Back to blog
    5 Meses para el Cumplimiento del EU AI Act: El Sprint de Implementación del Pipeline de Datos
    eu-ai-actcompliancedeadlinesprintdata-pipelinesegment:enterprise

    5 Meses para el Cumplimiento del EU AI Act: El Sprint de Implementación del Pipeline de Datos

    2 de agosto de 2026. Esa es la fecha límite para el cumplimiento de sistemas de IA de alto riesgo del EU AI Act. Si tu pipeline de datos de IA no tiene rastros de auditoría y documentación hoy, aquí está el sprint de 5 meses para lograrlo.

    EErtas Team·

    2 de agosto de 2026. Esa es la fecha en que las disposiciones de aplicación para sistemas de IA de alto riesgo bajo el EU AI Act se vuelven plenamente aplicables. El 3 de agosto, los reguladores pueden solicitar evidencia de cumplimiento. Si no puedes presentarla, las sanciones comienzan en 7.5 millones de euros o el 1.5% de la facturación global y escalan hasta 35 millones de euros o el 7% de la facturación global para las violaciones más graves.

    Hoy es 15 de marzo de 2026. Tienes 140 días.

    Si tu pipeline de datos de IA ya produce rastros de auditoría con marca de tiempo, identificación del operador, seguimiento de linaje de datos y documentación conforme a los Artículos 10/30, estás en buena posición. Verifica que funcione, realiza una auditoría simulada y continúa.

    Si no es así — si tus datos de entrenamiento se gestionan en carpetas compartidas, tus transformaciones se registran en hojas de cálculo (o no se registran en absoluto), y tu documentación consiste en algunas diapositivas de la reunión de gobernanza de IA del año pasado — entonces este artículo es para ti. Aquí está el plan de sprint de 5 meses.

    Quiénes Se Ven Afectados

    El EU AI Act clasifica los sistemas de IA por nivel de riesgo. La fecha límite del 2 de agosto de 2026 aplica a sistemas de alto riesgo — aquellos listados en el Anexo III del reglamento. Si tu organización despliega IA en cualquiera de estos dominios, tu pipeline de datos necesita infraestructura de cumplimiento:

    • Empleo y gestión de trabajadores: Sistemas de IA que filtran currículos, evalúan candidatos, toman decisiones de promoción, asignan tareas, monitorean rendimiento o influyen en decisiones de terminación.
    • Crédito y seguros: Sistemas de IA que evalúan solvencia crediticia, fijan primas de seguros o evalúan riesgo para productos financieros.
    • Educación: Sistemas de IA que evalúan estudiantes, determinan admisiones o asignan recursos educativos.
    • Aplicación de la ley: Sistemas de IA que evalúan la confiabilidad de evidencia, realizan evaluaciones de riesgo, perfilan individuos o evalúan la confiabilidad del testimonio.
    • Infraestructura crítica: Sistemas de IA que gestionan componentes de seguridad en agua, gas, electricidad, calefacción o infraestructura digital.
    • Migración y control fronterizo: Sistemas de IA que evalúan riesgos, verifican autenticidad de documentos o procesan solicitudes.
    • Justicia y procesos democráticos: Sistemas de IA que asisten a autoridades judiciales en la determinación de hechos, aplicación de la ley o resolución de disputas.

    Si tu sistema de IA cae en cualquier categoría del Anexo III y procesa datos de residentes de la UE, estás dentro del alcance. "Tenemos sede fuera de la UE" no importa — el reglamento se aplica según dónde están las personas afectadas, no dónde está la empresa.

    Qué Buscarán los Auditores

    El EU AI Act no acepta auto-declaración. Los auditores quieren evidencia operativa — registros verificables, legibles por máquina y con marca de tiempo que demuestren cumplimiento continuo, no un esfuerzo de documentación único.

    Específicamente, examinarán:

    Linaje de datos: ¿Puedes rastrear cualquier salida del modelo hasta los datos de entrenamiento específicos que la produjeron? No "usamos un dataset de 50,000 registros" sino "este modelo fue entrenado con la versión 4.2.1 del dataset, que fue producida aplicando estas transformaciones específicas a estos documentos fuente específicos en esta fecha por este operador."

    Registros de transformación: Cada operación aplicada a tus datos de entrenamiento — filtrado, limpieza, etiquetado, aumento, deduplicación — debe registrarse con marca de tiempo, ID del operador, parámetros utilizados y número de registros afectados. "Limpiamos los datos" no es una entrada de registro.

    Documentación de calidad: Evidencia de evaluaciones de calidad de datos en cada etapa del pipeline. ¿Qué métricas se midieron? ¿Qué umbrales se aplicaron? ¿Qué pasó con los datos que no pasaron las verificaciones de calidad?

    Reproducibilidad: ¿Puedes reproducir el dataset exacto utilizado para entrenar cualquier versión del modelo desplegado? Si el Auditor A solicita el dataset del modelo v3.2 desplegado en enero de 2026, ¿puedes regenerarlo bit por bit?

    Documentación de sesgo y equidad: Evidencia de que examinaste los datos de entrenamiento en busca de sesgos, documentaste los hallazgos y tomaste medidas de remediación. El estándar no es "sin sesgo" — es "examinado, documentado y abordado."

    El Plan de Sprint de 5 Meses

    Mes 1 (15 de Marzo - 15 de Abril): Auditar y Clasificar

    Semana 1-2: Inventariar todos los sistemas de IA. Lista cada sistema de IA en producción o desarrollo. Para cada sistema, determina:

    • ¿Cae bajo el Anexo III? (Si no estás seguro, asume que sí.)
    • ¿Qué datos de entrenamiento utiliza?
    • ¿Dónde se almacenan los datos de entrenamiento?
    • ¿Quién preparó los datos de entrenamiento?
    • ¿Qué transformaciones se aplicaron?
    • ¿Existe alguna documentación?

    Semana 3-4: Análisis de brechas. Para cada sistema dentro del alcance, evalúa el estado actual contra los requisitos:

    • Linaje de datos: ¿Sabes de dónde vienen los datos de entrenamiento? (Puntuación: 0 = sin idea, 1 = conocimiento general, 2 = fuentes documentadas, 3 = trazabilidad completa)
    • Registro de transformaciones: ¿Se registran las transformaciones? (Puntuación: 0 = no, 1 = manualmente, 2 = parcialmente automatizado, 3 = completamente automatizado)
    • Documentación de calidad: ¿Se registran las métricas de calidad? (Puntuación: 0-3)
    • Reproducibilidad: ¿Puedes recrear datasets pasados? (Puntuación: 0-3)
    • Examen de sesgo: ¿Se ha evaluado el sesgo? (Puntuación: 0-3)

    Cualquier sistema que puntúe por debajo de 2 en cualquier categoría necesita remediación. La mayoría de las empresas encuentran que el 70-80% de sus sistemas de IA puntúan por debajo de 2 en al menos una categoría.

    Entregable: Un plan de remediación priorizado con tareas específicas, responsables y plazos para los Meses 2-5.

    Mes 2 (15 de Abril - 15 de Mayo): Implementar Registro Automatizado

    Esta es la base. Sin registro automatizado, todo lo demás es documentación retroactiva — que los auditores señalarán.

    Implementar registro con marca de tiempo para cada transformación de datos. Cada vez que se filtra, limpia, etiqueta, aumenta, deduplica o exporta datos, el sistema debe registrar automáticamente:

    • Marca de tiempo (de una fuente de tiempo confiable, no el reloj del sistema local)
    • ID del operador (quién inició la operación)
    • Tipo de operación (qué se hizo)
    • Parámetros (con qué configuración)
    • Conteo de registros de entrada y salida
    • Registros afectados (o un hash de muestra para datasets grandes)

    Opciones de implementación técnica:

    • Si tu pipeline se ejecuta en scripts de Python: agrega registro estructurado (formato JSON) con un agregador de logs centralizado
    • Si tu pipeline usa un orquestador de flujos de trabajo (Airflow, Prefect): configura el registro de auditoría del orquestador más registro a nivel de datos dentro de cada tarea
    • Si tu pipeline usa Ertas Data Suite: el registro está integrado y es conforme por defecto — cada operación se registra con ID de operador, marca de tiempo y parámetros completos

    Entregable: Cada transformación de datos en cada pipeline dentro del alcance produce una entrada de registro legible por máquina. Verifica ejecutando una transformación de prueba y confirmando la salida del registro.

    Mes 3 (15 de Mayo - 15 de Junio): Construir Seguimiento de Linaje de Datos

    El registro te dice qué pasó. El linaje te dice la cadena — cómo cualquier salida se conecta de vuelta a su fuente a través de cada paso intermedio.

    Implementar versionado de datasets. Cada versión del dataset recibe un identificador único que codifica su historial completo: versión de datos fuente + secuencia de transformación + marca de tiempo. Cuando exportas un dataset para entrenamiento del modelo, el ID de versión es un registro de procedencia completo.

    Conectar versiones del modelo a versiones del dataset. Cuando se entrena un modelo, registra qué versión del dataset se usó. Esto crea la cadena: salida del modelo, versión del modelo, versión del dataset, historial de transformación, datos fuente.

    Probar la cadena de extremo a extremo. Elige un modelo de producción. ¿Puedes rastrear sus datos de entrenamiento hasta los documentos fuente originales? Si la cadena se rompe en cualquier punto, corrígelo.

    Entregable: Para cualquier modelo desplegado, puedes producir un informe de linaje mostrando la cadena completa desde datos fuente hasta modelo desplegado en menos de 30 minutos.

    Mes 4 (15 de Junio - 15 de Julio): Crear Documentación

    Con el registro y linaje en su lugar, construye la documentación que los auditores revisarán.

    Documentación del Artículo 10:

    • Política de gobernanza de datos (quién es responsable de la calidad de los datos de entrenamiento)
    • Decisiones de diseño del dataset (por qué se seleccionaron estos datos, qué alternativas se consideraron)
    • Procesos de recolección de datos (fuentes, fechas, estado de consentimiento)
    • Operaciones de preparación (limpieza, etiquetado, aumento — ahora respaldadas por tus registros automatizados)
    • Evaluación de calidad (propiedades estadísticas, análisis de cobertura, evaluación de idoneidad)
    • Examen de sesgo (métodos utilizados, hallazgos, acciones de remediación)
    • Identificación de brechas (qué datos faltan, cuál es el plan para abordarlos)

    Documentación del Artículo 30:

    • Documentación técnica del sistema de IA
    • Descripción del pipeline de datos
    • Procedimientos de gestión de calidad
    • Descripción del sistema de mantenimiento de registros

    Crear plantillas para estos documentos. Necesitarán actualizarse cada vez que el pipeline cambie, así que crea documentos vivos con secciones automatizadas que extraigan de tus sistemas de registro y linaje.

    Entregable: Paquetes de documentación completos del Artículo 10 y Artículo 30 para cada sistema de IA dentro del alcance.

    Mes 5 (15 de Julio - 2 de Agosto): Probar y Validar

    Realizar una auditoría simulada. Involucra a un equipo interno (o un consultor externo) para jugar el rol del auditor. Dales acceso a las mismas interfaces que un auditor real usaría. Haz que:

    • Soliciten el linaje de datos de entrenamiento para un modelo específico
    • Pidan ver los registros de transformación para un rango de fechas específico
    • Soliciten evidencia del examen de sesgo
    • Pidan reproducir una versión pasada del dataset
    • Intenten modificar una entrada de registro (debería ser imposible)

    Corregir cada brecha que revele la auditoría simulada. Tienes 18 días. Prioriza por severidad: linaje faltante es más urgente que registros faltantes, que es más urgente que documentación incompleta, que es más urgente que problemas de formato.

    Verificar inmutabilidad. Confirma que las entradas de registro no puedan ser modificadas o eliminadas después de su creación. Este es un punto de fallo común — sistemas que registran en una base de datos regular sin protección de escritura permiten modificación posterior, lo que socava el rastro de auditoría.

    Entregable: Un informe de auditoría simulada mostrando que todas las pruebas pasaron, o un registro de remediación mostrando que todas las brechas se han cerrado.

    Errores Comunes

    Carpetas compartidas con archivos sin versionar. Si tus datos de entrenamiento viven en una carpeta compartida donde los archivos pueden sobrescribirse sin historial de versiones, no puedes demostrar linaje ni reproducibilidad. Migra a almacenamiento versionado inmediatamente.

    Registros manuales. "Mantenemos una hoja de cálculo de todos los pasos de procesamiento de datos." Una hoja de cálculo puede editarse retroactivamente. No tiene marcas de tiempo garantizadas. Depende de la disciplina humana para mantenerse actualizada. Esto no constituye evidencia de cumplimiento.

    Sin seguimiento de operadores. Si tu pipeline se ejecuta como una cuenta de servicio compartida, no puedes identificar qué persona realizó cada operación. Implementa autenticación individual de operadores.

    Evidencia basada en capturas de pantalla. Las capturas de pantalla pueden fabricarse. Los auditores lo saben. Los registros legibles por máquina con verificación de integridad criptográfica son el estándar.

    Documentación retroactiva. Empezar a documentar tu pipeline en julio de 2026 y antedatarlo produce evidencia que claramente comenzó en julio de 2026. Los auditores lo notarán. Empieza ahora para que tu documentación tenga profundidad histórica genuina.

    El Costo del Incumplimiento

    La estructura de sanciones del EU AI Act está diseñada para ser proporcional y dolorosa:

    • Violaciones más graves (prácticas de IA prohibidas): hasta 35 millones de euros o el 7% de la facturación anual global, lo que sea mayor.
    • Violaciones de sistemas de alto riesgo (incluyendo gobernanza de datos inadecuada): hasta 15 millones de euros o el 3% de la facturación anual global.
    • Violaciones de documentación (información incorrecta o faltante a las autoridades): hasta 7.5 millones de euros o el 1.5% de la facturación anual global.

    Para una empresa con 500 millones de euros en ingresos anuales, solo una violación de documentación podría significar una multa de 7.5 millones de euros. Una violación de gobernanza de datos podría alcanzar los 15 millones de euros.

    Más allá de las multas, se puede ordenar que los sistemas de IA no conformes sean retirados del mercado de la UE. Para las empresas que dependen de servicios impulsados por IA para clientes de la UE, este es un riesgo operativo existencial.

    Empieza Esta Semana

    El plan de sprint anterior es agresivo pero alcanzable para organizaciones que comprometan recursos ahora. El mayor riesgo no es la complejidad técnica — es el retraso. Cada semana de inacción comprime el cronograma restante y aumenta el riesgo de llegar al 2 de agosto con brechas.

    Si estás leyendo esto el 15 de marzo y no has comenzado, tu primera acción debe ser completar el inventario y análisis de brechas (Mes 1, Semana 1-2) dentro de los próximos 10 días hábiles. Todo lo demás se deriva de saber qué tienes y qué te falta.

    Your data is the bottleneck — not your models.

    Ertas Data Suite turns unstructured enterprise files into AI-ready datasets — on-premise, air-gapped, with full audit trail. One platform replaces 3–7 tools.

    Book a Discovery CallLearn about Ertas Data Suite →

    Lectura Adicional

    Turn unstructured data into AI-ready datasets — without it leaving the building.

    On-premise data preparation with full audit trail. No data egress. No fragmented toolchains. EU AI Act Article 30 compliance built in.

    Book a Discovery CallSee how Ertas Data Suite works →

    Keep reading

    EU AI Act Operational Evidence: What Auditors Actually Ask For
    Compliance

    EU AI Act Operational Evidence: What Auditors Actually Ask For

    EU AI Act compliance isn't about checkboxes — it's about operational evidence. Here's what auditors actually look for when examining AI data pipelines: logs, lineage, and live demonstrations.

    Building an Immutable Audit Trail for AI Training Data: Technical Requirements
    Compliance

    Building an Immutable Audit Trail for AI Training Data: Technical Requirements

    EU AI Act Article 10 and Article 30 require verifiable, tamper-proof records of how training data was collected, processed, and used. Here's the technical architecture for an immutable AI audit trail.

    How to Generate EU AI Act Technical Documentation from Your Data Pipeline
    Guides

    How to Generate EU AI Act Technical Documentation from Your Data Pipeline

    Practical guide to producing EU AI Act-compliant technical documentation from your data preparation pipeline — covering data lineage, transformation logs, quality metrics, and operator attribution.