IRCNF
Privacy & Data

Las obligaciones de datos de la Ley de IA de la UE entraron en vigor en mayo de 2026: qué deben hacer ahora las empresas que despliegan sistemas de IA

Compartir:
Las obligaciones de datos de la Ley de IA de la UE entraron en vigor en mayo de 2026: qué deben hacer ahora las empresas que despliegan sistemas de IA

Qué cambió el 2 de mayo de 2026

La implementación escalonada de la Ley de IA de la UE alcanzó su hito más relevante el 2 de mayo de 2026: los requisitos para sistemas de IA de alto riesgo se volvieron legalmente exigibles. Las disposiciones sobre usos prohibidos (puntuación social, vigilancia biométrica en tiempo real en espacios públicos) ya estaban en vigor desde agosto de 2024. Los requisitos para modelos de IA de uso general entraron en vigor en agosto de 2025. Pero la categoría de alto riesgo —IA utilizada en empleo, educación, crédito, aplicación de la ley, control fronterizo e infraestructuras críticas— es donde se concentra el despliegue empresarial de IA, y es lo que ahora está sujeto a multas de hasta el 3% del volumen de negocio anual global.

La regulación no prohíbe la IA en estas categorías. Exige un conjunto específico de medidas de gobierno de datos, transparencia y supervisión humana. Entender exactamente lo que se requiere es esencial, porque el texto de la ley es específico en aspectos donde la mayoría de los marcos de cumplimiento han sido vagos, y vago en aspectos donde los profesionales necesitan concreción.

Las seis obligaciones básicas de datos para IA de alto riesgo

1. Documentación de datos de entrenamiento

El artículo 10 de la Ley de IA exige que los conjuntos de datos de entrenamiento, validación y prueba para sistemas de IA de alto riesgo estén sujetos a prácticas de gobierno de datos documentadas. En concreto, los operadores deben documentar la metodología de recolección, los criterios de selección utilizados para incluir o excluir datos, el alcance geográfico y temporal de los datos, las operaciones de preprocesamiento y limpieza realizadas, y —críticamente— las posibles limitaciones y sesgos que los datos puedan contener y cómo se evaluaron.

Esto es más exigente de lo que parece. La mayoría de los equipos de Machine Learning pueden describir su pipeline de preprocesamiento. Muchos menos tienen documentación formal de por qué se excluyeron fuentes de datos específicas, o una evaluación escrita de los sesgos demográficos o contextuales que sus datos de entrenamiento puedan tener. La guía del Comité Europeo de Protección de Datos de abril de 2026 aclara que esta documentación debe actualizarse cuando el modelo se reentrene, no solo en el despliegue inicial.

2. Evaluación de impacto en derechos fundamentales

Los implementadores (organizaciones que usan un sistema de IA de alto riesgo, a diferencia de los proveedores que lo construyen) deben completar una Evaluación de Impacto en Derechos Fundamentales antes del despliegue. Es análoga a una EIPD (Evaluación de Impacto en Protección de Datos) según el GDPR, pero se extiende más allá de la protección de datos para cubrir el impacto potencial del sistema de IA en la igualdad, la no discriminación, el acceso a servicios y los derechos procesales.

La evaluación debe identificar qué grupos de personas interactúan con el sistema, qué decisiones o recomendaciones informa, cuáles serían las consecuencias de errores sistemáticos para poblaciones específicas y qué mecanismo de supervisión humana existe. La evaluación debe documentarse, revisarse cuando el sistema se actualice significativamente y estar disponible para las autoridades nacionales de vigilancia del mercado cuando lo soliciten.

3. Mecanismos de supervisión humana

El artículo 14 exige que los sistemas de IA de alto riesgo se diseñen y desplieguen con medidas de supervisión humana que permitan a la persona responsable comprender las capacidades y limitaciones del sistema, supervisar las operaciones y poder anular, interrumpir o ignorar la salida del sistema. Esto no se cumple con tener un humano técnicamente en el bucle que selle las decisiones de la IA: la ley exige que el humano sea realmente capaz de comprender y revisar de manera significativa el resultado.

En la práctica, esto crea un requisito de documentación y formación. Las organizaciones deben poder demostrar que las personas que revisan las recomendaciones generadas por IA han recibido información sobre las tasas de error del sistema, las limitaciones conocidas y los tipos de casos en los que es menos fiable. Un responsable de contratación que apruebe una lista corta de candidatos generada por IA sin conocer las tasas de falsos positivos demográficos por género o etnia no cumple con el artículo 14.

4. Precisión, robustez y ciberseguridad

Los sistemas de IA de alto riesgo deben alcanzar niveles consistentes de precisión adecuados para su propósito previsto, y los proveedores deben divulgar las métricas de precisión esperadas en las instrucciones de uso. Esto crea una obligación que la mayoría de los despliegues empresariales de IA no están estructurados para cumplir actualmente: un monitoreo continuo del rendimiento con umbrales definidos que activen la revisión o suspensión del sistema. Los sistemas que eran precisos en el despliegue pueden derivar a medida que cambian las distribuciones de datos subyacentes — la ley exige detectar y actuar sobre esa deriva.

5. Documentación técnica y registros

Los proveedores deben mantener documentación técnica que demuestre el cumplimiento del sistema con la Ley, y el sistema debe mantener registros automáticos de su operación durante un período adecuado a su propósito. Para IA en empleo, la guía sugiere que los registros cubran al menos los insumos considerados, la salida producida y la marca de tiempo para cada decisión relevante, conservados durante el período de cualquier impugnación legal — típicamente de 3 a 5 años según la legislación laboral del Estado miembro.

6. Transparencia hacia las personas afectadas

Las personas sujetas a decisiones tomadas o significativamente influidas por IA de alto riesgo tienen derecho a una explicación. Este derecho no se activa solo por la toma de decisiones automatizada (eso lo cubre el artículo 22 del GDPR), sino por cualquier influencia significativa de un sistema de IA de alto riesgo en una decisión humana. La explicación debe cubrir los parámetros principales considerados por el sistema y cómo influyeron en el resultado — no una descripción genérica de cómo funciona el modelo, sino una explicación específica de la decisión.

Dónde están fallando la mayoría de las organizaciones ahora mismo

La Oficina Europea de IA ha comenzado auditorías sombra de despliegues de IA de alto riesgo en los sectores de servicios financieros y tecnología de RRHH, y las señales tempranas de los abogados de la industria que han visto los cuestionarios indican tres brechas consistentes:

Brecha 1: La FRIA no se está realizando o se delega completamente al proveedor de IA. El implementador es responsable de la evaluación, no el proveedor. Los proveedores pueden suministrar documentación para ayudar, pero la FRIA debe reflejar el contexto específico de despliegue, no solo el modelo en abstracto. Un modelo de scoring crediticio desplegado por el Banco A en Alemania para préstamos al consumo en 2026 debe tener una FRIA diferente del mismo modelo desplegado por el Banco B para préstamos a pymes en Francia.

Brecha 2: Los mecanismos de supervisión humana existen sobre el papel pero no en la práctica. Muchas organizaciones han documentado que un humano revisa las recomendaciones de IA, pero no se han asegurado de que los humanos reciban la información que necesitarían para anular de manera significativa la IA. Un estudio de AlgorithmWatch publicado en abril de 2026 encontró que en el 78% de los despliegues de IA en RRHH encuestados, el revisor humano no tenía acceso a la puntuación de confianza del modelo ni a las tasas de error conocidas en el momento de la revisión.

Brecha 3: La documentación de datos de entrenamiento es anterior a la Ley y no cumple con el artículo 10. Los sistemas construidos antes de 2024 a menudo carecen de registros adecuados de las decisiones de selección de fuentes de datos y evaluaciones de sesgos. Reconstruir retroactivamente esta documentación es difícil y, en muchos casos, imposible para sistemas donde los datos originales ya no existen. La respuesta pragmática es tratar el reentrenamiento o una actualización significativa del modelo como un desencadenante de cumplimiento para producir documentación conforme a partir de ese momento.

Pasos prácticos para el cumplimiento ahora

  1. Mapea tu inventario de IA con las categorías de alto riesgo. El artículo 6 y el Anexo III enumeran las categorías con precisión. Si usas IA en selección de personal, evaluación de solvencia crediticia, elegibilidad de beneficios o asistencia a la aplicación de la ley, estás dentro del alcance. No asumas que usar un proveedor externo significa que no eres el implementador a efectos de la ley.
  2. Prioriza la finalización de la FRIA para sistemas ya desplegados. La ley no concede un período de gracia para sistemas ya en uso. Si tu sistema se desplegó antes del 2 de mayo de 2026, estás en infracción si no tienes una FRIA conforme. Complétala ahora, con una fecha de despliegue precisa, y documenta las acciones de remediación.
  3. Audita tu documentación de supervisión humana. ¿Puedes demostrar que los revisores humanos de las salidas de IA han sido formados sobre las limitaciones del sistema? ¿Tus flujos de trabajo registran que un humano revisó realmente la decisión, o solo que el sistema produjo una recomendación?
  4. Implementa monitoreo de deriva en el rendimiento del modelo. Define tus umbrales de precisión, establece una cadencia de monitoreo y documenta qué desencadena una revisión o suspensión del sistema. Esto no requiere herramientas sofisticadas: una auditoría trimestral de precisión contra un conjunto de datos de evaluación reservado es mejor que nada.
  5. Involucra a tus proveedores de IA en las obligaciones compartidas de documentación. Los proveedores de sistemas de IA de alto riesgo tienen sus propias obligaciones según la Ley. Solicita su documentación técnica y evaluaciones de conformidad, y verifica que tengan el marcado CE cuando corresponda. Usar un sistema de IA de un proveedor que no pueda suministrar esta documentación es en sí mismo una exposición al cumplimiento.

El régimen de ejecución de la Ley de IA tiene más dientes que el GDPR en su lanzamiento. La Oficina Europea de IA es un organismo dedicado con personal técnico, y las multas escalan con el volumen de negocio en lugar de estar limitadas a una cantidad fija. Las organizaciones que trataron el 2 de mayo de 2026 como un momento de casilla de verificación en lugar de un cambio operativo real están asumiendo un riesgo legal medible.

complianceprivacydata-governancegdprai regulationeu-ai-acthigh-risk-ai
Compartir:
Las obligaciones de datos de la Ley de IA de la UE entraron en vigor en mayo de 2026: qué deben hacer ahora las empresas que despliegan sistemas de IA | IRCNF - Intelligent Reliable Custom Next-gen Frameworks