Inicio/Blog/Arquitectura del Reglamento de IA
Arquitectura de Cumplimiento de IA

El Reglamento de IA de la UE como problema de arquitectura de software

El Reglamento de IA no se implementa adjuntando un informe legal al ticket de release. Los requisitos se convierten en inventario, clasificación, linaje, evidencia versionada, logs automáticos, autoridad humana, quality gates, conformidad, vigilancia poscomercialización y respuesta a incidentes.

Comience por alcance, rol y finalidad

Identifique si el producto es un sistema de IA, mercados y personas afectadas, finalidad prevista, misuse razonablemente previsible y rol de cada actor. Proveedor, responsable del despliegue, importador, distribuidor, representante, fabricante y proveedor GPAI tienen obligaciones distintas. Una organización puede desplegar un sistema y convertirse en proveedora tras una modificación sustancial o rebranding.

Registro del sistemaID, owner, finalidad, mercados, usuarios, decisiones, modelos, interfaces y lifecycle.
Grafo de actoresProveedor, deployer, vendor de modelo/datos, importador, distribuidor, representante, cliente y autoridad.
Registro de riesgoPrácticas prohibidas, base de alto riesgo, anexos, transparencia, GPAI, exclusiones y revisión legal.
Historial de cambiosModelo, datos, prompt, threshold, propósito, país, autonomía, UI, vendor y responsabilidad.

Versione la base jurídica

Al 22 de junio de 2026: el Reglamento entró en vigor el 1 de agosto de 2024; prohibiciones, definiciones y alfabetización en IA aplican desde el 2 de febrero de 2025; gobernanza y GPAI desde el 2 de agosto de 2025; y muchas disposiciones están previstas desde el 2 de agosto de 2026. El acuerdo político del AI Omnibus, anunciado el 7 de mayo de 2026, señala el 2 de diciembre de 2027 para sistemas del Anexo III y el 2 de agosto de 2028 para sistemas integrados en productos. Separe el texto vigente de las modificaciones acordadas aún sujetas a adopción formal.

2 feb. 2025Definiciones, prácticas prohibidas y alfabetización.
2 ago. 2025Gobernanza y obligaciones de proveedores GPAI.
2 ago. 2026Hito actual para varias disposiciones, incluida transparencia del Artículo 50.
2027-2028 acordadoCronograma político de alto riesgo; confirme adopción formal.

Construya un control plane de cumplimiento

El registro no puede estar desconectado de producción. Endpoint, modelo, prompt, política, dataset, workflow humano y deployment deben resolver al mismo sistema. El control plane verifica evidencia, bloquea releases incompatibles, publica configuración aprobada y recibe outcomes de runtime.

Control plane desde la norma al runtime
01 RegistrarDescriba sistema y cadenaFinalidad, rol, mercado, modelo, datos, interfaces, personas, contratos y owner.
02 ClasificarResuelva alcanceProhibición, alto riesgo, transparencia, GPAI, obligaciones, excepciones y timeline.
03 EspecificarTraduzca deberes a controlesRiesgo, datos, logs, docs, supervisión, seguridad, accuracy y monitoring.
04 EvidenciarAdjunte prueba verificableManifests, evals, threat model, instrucciones, tests, BOM y firmas.
05 AutorizarDecida el releasePolicy-as-code revisa clasificación, artefactos, thresholds, reviewers, conformidad y vigencia.
06 OperarImponga el envelopeVersiones, acceso, controles humanos, logs, límites, fallback, avisos y bloqueos.
07 MonitorearCompare realidad y claimsPerformance, drift, grupos, overrides, misuse, quejas, incidentes y vendor.
08 CorregirCierre poscomercializaciónContener, investigar, actualizar riesgo, reportar, desactivar/retirar y verificar.

Convierta los Artículos 9-15 en capacidades

RequisitoCapacidadEvidencia de releaseSeñal runtimeBloqueo
Riesgo, Art. 9Registro de hazards ligado a finalidad, misuse, grupos, controles, tests y riesgo residual.Versión aprobada y métricas predefinidas.Nuevo hazard, queja, contexto o falla.Riesgo no aceptado o assessment vencido.
Datos, Art. 10Registro con origen, propósito, preparación, labels, geografía, población, calidad, sesgo, gaps, acceso y retención.Manifests inmutables y checks firmados.Drift, grupos faltantes, cambios o feedback loop.Linaje desconocido o quality gate fallido.
Documentación, Art. 11Docs-as-code desde registro, arquitectura, versiones, performance, límites y cambios.Bundle alineado al Anexo IV.Runtime distinto de lo documentado.Docs ausentes, stale o inconsistentes.
Logs, Art. 12Eventos automáticos con versiones, input reference, output, acción humana, tiempo y trace IDs.Schema, retención, integridad, acceso y replay.Pérdida, schema roto, clock drift o decisión sin rastro.No puede reconstruirse un evento.
Información, Art. 13Instrucciones versionadas con finalidad, límites, métricas, inputs, supervisión y mantenimiento.Paquete aprobado ligado al artefacto.Uso fuera de instrucciones.El deployer no opera con seguridad.
Supervisión, Art. 14Cola, autoridad, competencia, contexto, override/stop, prevención de automation bias y escalamiento.Pruebas de escenarios e intervención.Overrides, alertas ignoradas, demora y error.Nadie entiende, interviene o detiene.
Accuracy/robustez/cyber, Art. 15Evals, métricas declaradas, tests de falla/ataque, fail-safe, redundancia y feedback-loop control.Reporte por contexto y grupo.Drift, ataque, outage, fallback o amplificación.Nivel declarado o fallback falla.

El evidence graph es el modelo central

Release → modelo/prompt → commit/container → data manifests → evals → controles → documentación → instrucciones → supervisión → seguridad → conformidad/registro → deployment. La evidencia guarda autor, reviewer, timestamp, herramienta, fuente, firma, vigencia y supersession. El PDF es export, no fuente de verdad.

Registro
Riesgo
Datos
Evals
Docs
Logs
Humano
Gate
Monitor

Proveedor y deployer tienen controles distintos

El proveedor responde por diseño, quality management, documentación, conformidad, corrección y posmercado. El deployer sigue instrucciones, asigna supervisión competente, monitorea, conserva logs bajo su control y gestiona inputs; organismos públicos y ciertos servicios esenciales pueden requerir evaluación de impacto en derechos fundamentales.

La supervisión humana necesita autoridad y tiempo

Defina qué ve la persona, competencia, momento, obligatoriedad, plazo, auto-stop y reversibilidad. Mida edad de cola, éxito de intervención, overrides, automation bias, desacuerdo, escalamiento y outcomes.

Logs útiles sin convertirlos en vigilancia

Registre lo necesario para reconstrucción y monitoring con minimización, retención, acceso, integridad y seguridad. Prefiera referencias, hashes y contexto estructurado frente a prompts o datos personales indiscriminados. Separe analytics, seguridad, evidencia regulatoria y expedientes sensibles.

El cambio de software cambia la clasificación

Finalidad, segmento, país, autoridad, autonomía, datos, threshold, UI, permisos, integración o vendor pueden modificar riesgo y rol. PR y pipeline calculan impacto, invalidan evidencia, solicitan revisiones y repiten evals.

La conformidad es un workflow de release

Assessment, declaración UE, marcado CE cuando corresponda, registro, conservación y cadena de valor se vuelven estados: desarrollo, sandbox, pendiente, aprobado por mercado/finalidad, registrado, suspendido, retirado o retired. Un artefacto no migra silenciosamente a otra finalidad.

La vigilancia poscomercialización es production engineering

Defina antes del launch performance, drift, grupos, overrides, misuse, quejas, recursos, precursores, contexto, avisos del proveedor e interacciones. Cada señal tiene threshold, owner, playbook, acción y actualización de evidencia.

Los incidentes graves necesitan ruta propia

Preserve versión, timeline, outputs, logs, acciones humanas, datos, impacto, contención y comunicación. El flujo evalúa notificación bajo el Artículo 73, coordina actores y autoridades, impide borrar evidencia y verifica la acción correctiva.

Las dependencias GPAI tienen registro propio

Guarde proveedor, modelo/versión, release, integración, documentación, acceptable use/copyright, evals, riesgo sistémico, hosting y avisos. Un alias que apunta a otro modelo es cambio de supply chain.

La transparencia es una función del producto

El Artículo 50 puede exigir aviso de interacción con IA y marcado/divulgación de contenido. Incorpore notices, provenance metadata, detección, disclosure, idioma, accesibilidad y prueba de entrega. Una política en el footer no equivale a aviso oportuno.

Lo que construiría

Registro y actor graph; servicio de baseline legal; motor de clasificación; data/model BOM; evidence graph; eval service; generador de docs; gateway policy-as-code; allow-list; logging schema; consola de supervisión; transparencia/provenance; bus posmercado; workflow de incidentes; state machine de conformidad; monitor de vendors; y exports auditables.

El principio

El Reglamento se vuelve manejable cuando el estado de cumplimiento deriva del software, modelo, datos, finalidad, mercado y evidencia en producción. La arquitectura no reemplaza criterio jurídico, pero conecta cada decisión con controles ejecutables y hechos reconstruibles.

Nota jurídica: interpretación de ingeniería, no asesoría legal. Verifique texto aplicable, directrices, normas armonizadas y requisitos nacionales.

Lecturas relacionadas

Artículo sobre el Reglamento de IA de la UE como arquitectura: registro, clasificación, datos, documentación, logs, supervisión, gates, conformidad, monitoring, incidentes, GPAI y transparencia.