Documentación
Guías paso a paso para que su empresa cumpla el EU AI Act.
Primeros pasos
~15 minutos para dar de alta su primer sistema de IA
Cree su cuenta
Acceda a la página de registro e introduzca su nombre, su email de empresa y una contraseña. Recibirá un email de confirmación. No se necesita tarjeta de crédito para la prueba de 14 días.
Configure su organización
Indique el nombre de la empresa, el país, el sector y el tamaño. Esta información ayuda a la plataforma a preseleccionar las obligaciones aplicables (p. ej., las organizaciones del sector público tienen requisitos adicionales según el anexo III).
Añada su primer sistema de IA
Desde el panel, haga clic en «Añadir sistema de IA». Asígnele un nombre, una breve descripción y la finalidad prevista (p. ej., «herramienta de cribado de candidatos para RR. HH.» o «chatbot de atención al cliente»). Cada herramienta, aplicación o modelo que utilice IA necesita su propia entrada.
Ejecute el asistente de clasificación
Responda a 8–12 preguntas en lenguaje sencillo sobre el sistema. La plataforma determina automáticamente el nivel de riesgo (prohibido, alto riesgo, obligaciones de transparencia, riesgo mínimo o GPAI) y enumera las obligaciones exactas que se aplican.
Suba el manual de uso
Según el Art. 13 + Art. 26(1), todo sistema de IA debe tener las instrucciones de uso del proveedor almacenadas y accesibles. Suba el manual (PDF, DOCX o URL) al Document Vault. Este paso es obligatorio antes del despliegue.
Registre el despliegue
Antes de la puesta en marcha, confirme el despliegue: seleccione la persona responsable (operador del despliegue), la fecha de entrada en funcionamiento y el entorno de uso previsto. Esto crea el registro de auditoría inmutable que exige el Art. 26.
Clasificación de riesgo
Cómo funciona el motor y cómo interpretar el resultado
Los cinco niveles de riesgo
Prácticas prohibidas de plano por el Art. 5 (p. ej., puntuación social o vigilancia biométrica en tiempo real en espacios públicos; el paquete Ómnibus prohíbe además la generación mediante IA de imágenes íntimas no consentidas y de material de abuso sexual de menores, con cumplimiento exigible antes del 2 de diciembre de 2026). Estos sistemas no deben desplegarse.
Sistemas incluidos en el anexo I (componentes de seguridad de productos regulados) o en el anexo III (IA en selección de personal, calificación crediticia, aplicación de la ley, educación, infraestructuras críticas, etc.). Se aplica el conjunto completo de obligaciones.
Sistemas que interactúan con personas (chatbots, detección de emociones, deepfakes). Deben revelar que son IA — Art. 50.
Modelos de IA de uso general integrados en su producto (GPT-4o, Claude, Gemini, etc.). Activan obligaciones adicionales en virtud de los Art. 53–55 si realiza un ajuste fino del modelo o lo integra de forma sustancial.
La mayoría de las herramientas de IA (filtros de spam, motores de recomendación, herramientas de productividad asistidas por IA). Sin obligaciones vinculantes — se recomienda documentar las buenas prácticas.
Cómo funciona el motor de clasificación
El motor se basa en reglas (es determinista), no en aprendizaje automático. Aplica un árbol de decisión de ~30 reglas derivadas directamente del texto del EU AI Act y de las directrices de la Comisión sobre el Art. 3 y el Art. 6. Cada decisión es explicable y auditable: puede ver la regla exacta que activó la clasificación.
Cuándo volver a clasificar
Vuelva a ejecutar la clasificación cuando: (1) cambie la finalidad prevista del sistema, (2) el sistema se modifique de forma sustancial (nuevos datos de entrenamiento, nuevas funciones) o (3) entren en vigor nuevas normas (p. ej., las modificaciones del Ómnibus). La plataforma le avisará cuando sea necesaria una reclasificación.
Document Vault
Qué subir y cómo funciona la retención
Documentos requeridos por nivel de riesgo
| Documento | Alto riesgo | Transparencia | Mínimo | Base jurídica |
|---|---|---|---|---|
| Manual de uso (proveedor) | ✅ Required | — | ✅ Recommended | Art. 13 + Art. 26(1) |
| Informe FRIA | ✅ Si se aplica el Art. 27 | — | — | Art. 27 |
| DPIA / Art. 35 RGPD | ✅ Required | — | — | Art. 26(9) |
| Registro en la base de datos de la UE (uso) | ✅ Solo organismos públicos | — | — | Art. 49(3) |
| Aviso de transparencia (usuarios) | ✅ Required | ✅ Required | — | Art. 50 + Art. 26(11) |
| Registro de operaciones (6 meses) | ✅ Required | — | — | Art. 26(5) + Art. 12 |
| Informes de incidentes | ✅ Required | ✅ If serious | — | Art. 73 |
| Registro de revisión anual | ✅ Required | — | — | Art. 26 |
Formatos de archivo aceptados
PDF, DOCX, XLSX, PNG, JPG (máx. 50 MB por archivo). Todos los archivos se analizan en busca de malware al subirlos. También se admiten enlaces URL a documentos externos (SharePoint, Google Drive) con una nota de referencia.
Política de retención de documentos
El Art. 12 exige conservar los registros durante al menos 6 meses tras el final de la vida del sistema de IA. La plataforma marca automáticamente los documentos que se acercan al final de su periodo de retención y envía recordatorios 30 días antes de que su eliminación sea posible.
API Enterprise y webhooks
API REST para integrar los datos de cumplimiento con herramientas externas de GRC, BPM o BI.
La API Enterprise ofrece acceso programático a sus datos de cumplimiento. Autentíquese con un token de acceso personal generado en la plataforma.
| Method | Path | Descripción |
|---|---|---|
| GET | /api/v1/me | Información del usuario autenticado |
| GET | /api/v1/ai-systems | Lista de sistemas de IA (filtrable) |
| GET | /api/v1/ai-systems/{id} | Un sistema de IA concreto |
| GET | /api/v1/obligations | 28 obligaciones con su estado |
| GET | /api/v1/incidents | Lista de incidentes |
| POST | /api/v1/incidents | Crea un incidente + dispara el webhook |
Eventos de webhook
incident.created
ai_system.classified
ai_system.deployed
ai_system.retired
Las cargas útiles se firman con HMAC-SHA256. Verifique la cabecera X-EuAiComply-Signature en cada solicitud.