Saltar al contenido principal

Registro de sistemas de IA: qué es y cómo se hace

El registro de sistemas de IA es el documento que casi cualquier inspector, cliente corporativo o auditor va a pedir primero si tu empresa usa inteligencia artificial. Es, en esencia, un inventario: qué sistemas usas, para qué, con qué proveedor y con qué nivel de riesgo.

Qué es el registro de sistemas de IA

El registro de sistemas de IA es un inventario interno de las herramientas de inteligencia artificial que tu empresa usa como deployer. No es un documento técnico dirigido a desarrolladores, sino una lista clara pensada para que cualquiera, incluida una autoridad de supervisión, entienda de un vistazo qué usa tu empresa y con qué controles.

El Reglamento de IA (Reglamento UE 2024/1689) no obliga a las empresas deployer a mantener un registro con ese nombre exacto, pero exige que puedan acreditar la clasificación de riesgo de los sistemas que usan y las medidas de transparencia y alfabetización aplicadas. El registro es la forma práctica de tener toda esa información en un solo sitio.

Ejemplo de tabla de registro

Sistema Proveedor Finalidad Clasificación de riesgo
ChatGPT (versión empresa) OpenAI Redacción de textos y atención a consultas internas Riesgo mínimo
Chatbot de atención al cliente en la web Proveedor externo con IA integrada Responder consultas de clientes en la web Riesgo limitado (artículo 50)
Herramienta de cribado de currículums Proveedor de software de RR. HH. Preseleccionar candidatos en procesos de contratación Alto riesgo (anexo III)
Identificación biométrica remota en tiempo real Ejemplo de uso no permitido Identificar personas en espacios de acceso público Práctica prohibida (artículo 5)

Cuantos más sistemas use tu empresa, más importante es mantener esta tabla actualizada. Cada fila debería llevar además la fecha de alta, quién lo usa dentro de la empresa y un breve control de supervisión humana, aunque el ejemplo anterior se limita a las cuatro columnas esenciales.

¿No sabes en qué categoría cae un sistema?

Responde 9 preguntas y descubre en 2 minutos si un sistema concreto es de riesgo prohibido, alto, limitado o mínimo.

Las cuatro clasificaciones de riesgo, en lenguaje llano

  • Práctica prohibida (artículo 5): usos que el Reglamento prohíbe directamente, como la puntuación social o la manipulación subliminal. Si un sistema cae aquí, no se puede usar, punto.
  • Alto riesgo (anexo III): sistemas que afectan a decisiones importantes sobre personas, como selección de personal, scoring crediticio o evaluación educativa. El Digital Omnibus movió sus obligaciones a diciembre de 2027, pero conviene empezar a prepararlas.
  • Riesgo limitado (artículo 50): sistemas que interactúan con personas o generan contenido, como chatbots o generadores de imágenes. La obligación principal es informar de que se trata de IA; aplica desde el 2 de agosto de 2026.
  • Riesgo mínimo: el resto de sistemas, como un corrector de texto o un asistente de productividad interno sin impacto directo en terceros. No tienen obligaciones específicas, aunque siguen dentro del alcance del artículo 4 si el personal los opera de forma habitual.

Cómo mantener el registro actualizado

Un registro que se hace una vez y no se vuelve a tocar pierde valor rápidamente, porque las empresas cambian de herramientas de IA con frecuencia. Lo razonable es revisarlo cada vez que se incorpora o se retira un sistema, y como mínimo una vez al año, igual que la política de uso de IA que debería acompañarlo.

En GDPR.Direct puedes generar el registro directamente a partir de un catálogo de herramientas habituales, como ChatGPT, Copilot o Gemini, más entrada libre para sistemas propios, con la clasificación de riesgo calculada automáticamente.

Crear mi registro de sistemas de IA →

Sigue leyendo

Preguntas frecuentes

¿Es obligatorio tener un registro de sistemas de IA?

El Reglamento no usa literalmente esa expresión para deployers, pero exige poder acreditar la clasificación de riesgo y las medidas aplicadas a cada sistema. El registro es la manera práctica de cumplir esa exigencia y de responder rápido si te lo piden.

¿Tengo que incluir herramientas gratuitas como ChatGPT?

Sí. La obligación no depende de si pagas por la herramienta ni de quién sea el proveedor, sino de si tu empresa la usa bajo su propia autoridad para su actividad. Un plan gratuito de ChatGPT usado por el equipo de marketing entra igual que una herramienta de pago.

¿Qué pasa si tengo un sistema de alto riesgo?

Con el aplazamiento del Digital Omnibus, las obligaciones plenas de los sistemas del anexo III no empiezan hasta diciembre de 2027. Aun así, conviene documentarlo ya en el registro y empezar a preparar la supervisión humana con margen.

¿Quién debe tener acceso al registro dentro de la empresa?

Como mínimo, la persona responsable de cumplimiento o dirección debería mantenerlo actualizado, y cualquier persona que incorpore una nueva herramienta de IA debería saber que tiene que comunicarlo para que se añada.

Contenido orientativo; no constituye asesoramiento jurídico.

Vuelve al inicio o revisa qué sistemas usa tu empresa con el test de cumplimiento.