La Ley de IA de la UE y tu sistema de gestión documental
Una guía práctica, función por función, sobre lo que significa la Ley de IA de la UE para los sistemas de gestión documental con IA: OCR, etiquetado automático, chatbots y mucho más.
Última actualización: abril de 2026
La respuesta corta
- → La mayoría de las funciones de IA en un sistema de gestión documental (OCR, clasificación automática, extracción de metadatos, búsqueda) se consideran de riesgo mínimo y no conllevan obligaciones específicas más allá de la formación en alfabetización en IA.
- → Si tu DMS tiene un chatbot de IA o genera texto (resúmenes, traducciones), esas funciones son de riesgo limitado y requieren un etiquetado de transparencia antes del 2 de agosto de 2026.
- Conclusión: La Ley de IA de la UE no es tan temible como sugieren los titulares, pero la fecha límite de agosto es real, y el Artículo 4 (alfabetización en IA) ya se aplica desde febrero de 2025. Sigue leyendo para ver el desglose completo.
¿Qué ocurre el 2 de agosto de 2026?
La Ley de IA de la UE (Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024, pero sus obligaciones se introducen gradualmente. La mayor oleada de aplicación llega el 2 de agosto de 2026: es entonces cuando las obligaciones de transparencia para sistemas de riesgo limitado, el régimen completo de cumplimiento para alto riesgo, las obligaciones de los implementadores y la ejecución de sanciones pasan a ser aplicables simultáneamente.
Si operas o utilizas un sistema de gestión documental con funciones de IA en la UE, este calendario es importante. Algunas obligaciones ya se aplican; otras llegarán en meses, no en años.
| Fecha | Qué se aplica | Estado |
|---|---|---|
| 1 ago 2024 | Entrada en vigor de la Ley de IA (Reglamento UE 2024/1689 publicado en el Diario Oficial) | Completado |
| 2 feb 2025 | Prohibición de prácticas del Artículo 5; la obligación de alfabetización en IA del Artículo 4 se aplica a todos los proveedores e implementadores | En vigor |
| 2 ago 2025 | Obligaciones para modelos de IA de uso general (Arts. 51-56): se aplica a proveedores de modelos fundacionales como OpenAI, Google, Anthropic | En vigor |
| 2 ago 2026 | Obligaciones de transparencia del Art. 50, requisitos para sistemas de alto riesgo del Anexo III (Arts. 8-15), obligaciones del implementador (Art. 26), registro en la base de datos de la UE, poderes de ejecución y multas | A 97 días |
| 2 ago 2026 | Transparencia: todos los chatbots de IA deben revelar su naturaleza; todo contenido generado por IA debe llevar marcas legibles por máquina | Fecha límite |
| 2 ago 2027 | Sistemas de alto riesgo del Anexo I: IA integrada en productos regulados (dispositivos médicos, vehículos, maquinaria) | Próximamente |
La Ley Ómnibus Digital, actualmente en negociaciones de trílogo, podría retrasar los plazos para sistemas de alto riesgo (Anexo III) hasta diciembre de 2027. Sin embargo, las obligaciones de transparencia del Artículo 50 y el requisito de alfabetización en IA del Artículo 4 no se ven afectados por ninguna propuesta de retraso. Planifica para el 2 de agosto de 2026.
Los cuatro niveles de riesgo, explicados
La Ley de IA de la UE clasifica los sistemas de IA en cuatro niveles según su daño potencial. Cuanto mayor es el riesgo, más estrictas son las obligaciones. Para la gestión documental, entender estos niveles es esencial, ya que el nivel determina si no necesitas hacer nada, si debes añadir una etiqueta de divulgación o si debes someterte a una evaluación de conformidad completa.
La gran mayoría de las funciones de IA en el software de gestión documental (OCR, autoclasificación, extracción de metadatos, búsqueda de texto completo) entran de lleno en la categoría de riesgo mínimo. Son tareas procedimentales específicas que no toman decisiones sobre las personas. La siguiente sección detalla esto función por función.
| Nivel de riesgo | Qué incluye | Obligaciones | Multa máx. |
|---|---|---|---|
| Prohibido | Puntuación social, manipulación subliminal, identificación biométrica en tiempo real en espacios públicos, reconocimiento de emociones en el trabajo | Prohibido totalmente (Art. 5) | 35 M€ / 7 % |
| Alto riesgo | IA en biometría, infraestructuras críticas, empleo, solvencia crediticia, educación, fuerzas del orden, migración | Cumplimiento total: gestión de riesgos, gobernanza de datos, documentación técnica, registro de actividad, supervisión humana, evaluación de conformidad, marcado CE (Arts. 8–15) | 15 M€ / 3 % |
| Riesgo limitado | Chatbots de IA, contenido generado por IA (texto, imágenes, audio, vídeo), reconocimiento de emociones, deepfakes | Solo transparencia: informar a los usuarios sobre la naturaleza de la IA, marcar el contenido generado por IA como legible por máquina (Art. 50) | 15 M€ / 3 % |
| Riesgo mínimo | Filtros de spam, IA en videojuegos, clasificación de búsqueda, OCR, autoclasificación, la mayoría del software empresarial | Sin obligaciones obligatorias, solo alfabetización en IA del Art. 4 (aplicable a todos los niveles). Se fomentan los códigos de conducta voluntarios | 7,5 M€ / 1 % |
Un matiz importante: la clasificación de riesgo depende de lo que hace la IA, no de quién la construye. Una startup de 3 personas y una empresa de la lista Fortune 500 enfrentan las mismas obligaciones para el mismo sistema de IA. La ley regula la tecnología, no la organización.
¿En qué categoría entra tu DMS? Clasificación función por función
Aquí es donde fallan la mayoría de las guías de la Ley de IA de la UE. Explican los niveles de riesgo de forma abstracta, pero nunca asocian funciones específicas de software a niveles concretos. Si utilizas un sistema de gestión documental con IA, aquí tienes exactamente dónde se ubica cada función.
La siguiente clasificación asume una gestión documental empresarial general: facturas, contratos, recibos, correspondencia, pólizas de seguro. Si tu DMS se utiliza en un dominio de alto riesgo (reclutamiento, decisiones crediticias, triaje médico), la clasificación podría subir. El contexto importa.
| Función del DMS | Nivel de riesgo | Qué debes hacer |
|---|---|---|
| OCR (extracción de texto de escaneos) | Mínimo | Sin obligaciones específicas. El OCR es una utilidad de reconocimiento de texto; no toma decisiones sobre personas. |
| Autoclasificación (factura, contrato, recibo) | Mínimo | Sin obligaciones específicas. El reconocimiento de patrones para el archivo es una "tarea procedimental específica" según el Art. 6(3)(a); no entra en ninguna categoría del Anexo III. |
| Extracción de metadatos (fechas, importes, entidades) | Mínimo | Sin obligaciones específicas. Extraer datos estructurados de documentos es un procesamiento preparatorio, no un sistema de toma de decisiones. |
| Chatbot de IA (preguntas sobre documentos, búsqueda) | Limitado | Art. 50(1): Se debe informar a los usuarios de que están interactuando con una IA antes o al inicio de la interacción. Una etiqueta visible como "Asistente de IA" o un icono de destellos con texto informativo cumple con esto. |
| Resúmenes y textos generados por IA | Limitado | Art. 50(2): El texto sintético debe marcarse como generado por IA en un formato legible por máquina. Excepción: "función de asistencia para edición estándar" que no altere sustancialmente la semántica de la entrada. |
| Traducción de documentos por IA | Limitado | Art. 50(2): El resultado traducido es texto generado por IA. Márcalo como tal con metadatos legibles por máquina, a menos que el resultado siga fielmente el material de origen (excepción de edición asistida). |
| Decisiones de empleo o crédito impulsadas por IA | Alto riesgo | Cumplimiento total de los Arts. 8–15: sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registro automático, supervisión humana, evaluación de conformidad, marcado CE, registro en la base de datos de la UE. |
El mecanismo legal clave que mantiene a la mayoría de las funciones de un DMS fuera del territorio de alto riesgo es el Artículo 6(3). Este proporciona exenciones explícitas para los sistemas de IA que realizan "tareas procedimentales específicas" (6(3)(a)), tareas que "mejoran el resultado de una actividad humana previamente completada" (6(3)(b)) o "tareas preparatorias para una evaluación relevante para los fines de los casos de uso enumerados en el Anexo III" (6(3)(d)). La autoclasificación que ordena facturas en categorías es una tarea procedimental específica. La extracción de metadatos que obtiene fechas e importes de contratos es una tarea preparatoria. Ninguna influye materialmente en una decisión sobre una persona.
Sin embargo: si la autoclasificación de tu DMS se utiliza para filtrar solicitudes de empleo en un proceso de selección, o para dirigir reclamaciones de seguros hacia su aprobación o rechazo, esa misma función podría reclasificarse como de alto riesgo, porque el contexto la traslada a un dominio del Anexo III (empleo o acceso a servicios esenciales). La función en sí no determina el nivel de riesgo; el caso de uso sí.
Artículo 50: Las obligaciones de transparencia que se aplican a tu chatbot de IA
Si tu sistema de gestión documental incluye un chatbot de IA, una función de resumen o cualquier forma de texto generado por IA, se aplica el Artículo 50. Esta es la obligación más relevante para la mayoría de los productos DMS, y será exigible a partir del 2 de agosto de 2026.
El Artículo 50 tiene tres subobligaciones que importan para la gestión documental:
Divulgación de interacción con IA
Cualquier sistema de IA diseñado para interactuar con personas debe informarles de que es una IA, antes o al inicio de la interacción. No debe estar oculto en los términos de servicio, sino en el punto de contacto. Excepción: cuando sea "obvio por las circunstancias", un listón muy alto de alcanzar.
Marcado de contenido generado por IA
El texto, audio, imagen o vídeo sintético debe marcarse como generado por IA en un formato legible por máquina (metadatos C2PA, marcas de agua o similares). Debe ser eficaz, interoperable, robusto y fiable. Excepción: edición asistida que no altere sustancialmente la entrada.
Divulgación de deepfakes / texto de IA
El contenido generado por IA publicado para consumo público debe estar etiquetado visiblemente. Los implantadores deben preservar las marcas legibles por máquina de los proveedores y añadir etiquetas visibles en el momento de la publicación.
Para un DMS, el impacto práctico es sencillo. Si tu sistema tiene una función de chat de IA, muestra un indicador claro de que el usuario está interactuando con una IA: una etiqueta, un icono de destellos o una señal visual similar. Si tu sistema genera resúmenes, traducciones o explicaciones, márcalos como generados por IA en la interfaz e, idealmente, en los metadatos del documento. No son requisitos onerosos. La mayoría de los productos DMS modernos con funciones de IA ya lo hacen o pueden implementarlo en cuestión de horas.
La distinción entre proveedor e implantador es clave. La Ley de IA asigna la obligación de diseñar funciones de transparencia al proveedor (la empresa que crea el software) y la obligación de configurarlas y mostrarlas al implantador (la empresa que usa el software). Si eres un proveedor de DMS SaaS, eres el proveedor: debes integrar el mecanismo de divulgación en tu producto. Si eres una empresa que usa un DMS, eres el implantador: debes asegurarte de que la divulgación sea visible para tus usuarios.
Artículo 4: La alfabetización en IA ya es obligatoria
Esta es la obligación que la mayoría de las organizaciones han pasado por alto. El Artículo 4 exige que todos los proveedores e implantadores de sistemas de IA —independientemente del nivel de riesgo— garanticen un "nivel suficiente de alfabetización en IA" entre el personal y cualquier persona que opere la IA en su nombre. Está en vigor desde el 2 de febrero de 2025.
En vigor desde el 2 de febrero de 2025
El Artículo 4 se aplica a todas las empresas que utilizan IA, incluido tu sistema de gestión documental. Si no has comenzado la formación en alfabetización en IA, ya vas con retraso. No se requiere certificación, pero la formación debe estar documentada y ser demostrable en caso de auditoría.
¿Qué significa realmente "alfabetización en IA"? La guía de la Comisión Europea aclara que no basta con remitir al personal al manual de usuario del sistema de IA. Un programa conforme debe cubrir:
- 1.Qué es la IA y cómo funciona, adaptado a la audiencia (ejecutivos, ingenieros y usuarios finales necesitan profundidades diferentes)
- 2.Capacidades y limitaciones de los sistemas de IA específicos que despliega tu organización
- 3.Riesgos, incluyendo sesgos, errores, alucinaciones e implicaciones de privacidad
- 4.Responsabilidades de supervisión humana: qué hacer cuando la IA produce resultados inesperados, incorrectos o dañinos
- 5.La relevancia de la Ley de IA de la UE para el rol específico de la persona
- 6.Documentación: una política escrita de alfabetización en IA con alcance, roles, áreas de contenido, registros de asistencia a la formación y una frecuencia de revisión
Para un equipo pequeño que utiliza un DMS con IA, esto no requiere un programa de formación formal. Puede ser tan sencillo como una reunión interna documentada donde se explique: qué funciones de IA tienen las herramientas que usamos, qué pueden y qué no pueden hacer, y qué hacer cuando los resultados parezcan incorrectos. Documenta la sesión, anota los asistentes y programa una actualización anual. Eso es suficiente para la mayoría de los escenarios de riesgo mínimo y limitado.
La Ley Ómnibus Digital: ¿cambiarán los plazos?
El 19 de noviembre de 2025, la Comisión Europea propuso la Ley Ómnibus Digital, un paquete de simplificación legislativa que modifica la Ley de IA junto con otras normativas digitales (GDPR, Ley de Datos, NIS 2). Entre otros cambios, propone retrasar el plazo del Anexo III para sistemas de alto riesgo del 2 de agosto de 2026 al 2 de diciembre de 2027.
A fecha de abril de 2026, la Ley Ómnibus se encuentra en negociaciones de trílogo. El Parlamento Europeo adoptó su posición con 569 votos a favor y 45 en contra en marzo de 2026. El Consejo también adoptó su mandato en marzo. Aún no se ha aprobado como ley. Las fechas originales siguen siendo legalmente vinculantes.
NO se ven afectados por la Ley Ómnibus (siguen para el 2 de agosto de 2026)
- ×Obligaciones de transparencia del Artículo 50 (divulgación de chatbot, marcado de contenido)
- ×Alfabetización en IA del Artículo 4 (ya en vigor desde febrero de 2025)
- ×Prácticas prohibidas del Artículo 5 (ya en vigor desde febrero de 2025)
- ×Obligaciones de modelos de IA de propósito general (en vigor desde agosto de 2025)
Podrían retrasarse SI se aprueba la Ley Ómnibus
- ✓Obligaciones de sistemas de alto riesgo del Anexo III (Arts. 8–15): retraso propuesto a diciembre de 2027
- ✓Sistemas de alto riesgo integrados en productos del Anexo I: retraso propuesto a agosto de 2028
El consejo práctico: no uses la Ley Ómnibus como excusa para retrasarte. Incluso si los plazos de alto riesgo se mueven, el trabajo de gobernanza (inventario de IA, clasificación de riesgos, documentación, registros, diseño de supervisión) es idéntico. Y las obligaciones que más importan para los productos DMS (transparencia y alfabetización) no se ven afectadas. Prepárate ahora, y un posible retraso se convertirá en un margen de maniobra en lugar de tiempo perdido.
Qué hacer este mes: una lista de verificación práctica
Ya sea que construyas, vendas o uses un sistema de gestión documental con funciones de IA, esto es lo que deberías hacer antes del 2 de agosto de 2026. Los pasos están ordenados por urgencia; empieza por arriba.
Aborda la alfabetización en IA ahora (ya vas con retraso)
El Artículo 4 está en vigor desde febrero de 2025. Realiza una sesión interna sobre las herramientas de IA que usa tu equipo. Documenta lo que se trató, quién asistió y cuándo. Puede ser una reunión de 90 minutos, no un curso de varias semanas. Programa una actualización anual.
Inventaría tus funciones de IA
Enumera cada función impulsada por IA en tu software: OCR, autoclasificación, chatbot, resúmenes, traducción, motor de recomendaciones. Para cada una, anota si interactúa directamente con los usuarios y si genera contenido.
Clasifica cada función por nivel de riesgo
Usa la tabla de la Sección 3 de esta guía. Asocia cada función de IA a un nivel de riesgo. Documenta tu razonamiento; este es el registro que pediría un auditor. La mayoría de las funciones de un DMS serán de riesgo mínimo o limitado.
Implementa el etiquetado de transparencia
Para cualquier función de riesgo limitado (chatbot, generación de texto): añade una divulgación de IA visible en el punto de interacción. Para el texto generado por IA: añade metadatos legibles por máquina que lo identifiquen como sintético. Comprueba que las divulgaciones sean visibles en la primera interacción, no ocultas en los ajustes.
Revisa tu registro de auditoría
Aunque no es obligatorio para sistemas de riesgo mínimo, mantener registros de los resultados generados por IA, las correcciones de los usuarios y las decisiones del sistema es una buena práctica. Si tu DMS ya tiene un registro de auditoría (la mayoría lo tiene), verifica que cubra las acciones de la IA, no solo el acceso a documentos.
Documéntalo todo
Crea un registro de cumplimiento sencillo: tu inventario de IA, la clasificación de riesgos, la evidencia de formación en alfabetización en IA y la implementación de transparencia. Este documento no necesita ser extenso; un resumen interno de 2-3 páginas es suficiente para la mayoría de las pymes que operan sistemas de riesgo mínimo/limitado.
Realidad para pymes: qué debe hacer realmente un equipo pequeño
No hay exención por tamaño en la Ley de IA de la UE. Una startup de 3 personas enfrenta las mismas obligaciones que una empresa de la lista Fortune 500 para el mismo sistema de IA. La ley regula lo que hace la IA, no quién la opera.
Dicho esto, la Ley de IA no ignora la realidad de las pymes. Varias disposiciones se adaptan específicamente a las empresas más pequeñas: multas reducidas, documentación simplificada, acceso prioritario a entornos de prueba (sandboxes) y tasas reducidas para la evaluación de conformidad.
Esto es lo que ofrece la Ley de IA de la UE específicamente para las pequeñas y medianas empresas:
| Disposición | Qué significa para las pymes |
|---|---|
| Art. 99(6) — Límites de multas | Para las pymes, se aplica la menor de las dos alternativas de sanción. Infracciones prohibidas: limitadas a 35 M€ (no el 7 % del volumen de negocios). Alto riesgo: limitadas a 15 M€ (no el 3 %). Esto significa que una empresa pequeña nunca pagará un porcentaje de ingresos si el límite fijo es menor. |
| Art. 63 — SGC simplificado | Las microempresas (<10 empleados, <2 M€ de facturación) pueden cumplir con partes del Sistema de Gestión de Calidad de manera simplificada. Menos papeleo, mismos principios. |
| Art. 62–63 — Sandboxes regulatorios | Cada Estado miembro de la UE debe establecer al menos un entorno de pruebas regulatorio para agosto de 2026. Las pymes y startups tienen acceso prioritario con tasas reducidas o gratuitas. |
| Art. 11(2) — Documentación simplificada | La Comisión está facultada para crear un formato de documentación técnica del Anexo IV simplificado específicamente para pymes y startups. |
Para una empresa típica de 5 personas que usa un DMS con IA: tu esfuerzo total de cumplimiento probablemente sea una sesión documentada de alfabetización en IA, un inventario de funciones de IA (una página), una clasificación de riesgos (la mayoría de las funciones serán de riesgo mínimo) y verificar que tu proveedor de DMS haya implementado el etiquetado de transparencia. Coste directo estimado: de cero a unos pocos cientos de euros. Tiempo estimado: 10–15 horas de trabajo repartidas en unas pocas semanas. Esa es la realidad honesta para la mayoría de las pequeñas empresas que usan IA en la gestión documental.
Cómo ayuda Veluvanto con el cumplimiento de la Ley de IA de la UE
Veluvanto fue diseñado teniendo en cuenta los requisitos regulatorios de la UE desde el primer día. Esto es lo que la plataforma ya ofrece para el cumplimiento de la Ley de IA, sin configuración adicional:
- ✓Divulgación de interacción con IA: cada respuesta generada por IA en el chat de Veluvanto está marcada con un icono de destellos, indicando claramente el contenido generado por IA. Los usuarios siempre saben cuándo están interactuando con una IA.
- ✓Registro de auditoría: todas las acciones de la IA (análisis de documentos, consultas de chat, asignación de etiquetas, creación de recordatorios) se registran con marcas de tiempo, ID de usuario y detalles de la acción. Esto cumple con las mejores prácticas de registro para sistemas de riesgo limitado.
- ✓Seguimiento del uso de IA: los registros de uso por usuario rastrean el consumo de créditos de IA, el modelo utilizado y el tipo de acción, proporcionando el registro detallado que respalda los requisitos de rendición de cuentas.
- ✓Residencia de datos en la UE: todos los datos se almacenan y procesan en centros de datos de la UE. Sin enrutamiento flexible, sin respaldo en EE. UU., sin excepciones. Tus documentos nunca salen de la UE.
- ✓Control del usuario sobre las acciones de la IA: los usuarios pueden revisar, editar y anular cualquier clasificación, etiqueta o metadato generado por IA en cualquier momento. La IA trabaja en segundo plano para ahorrarte tiempo, pero tú mantienes el control de tus documentos.
- ✓Sin entrenamiento con tus datos: Veluvanto nunca utiliza los documentos de los clientes para entrenar modelos de IA. Tus datos se procesan únicamente para tu beneficio.
Estas funciones no hacen que el cumplimiento sea automático (aún debes encargarte de la formación en alfabetización en IA y mantener tu propia documentación), pero significan que la plataforma en la que confías ya está preparada para el entorno regulatorio que se avecina.
Fuentes y lecturas adicionales
Esta guía se basa en el texto oficial de la Ley de IA de la UE y en análisis de autoridad. Para ver el reglamento completo y los artículos específicos mencionados, consulta las fuentes a continuación.
- Texto completo de la Ley de IA de la UE — Reglamento (UE) 2024/1689 — Diario Oficial de la Unión Europea (eur-lex.europa.eu)
- Artículo 50 (Obligaciones de transparencia para sistemas de riesgo limitado) — artificialintelligenceact.eu/article/50
- Artículo 6 y Anexo III (Clasificación de alto riesgo y exenciones) — artificialintelligenceact.eu/article/6 y artificialintelligenceact.eu/annex/3
- Preguntas y respuestas sobre alfabetización en IA de la Comisión Europea — digital-strategy.ec.europa.eu
- Ley Ómnibus Digital — Posición del Parlamento Europeo adoptada el 26 de marzo de 2026 (europarl.europa.eu)
- Artículo 99 (Sanciones y disposiciones para pymes) — artificialintelligenceact.eu/article/99
- Ficha informativa de Accountancy Europe para pymes sobre la Ley de IA — accountancyeurope.eu
Guías relacionadas
Gestión documental con IA
Cómo la IA lee, etiqueta y organiza documentos, y en qué fijarse al elegir un sistema
Gestión documental y GDPR
Cómo Veluvanto te ayuda a cumplir con el GDPR con almacenamiento de documentos cifrado y alojado en la UE
Directiva NIS2 y gestión documental
El otro gran marco de cumplimiento de la UE para 2026, y por qué casi todo se reduce a la documentación