Qué es el registro de sistemas de IA
El registro de sistemas de IA es un inventario interno de las herramientas de inteligencia artificial que tu empresa usa como deployer. No es un documento técnico dirigido a desarrolladores, sino una lista clara pensada para que cualquiera, incluida una autoridad de supervisión, entienda de un vistazo qué usa tu empresa y con qué controles.
El Reglamento de IA (Reglamento UE 2024/1689) no obliga a las empresas deployer a mantener un registro con ese nombre exacto, pero exige que puedan acreditar la clasificación de riesgo de los sistemas que usan y las medidas de transparencia y alfabetización aplicadas. El registro es la forma práctica de tener toda esa información en un solo sitio.
Ejemplo de tabla de registro
| Sistema | Proveedor | Finalidad | Clasificación de riesgo |
|---|---|---|---|
| ChatGPT (versión empresa) | OpenAI | Redacción de textos y atención a consultas internas | Riesgo mínimo |
| Chatbot de atención al cliente en la web | Proveedor externo con IA integrada | Responder consultas de clientes en la web | Riesgo limitado (artículo 50) |
| Herramienta de cribado de currículums | Proveedor de software de RR. HH. | Preseleccionar candidatos en procesos de contratación | Alto riesgo (anexo III) |
| Identificación biométrica remota en tiempo real | Ejemplo de uso no permitido | Identificar personas en espacios de acceso público | Práctica prohibida (artículo 5) |
Cuantos más sistemas use tu empresa, más importante es mantener esta tabla actualizada. Cada fila debería llevar además la fecha de alta, quién lo usa dentro de la empresa y un breve control de supervisión humana, aunque el ejemplo anterior se limita a las cuatro columnas esenciales.
¿No sabes en qué categoría cae un sistema?
Responde 9 preguntas y descubre en 2 minutos si un sistema concreto es de riesgo prohibido, alto, limitado o mínimo.
Las cuatro clasificaciones de riesgo, en lenguaje llano
- Práctica prohibida (artículo 5): usos que el Reglamento prohíbe directamente, como la puntuación social o la manipulación subliminal. Si un sistema cae aquí, no se puede usar, punto.
- Alto riesgo (anexo III): sistemas que afectan a decisiones importantes sobre personas, como selección de personal, scoring crediticio o evaluación educativa. El Digital Omnibus movió sus obligaciones a diciembre de 2027, pero conviene empezar a prepararlas.
- Riesgo limitado (artículo 50): sistemas que interactúan con personas o generan contenido, como chatbots o generadores de imágenes. La obligación principal es informar de que se trata de IA; aplica desde el 2 de agosto de 2026.
- Riesgo mínimo: el resto de sistemas, como un corrector de texto o un asistente de productividad interno sin impacto directo en terceros. No tienen obligaciones específicas, aunque siguen dentro del alcance del artículo 4 si el personal los opera de forma habitual.
Cómo mantener el registro actualizado
Un registro que se hace una vez y no se vuelve a tocar pierde valor rápidamente, porque las empresas cambian de herramientas de IA con frecuencia. Lo razonable es revisarlo cada vez que se incorpora o se retira un sistema, y como mínimo una vez al año, igual que la política de uso de IA que debería acompañarlo.
En GDPR.Direct puedes generar el registro directamente a partir de un catálogo de herramientas habituales, como ChatGPT, Copilot o Gemini, más entrada libre para sistemas propios, con la clasificación de riesgo calculada automáticamente.