Checklist de cumplimiento IA 2026 para empresas españolas

Actualizado abril 2026 · AI Compliance · Autor Matteo Mirabelli

Esta guía consolida en una checklist operativa los elementos de cumplimiento que una empresa española con sistemas IA en operación debe tener cubiertos en 2026. Las fuentes regulatorias activas (AI Act, RGPD, LSSI, AESIA, AEPD, AENOR, ENS, Anteproyecto Ley IA) producen un mapa que sin sistematización resulta inmanejable. La checklist está pensada para que un responsable interno pueda realizar autodiagnóstico antes de auditoría externa o respuesta a requerimiento.

Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.

Bloque 1: gobernanza interna

[ ] Política IA escrita y firmada por dirección. Mínimo una página, máximo cinco según tamaño. Define principios, alcance, responsabilidades.

[ ] Responsable de IA designado por escrito. Persona identificada con responsabilidad asignada. Habitualmente CTO, CIO, COO, Director Comercial o Fundador.

[ ] Comité de IA (mid-market y enterprise). Representación de áreas afectadas: tecnología, legal, RRHH, comercial, compliance.

[ ] Inventario de sistemas IA. Hoja viva con cada sistema: finalidad, datos procesados, proveedor, clasificación de riesgo AI Act, responsable interno, fecha alta.

[ ] Procedimiento de gestión de incidentes IA. Cómo se reportan, se investigan, se cierran. Plazos definidos.

[ ] Revisión anual del AIMS o sistema equivalente. Auditoría interna o externa, plan de mejora.

Bloque 2: AI Act

[ ] Clasificación de riesgo de cada sistema IA. Inaceptable (prohibido), alto (Anexo III), limitado, mínimo. Documentada.

[ ] Identificación del rol (desarrollador, desplegador, importador, distribuidor) por sistema.

[ ] Para sistemas Anexo III: EFFD (evaluación impacto derechos fundamentales) realizada antes de despliegue. Documentación técnica Anexo IV. Marcado CE. Declaración de conformidad. Registro en base de datos UE.

[ ] Para sistemas riesgo limitado: Mecanismo de transparencia accesible. Marcado de contenido sintético cuando aplique. Información a empleados afectados cuando proceda.

[ ] Audit trail funcional por sistema. Registros automatizados conservados, exportables.

[ ] Supervisión humana proporcional. Definida por sistema, aplicada operativamente, registrada.

[ ] Alfabetización IA de empleados. Formación realizada, materiales archivados, refresco periódico. Obligatoria desde febrero 2025.

Bloque 3: RGPD y AEPD

[ ] Registro de actividades de tratamiento (RAT) actualizado. Cada tratamiento con IA documentado.

[ ] Base jurídica documentada por tratamiento. Habitualmente interés legítimo en B2B; consentimiento en otros casos. Análisis de ponderación archivado.

[ ] DPA firmado con cada proveedor IA. Subencargados identificados. Transferencias internacionales con cláusulas tipo cuando aplique.

[ ] Análisis de impacto en protección de datos (AIPD/EIPD) cuando hay tratamiento masivo, perfilado o decisiones automatizadas. Aplicable a la mayoría de sistemas IA con datos personales.

[ ] Mecanismos de derechos ARCO funcionales. Plazos de respuesta cumplidos.

[ ] Delegado de Protección de Datos (DPD) designado cuando sea obligatorio. Coordinación con responsable de IA.

[ ] Cláusulas de información a interesados actualizadas con referencia a tratamientos IA.

[ ] Brecha de seguridad: procedimiento de notificación AEPD en plazo.

Bloque 4: LSSI y comunicaciones comerciales

[ ] Información clara del remitente en correos comerciales.

[ ] Indicación expresa del carácter comercial de la comunicación.

[ ] Mecanismo de oposición/baja accesible y funcional. Aplicado inmediatamente a la base.

[ ] Pertinencia de los mensajes al perfil profesional del destinatario, en B2B con base de interés legítimo.

Bloque 5: ISO 42001 (recomendado)

[ ] Decisión sobre certificación. Sí (con plan de implantación) / No (con justificación documentada) / Parcial (espíritu sin certificación formal).

[ ] Si sí: entidad certificadora elegida (AENOR, Bureau Veritas, KPMG, DNV, EQA, SGS, DEKRA, TÜV — todas acreditadas por ENAC). Plan de 12-18 meses.

[ ] Manual del AIMS documentado.

[ ] Anexo A: controles aplicables identificados, implementados o no aplicabilidad justificada.

[ ] Auditorías internas y revisión por dirección programadas.

Bloque 6: ENS (si aplica)

[ ] Identificación de aplicabilidad ENS. Si la empresa vende a sector público o gestiona datos del sector público con sistemas IA.

[ ] Categorización del sistema según ENS (BÁSICO, MEDIO, ALTO).

[ ] Medidas de seguridad implementadas según nivel.

[ ] Auditoría ENS programada.

[ ] Declaración o certificación de conformidad ENS.

Bloque 7: específico por sector

[ ] Sector financiero. Cumplimiento Banco de España, CNMV. Sistemas de calificación crediticia con régimen Anexo III.

[ ] Sector salud. Cumplimiento AEMPS si aplica. Sistemas IA en dispositivos médicos.

[ ] Sector RRHH. Sistemas de filtrado automatizado de candidatos: Anexo III + información obligatoria a personas trabajadoras y comité de empresa cuando aplique.

[ ] Sector seguros. DGSFP. Sistemas de scoring.

[ ] Sector legal. Directrices colegios profesionales.

[ ] Sector público. ENS, RD 203/2021 sobre actuación administrativa automatizada, normas específicas.

Bloque 8: contratación pública (si aplica)

[ ] Documentación AI Act lista para presentar en pliegos PLACSP.

[ ] Certificaciones relevantes (ISO 42001, ENS, ISO 27001) actualizadas.

[ ] Cumplimiento SARA si los contratos superan los umbrales harmonizados.

Consulte PLACSP y licitaciones públicas con IA y cumplimiento AI Act en contratación pública.

Bloque 9: relación con proveedores IA

[ ] DPA firmado con cada proveedor antes del procesamiento real.

[ ] Auditoría de transferencias internacionales en proveedores no UE.

[ ] Política IA del proveedor revisada.

[ ] Mecanismo de transparencia del proveedor verificado.

[ ] Cláusulas de portabilidad y exportación en contrato.

[ ] Plan de salida documentado.

Bloque 10: relación con destinatarios y empleados

[ ] Información a destinatarios sobre interacción con IA accesible.

[ ] Información a empleados sobre sistemas IA en lugar de trabajo cuando aplique.

[ ] Comité de empresa o representantes informados cuando legalmente aplique.

[ ] Procedimiento de queja accesible.

AI Act + ISO 42001 en la práctica

La articulación operativa de los diez bloques se beneficia de un marco unificado. ISO 42001:2023 ofrece esa estructura: política, roles, evaluaciones, controles, registros, ciclos de revisión. AI Act define las obligaciones específicas; ISO 42001 organiza cómo cumplirlas. AEPD y AESIA verifican cumplimiento; AENOR (acreditada por ENAC) certifica ISO 42001.

Una empresa española que ha completado los diez bloques de esta checklist tiene cubiertas las obligaciones nucleares y dispone de la documentación que permite responder en plazo razonable a un requerimiento de cualquiera de las autoridades.

ENS (RD 311/2022) es marco transversal cuando hay relación con sector público. Anteproyecto de Ley de IA española completará el régimen sancionador específico cuando entre en vigor.

Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.

Cómo usar la checklist

Autodiagnóstico inicial. El responsable interno marca cada elemento (sí/no/parcial) y documenta evidencia.

Plan de remediación. Para los elementos no cubiertos, fecha objetivo y responsable.

Revisión trimestral. Actualización del estado.

Auditoría externa anual. Verificación independiente.

Documentación. Toda la evidencia archivada y accesible.

Para profundizar consulte AI Act España: guía de cumplimiento, AESIA: la Agencia Española de Supervisión de la IA, ISO 42001 España: implementación y AI Act y PYME en España.

FAQ

¿Esta checklist sustituye a auditoría legal? No. Es punto de partida para autodiagnóstico, no asesoramiento.

¿Cuántos elementos debo tener cubiertos? Idealmente todos los aplicables. Para PYME, el mínimo proporcional cubre 70-80%.

¿Qué prioridad si tengo brechas en varios bloques? Bloque 2 (AI Act) y Bloque 3 (RGPD) primero, especialmente Anexo III y bases jurídicas.

¿Cuánto tiempo lleva el autodiagnóstico inicial? Para PYME: 1-2 días. Para mid-market: 1 semana.

¿Y para licitaciones públicas? Bloques 6 y 8 son críticos. Documentación lista facilita acceso a pliegos.

¿Esta checklist cambia en 2027? Sí. AI Act tiene plazos adicionales. Revisión anual recomendada.

Conclusión

La checklist 2026 de cumplimiento IA para empresas españolas integra diez bloques que cubren AI Act, RGPD, LSSI, ISO 42001, ENS y específicos sectoriales. La empresa que ha completado el autodiagnóstico está en posición defendible ante AESIA, AEPD y otras autoridades. Knowlee.ai como plataforma de IA Workforce europea, conforme AI Act + ISO 42001 by-design, facilita el cumplimiento de buena parte de los bloques al transferir complejidad técnica al proveedor europeo, lista para PYMEs y mid-market españolas con vocación LatAm.