Sin un inventario de IA central y actualizado, los equipos no pueden clasificar riesgos, asignar responsabilidades, rastrear evidencias ni demostrar cumplimiento del Reglamento de IA de la UE.

Plantilla de inventario de IA: Cómo inventariar sistemas de IA para el Reglamento de IA de la UE

Un inventario de IA es un registro central y dinámico de todos los sistemas de IA que su organización proporciona o despliega. Proporciona la visibilidad necesaria para clasificar niveles de riesgo, asignar propietarios, rastrear evidencias, cumplir las obligaciones de alfabetización en IA del Artículo 4, satisfacer las obligaciones de transparencia del Artículo 50 y prepararse para los requisitos de los sistemas de alto riesgo. Sin él, los equipos no pueden demostrar dónde se usa la IA, quién es responsable ni qué plazos corresponden.

Esta guía ofrece un esquema mínimo listo para usar, una versión ampliada para programas maduros, ejemplos prácticos, flujos de trabajo de mantenimiento y una lista de verificación de acciones. Utilícela como base para la preparación del cumplimiento y la recopilación de evidencias.

Estado según la normativa vigente (abril de 2026) El Artículo 4 (alfabetización en IA) es aplicable desde el 2 de febrero de 2025. Las obligaciones de transparencia del Artículo 50 entrarán en aplicación el 2 de agosto de 2026. Las normas de alto riesgo se introducirán de forma progresiva entre 2026 y 2027. Ningún artículo exige específicamente un «inventario de IA», pero las directrices oficiales de implementación sobre responsabilidades en la cadena de valor, evaluaciones de impacto en los derechos fundamentales (FRIA), sistemas de gestión de la calidad y seguimiento posterior a la comercialización hacen que un registro dinámico sea prácticamente imprescindible. La propuesta de Digital Omnibus busca simplificar algunos aspectos del marco, pero no suprime la necesidad de contar con una visión sistemática del uso de IA en la organización. Consulte siempre las fuentes primarias y a las autoridades competentes nacionales para su situación específica.

Un buen inventario de IA no es burocracia: es infraestructura operativa. Le ofrece:

• Visibilidad: Una única fuente de verdad que evita que se escape ningún sistema de IA, ya sea un asistente interno basado en ChatGPT, un chatbot para clientes o una herramienta de cribado en procesos de selección.
• Responsabilidad: Un punto claro de rendición de cuentas para que alguien se encargue de la clasificación, las evidencias y el seguimiento continuo.
• Clasificación: Los datos necesarios para determinar el nivel de riesgo correcto (prohibido, alto riesgo, transparencia o riesgo limitado, o riesgo mínimo) y las obligaciones asociadas. Esto respalda directamente las decisiones sobre si su organización actúa como proveedor o como desplegador. Consulte nuestra guía sobre responsabilidades de proveedor vs. desplegador.
• Recopilación de evidencias: Un lugar central para vincular documentación técnica, evaluaciones de impacto, registros de alfabetización, historiales de transparencia y documentos de conformidad. Se alinea con las orientaciones de la Oficina de IA sobre sistemas de gestión de la calidad y plantillas de FRIA.
• Seguimiento de cambios: Un mecanismo para registrar modificaciones sustanciales, nuevos despliegues, cambios de proveedor o variaciones en el caso de uso que pudieran modificar las obligaciones del sistema.

Las organizaciones que mantienen un inventario creíble pueden responder con agilidad a las autoridades, asignar la formación del Artículo 4 de manera eficaz y preparar las divulgaciones del Artículo 50 sin improvisaciones de última hora. La Oficina de IA insiste en la aplicación coherente a lo largo de la cadena de valor; el inventario es la herramienta práctica que hace posible esa coherencia.

Mantenga la primera versión sencilla. Estos siete u ocho campos aportan el 80 % del valor con un esfuerzo mínimo. Añada nuevas filas según descubra sistemas a través de compras, lanzamientos de productos o encuestas internas.

Aquí tiene el esquema mínimo de inventario de IA:

Rellénelo en una hoja de cálculo compartida o en una plataforma especializada de cumplimiento. Revíselo al menos cada trimestre o ante cualquier cambio significativo.

Tres ejemplos reales

1. Uso interno de ChatGPT

Nombre del sistema: «Generador de contenido de marketing – Uso interno». Nivel de riesgo probable: Riesgo limitado / Artículo 50 (IA interactiva). Propietario: Responsable de Operaciones de Marketing. Estado de la evidencia: Enlace a la política de uso aceptable y al módulo de alfabetización del Artículo 4 para el equipo de marketing.

1. Chatbot de atención al cliente

Nombre del sistema: «Bot de soporte del sitio web – Clientes UE». Nivel de riesgo probable: Obligaciones de transparencia del Artículo 50. Personas afectadas: Visitantes del sitio web en la UE. Rol: Desplegador. Estado de la evidencia: Enlace al prompt del sistema, política de derivación a humano y registro de transferencias.

1. Herramienta de selección de candidatos

Nombre del sistema: «Motor de clasificación de CV». Nivel de riesgo probable: Alto riesgo (empleo). Propietario: Responsable de Tecnología en RR. HH. Estado de la evidencia: Enlace a la política de gobernanza de datos, informe de auditoría de sesgos y FRIA prevista. La fecha de revisión está vinculada a la próxima renovación del contrato.

Estos ejemplos ilustran cómo una misma plantilla sirve para obligaciones muy distintas.

Una vez que el registro mínimo esté en marcha, incorpore campos que reduzcan el trabajo redundante en fases avanzadas de cumplimiento.

Aquí tiene el esquema ampliado para equipos avanzados:

Estos campos convierten el inventario en un panel de control dinámico del cumplimiento. Apoyan directamente las directrices que elabora la Oficina de IA sobre obligaciones de proveedores y desplegadores, responsabilidades en la cadena de valor y sistemas de gestión de la calidad simplificados para pymes.

Un inventario pierde utilidad si se concibe como un ejercicio puntual. Intégrelo en los procesos habituales de la empresa para que las actualizaciones sean automáticas.

• Adquisiciones y alta de proveedores: Incluya un cuestionario obligatorio sobre IA y un paso de registro en el inventario antes de adquirir o contratar cualquier nueva herramienta. Rellene los campos de dependencia de proveedor y estado del cuestionario.
• Controles en el lanzamiento de productos: Exija actualizar el inventario (o crear una nueva entrada) durante la revisión de diseño o la preparación de la salida al mercado. Vincule la entrada a las medidas de transparencia o supervisión humana previstas.
• Renovación de contratos: Marque los proveedores de alto impacto para una revisión anual. Actualice la geografía, las personas afectadas y el estado de la evidencia.
• Revisiones de políticas y formación: Vincule el inventario a su programa anual de alfabetización en IA del Artículo 4. Utilice el campo de «impacto en la alfabetización» para asignar formaciones de forma automática.
• Gestión del cambio y modificaciones sustanciales: Cualquier equipo que modifique un sistema de IA (nuevas funcionalidades, datos adicionales, cambio de caso de uso) debe actualizar la fila correspondiente y reconsiderar el nivel de riesgo.
• Propiedad central con responsabilidad distribuida: Un responsable central de gobernanza o cumplimiento de IA garantiza la integridad del registro. Los propietarios de cada sistema son responsables de la exactitud de sus datos. Configure recordatorios automáticos con 30 días de antelación a cada fecha de revisión.

Las organizaciones que incorporan estos disparadores consiguen un registro mucho más completo y reducen considerablemente el estrés previo a auditorías o solicitudes de las autoridades.

• Considerar el inventario como una mera casilla de verificación en lugar de una herramienta operativa viva. Una hoja de cálculo desactualizada no demuestra un monitoreo continuo.
• Inventariar únicamente los sistemas de «alto riesgo» e ignorar los activadores del Artículo 50, como chatbots o herramientas generativas que producen contenido de interés público.
• No asignar un propietario individual y nombrado a cada sistema. La responsabilidad compartida acaba siendo responsabilidad de nadie.
• Guardar el registro en un formato que no permita enlazar evidencias (por ejemplo, un PDF estático). Elija una herramienta que admita hipervínculos o adjuntos.
• Olvidar los sistemas experimentales o en fase piloto. Estas herramientas suelen presentar los riesgos de clasificación más altos una vez que se escalan.
• No vincular el inventario al mapa de alfabetización del Artículo 4, lo que desconecta los programas de formación del uso real de la IA.

• [ ] Organice este mes un taller multifuncional para identificar todos los sistemas de IA en uso (TI, compras, marketing, RR. HH., producto, asesoría jurídica).
• [ ] Cree o importe el esquema mínimo y complete los sistemas ya conocidos.
• [ ] Asigne un propietario y una fecha de revisión a cada entrada.
• [ ] Determine el nivel de riesgo probable de cada sistema y añada los indicadores de Artículo 50 o alfabetización cuando corresponda.
• [ ] Vincule o cargue evidencias iniciales para los sistemas de mayor impacto.
• [ ] Incorpore el inventario en los flujos de trabajo de adquisiciones, lanzamientos de producto y renovaciones contractuales.
• [ ] Programe la primera revisión trimestral y designe al propietario central del registro.
• [ ] Comparta una vista de solo lectura con los equipos implicados y forme a los usuarios sobre cómo solicitar nuevas entradas.

Si completa estos pasos, dispondrá de una base sólida que respalda el resto de obligaciones del Reglamento de IA de la UE.

Próximo paso: Ponga en práctica la plantilla de inmediato. Importe sus sistemas en el Escáner de Evidencia para recibir sugerencias automáticas de nivel de riesgo, seguimiento de plazos y un repositorio centralizado de evidencias. Los equipos que usan el Escáner afirman completar su primer inventario creíble en menos de dos semanas.

Fuentes (referencias primarias oficiales)

• Oficina de IA y directrices de implementación asociadas (digital-strategy.ec.europa.eu)
• Preguntas frecuentes sobre alfabetización en IA y materiales del Artículo 4 (digital-strategy.ec.europa.eu)
• Preguntas frecuentes sobre transparencia del Artículo 50, borradores de códigos de práctica y textos del service desk (ai-act-service-desk.ec.europa.eu y digital-strategy.ec.europa.eu)
• Reglamento (UE) 2024/1689 y calendario de aplicación por fases

Esta página tiene fines meramente informativos y de preparación operativa. No constituye asesoramiento jurídico. Las obligaciones concretas dependen de su rol específico, de los casos de uso y de la transposición nacional. Consulte las fuentes oficiales de la UE y las autoridades competentes para obtener orientación vinculante.