Lista de verificación para autoauditoría: treinta preguntas que responder antes de encargar una auditoría del Reglamento de IA de la UE
No todo fundador de SaaS necesita una auditoría desde el primer día. Algunos necesitan hacer un triaje previo. Nuestros revisores elaboraron estas treinta preguntas para que cualquier fundador pueda dedicar una hora, responder con honestidad y terminar con una lectura clara de si el audit completo del servicio es el siguiente paso adecuado, si el triaje del Anexo III es suficiente, o si el fundador puede implementar por sí mismo el artículo 50 utilizando únicamente la biblioteca de fragmentos.
Bloque A — Ámbito de aplicación y exposición (preguntas 1–6)
1. ¿Puede una persona situada en la Unión Europea registrarse y utilizar su producto hoy?
2. ¿Su flujo de registro acepta direcciones de correo electrónico con extensiones .eu, .de, .fr, .es, .it u otros TLD de estados miembros de la UE?
3. ¿Tiene al menos un usuario de pago o gratuito ubicado en la UE?
4. ¿Alguna función de su producto realiza una predicción, recomendación o decisión, o genera contenido basado en un modelo de aprendizaje automático, una llamada de inferencia a una API externa o un sistema basado en lógica que aprende de datos?
5. ¿Alguna de esas funciones toca la entrada, salida o comportamiento de un usuario?
6. ¿Alguna de esas funciones está disponible sin autenticación, o tras un registro en nivel gratuito, donde una persona podría utilizarla sin ser cliente de pago?
Si ha respondido «sí» a las preguntas 1, 4 y 5, su producto está en el ámbito de aplicación del Reglamento de IA de la UE en virtud del artículo 2, apartado 1, letra a). Continúe.
Bloque B — Transparencia del artículo 50 (preguntas 7–14)
7. ¿Dispone su producto de un chatbot, asistente virtual o cualquier interfaz conversacional en la que una persona escriba o hable y reciba una respuesta generada por un modelo de IA?
8. Cuando un usuario entra por primera vez en esa conversación, ¿muestra una divulgación visible de que está hablando con una IA?
9. ¿Genera su producto texto, imagen, audio o vídeo que el usuario recibe como resultado?
10. ¿Está ese contenido generado marcado con una señal de procedencia legible por máquina (p. ej., C2PA Content Credentials incrustado en el archivo)?
11. ¿Muestra su producto una etiqueta visible de «generado por IA» sobre o junto a dicho contenido en el momento de su entrega?
12. ¿Produce su producto un deepfake, un clon de voz, un intercambio de rostros o cualquier medio sintético que represente a personas reales?
13. En caso afirmativo, ¿etiqueta ese contenido como generado o manipulado artificialmente cuando se muestra al usuario?
14. ¿Ofrece su producto funciones que analicen el estado emocional, el sentimiento o las categorías biométricas de los usuarios?
Si ha respondido «sí» a la pregunta 7 pero «no» a la pregunta 8: brecha en el artículo 50, apartado 1. Si ha respondido «sí» a la pregunta 9 pero «no» a las preguntas 10 y 11: brecha en el artículo 50, apartado 2. Si ha respondido «sí» a la pregunta 12 pero «no» a la pregunta 13: brecha en el artículo 50, apartado 4. Si ha respondido «sí» a la pregunta 14 en un contexto laboral o educativo: posible prohibición en virtud del artículo 5.
Bloque C — Alto riesgo del Anexo III (preguntas 15–22)
15. ¿Realiza su SaaS identificación biométrica remota o identificación de voz a gran escala?
16. ¿Funciona su SaaS como componente de seguridad en infraestructuras viarias, acuáticas, de gas, eléctricas, de calefacción o digitales?
17. ¿Califica su SaaS automáticamente los trabajos de los estudiantes, supervisa exámenes o determina las admisiones escolares?
18. ¿Filtra su SaaS currículos, puntúa candidatos, automatiza decisiones de promoción o extinción de la relación laboral, o vigila la productividad de los trabajadores?
19. ¿Toma su SaaS decisiones crediticias, establece primas de seguros o determina la elegibilidad para prestaciones públicas o servicios esenciales?
20. ¿Respalda su SaaS la evaluación de riesgos en el ámbito policial, la ponderación de pruebas o funciones similares al polígrafo?
21. ¿Gestiona su SaaS procesos de migración, asilo, control fronterizo o determinación de visados?
22. ¿Influye su SaaS en la administración de justicia o en los procesos democráticos (asesoramiento electoral, apoyo al razonamiento judicial, selección de jurados)?
Si ha respondido «sí» a alguna de las preguntas 15–22: su SaaS es de alto riesgo en virtud del Anexo III. Se aplica el conjunto completo de obligaciones de los artículos 9 a 15, las obligaciones del desplegador del artículo 26 y, potencialmente, la evaluación del impacto sobre los derechos fundamentales del artículo 27.
Bloque D — Documentación y operaciones (preguntas 23–30)
23. ¿Dispone de una ficha técnica del modelo (model card) por escrito para cada función de IA de su producto?
24. ¿Dispone de una página pública de uso de IA en /ai-use o equivalente?
25. ¿Hace referencia a las divulgaciones del artículo 53 de su proveedor de GPAI ascendente en su propia documentación?
26. ¿Registra, por inferencia, la huella de la entrada, la huella de la salida, la versión del modelo, la marca de tiempo y el contexto del solicitante?
27. ¿Dispone de un procedimiento de supervisión humana por escrito para cualquier función de IA de alto riesgo?
28. ¿Ha evaluado sus datos de entrenamiento, validación y prueba en busca de sesgos en virtud del artículo 10?
29. ¿Dispone de un adéndum de IA al DPA elaborado para su contratación empresarial?
30. ¿Dispone de un procedimiento documentado de notificación de incidentes alineado con el artículo 73?
El número de respuestas «no» en este bloque, especialmente cuando se combina con la clasificación de alto riesgo del Bloque C, es la señal más clara de que debe encargar la auditoría del servicio antes del 30 de junio de 2026.
Cómo puntuarse
0 brechas en total. Está en buena situación. Encargue la auditoría del servicio únicamente como registro documental para la contratación pública o para la certificación a nivel del consejo de administración.
1–3 brechas en el Bloque B, 0 en el resto. La implementación propia a partir de nuestra biblioteca de fragmentos puede ser suficiente. Lea la matriz artículo por artículo en /eu-ai-act y publique los fragmentos correspondientes. Si desea un entregable firmado para el asesor jurídico, encargue la auditoría.
3 o más brechas en el Bloque B o cualquier brecha en el Bloque D. Encargue la auditoría. El tiempo de revisión necesario para lograr una implementación limpia en múltiples brechas supera rápidamente la tarifa de auditoría de €997.
Cualquier «sí» en el Bloque C. Encargue la auditoría de inmediato. Las obligaciones de alto riesgo no pueden implementarse de forma segura por uno mismo; los requisitos de documentación por sí solos justifican el encargo.
Cualquier desencadenante del artículo 5. Esto constituye un riesgo de cumplimiento que requiere acción inmediata, no una auditoría. Cese la práctica y, a continuación, encargue la auditoría para confirmar el cese y documentar la remediación.
El formulario de solicitud del servicio está en disclos.eu → 'Get audited — €997'.
Frequently asked questions
¿Pueden puntuarme a través del formulario de solicitud?
El formulario de solicitud es para clientes que ya han pagado y desean encargar una auditoría. La lista de verificación para autoauditoría es una herramienta previa a la solicitud: sin compromiso, sin coste, solo treinta preguntas. Si desea que un revisor evalúe sus respuestas sin encargar una auditoría completa, envíe las treinta respuestas a hello@disclos.eu y el revisor principal responderá en un día hábil con una recomendación.
¿Responder «sí» a la pregunta 14 en un contexto laboral significa inmediatamente que estamos prohibidos?
El artículo 5, apartado 1, letra f), prohíbe el reconocimiento de emociones en el lugar de trabajo y en los centros educativos, con excepciones limitadas por razones médicas o de seguridad. Si su producto infiere el estado emocional en esos contextos y no se encuentra dentro de dichas excepciones, incumple el artículo 5. La divulgación no subsana una práctica prohibida; solo el cese de la práctica lo hace. Nuestros revisores abordarán este punto en la solicitud si usted lo indica.
¿Qué ocurre si no tengo claro cómo responder a una pregunta?
Responda «sí» por defecto para el triaje. Sobrestimar las brechas en la fase de autoauditoría es seguro; subestimarlas conlleva costes posteriores. La auditoría completa resolverá cada una de ellas con evidencia.
¿Es jurídicamente vinculante esta lista de verificación?
No. Es una herramienta de autotriaje que el servicio publica de forma gratuita. No constituye asesoramiento jurídico y no nos vincula a una constatación específica en una auditoría de pago. La auditoría es el entregable vinculante; la lista de verificación es el punto de acceso.
¿Se actualizará la lista de verificación cuando se modifique el Reglamento?
Sí. El campo last_updated de la página refleja el cambio más reciente. Cuando la Oficina de IA de la UE publique orientaciones que afecten a alguna de las treinta preguntas, nuestros revisores actualizarán el bloque correspondiente y republicarán el contenido.
Sources
Last updated: 2026-05-30