Checklist interactivo para verificar tu cumplimiento con el AI Act según tu rol en la organización. DPO, Director de RRHH, CIO, Comité de Dirección y directivos de pymes.
El error más frecuente ante el AI Act: creer que un solo departamento puede asumir el cumplimiento. El DPO no puede hacerlo todo solo. El CIO tampoco. El cumplimiento del AI Act moviliza competencias jurídicas, técnicas, de RRHH y estratégicas — solo puede tener éxito si cada rol asume sus responsabilidades específicas.
Este capítulo le propone un checklist interactivo por rol para identificar con precisión lo que le concierne y hacer seguimiento de su progreso.
El DPO (o el responsable de cumplimiento) desempeña un papel central. Debe inventariar todos los sistemas de IA, clasificarlos según los niveles de riesgo definidos por el reglamento y asegurarse de que no se utilicen prácticas prohibidas en la organización.
Es también el enlace entre la dirección, el CIO y el Director de RRHH: coordina los esfuerzos y prepara las pruebas ante una posible auditoría de la AEPD o de otras autoridades nacionales competentes.
Artículo 26, apartado 5 — Règlement (UE) 2024/1689
Los responsables del despliegue de sistemas de IA de alto riesgo supervisarán el funcionamiento del sistema de IA de alto riesgo sobre la base de las instrucciones de uso y […] informarán al proveedor o distribuidor y a la autoridad de vigilancia del mercado competente.
El Artículo 4 sitúa la formación en IA en el centro del cumplimiento. El Director de RRHH es la persona mejor posicionada para desplegar un programa de desarrollo de competencias adaptado a cada perfil de colaborador.
Esto va más allá de organizar un webinar. Hay que poder documentar el itinerario formativo, medir los resultados y producir pruebas de que el nivel de competencia en IA es proporcional al rol de cada persona.
📄AI Act Artículo 4: la obligación de formación en IA explicada→El CIO tiene la responsabilidad de cartografiar todos los sistemas de IA desplegados — incluidos los adoptados por las áreas de negocio sin aprobación (shadow AI). Para cada sistema clasificado como de alto riesgo, debe implementar la documentación técnica, garantizar la trazabilidad de las decisiones algorítmicas e integrar los mecanismos de supervisión humana requeridos.
El desafío más frecuente: las herramientas de IA integradas en software de terceros (CRM, ERP, suites ofimáticas). El CIO debe identificar estos componentes de IA “invisibles” y verificar su nivel de riesgo. En España, esto incluye también las plataformas reguladas del Banco de España utilizadas por BBVA, Santander y CaixaBank, así como los sistemas automatizados de la Agencia Tributaria y la Seguridad Social.
📄Shadow IT en la empresa: riesgos y soluciones en 2026→La alta dirección debe validar la estrategia de cumplimiento, asignar los presupuestos (especialmente para la formación del Artículo 4) y nombrar un responsable del AI Act. Hace seguimiento del avance mediante un cuadro de mando de cumplimiento y anticipa los plazos regulatorios para evitar sorpresas.
El principal riesgo para la dirección: la subestimación presupuestaria. El cumplimiento del AI Act tiene un coste — pero es muy inferior a las sanciones potenciales (hasta 35 millones de euros o el 7 % de la facturación mundial).
Las pymes no están exentas del AI Act. Pero el enfoque debe ser proporcionado: identificar si la empresa utiliza sistemas de IA (incluso indirectamente a través de software de terceros), formar a los equipos en buenas prácticas, verificar el cumplimiento de los proveedores y documentar los usos.
Para una pyme, la prioridad absoluta es el Artículo 4: un programa de formación documentado, incluso sencillo, basta para demostrar la buena fe de la organización.
Seleccione su rol y marque las acciones ya realizadas. Su progreso se guarda localmente en su navegador — puede volver en cualquier momento.
Selectionnez votre role :
El checklist por rol es útil para clarificar las responsabilidades individuales. Pero el cumplimiento del AI Act exige una coordinación activa entre funciones. Estos son los mecanismos esenciales.
Reúna al DPO, Director de RRHH, CIO y un miembro del comité de dirección en un comité dedicado que se reúna mensualmente. El objetivo: compartir avances, desbloquear obstáculos y arbitrar prioridades. Sin este comité, cada función avanza en silo y los puntos ciegos se multiplican.
El DPO coordina, el CIO aporta la cartografía técnica, el Director de RRHH identifica los usos de negocio. El inventario debe ser único, compartido y actualizado regularmente. Una hoja de cálculo puede bastar para empezar — lo importante es que exista y sea completo.
El programa de formación liderado por el Director de RRHH debe estar calibrado en función de la clasificación de riesgos establecida por el DPO. Los colaboradores que utilizan sistemas de alto riesgo necesitan una formación más profunda que quienes usan un simple asistente conversacional.
No espere a una inspección para constituir su expediente. Cada acción de cumplimiento debe estar documentada con fecha, responsable y entregable. La carga de la prueba recae en la organización: le corresponde demostrar que ha actuado.
📄Gobernanza de IA en la empresa: 5 pasos para estructurarse→El reto de la trazabilidad
El AI Act no exige perfección — exige prueba del esfuerzo. Un programa de formación documentado, un inventario de sistemas de IA actualizado, actas de un comité de cumplimiento: estos elementos constituyen su primera línea de defensa en caso de inspección. La ausencia total de documentación es, en cambio, una falta manifiesta.