Cómo crear un registro de IA en 90 minutos (Reglamento de IA)
Método de cinco pasos en 90 minutos para crear el registro de IA que toda pyme europea necesita conforme al art. 26 del Reglamento de IA y a las directrices de la ICO. Columnas de partida, errores frecuentes y reglas de responsabilidad.

La mayoría de las pymes europeas tratan el registro de IA como un entregable de gran calado que producirán cuando apriete la aplicación del Reglamento de IA. Es un error de planteamiento. Una primera versión operativa se levanta en noventa minutos si se concibe como un inventario del lado del responsable del despliegue y no como un artefacto de cumplimiento. A continuación encontrará el método de cinco pasos que aplicamos con los responsables de operaciones en nuestros encargos de auditoría: el mismo que pone sobre una página la fotografía de riesgo del anexo III antes del viernes por la tarde y deja margen para hacer después, con calma, el trabajo de fondo.
Respuesta rápida. Un registro de IA es el inventario, del lado del responsable del despliegue, de todos los sistemas de IA de su organización; lo presuponen las obligaciones del responsable del despliegue del art. 26 del Reglamento de IA [1] y está alineado con las directrices de la ICO conforme al UK GDPR [2]. Una primera versión operativa se levanta en noventa minutos para pymes de menos de 200 empleados: 15 minutos para inventariar, 20 para clasificar por riesgo frente al anexo III, 25 para cumplimentar las columnas esenciales y 30 para asignar responsables y revisar la supervisión.
¿Qué es un registro de IA?
El registro de IA es a las obligaciones del responsable del despliegue del art. 26 lo que el registro de las actividades de tratamiento (ROPA) es al art. 30 del UK GDPR: un inventario vivo que nombra cada sistema, clasifica su nivel de riesgo y le asigna una persona responsable. Es el documento que un investigador de la ICO, un departamento de compras o el equipo de seguridad de proveedores de un cliente empresarial pedirá en primer lugar.
El Reglamento de IA no prescribe el formato del registro en su articulado. El art. 26, apdo. 5, exige que los responsables del despliegue de sistemas de alto riesgo garanticen la supervisión humana por una persona física designada y competente; el art. 26, apdo. 6, exige conservar los registros de los usos de alto riesgo durante al menos seis meses [1]. El registro es el sustrato operativo que hace visibles ambas obligaciones. La ICO ha dejado claro desde 2023 que el tratamiento de datos personales mediante IA conforme al UK GDPR activa la disciplina de la evaluación de impacto y las obligaciones de responsabilidad proactiva [2], y su conjunto de herramientas de auditoría de IA enumera la clase de registros estructurados que una pyme necesitará [3]. Ninguna autoridad de control impone una herramienta concreta. Una hoja de cálculo que nombre las columnas adecuadas y asigne los responsables adecuados supera la prueba.
Por qué bastan noventa minutos (y qué no le compran)
El registro no es el destino: es el mapa. Noventa minutos bastan para sacar a la luz qué IA está en uso, clasificar su nivel de riesgo y asignar responsabilidad: la tríada de hechos que todo responsable del despliegue debe demostrar antes de que se la pida una autoridad de control, un cliente o el consejo. Lo que noventa minutos no le compran: una evaluación de impacto relativa a los derechos fundamentales conforme al art. 27 para cada sistema del anexo III, un programa de alfabetización en materia de IA conforme al art. 4 y proporcionado al puesto, un paquete de diligencia debida sobre proveedores que cubra los contratos de encargo de tratamiento y las fichas de modelo, o un protocolo de supervisión humana plenamente redactado [1]. Esos son flujos de trabajo posteriores, que se acotan a partir de lo que el registro saca a la luz.
La disciplina de fijar un plazo importa más que el acabado. En nuestros encargos de auditoría, las pymes que tratan el registro como un proyecto de varias semanas no suelen llegar a producirlo; las que acotan la primera versión a noventa minutos producen un registro el primer día y luego lo iteran. Las obligaciones del art. 26 son continuas, no puntuales, de modo que una primera versión que puede actualizar vale estrictamente más que una tercera versión que aún no ha empezado.
¿Cómo se desarrolla el método del registro de IA en 90 minutos?
Paso 1 — Inventaríe todos los sistemas de IA en uso (15 minutos)
Tres fuentes cubren casi todo lo que va a encontrar. Extraiga las suscripciones de pago a SaaS de su libro mayor o de la tarjeta de gastos: todo proveedor con «AI», «ML», «Copilot», «Assistant» o «Insight» en el nombre del producto pertenece a la lista. Extraiga la IA integrada de las plataformas que ya emplea: Microsoft 365 Copilot, las funciones de Gemini de Google Workspace, Salesforce Einstein, HubSpot Breeze, las respuestas automáticas de Outlook y los resúmenes de reuniones de Teams están todos dentro del alcance, se paguen o no. Extraiga la IA en la sombra mediante un mensaje de un párrafo a toda la plantilla en el que pregunte qué herramientas de IA usa en el día a día, incluidas las cuentas gratuitas de consumidor.
Considere la IA en la sombra dentro del alcance. Que un empleado pegue un currículo en una cuenta gratuita de ChatGPT convierte a la pyme en responsable del despliegue de un sistema de alto riesgo conforme a las disposiciones de empleo del Reglamento de IA [1], y los datos salen de su entorno conforme al UK GDPR [2]. La función del registro es sacarla a la luz, no vigilarla. La vigilancia llega en el paso 4, una vez que sabe qué hay.
Paso 2 — Clasifique cada sistema por nivel de riesgo frente al anexo III (20 minutos)
El anexo III del Reglamento de IA enumera ocho ámbitos de alto riesgo [1]: identificación biométrica, infraestructuras críticas, educación y formación profesional, empleo y gestión de los trabajadores, acceso a servicios esenciales, aplicación de la ley, migración y control fronterizo, y administración de justicia. Para las pymes, los desencadenantes reales suelen ser el empleo (cribado de currículos, clasificación del rendimiento, programación automatizada de turnos), el acceso a servicios (decisiones de crédito, tarificación de seguros) y la educación (evaluaciones de formación, certificaciones).
Para cada sistema de su lista, etiquételo como uno de estos: alto riesgo (coincidencia con el anexo III), riesgo limitado (obligaciones de transparencia conforme al art. 50), riesgo mínimo (sin obligaciones específicas más allá de la alfabetización del art. 4) o responsable del despliegue de IA de uso general (utiliza un modelo de uso general como base de un chatbot o un asistente) [1]. La mayoría de las pilas tecnológicas de las pymes se reparten entre dos o tres niveles. La clasificación corresponde al responsable del despliegue; no es delegable en el proveedor ni depende del tamaño de la empresa.
Paso 3 — Cumplimente las diez columnas esenciales (25 minutos)
Las columnas que se ganan su sitio en un registro del responsable del despliegue:
- Nombre del sistema — cómo lo llama su plantilla en el día a día.
- Proveedor — la persona jurídica que está detrás del producto.
- Modelo o versión — cuando se conozca (p. ej., GPT-4o, Claude 3.5, Gemini 1.5 o desarrollo propio).
- Finalidad — una frase que describa qué decide o genera el sistema.
- Nivel de riesgo — alto / limitado / mínimo / responsable del despliegue de IA de uso general.
- Datos personales implicados — sí/no, más las categorías conforme al UK GDPR.
- Base jurídica — la base del art. 6 del UK GDPR (interés legítimo, contrato, consentimiento, etc.).
- Persona responsable — una persona física designada, no un equipo ni un rol.
- Conservación de registros (art. 26, apdo. 6) — sí/no/no procede para los despliegues de alto riesgo.
- Fecha de despliegue — mes y año, como mínimo.
Una hoja de cálculo con estas diez columnas responde a la primera pregunta que formularán toda autoridad de control, todo cliente o todo miembro del consejo. Cualquier cosa más allá es trabajo iterativo, no trabajo de la primera versión. Resista el impulso de añadir columnas hasta haber rellenado las diez en todas las filas.
Paso 4 — Designe una persona responsable por cada sistema (15 minutos)
El art. 26, apdo. 5, exige que los responsables del despliegue de sistemas de alto riesgo garanticen la supervisión humana por una persona competente y responsable, con autoridad para pausar o anular el sistema [1]. Traslade eso a su registro nombrando a una persona física real frente a cada fila del anexo III, no a un rol como «responsable de TI» o «director de operaciones». La persona responsable necesita tres propiedades: sabe leer las salidas del sistema, tiene autoridad para desconectarlo y figura por su nombre, localizable, en su registro.
Para los sistemas que no pertenecen al anexo III, designe también un responsable. La obligación formal es más ligera; la disciplina es la misma. Los responsables de operaciones y los altos mandos son los titulares naturales en la mayoría de las pymes; no hace falta un director de tecnología ni un director de datos.
Paso 5 — Revise la supervisión humana en un sistema de alto riesgo (15 minutos)
Para su fila de mayor riesgo del anexo III, recorra tres preguntas: ¿revisa una persona la salida de la IA antes de que afecte a alguien? (la prueba de intervención humana); ¿puede esa persona anular en la práctica la decisión de la IA? (la prueba de autoridad); ¿ha recibido esa persona la formación adecuada a su puesto conforme al art. 4? (la prueba de alfabetización) [1]. Las respuestas van a una columna de texto libre, «notas de supervisión humana», contigua a las diez columnas esenciales.
No terminará el protocolo de supervisión humana en quince minutos. El objetivo es sacar a la luz dónde está la brecha, no cerrarla. Una fila que diga «sin revisión humana en el cribado de currículos; brecha por cerrar en 30 días» es exactamente la salida correcta. La función del registro es hacer visible la brecha; cerrarla es un flujo de trabajo aparte y un presupuesto aparte.

¿Qué cinco errores frecuentes echan a perder una primera versión del registro de IA?
- Tratar el registro como un documento de una sola vez. Las obligaciones del art. 26 son continuas; el registro es un artefacto vivo que se revisa al menos trimestralmente y se actualiza cada vez que se despliega un nuevo sistema de IA o un proveedor publica un cambio de modelo relevante.
- Pasar por alto la IA en la sombra. Las cuentas gratuitas de consumidor y las sesiones personales de Copilot son la categoría con más incidencias y menos visibilidad. Si el registro no las saca a la luz, miente.
- Comprar una «herramienta de cumplimiento» antes de inventariar. El SaaS de cumplimiento de un proveedor no clasificará sus casos de uso: solo su equipo puede hacerlo. Primero la hoja de cálculo, después la herramienta (o nunca; para pymes de menos de 200 empleados, una hoja de cálculo bien mantenida basta).
- Asignar un rol en lugar de una persona. No se puede avisar a un «equipo de TI». A una persona física con un número de teléfono, sí. El art. 26, apdo. 5, presupone esto último [1].
- Saltarse por completo la alfabetización del art. 4. El art. 4 se aplica desde el 2 de febrero de 2025 a todo miembro de la plantilla que use IA, de forma proporcionada a su puesto [1]. No es un nivel de riesgo: todo sistema hace surgir una obligación del art. 4. Anótela en el registro aunque el programa formativo en sí sea trabajo posterior.
Qué hacer después de los noventa minutos
El registro es la capa de descubrimiento. De él suelen despegar tres flujos de trabajo posteriores:
- Acotación de la evaluación de impacto relativa a los derechos fundamentales (FRIA) para cada fila del anexo III, conforme al art. 27 del Reglamento de IA [1]: un documento aparte y más profundo que la columna de nivel de riesgo del registro inicia, sin sustituirlo.
- Programa de alfabetización en materia de IA conforme al art. 4 — proporcionado al puesto, acotado a partir de la columna de persona responsable del registro y no del total de plantilla.
- Paquete de diligencia debida sobre proveedores — contratos de encargo de tratamiento, fichas de modelo y trazabilidad de la IA de uso general, acotado a partir de la columna de proveedor del registro y actualizado en cada renovación de la contratación.
Estos son los flujos de trabajo que un enfoque diseñado desde el principio cubre en unas doce semanas por 18 000-32 000 £, según nuestra experiencia en encargos, y los mismos que un enfoque de adaptación a posteriori cubre en seis semanas comprimidas por 85 000-145 000 £: un multiplicador coherente con los datos de MIT Sloan posteriores al RGPD, según los cuales las empresas de la UE recortaron un 26 % los datos almacenados y un 15 % la computación bajo la presión de la aplicación normativa [4]. El registro es el primer movimiento más barato posible frente a esa aritmética.
Resumen
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Lecturas relacionadas
- Gobernanza de la IA desde el primer día: el coste para las pymes de adaptar el cumplimiento a posteriori — el artículo de referencia que sustenta esta guía. Léalo para la aritmética de costes, el caso Northbridge y los siete artefactos de la gobernanza desde el primer día.
- Su pyme no necesita más herramientas de IA. Necesita una estrategia de IA.EN — la pieza previa sobre por qué una lista de IA autorizada importa más que cualquier suscripción concreta, y la secuencia de auditar y consolidar que produce esa lista.
Última actualización: mayo de 2026. Versión 1.0.
Frequently Asked Questions
¿Sustituye el registro de IA al registro de las actividades de tratamiento (ROPA) del RGPD?
Nuestra plantilla usa ChatGPT gratuito y Copilot de consumidor. ¿Cuentan para el registro?
Nuestra pyme tiene su sede fuera de la UE. ¿Se aplica el Reglamento de IA a nuestro registro?
¿Quién debe asumir el registro de IA en una pyme que no tiene director de tecnología?
¿Con qué frecuencia debemos actualizar el registro?
¿Basta con una hoja de cálculo o necesitamos una herramienta de GRC específica?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.