Artículo 26 de la Ley de IA de la UE: Obligaciones del Desplegado para la IA de Alto Riesgo
El Artículo 26 establece qué deben hacer los desplegados — las organizaciones que utilizan un sistema de IA de alto riesgo bajo su propia autoridad —. A diferencia de las obligaciones del proveedor, estas obligaciones recaen en el operador que ejecuta el sistema en el mundo real: seguir las instrucciones, asignar una supervisión humana competente, monitorear la operación, mantener los registros y actuar cuando algo salga mal. Esta página describe cada obligación.
Artículo 26 de la Ley de IA de la UE: Obligaciones del Desplegado para la IA de Alto Riesgo
El Artículo 26 establece qué deben hacer los desplegados — las organizaciones que utilizan un sistema de IA de alto riesgo bajo su propia autoridad —. A diferencia de las obligaciones del proveedor, estas obligaciones recaen en el operador que ejecuta el sistema en el mundo real: seguir las instrucciones, asignar una supervisión humana competente, monitorear la operación, mantener los registros y actuar cuando algo salga mal. Esta página describe cada obligación.
Última actualización: 4 de julio de 2026
¿Quién es un Desplegado?
Un desplegado es cualquier persona física o jurídica que utilice un sistema de IA bajo su propia autoridad en el curso de una actividad profesional (las personas que utilizan IA para razones personales y no profesionales están excluidas).
Las obligaciones del desplegado se encuentran junto con, y no en lugar de, las obligaciones del proveedor. El proveedor construye y documenta el sistema; el desplegado es responsable de cómo se utiliza realmente. Si un desplegado modifica sustancialmente un sistema de alto riesgo o pone su propio nombre en él, también puede asumir obligaciones del proveedor según el Artículo 25.
Las Obligaciones Básicas del Desplegado
El Artículo 26 impone un conjunto definido de obligaciones operativas a los desplegados de sistemas de IA de alto riesgo:
- Uso según las instrucciones — tomar medidas técnicas y organizativas apropiadas para utilizar el sistema de acuerdo con las instrucciones de uso del proveedor
- Asignar supervisión humana competente — encomendar la supervisión a personas físicas que tengan la competencia, la formación, la autoridad y el apoyo necesarios para llevarla a cabo según el Artículo 14
- Controlar los datos de entrada — cuando el desplegado controle los datos de entrada, asegurarse de que sean relevantes y suficientemente representativos en vista del propósito previsto del sistema
- Monitorear la operación — monitorear la operación del sistema contra las instrucciones de uso e informar al proveedor o distribuidor cuando surja un riesgo
- Mantener los registros generados automáticamente — retener los registros que el sistema genera automáticamente, en la medida en que estén bajo el control del desplegado, durante al menos seis meses (a menos que una ley de la Unión o nacional establezca un período más largo)
- Informar a los trabajadores y representantes — antes de poner un sistema de alto riesgo en servicio en el lugar de trabajo, informar a los trabajadores y representantes afectados de que estarán sujetos a él
- Evaluación de impacto de protección de datos — cuando sea relevante, utilizar la información proporcionada según el Artículo 13 para realizar una evaluación de impacto de protección de datos según el RGPD
- Suspender y informar sobre un riesgo grave — cuando el sistema presente un riesgo para la salud, la seguridad o los derechos fundamentales, o cuando ocurra un incidente grave, suspender el uso, informar al proveedor, distribuidor y autoridades relevantes, y cooperar
El Piso de Retención de Registros de Seis Meses
Los desplegados deben mantener los registros generados automáticamente por el sistema de IA de alto riesgo durante un período adecuado para el propósito previsto, y en cualquier caso durante al menos seis meses — a menos que una ley de la Unión o nacional requiera un período de retención más largo.
Esto se aplica a los registros que están bajo el control del desplegado. Es el contraparte del lado del desplegado del diseño de registro del proveedor bajo los Artículos 12 y 19: el proveedor construye la capacidad de registro, y el desplegado es responsable de retener y poder producir los registros resultantes. Las reglas del sector (por ejemplo, en finanzas o salud) a menudo establecen un piso más largo, así que trate los seis meses como el mínimo, no el objetivo.
Las autoridades públicas que actúan como desplegados tienen obligaciones adicionales de transparencia y registro según los Artículos 26 y 49.
Cómo AIAgentree Ayuda
AIAgentree proporciona a los desplegados un sistema de registro en funcionamiento para las obligaciones exactas que el Artículo 26 impone — la retención de registros, el flujo de trabajo de supervisión y la evidencia de monitoreo:
- Retención apta para auditoría mantiene los registros de decisión generados automáticamente bien más allá del piso de seis meses, con almacenamiento a prueba de manipulación y residencia de datos de la UE en Alemania, para que pueda producir registros a pedido
- Flujos de trabajo de supervisión humana y aprobación capturan quién revisó, aprobó, anuló o escaló una decisión — la evidencia de que se ejerció una supervisión competente según el Artículo 14
- Seguimiento de resultados, búsqueda de precedentes y captura asíncrona de baja latencia (menos de 10 ms) proporcionan la señal de monitoreo para detectar cuándo un sistema se desvía de sus instrucciones de uso, disponible a través de REST, MCP, A2A, OpenTelemetry y los SDK de Python y TypeScript — comience de forma gratuita con 25 trazas
Preguntas Frecuentes
¿Cuál es la diferencia entre un proveedor y un desplegador?
El proveedor desarrolla el sistema de inteligencia artificial y lo pone en el mercado o lo pone en servicio bajo su propio nombre; el desplegador utiliza ese sistema bajo su propia autoridad en un contexto profesional. El artículo 26 regula a los desplegadores, mientras que los artículos 8 a 21 regulan a los proveedores. Una organización puede ser ambas cosas.
¿Cuánto tiempo deben conservar los desplegadores los registros?
Al menos seis meses. El artículo 26(6) requiere que los desplegadores conserven los registros generados automáticamente que estén bajo su control durante un período adecuado para el propósito previsto, y en cualquier caso durante un mínimo de seis meses, a menos que la ley de la Unión o la ley nacional requiera un período más largo.
¿Tienen los desplegadores que informar a los empleados de que se está utilizando un sistema de inteligencia artificial?
Sí, cuando el sistema se utilice en el lugar de trabajo. Antes de poner un sistema de inteligencia artificial de alto riesgo en servicio o en uso en el lugar de trabajo, los desplegadores deben informar a los representantes de los trabajadores y a los trabajadores afectados de que estarán sujetos al sistema, de acuerdo con las reglas de información y consulta.
¿Cuándo se convierte un desplegador en un proveedor?
Según el artículo 25, un desplegador asume las obligaciones del proveedor si pone su nombre o marca en un sistema de alto riesgo ya en el mercado, realiza una modificación sustancial en él o modifica el propósito previsto del sistema de una manera que lo convierte en un sistema de alto riesgo.
¿Qué debe hacer un desplegador si el sistema plantea un riesgo grave?
Suspender su uso e informar al proveedor o distribuidor y a la autoridad de vigilancia del mercado relevante sin demora injustificada. Cuando ocurra un incidente grave, el desplegador debe informar sobre él y cooperar con las autoridades y el proveedor en las medidas correctivas.
Continúa explorando la guía de la Ley de IA de la UE
Guía de cumplimiento de la Ley de IA de la UE
La guía completa para el cumplimiento de la Ley de IA de la UE para agentes de IA — comienza aquí.
Artículo 12 — Registro y registro de eventos
Qué debe registrar cada sistema de IA de alto riesgo y cómo capturar la información.
Artículo 14 — Supervisión humana
Diseñar controles efectivos de supervisión humana para decisiones de IA.
Anexo III — Sistemas de IA de alto riesgo
Qué casos de uso de IA clasifica la Ley como de alto riesgo.
Lista de verificación de cumplimiento de la Ley de IA de la UE
Una lista de verificación paso a paso para alcanzar y documentar el cumplimiento.
Calculadora de costos de cumplimiento
Estima el esfuerzo y el costo de cumplimiento de la Ley de IA de la UE.
Plazos y cronograma
Fechas clave de aplicación, incluido el plazo del 2 de agosto de 2026.
Multas y sanciones
Niveles de sanciones de hasta 35 millones de euros o el 7% del volumen de negocios anual global.
Obligaciones de transparencia (Art. 13 y 50)
Deberes de divulgación para sistemas de IA y sus resultados.
Gestión de riesgos y evaluación de conformidad
Construya un sistema de gestión de riesgos y evalúe la conformidad.
Obligaciones de GPAI
Reglas para proveedores de modelos de IA de propósito general.
Ley de IA de la UE para empresas estadounidenses
Alcance extraterritorial y qué deben hacer los proveedores estadounidenses.
Actualización omnibus
Los últimos cambios en el cronograma y las reglas de la Ley de IA de la UE.
Calculadora de Penalizaciones
Estima tu multa máxima bajo los niveles del Artículo 99.
Artículo 11 + Anexo IV
Qué documentación técnica requiere la Ley de IA de la UE.
Artículo 17: Gestión de la Calidad
El SGQ que los proveedores de IA de alto riesgo deben documentar.
Artículo 10: Gobernanza de Datos
Calidad de los datos, mitigación de sesgos y deberes de gobernanza.
Artículo 4: Alfabetización en IA
El deber de alfabetización en IA del personal en vigor desde febrero de 2025.
Desplegado vs Proveedor
Quién asume qué obligación — y cuándo un desplegado se convierte en un proveedor.
FRIA (Artículo 27)
Quién debe realizar una Evaluación de Impacto en los Derechos Fundamentales, y cómo.
¿A quién se aplica?
Alcance, operadores y alcance extraterritorial de la Ley de IA de la UE.
Monitoreo Post-Mercado
Artículos 72–73: monitoreo continuo y notificación de incidentes.
ISO 42001 vs Ley de IA de la UE
Cómo se relaciona el estándar voluntario con la ley vinculante.
NIST AI RMF vs Ley de IA de la UE
Un cruce práctico entre el marco y la ley.
Ley de IA de la UE para la Atención Médica
IA médica de alto riesgo, interacción con MDR/IVDR y supervisión clínica.
Ley de IA de la UE para Servicios Financieros
Puntuación crediticia, precios de seguros y regulación financiera existente.
Ley de IA de la UE para Recursos Humanos y Empleo
Contratación de IA como alto riesgo, más la superposición de NYC LL144 y EEOC.