Cumplimiento del Reglamento de IA: pista de auditoría y obligaciones de divulgación

Cómo Zeuslock proporciona la pista de auditoría, el registro de transparencia y la cronología de incidentes que los equipos jurídicos y de cumplimiento necesitan para evidenciar los artículos 4, 26 y 50 del Reglamento de IA.

Lo que el Reglamento de IA realmente le exige

El Reglamento de IA (Reglamento (UE) 2024/1689) es la primera ley horizontal del mundo sobre inteligencia artificial, y sus obligaciones recaen sobre prácticamente cualquier empleador europeo, no solo sobre los proveedores de IA. Si su personal utiliza ChatGPT, Claude, Gemini, Copilot, Mistral o un copiloto interno, usted es responsable del despliegue en el sentido del Reglamento. Este documento se dirige a la asesoría jurídica, al DPD, al responsable de cumplimiento y al CISO que tendrán que demostrar, ante una autoridad de control o ante una auditoría interna, que la empresa cumple sus obligaciones. Mapea los artículos relevantes con la pista de auditoría que Zeuslock genera y enumera lo que no cubrimos, para que pueda planificar con honestidad el resto de su programa de cumplimiento.

El calendario real que debe anticipar

El Reglamento entró en vigor el 1 de agosto de 2024 y se aplica por fases. Tres fechas son determinantes para la planificación:

  • 2 de agosto de 2025 — obligaciones para modelos de IA de uso general (GPAI). Los proveedores de modelos de uso general (OpenAI, Anthropic, Google, Mistral, Meta y otros) quedan sujetos a las obligaciones de transparencia, propiedad intelectual y documentación del artículo 53. El artículo 55 añade obligaciones de riesgo sistémico para los modelos más grandes. Los responsables del despliegue se benefician de forma indirecta: la documentación que deben exigir aguas arriba pasa a estar disponible.
  • 2 de agosto de 2026 — obligaciones para sistemas de alto riesgo. Los usos de alto riesgo del anexo III (selección de personal, scoring crediticio, biometría, infraestructuras críticas, acceso a la educación, etc.) se vuelven exigibles. Entran en juego las obligaciones del responsable del despliegue del artículo 26.
  • 2 de agosto de 2027 — aplicación completa. Incluidos los sistemas de alto riesgo integrados en productos regulados del anexo I.

Las sanciones son graduadas: hasta 35 millones de euros o el 7 % de la facturación anual mundial por prácticas prohibidas, 15 millones o el 3 % para la mayoría de las demás infracciones. La AEPD en España, la CNIL en Francia, el BfDI junto con las autoridades de los Länder en Alemania y el CEPD a escala de la UE ya han comenzado a publicar orientaciones.

Artículo 4 — alfabetización en IA, y cómo medirla

El artículo 4 obliga a proveedores y a responsables del despliegue a "adoptar medidas para garantizar, en la medida de lo posible, un nivel suficiente de alfabetización en IA de su personal y de las demás personas que se ocupen del funcionamiento y la utilización de los sistemas de IA en su nombre". El Reglamento no prescribe un temario. Pero sí espera que usted pueda describir dónde se utiliza la IA y quién la utiliza. La mayoría de las organizaciones no pueden responder a esa pregunta el primer día.

El papel de Zeuslock aquí es de observación, no pedagógico. La extensión de navegador, el agente de escritorio y la CLI producen en conjunto un registro continuo y anonimizado de qué empleados utilizan qué herramientas de IA, con qué frecuencia y con qué tipo de datos. Ese registro es la línea base sobre la que un plan de formación puede diseñarse. Sin él, la alfabetización en IA queda en una autodeclaración.

Artículo 50 — transparencia ante el usuario

El artículo 50 exige que se informe a las personas físicas cuando interactúan con un sistema de IA y que el contenido sintético se marque como tal. Para el responsable del despliegue, la pregunta que las autoridades formularán es: "¿puede enumerar todos los destinos impulsados por IA a los que fluyen sus datos?". Zeuslock responde manteniendo un registro destino a destino — ChatGPT, Claude, Gemini, Perplexity, Mistral, Copilot, Poe, You.com, DeepSeek y cualquier herramienta capturada por el modo Universal. La exportación lleva marca de tiempo y firma, que es lo que un auditor querrá ver.

Artículo 26 — obligaciones operativas del responsable del despliegue de alto riesgo

El artículo 26 es el núcleo operativo para la mayoría de empresas. Exige al responsable del despliegue:

  • Utilizar el sistema conforme a sus instrucciones de uso.
  • Asignar la supervisión humana a personas con la competencia necesaria.
  • Velar por la pertinencia y representatividad de los datos de entrada.
  • Supervisar el funcionamiento e informar al proveedor de cualquier incidente grave.
  • Conservar los registros generados automáticamente durante al menos seis meses.

Zeuslock se sitúa en la capa de datos de estas obligaciones. Registramos de forma continua las entradas enviadas a los sistemas de IA, bloqueamos entradas peligrosas conforme a la política configurada (supervisión humana expresada en software) y construimos una cronología de incidentes para cada prompt que infringe las reglas. No sustituimos al revisor humano — le entregamos la prueba.

Artículos 53 y 55 — qué cambia para los GPAI

La mayor parte del artículo 53 (documentación técnica, política de derechos de autor, resumen de datos de entrenamiento) y del artículo 55 (evaluación de riesgo sistémico, pruebas adversariales, notificación de incidentes) recae sobre los proveedores. Como responsable del despliegue que integra un GPAI en su propio producto, su responsabilidad es capturar la evidencia de un uso controlado. La pista de auditoría de Zeuslock es lo que vuelve concreta esa evidencia.

Mapeo artículo-funcionalidad

DisposiciónObligación del responsable del despliegueAportación de Zeuslock
Artículo 4Alfabetización en IA suficienteRegistro de uso por usuario y herramienta para enmarcar la formación
Artículo 26(1)Uso conforme a las instruccionesPolítica como código; registro de prompts bloqueados
Artículo 26(2)Supervisión humana competenteCola de incidentes con atribución de revisor
Artículo 26(5)Supervisión y notificación de incidentesAlertas en tiempo real a Slack, Splunk, Sentinel, PagerDuty
Artículo 26(6)Conservación de registros ≥ 6 mesesExportación de auditoría en solo lectura, retención configurable
Artículo 50Transparencia sobre la interacción con IARegistro de uso destino a destino
Artículos 53 / 55Obligaciones GPAI (mayoritariamente aguas arriba)Paquete de evidencia de uso controlado del responsable

Lista práctica de evidencia para el responsable de cumplimiento

Si su autoridad o auditor entrase mañana, debería poder evidenciar cada uno de los siguientes puntos en menos de una hora laboral. Cada elemento corresponde a un dato que Zeuslock genera por defecto.

  1. Una lista de todas las herramientas de IA usadas en los últimos 90 días, por departamento, con prompts anonimizados de muestra.
  2. El conjunto de políticas vigentes por tipo de detección (Monitorizar, Anonimizar, Bloquear) y la fecha del último cambio.
  3. Una cronología de incidentes del último trimestre, con gravedad, revisor, acción y tiempo de resolución.
  4. El volumen total de credenciales, datos personales y código fuente interceptado antes de salir del perímetro.
  5. La lista de destinos de IA en la sombra señalados (por ejemplo DeepSeek) y el registro de notificación al CISO.
  6. El estado actual del aprovisionamiento SSO / SCIM, mostrando qué empleados acceden a las herramientas a través de proveedores de identidad aprobados.
  7. La línea base de alfabetización en IA: cuántos empleados usan IA semanalmente, en qué funciones, con qué tipos de datos.
  8. El período de retención configurado y una muestra firmada de un registro de auditoría exportado.
  9. La evidencia de supervisión humana: identidad del revisor, decisión y justificación asociadas a cada incidente de alta gravedad.
  10. El anexo de EIPD que cubre el uso de herramientas de IA, categorías de datos, base jurídica y garantías de transferencia.
  11. Una copia de la última entrega de webhook a su SIEM, verificada por firma HMAC.
  12. La plantilla de notificación de incidente que presentaría a su autoridad nacional (AEPD, CNIL, BfDI, etc.) si hoy se produjera un incidente grave.

La exportación de la pista de auditoría

La pista de auditoría es el artefacto único más solicitado por las autoridades. Zeuslock la expone en tres formas: descarga CSV, reenvío en tiempo real a un SIEM (Splunk HEC, Microsoft Sentinel, webhook genérico) y anexo de EIPD empaquetado. Cada registro lleva las siguientes columnas:

{
  "timestamp": "2026-05-17T09:42:18Z",
  "user_hash": "sha256:6f1c…",
  "group": "finanzas-madrid",
  "destination": "chat.openai.com",
  "finding_type": "iban",
  "severity": "high",
  "action": "blocked",
  "policy_version": "2026.04-rev3"
}

El campo user_hash es un SHA-256 con sal del identificador de directorio — puede re-identificar a petición para responder a un derecho de acceso o a un incidente grave, pero la exportación por defecto es seudonimizada, lo que se ajusta al artículo 26(6) leído junto con el artículo 32 del RGPD.

Lo que Zeuslock no cubre

La honestidad importa más que la cobertura aquí. Zeuslock es la capa de evidencia. No sustituye al resto de un programa de gobernanza de la IA.

  • La evaluación de riesgo modelo de los propios LLM — sesgos, tasa de alucinación, robustez. Corresponde a la documentación de los artículos 53/55 del proveedor y a su función interna de riesgo modelo.
  • La gobernanza contractual con proveedores de IA — contratos de encargo, lista de subencargados, cláusulas de residencia de datos en la UE, derechos de auditoría. Sus equipos jurídicos y de compras son los propietarios.
  • La impartición de formación — generamos los datos que indican quién necesita formación y sobre qué; no impartimos el curso.
  • La evaluación de conformidad de los sistemas de alto riesgo que usted construya — si su empresa es proveedora de un sistema de alto riesgo, necesita un organismo notificado o un proceso de autoevaluación que Zeuslock no realiza.

Trabajar con los reguladores europeos

Cada Estado miembro aplica el Reglamento a través de una o varias autoridades. En España, la AEPD ha designado la primera autoridad de supervisión de IA y publica directrices junto con guías sobre datos personales. En Francia, la CNIL lidera las cuestiones de IA y datos personales y publica sandboxes regulatorios. En Alemania, el BfDI coordina con las autoridades de los Länder (Baviera, Baden-Wurtemberg, Berlín y otras), cada una con sus propias orientaciones. El CEPD emite dictámenes a escala de la UE y ya ha publicado el Dictamen 28/2024 sobre modelos de IA y datos personales. Cuando informe a cualquiera de ellos, lidere con los datos que Zeuslock produce — responden bien a los registros concretos.