Version : 7.6.0 | Ultima actualizacion : 2026-03-25
Aplica a : Todos los tracks (Solo/Lean/Full) que despliegan AI en la Union Europea
Enforcement : 2 Agosto 2025 (prohibiciones), 2 Agosto 2026 (alto riesgo)
El Reglamento Europeo de Inteligencia Artificial (EU AI Act, Reglamento UE 2024/1689) establece un marco regulatorio basado en riesgos para sistemas AI comercializados o utilizados en la Union Europea. Esta guia mapea los requisitos del AI Act a los artefactos y procesos del framework.
Fecha Obligacion 2 Feb 2025 Prohibiciones (Art. 5) — sistemas de riesgo inaceptable 2 Ago 2025 Obligaciones de alfabetizacion AI (Art. 4), autoridades notificadas 2 Ago 2026 Obligaciones completas para sistemas de alto riesgo (Art. 6-15, 73)2 Ago 2027 Sistemas AI de proposito general (GPAI) — Art. 51-56
Artefacto Ruta Proposito Conformity assessment F08_security/eu_ai_act_conformity.yamlEstado articulo por articulo Incident reporting plan F08_security/incident_reporting_plan.yamlArt. 73 procedimientos AI transparency disclosure F08_security/ai_transparency_disclosure.yamlArt. 13/50 transparencia AIBOM F08_security/aibom.yamlArt. 11 Annex IV documentacion Human-agent responsibility F01_strategy/human_agent_responsibility.yamlArt. 14 supervision humana Compliance matrix F08_security/compliance_matrix.yamlVista general de regulaciones
El primer paso es clasificar el sistema AI segun su nivel de riesgo. Esta clasificacion determina que obligaciones aplican.
+---------------+----------------+
Esta en la lista de NO esta en la lista
Art. 5 (prohibidos)? de Art. 5
(prohibido) +----------+-----------+
ALTO RIESGO Genera contenido
(Art. 9-15) sintetico o interactua
(Art. 50) (sin obligaciones
Biometria (identificacion, categorizacion, deteccion de emociones)
Infraestructura critica (agua, gas, electricidad, transporte)
Educacion y formacion profesional
Empleo y gestion de trabajadores
Acceso a servicios esenciales (credito, seguros, servicios publicos)
Aplicacion de la ley
Migracion, asilo y control de fronteras
Administracion de justicia y procesos democraticos
Requiere un proceso continuo e iterativo de gestion de riesgos durante todo el ciclo de vida del sistema AI.
Sub-req Requisito Artefacto del framework 9.1 Proceso continuo de gestion de riesgos F08_security/compliance_matrix.yaml9.2a Identificacion de riesgos conocidos y previsibles F08_security/risk_acceptance.yaml9.2b Evaluacion de riesgos de uso previsto y mal uso previsible F01_strategy/human_agent_responsibility.yaml9.2c Evaluacion de riesgos post-mercado F09_operations/operating_baseline.yaml9.2d Medidas de gestion de riesgos apropiadas F08_security/compliance_matrix.yaml9.3 Riesgos residuales aceptables F08_security/risk_acceptance.yaml9.5 Pruebas para medidas de gestion F07_tevv/test_plan.yaml9.6 Impacto en menores de edad Documentar si aplica 9.7 Pruebas en condiciones reales pre-despliegue F07_tevv/eval_baseline.yaml
Sub-req Requisito Artefacto del framework 10.2 Datos sujetos a practicas de gobernanza data_classification.yaml10.2a Elecciones de diseno documentadas F04_architecture/ai_partition_map.yaml10.2b Procesos de recopilacion y origen documentados data_provenance_registry.yaml10.2f Examen de sesgos bias_assessment_report.yaml10.3 Datos representativos y completos data_quality_config.yaml10.5 Salvaguardas de privacidad (GDPR) Documentar cumplimiento GDPR
Sub-req Requisito Artefacto del framework 11.1 Documentacion tecnica antes de comercializacion F04_architecture/adr_001_stack_selection.md11.1-annex Cumple Annex IV F08_security/aibom.yaml
Sub-req Requisito Artefacto del framework 12.1 Registro automatico de eventos (logs) F09_operations/operating_baseline.yaml12.2 Trazabilidad durante ciclo de vida Logs de operacion 12.3 Periodo de retencion apropiado data_retention_policy.yaml
Sub-req Requisito Artefacto del framework 13.1 Transparencia para el desplegador F08_security/ai_transparency_disclosure.yaml13.2 Instrucciones de uso Documentacion de producto 50.1 Informar a personas que interactuan con AI F08_security/ai_transparency_disclosure.yaml50.2 Contenido sintetico marcado (machine-readable) Campo synthetic_content en disclosure
Sub-req Requisito Artefacto del framework 14.1 Supervision humana efectiva F01_strategy/human_agent_responsibility.yaml14.2 Medidas proporcionales a riesgos Definir en human_agent_responsibility 14.4a Comprender capacidades y limitaciones F08_security/aibom.yaml14.4d Capacidad de interrumpir el sistema Documentar mecanismo de stop
Sub-req Requisito Artefacto del framework 15.1 Precision documentada F07_tevv/eval_baseline.yaml15.2 Resiliencia a errores F07_tevv/test_plan.yaml15.3 Resiliencia a manipulacion F08_security/sast_sca_config.yaml15.4 Ciberseguridad apropiada F08_security/compliance_matrix.yaml
Ver F08_security/incident_reporting_plan.yaml para timelines y procedimientos detallados.
Tipo de incidente Timeline maximo Reporte a Muerte o sospecha de relacion causal 10 dias Autoridad de vigilancia Disrupcion de infraestructura critica 2 dias Autoridad de vigilancia Dano grave general 15 dias Autoridad de vigilancia Brecha de datos personales (GDPR) 72 horas Autoridad de proteccion de datos
Usar el arbol de decision (seccion 2) para determinar el nivel de riesgo
Documentar en eu_ai_act_conformity.yaml > system_classification
Si es unacceptable : detener el desarrollo o redisenar
Si es high : continuar con pasos 2-4
Abrir eu_ai_act_conformity.yaml
Para cada articulo (Art. 9-15), revisar cada sub-requisito en la seccion checklist
Marcar met: true cuando el requisito se cumple
Agregar evidence_ref apuntando al artefacto del framework correspondiente
Actualizar el status del articulo: compliant, partial, o non_compliant
python3 baseline/scripts/compliance-linter.py \
El linter ejecuta la regla 16 (EU AI Act Conformity) que verifica:
Existencia de eu_ai_act_conformity.yaml
risk_level no vacioArt. 9-15 todos con status != pending (solo para alto riesgo)
Plan de reporte de incidentes configurado
Establecer fecha de proxima revision en conformity_assessment.next_review
Revisar trimestralmente o ante cambios significativos del sistema
Actualizar conformity_assessment.overall_status tras cada revision
Metodo de evaluacion:
Solo/Lean : self_assessment (Art. 43.1)Full (Annex III cat. 1-5) : self_assessment basada en normas armonizadasFull (biometria, infraestructura critica) : notified_body (Art. 43.1 excepciones)
Framework Relacion con EU AI Act ISO 42001 Clausulas 4-10 cubren ~60% de Art. 9-15. Usar iso42001_compliance.yaml como complemento NIST AI RMF Map/Measure/Manage/Govern alinean con Art. 9. Ver nist_ai_controls.yaml OWASP ASI ASI01-ASI10 cubren aspectos de Art. 15 (ciberseguridad). Ver owasp_asi_checklist.yaml Singapore MGF Gobernanza y transparencia alinean con Art. 13-14. Ver singapore_mgf_compliance.yaml
Texto oficial: Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo
AI Office: Guias de implementacion y normas armonizadas
Schema de validacion: baseline/scripts/schemas/eu_ai_act_conformity.schema.json
Template: baseline/project-template/project/F08_security/eu_ai_act_conformity.yaml