Cumplir el reglamento europeo de inteligencia artificial suena a tarea de despacho: densa, cara y ajena. Para una empresa que simplemente usa IA en su operación, la pregunta práctica es más sencilla: ¿qué tengo que hacer, en qué orden, sin tener que volverme experto en la norma? Conviene saberlo, porque cumplir no es un acto único de última hora, sino una secuencia. Estos son los pasos, del primero al último.

Paso 1 — Sepa qué IA tiene, y en qué casilla cae

No se puede cumplir lo que no se ha inventariado. El primer paso no es legal: es hacer la lista de los sistemas de IA que su empresa usa o desarrolla, y para qué sirve cada uno. Sobre esa lista se decide todo lo demás, porque el Reglamento europeo de IA (Fuente: Reglamento (UE) 2024/1689, EUR-Lex, 2024) no trata igual a todos los sistemas: los clasifica según su riesgo —prohibidos, de alto riesgo, o con obligaciones de transparencia— y de esa casilla depende qué le exige (Fuente: Reglamento (UE) 2024/1689, art. 6 y anexo III, EUR-Lex, 2024).

Decir "lo mío no es de alto riesgo" no le exime del trabajo: si su sistema entra en una de las categorías del anexo III, tiene que poder documentar por escrito por qué no lo es, antes de comercializarlo (art. 6(4)). Y si el sistema elabora perfiles de personas, es de alto riesgo en todo caso. Cómo situar cada sistema en su casilla lo explicamos en ¿Su IA es de «alto riesgo»? Cómo saberlo sin ser abogado. Hasta no tener este paso resuelto, los demás son prematuros.

Paso 2 — Si es de alto riesgo, monte el sistema que la ley pide

Para los sistemas de alto riesgo, el Reglamento no pide buenas intenciones: pide un sistema de gestión de la calidad documentado por escrito (art. 17). Traducido, es el conjunto de procedimientos que demuestran que controla su IA. La ley enumera trece aspectos; los que un consejo reconoce enseguida son (Fuente: Reglamento (UE) 2024/1689, art. 17(1), EUR-Lex, 2024):

  • Gestión de datos (f): cómo entran, se etiquetan, se guardan y se filtran los datos que alimentan el sistema — escrito, no en la cabeza de alguien.
  • Gestión de riesgos (g): un registro vivo de qué puede salir mal y qué hace usted para evitarlo.
  • Vigilancia poscomercialización (h) y notificación de incidentes graves (i): qué pasa cuando el sistema ya está en producción y algo falla — cómo se detecta y a quién se avisa.
  • Registros y documentación (k): el rastro que un auditor o un regulador pedirá. Si no existe, da igual que el sistema funcione bien.
  • Rendición de cuentas (m): quién responde de qué, con nombres.

Importa un matiz que evita el pánico: el art. 17(2) precisa que la aplicación es proporcional al tamaño de la organización. Para una pyme no significa la misma carga documental que para una multinacional (Fuente: Reglamento (UE) 2024/1689, art. 17(2), EUR-Lex, 2024). Qué cuesta no tener este sistema —los tramos de multa— lo detallamos en Multas del reglamento de IA; aquí basta con saber que el sistema del artículo 17 es, precisamente, lo que se mira.

Paso 3 — Sitúese en el calendario

El Reglamento no se aplica todo el mismo día. Llega por fases, y eso permite tratarlo como un programa por hitos, no como una fecha única (Fuente: Reglamento (UE) 2024/1689, art. 113, EUR-Lex, 2024):

  • Desde el 2 de febrero de 2025, son exigibles las prohibiciones y la obligación de alfabetización en IA.
  • Desde el 2 de agosto de 2025, se aplican, entre otras cosas, las obligaciones de los modelos de propósito general y el capítulo de sanciones.
  • El 2 de agosto de 2026 es la fecha general de aplicación, que incluye la mayor parte del régimen de alto riesgo.

Una advertencia de honestidad: hay en discusión a nivel europeo un aplazamiento de parte del régimen de alto riesgo, acordado de forma provisional pero aún no adoptado formalmente (Fuente: Consejo de la UE, 2026). Hasta que se confirme, las fechas vigentes son las de arriba. La consecuencia práctica no cambia: el trabajo del paso 2 lleva meses, así que el calendario se planifica hacia atrás desde la fecha que le aplique.

Paso 4 — Apóyese en las guías oficiales

No hace falta empezar de cero ni inventar la documentación. Como resultado de su entorno controlado de pruebas, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) publicó en diciembre de 2025 un paquete de quince guías de apoyo al cumplimiento del Reglamento para sistemas de alto riesgo, con listas de comprobación sobre gestión de riesgos, gobernanza de datos, transparencia y ciberseguridad, entre otras (Fuente: La Moncloa, 2025). Son el estándar práctico nacional y un buen molde para cualquier política interna. Quién es AESIA y qué papel cumple lo explicamos en AESIA: qué es y qué le pide a su empresa.

Cumplir es poner orden, no volverse jurista

Vistos en fila, los cuatro pasos tienen algo en común: ninguno es un truco legal de última hora. Son orden. Saber qué sistemas de IA tiene, en qué casilla cae cada uno, con qué procedimientos los controla y con qué documentación lo sostiene. Esa misma base es la que responde al regulador cuando pregunta —no un PDF que se firma para la inspección, sino la arquitectura de su sistema, ordenada para que cualquiera pueda comprobar qué hace.

Por eso en nuestro método el inventario y la clasificación son lo primero que queda por escrito, y el sistema de gestión se construye sobre esa base, no se añade al final. Cumplir, visto así, no es convertirse en experto en la norma: es poner orden y dejar el rastro. Quien lo tiene no teme la inspección, porque puede señalar la evidencia.