riesgo potencial. La clasificación determina qué obligaciones aplican y en qué plazos. Esta es la estructura de la que parte cualquier auditoría de IA.

Riesgo inaceptable: sistemas prohibidos

Son sistemas cuyo uso está directamente prohibido en la UE desde febrero de 2025. Incluyen la puntuación social de ciudadanos por parte de gobiernos, la manipulación subliminal de comportamiento, la explotación de vulnerabilidades de grupos específicos y la identificación biométrica remota en tiempo real en espacios públicos (con excepciones limitadas para fuerza de seguridad).

Alto riesgo: máximas obligaciones

Son los sistemas con mayor impacto potencial sobre derechos fundamentales o seguridad. El Anexo III del AI Act lista los sectores afectados: infraestructuras críticas, educación, empleo (RRHH), servicios esenciales (crédito, seguros, prestaciones sociales), aplicación de la ley, gestión de fronteras, administración de justicia y procesos democráticos.

Si tu empresa usa IA para filtrar CVs, conceder créditos, evaluar solvencia, clasificar reclamaciones o tomar decisiones sobre empleados, probablemente estás ante un sistema de alto riesgo. Las obligaciones son significativas.

Riesgo limitado: transparencia obligatoria

Sistemas como chatbots, generadores de imágenes o herramientas de deepfake deben informar al usuario de que está interactuando con IA. Es la categoría más habitual para aplicaciones empresariales de uso general. Las obligaciones son menores pero la transparencia es exigible.

Riesgo mínimo: sin obligaciones específicas

La mayoría de aplicaciones de IA (filtros de spam, recomendadores de contenido, herramientas de productividad) caen en esta categoría. El AI Act no impone obligaciones específicas, aunque sí invita a seguir códigos de conducta voluntarios.

Qué obliga el AI Act a las empresas

Las obligaciones concretas del AI Act varían según el rol y el nivel de riesgo del sistema. Para sistemas de alto riesgo, el listado de obligaciones es sustancial.

Obligaciones para proveedores de sistemas de alto riesgo

• Sistema de gestión de riesgos documentado y actualizado durante todo el ciclo de vida del sistema.
• Gobernanza de los datos de entrenamiento, validación y prueba (calidad, representatividad, ausencia de sesgos ilegales).
• Documentación técnica completa del sistema antes de su comercialización.
• Registro de eventos (logging) que permita trazabilidad de las decisiones del sistema.
• Transparencia y provisión de información a los desplegadores.
• Supervisión humana: diseño que permita a personas entender, corregir y desactivar el sistema.
• Robustez, precisión y ciberseguridad del sistema.
• Registro del sistema en la base de datos de la UE antes de ponerlo en el mercado.
• Declaración UE de conformidad y marcado CE.

Obligaciones para desplegadores de sistemas de alto riesgo

• Usar el sistema conforme a las instrucciones del proveedor.
• Garantizar que el personal que lo usa tiene la competencia necesaria.
• Supervisar el funcionamiento del sistema y comunicar incidentes al proveedor.
• Realizar una evaluación de impacto sobre derechos fundamentales antes del despliegue (si aplica).
• Informar a las personas afectadas cuando corresponda.
• Conservar los registros de uso durante el tiempo que establezca el proveedor.

Cómo hacer una auditoría de IA para cumplir el AI Act

Una auditoría de IA orientada al AI Act tiene como objetivo inventariar los sistemas existentes, clasificarlos por riesgo, identificar las brechas de cumplimiento y definir un plan de acción para cerrarlas. El proceso tiene fases claras.

Paso 1: Inventario de sistemas de IA

El punto de partida es saber qué sistemas de IA usa o ha desarrollado la empresa. Esto incluye no solo los sistemas propios sino también los de terceros que se usan en procesos que afectan a personas: herramientas de RRHH con IA, sistemas de scoring de crédito, plataformas de atención al cliente con chatbots, etc.

Paso 2: Clasificación por nivel de riesgo

Cada sistema identificado se evalúa según los criterios del AI Act: está en un sector listado en el Anexo III, toma decisiones que afectan a derechos de personas, interactúa directamente con el público. La clasificación determina qué obligaciones aplican.

Paso 3: Análisis de brechas de cumplimiento

Para cada sistema de alto riesgo o limitado, se revisa qué requisitos del AI Act ya se cumplen y cuáles no. Los más habituales que faltan en empresas medianas son la documentación técnica, el registro de eventos y la evaluación formal de riesgos.

Paso 4: Plan de acción y priorización

Con el inventario y las brechas identificadas, se define qué hay que hacer, en qué orden y con qué recursos. La priorización tiene en cuenta el calendario regulatorio: las obligaciones de alto riesgo son exigibles desde agosto de 2026.

Documentación requerida por el AI Act

Para sistemas de alto riesgo, el AI Act requiere un conjunto de documentación técnica antes de su despliegue. Esta documentación debe mantenerse actualizada durante todo el ciclo de vida del sistema y estar disponible para las autoridades de supervisión.

• Descripción general del sistema: propósito, componentes, versiones.
• Descripción del ciclo de desarrollo: metodología, datos de entrenamiento y validación.
• Evaluación de riesgos documentada: amenazas identificadas y medidas mitigadoras.
• Métricas de rendimiento: precisión, tasa de error, comportamiento en casos extremos.
• Medidas de supervisión humana implementadas.
• Información sobre ciberseguridad y robustez del sistema.
• Instrucciones de uso para los desplegadores.
• Registro de eventos (logs) durante el funcionamiento.
• Declaración UE de conformidad firmada por el representante legal.

Plazos de aplicación del AI Act 2024-2027

El AI Act tiene un calendario de aplicación progresivo. Conocer los plazos es clave para priorizar las acciones de cumplimiento sin entrar en pánico por todo a la vez.

Preguntas frecuentes

Para profundizar en la intersección entre el gobierno del dato y el AI Act, consulta también nuestro artículo sobre gobierno del dato y AI Act y la página de gobierno del dato y calidad.