Cumplimiento

Software de cumplimiento del AI Act: guía 2026

Software de cumplimiento del AI Act en 2026: inventario de sistemas de IA, clasificación de riesgo, documentación técnica y sinergias con el RGPD (EIPD y FRIA).

También disponible en:English·Français·Italiano·Deutsch

¿Qué debe hacer un software de cumplimiento del AI Act? Respuesta directa: inventariar los sistemas de inteligencia artificial de la organización, clasificar cada uno por nivel de riesgo (prohibido, alto, limitado, mínimo), generar y mantener la documentación técnica exigida a los sistemas de alto riesgo, y articular las sinergias con el RGPD mediante la evaluación de impacto de protección de datos (EIPD) y la evaluación de impacto sobre los derechos fundamentales (FRIA, art. 27). El Reglamento (UE) 2024/1689 se aplica por fases: las prácticas prohibidas desde febrero de 2025, las obligaciones de los modelos de IA de propósito general desde agosto de 2025 y los sistemas de alto riesgo desde agosto de 2026. En España, la supervisión recae en la AESIA, primera agencia de este tipo de la UE.

Esta guía explica qué debe cubrir la herramienta y cómo aprovechar lo que ya tiene de su cumplimiento del RGPD.

Puntos clave

  • Un software AI Act debe inventariar, clasificar por riesgo y documentar los sistemas de IA.
  • Aplicación por fases: prácticas prohibidas (feb. 2025), GPAI (ago. 2025), alto riesgo (ago. 2026).
  • España tiene la AESIA, primera agencia de supervisión de IA de la UE, y un sandbox regulatorio nacional.
  • El AI Act no sustituye al RGPD: ambos se aplican a la vez cuando la IA trata datos personales.

Qué debe cubrir un software de cumplimiento del AI Act

El AI Act clasifica los sistemas por riesgo, y las obligaciones dependen de esa clasificación. Un software serio debe soportar el ciclo completo:

  • Inventario de sistemas de IA. Un catálogo de todos los sistemas de IA usados o desarrollados por la organización, propios y de terceros. Sin inventario no hay clasificación posible.
  • Clasificación de riesgo. Asignar a cada sistema su categoría: prohibido (art. 5), alto riesgo (Anexo III), riesgo limitado con obligaciones de transparencia (art. 50) o mínimo.
  • Documentación técnica. Para los sistemas de alto riesgo, la documentación de los arts. 9-15: gestión de riesgos, gobernanza de datos, registro de eventos, transparencia, supervisión humana y robustez.
  • Evaluaciones y conformidad. Gestión de la evaluación de conformidad y, cuando proceda, la FRIA del art. 27.
  • Trazabilidad y gobernanza. Registro de decisiones, responsables y cambios, para demostrar diligencia ante la autoridad.

La clasificación es el corazón del sistema: determina si un uso está prohibido, si exige documentación exhaustiva o si basta con informar al usuario de que interactúa con una IA.

Comparación de enfoques de herramienta

Criterio Módulo IA en GRC/RGPD Herramienta AI Act específica
Inventario de IA Integrado con el RAT Nativo y detallado
Clasificación de riesgo Guiada Guiada + Anexo III
Documentación técnica Básica Completa (arts. 9-15)
Sinergia con el RGPD Alta Variable
Ideal para Empresas que usan IA de terceros Proveedores de IA de alto riesgo

Para la mayoría de las organizaciones —que usan IA de terceros más que la desarrollan—, un módulo de IA integrado en su plataforma de cumplimiento del RGPD suele ser suficiente, porque el inventario de sistemas se conecta con el registro de actividades de tratamiento y la FRIA se apoya en la evaluación de impacto del RGPD. Para los proveedores de sistemas de alto riesgo, que soportan las obligaciones más pesadas, tiene sentido una herramienta específica que cubra la documentación técnica completa de los arts. 9-15. Plataformas europeas como Legiscope permiten gestionar el inventario y las evaluaciones de forma integrada con el software de cumplimiento del RGPD, lo que evita duplicar el trabajo entre ambos marcos.

Las sinergias con el RGPD: no empiece de cero

El error más común es tratar el AI Act como un mundo aparte. No lo es. Cuando un sistema de IA trata datos personales —casi siempre—, el RGPD y el AI Act se aplican a la vez. Y buena parte del trabajo se solapa:

  • El inventario de sistemas de IA se conecta con el registro de tratamientos: cada sistema que procesa datos ya debería figurar en su RAT.
  • La FRIA del art. 27 comparte estructura y metodología con la EIPD del art. 35 RGPD. En muchos casos, una evaluación integrada cubre ambas obligaciones.
  • La gobernanza de datos de entrenamiento (art. 10 AI Act) enlaza con los principios de minimización y limitación de la finalidad del RGPD.
  • La transparencia hacia las personas afectadas es una obligación compartida.

Aprovechar estas sinergias reduce drásticamente el esfuerzo. Una organización con su cumplimiento del RGPD maduro parte con medio camino recorrido; le queda añadir la capa de clasificación de riesgo y la documentación técnica específica de la IA. El Comité Europeo de Protección de Datos ha publicado orientaciones sobre la intersección entre IA y protección de datos que conviene incorporar.

Cómo clasificar sus sistemas de IA paso a paso

La clasificación de riesgo es la operación central del AI Act y la que más valor aporta un software. Se hace en una secuencia clara que la herramienta debe guiar:

  1. Inventaríe cada sistema de IA. Incluya tanto los sistemas propios como los de terceros integrados en sus procesos: chatbots, herramientas de selección de personal, sistemas de puntuación, generadores de contenido. Lo que no está inventariado no se puede clasificar.

  2. Descarte las prácticas prohibidas. Compruebe que ningún sistema incurre en las prácticas del art. 5 (puntuación social, categorización biométrica sensible, manipulación). Si alguno lo hace, debe retirarse: la prohibición ya es exigible.

  3. Identifique los sistemas de alto riesgo. Contraste cada sistema con la lista del Anexo III (empleo, educación, servicios esenciales, biometría, aplicación de la ley). Los sistemas de alto riesgo soportan las obligaciones más pesadas.

  4. Marque las obligaciones de transparencia. Los sistemas de riesgo limitado —los que interactúan con personas o generan contenido sintético— deben informar de su naturaleza artificial (art. 50).

  5. Documente la decisión. Registre por qué cada sistema queda en una categoría u otra. Esa justificación es la primera evidencia que pedirá la autoridad.

  6. Reevalúe ante cambios. Un cambio de finalidad puede alterar la clasificación de un sistema. La herramienta debe alertar cuando un sistema cambia de uso.

Este ejercicio, hecho una vez y mantenido vivo, convierte una obligación difusa en una lista concreta de sistemas con sus tareas asociadas. Las guías que vaya publicando la Agencia Española de Protección de Datos sobre IA y datos personales ayudan a afinar la clasificación cuando hay tratamiento de datos de por medio.

El contexto español: AESIA y el sandbox

España fue el primer Estado miembro en crear una agencia dedicada, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña. Además, España ha impulsado un sandbox regulatorio de IA, un entorno controlado donde las empresas pueden probar sistemas de alto riesgo bajo supervisión antes de su comercialización. Para las empresas españolas, esto significa que la autoridad de referencia en materia de IA no será solo la Agencia Española de Protección de Datos —competente cuando hay datos personales—, sino también la AESIA para las obligaciones propias del AI Act. Coordinar ambos frentes es parte del diseño de cualquier herramienta de cumplimiento. Y si el sistema de IA forma parte de una infraestructura crítica, puede entrar además en el ámbito de la transposición de NIS2 en España.

Véase también: Reglamento de Inteligencia Artificial y sistemas de IA de alto riesgo.

FAQ

¿Desde cuándo es obligatorio cumplir el AI Act?

El AI Act se aplica por fases. Las prácticas de IA prohibidas son exigibles desde febrero de 2025; las obligaciones de los modelos de propósito general (GPAI), desde agosto de 2025; y el grueso de las obligaciones de los sistemas de alto riesgo, desde agosto de 2026. Conviene preparar el inventario y la clasificación con antelación a esta última fecha.

¿El AI Act sustituye al RGPD?

No. Son marcos complementarios que se aplican en paralelo. Cuando un sistema de IA trata datos personales, la organización debe cumplir el RGPD (base jurídica, información, derechos, EIPD) y, además, las obligaciones del AI Act según el nivel de riesgo del sistema. Ninguno desplaza al otro.

¿Necesito un software específico o me basta con mi herramienta de RGPD?

Depende de su papel. Si su organización usa sistemas de IA de terceros, un módulo de IA integrado en su plataforma de cumplimiento del RGPD suele bastar, porque reaprovecha el inventario y las evaluaciones. Si desarrolla y comercializa sistemas de alto riesgo, necesitará una herramienta que cubra la documentación técnica completa de los arts. 9-15.

Conclusión

El mejor software de cumplimiento del AI Act es el que se apoya en su cumplimiento del RGPD en lugar de duplicarlo: inventario conectado con el RAT, FRIA integrada con la EIPD y una capa de clasificación de riesgo clara. Para la mayoría de empresas que usan IA de terceros, un módulo integrado es suficiente; los proveedores de alto riesgo necesitan más. Antes de decidir, revise su base de cumplimiento con la checklist RGPD para España, verifique que cada sistema figura en su registro de actividades de tratamiento y coordine ambos marcos desde el principio. Empezar por el inventario, y no por la herramienta, es lo que separa un proyecto ordenado de una carrera improvisada contra el plazo de agosto de 2026.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →