Cumplimiento y ética

Registro interno de sistemas de IA

Es el registro formal, mantenido por la empresa, de los sistemas de IA que utiliza o pone en el mercado, con su finalidad, clasificación de riesgo según el AI Act, datos que tratan, responsable y medidas de control. Es la base documental para clasificar obligaciones, demostrar diligencia y responder ante una auditoría o un regulador.

Por Ana María González Actualizado: 16 de mayo de 2026

Definición rápida

Respuesta directa

Explicación ampliada

El registro interno de sistemas de IA es la pieza de gobernanza que conecta el inventario de casos de uso (visión de gestión) con el cumplimiento normativo (visión legal). Mientras el inventario sirve para priorizar y gestionar, el registro está orientado a la conformidad: para cada sistema documenta su finalidad y contexto de uso, su clasificación de riesgo según el AI Act (riesgo inaceptable —prohibido—, alto, limitado o mínimo), los datos personales que trata y su base jurídica, el responsable interno, las medidas de control y supervisión humana aplicadas, los proveedores implicados, y la trazabilidad de decisiones relevantes. No debe confundirse con el registro público de la UE para sistemas de alto riesgo, que es una obligación específica y distinta para determinados sistemas: el registro interno es la herramienta de la propia empresa para saber, en todo momento, qué IA usa, con qué riesgo y bajo qué controles, y poder demostrarlo. Su ausencia es uno de los puntos más débiles que aflora en cualquier auditoría de cumplimiento de IA: sin registro no se puede clasificar correctamente el riesgo, ni asignar las obligaciones que correspondan, ni acreditar diligencia. Mantenerlo actualizado (cada nuevo sistema entra, cada cambio relevante se refleja) es lo que lo convierte en evidencia útil y no en un documento muerto.

Por qué importa para tu empresa

Aplicación práctica

Para una empresa, sin registro interno de sistemas de IA es imposible clasificar el riesgo según el AI Act, asignar obligaciones correctamente o demostrar diligencia ante un regulador. La regla práctica: mantener un registro vivo —finalidad, clasificación de riesgo, datos y base jurídica, responsable, controles, proveedores— por cada sistema, distinto del inventario de gestión y distinto del registro público UE de alto riesgo. Es la primera evidencia que pide cualquier auditoría de cumplimiento de IA; no tenerlo es no poder defenderse.

Ejemplo concreto

Caso real

Una empresa afrontó una revisión de cumplimiento de protección de datos que incluyó sus usos de IA. No supo responder con precisión qué sistemas de IA usaba, con qué finalidad, qué datos trataban ni qué riesgo tenían según el AI Act: la información estaba dispersa y nadie la había consolidado con enfoque de conformidad. Construyeron un registro interno formal y, a partir de él, clasificaron cada sistema por riesgo, asignaron responsables y controles, e identificaron uno que requería medidas adicionales. El registro pasó a ser la base de su defensa documental ante cualquier requerimiento futuro.