El Digital Omnibus (jun 2026) aplaza las obligaciones de alto riesgo del Anexo III al 2 de diciembre de 2027 — scoring crediticio y tarificación de vida/salud incluidos — pero la transparencia del Art. 50 entra en vigor el 2 de agosto de 2026 y las prohibiciones ya aplican. Marca los controles que tienes implementados; los que no, son tu plan de trabajo hasta diciembre de 2027.
Censo completo de todos los sistemas de IA en uso o en desarrollo — incluidos los embebidos en productos de terceros y el shadow AI de negocio. Cada sistema clasificado: prohibido, alto riesgo (Anexo III), riesgo de transparencia o riesgo mínimo. En banca y seguros, el scoring crediticio y la tarificación de vida/salud son alto riesgo por defecto.
Las obligaciones difieren radicalmente según el rol. Si compras un sistema de alto riesgo y lo usas conforme a instrucciones, eres responsable del despliegue (deployer). Si lo desarrollas, lo comercializas con tu marca o lo modificas sustancialmente — incluido el fine-tuning relevante — puedes convertirte en proveedor y heredar todas sus obligaciones.
Las prohibiciones (manipulación subliminal, social scoring, reconocimiento de emociones en el trabajo...) y el deber de alfabetización en IA son exigibles desde febrero de 2025. Verifica que ningún caso de uso actual roza una práctica prohibida y que el personal que opera sistemas de IA tiene formación documentada.
Proceso iterativo documentado: identificación de riesgos para salud, seguridad y derechos fundamentales, estimación, evaluación y medidas de mitigación. No es un assessment puntual — debe revisarse con cada cambio del sistema, de los datos o del contexto de uso.
Los datasets de entrenamiento, validación y prueba deben ser pertinentes, suficientemente representativos y, en la medida de lo posible, completos y libres de errores para el propósito. Documenta origen, criterios de selección, tratamiento de sesgos y limitaciones conocidas.
Descripción general del sistema, arquitectura, lógica de desarrollo, métricas de rendimiento, resultados de validación y medidas de supervisión humana. Es el expediente que el supervisor pedirá primero — y debe existir antes de comercializar o poner en servicio el sistema.
El sistema debe registrar automáticamente eventos relevantes durante su funcionamiento: periodos de uso, datos de entrada contra los que se ha ejecutado, resultados. El responsable del despliegue debe conservar estos logs al menos 6 meses, salvo que otra norma exija más.
Instrucciones de uso claras: capacidades, limitaciones, nivel de precisión esperado, circunstancias de mal uso razonablemente previsible y requisitos de supervisión humana. Además, informar a las personas afectadas cuando proceda — en banca, el cliente cuyo crédito evalúa una IA tiene derecho a explicación de decisiones individuales.
Medidas que permitan a personas físicas comprender el sistema, detectar anomalías, interpretar correctamente el output, decidir no usarlo o revertir sus decisiones. "Un humano revisa" no basta: hay que demostrar que puede intervenir de forma efectiva y que no sufre sesgo de automatización.
Niveles de precisión y métricas relevantes declarados en las instrucciones de uso. Resiliencia frente a errores, fallos e inconsistencias. Protección específica frente a ataques de IA: data poisoning, model evasion, adversarial examples y ataques a la cadena de suministro del modelo.
Para proveedores: QMS documentado, evaluación de conformidad superada, declaración UE de conformidad firmada, marcado CE y registro del sistema en la base de datos de la UE antes de la puesta en el mercado. Las entidades financieras pueden integrar parte del QMS en su marco de gobernanza interna existente.
Obligatoria para responsables del despliegue de scoring crediticio y tarificación de seguros de vida/salud, entre otros: procesos afectados, colectivos, riesgos para derechos fundamentales y medidas de mitigación. En España, la AESIA es la autoridad de vigilancia — y las sanciones por incumplimiento en alto riesgo alcanzan 15 M€ o el 3% de la facturación global.
¿Gaps detectados?
Si tienes sistemas de IA en producción o en roadmap y alguno de estos controles está en rojo, escríbeme. Trabajo con banca y seguros en la operacionalización de IA bajo regulación — desde el inventario inicial hasta el modelo de gobierno en producción.
Documento elaborado por Jesús Roales — Cloud & Cyber Sales Leader, GFT IT Consulting. Julio 2026.
Basado en el Reglamento (UE) 2024/1689 (AI Act) y las guías de la Comisión Europea y la AESIA disponibles a fecha de publicación.
Este checklist es orientativo y no sustituye el asesoramiento legal o regulatorio especializado.