Al hacer clic en "Aceptar", usted acepta que se almacenen cookies en su dispositivo para mejorar la navegación del sitio, analizar su uso y contribuir a nuestros esfuerzos de marketing. Consulte nuestra política de privacidad para más información.  pour plus d'informations.
Knowledge

Gobernanza de datos y Ley de IA de la UE: lo que el artículo 10 exige de sus conjuntos de datos

Escrito por
Nicolas
Foto de perfil de Nicolas, uno de nuestros redactores de IA.
Publicado el
2026-07-18
Tiempo de lectura
0
min

ℹ️ Resumen: puntos clave

- El Artículo 10 del Reglamento Europeo de IA (EU AI Act) establece la calidad de los conjuntos de datos como un requisito legal para los sistemas de IA de alto riesgo. Impone ocho prácticas de gobernanza de datos —que abarcan la recopilación, el etiquetado, la detección de sesgos y el análisis de brechas—, así como criterios de calidad explícitos para los datos de entrenamiento, validación y prueba.

- El reglamento Ómnibus Digital aprobado en junio de 2026 pospuso la fecha límite para los sistemas de «alto riesgo» al 2 de diciembre de 2027, pero los requisitos en sí no han cambiado ni una coma.

- Las organizaciones que superarán sus evaluaciones de conformidad en 2027 son aquellas que están construyendo desde ahora su gobernanza de conjuntos de datos y su inventario de datos de entrenamiento.

- Este artículo explica qué exige el Artículo 10, cómo ponerlo en práctica y cómo Innovatiana aborda la creación y gobernanza de conjuntos de datos, incluso mediante Dataset Finder, nuestra herramienta de gobernanza de datos que se lanzará a finales de año.

Introducción

Cualquier debate serio sobre el cumplimiento de la IA en Europa termina siempre en el mismo punto: los datos.

Sistemas de gestión de riesgos, documentación técnica, supervisión humana — estas son las capas visibles de la Ley de IA de la UE. Pero bajo cada una de ellas subyace una pregunta más sencilla, que los reguladores, auditores y organismos notificados plantearán en primer lugar: ¿con qué datos se ha entrenado este sistema, de dónde proceden, quién los ha manipulado y cómo sabe que son adecuados para el uso previsto?

Esta cuestión está codificada en el Artículo 10 de la Ley de IA de la UE, titulado "Datos y gobernanza de datos". Es la obligación más prescriptiva de todo el capítulo de «alto riesgo» y la que llega más profundamente a la cadena de suministro de la IA: hasta la recopilación de datos, hasta los socios de anotación y etiquetado, hasta cualquiera que prepare datos de entrenamiento en nombre de un proveedor.

💡 En Innovatiana, nuestra especialidad es construir conjuntos de datos. Hemos dedicado años a desarrollar las prácticas de trazabilidad, documentación y calidad que el Artículo 10 hace obligatorias hoy en día, y hemos creado una herramienta interna, Buscador de conjuntos de datos, para gestionar nuestros conjuntos de datos y mantener un inventario de datos de entrenamiento a gran escala. Esta guía comparte lo que hemos aprendido: qué exige la ley, qué significa a nivel operativo y cómo adelantarse.

¿Qué es la Ley de IA de la UE? (Resumen en 90 segundos)

La Ley de IA de la UE (Reglamento (UE) 2024/1689) entró en vigor el 1 de agosto de 2024. Es la primera regulación integral de IA en el mundo y no regula la IA como tecnología, sino que regula las aplicaciones de IA según su nivel de riesgo:

- Riesgo inaceptable — prohibido directamente (puntuación social, recopilación indiscriminada de imágenes faciales, reconocimiento de emociones en el trabajo). Aplicable desde febrero de 2025, con nuevas prohibiciones dirigidas a la generación de imágenes íntimas sin consentimiento a partir de diciembre de 2026.

- Alto riesgo — estrictamente regulado. IA en contratación, calificación crediticia, educación, biometría, infraestructuras críticas, servicios públicos y los productos sanitarios. Ahí es donde se aplica el Artículo 10.

- Riesgo limitado — obligaciones de transparencia en virtud del Artículo 50 (los chatbots deben revelar que son IA; los contenidos sintéticos deben estar marcados de forma legible por máquina). Aplicables a partir del 2 de agosto de 2026.

- Riesgo mínimo — sin obligaciones específicas (filtros antispam, motores de recomendación, la mayoría de la IA en producción hoy en día).

El reglamento tiene un alcance extraterritorial: si los resultados de su sistema de IA son utilizados por personas en la UE, usted está afectado, independientemente de dónde se encuentre su empresa o sus servidores. Las sanciones alcanzan los 35 millones de euros o el 7 % del volumen de negocios anual mundial para las infracciones más graves, y 15 millones de euros o el 3 % por el incumplimiento de los requisitos de «alto riesgo», incluido el Artículo 10.

Si su sistema se clasifica como de alto riesgo, la gobernanza de datos no es un requisito más. Es la base sobre la que descansan todos los demás: su gestión de riesgos (artículo 9), su documentación técnica (artículo 11) y sus garantías de precisión (artículo 15) dependen de su capacidad para demostrar qué son sus datos y cómo se han generado.

Por qué la gobernanza de datos es el núcleo de la Ley de IA de la UE

No es casualidad que el legislador haya situado el artículo sobre los datos justo después de la gestión de riesgos y antes de todo lo demás. La mayoría de los fallos documentados de la IA —herramientas de contratación discriminatorias, modelos de crédito sesgados, sistemas médicos que ofrecen un rendimiento inferior en poblaciones subrepresentadas— no se explican por la arquitectura del modelo, sino por los datos con los que el modelo ha aprendido.

La Ley de IA de la UE integra esta realidad. Los considerandos 66 a 70 explican su lógica : los conjuntos de datos de alta calidad se tratan como un requisito previo para una IA digna de confianza, y una gobernanza de datos deficiente como una fuente de riesgo para la salud, la seguridad y los derechos fundamentales.

La consecuencia práctica: los datos de entrenamiento dejan de ser un artefacto de ingeniería interna para convertirse en un activo regulado y auditable. «Hemos extraído, limpiado y funciona en el benchmark» no es una postura de cumplimiento. Un regulador o un organismo notificado esperará una respuesta documentada sobre el origen de cada conjunto de datos, las razones de su elección, la forma en que se preparó y anotó, los sesgos que se examinaron y las lagunas que persisten.

💡 Eso es la «gobernanza de datos según la Ley de IA de la UE», y es precisamente la disciplina que la mayoría de los equipos de IA nunca han tenido que formalizar.

¿Qué exige el Artículo 10 de la Ley de IA de la UE?

El Artículo 10 se aplica a los conjuntos de datos de entrenamiento, validación y prueba utilizados para desarrollar sistemas de IA de alto riesgo. Consta de tres niveles: prácticas de gobernanza, criterios de calidad y una excepción regulada para datos sensibles. (Un caso límite útil aparece en el apartado 6: incluso los sistemas de alto riesgo que no implican entrenamiento de modelos —como los sistemas basados en reglas— deben aplicar estos requisitos a sus datos de prueba.)

Las 8 prácticas de gobernanza de datos obligatorias — Artículo 10(2)

Los conjuntos de datos deben someterse a prácticas de gobernanza y gestión adecuadas al uso previsto del sistema. El artículo enumera ocho ámbitos que estas prácticas deben cubrir:

1. Las decisiones de diseño — documentar las decisiones relevantes detrás del conjunto de datos: qué datos, en qué proporciones, cómo están estructurados y por qué.

2. Recopilación y origen de los datos — de dónde provienen los datos, cómo se recopilaron y —en el caso de los datos personales— cuál fue la finalidad inicial de su recogida. Es la procedencia de los datos, tal como exige la ley.

3. Operaciones de preparación — anotación, etiquetado, limpieza, actualización, enriquecimiento y agregación. El reglamento menciona explícitamente la anotación y el etiquetado: sus workflows de etiquetado, sus directrices y sus controles de calidad entran ahora dentro del ámbito normativo.

4. Formulación de hipótesis — lo que se supone que los datos deben medir y representar. Si sus variables proxy no miden lo que usted cree, es aquí donde esto sale a la luz.

5. Evaluación de la disponibilidad, cantidad y adecuación — un juicio documentado, previo al desarrollo, sobre si realmente se dispone de los datos que su destino requiere.

6. El examen de sesgos — revisar los conjuntos de datos en busca de sesgos que puedan afectar a la salud y la seguridad, vulnerar derechos fundamentales o dar lugar a discriminaciones prohibidas, prestando especial atención a los bucles de retroalimentación donde los resultados influyen en las entradas futuras.

7. La prevención y mitigación de sesgos — medidas adecuadas para detectar, prevenir y mitigar los sesgos identificados en el punto 6. Examinar no es suficiente; hay que actuar y documentar dicha acción.

8. La identificación de carencias — detectar las lagunas de datos que impiden el cumplimiento y definir cómo planea subsanarlas.

Observe la constante: cada práctica implica pruebas. No un PDF de política interna olvidado en una carpeta, sino registros vinculados a conjuntos de datos específicos: una pista de auditoría para sus datos.

Criterios de calidad: artículos 10(3) y 10(4)

Más allá de la gobernanza, los propios conjuntos de datos deben cumplir con estándares de calidad. Los datos de entrenamiento, validación y prueba deben ser:

- Pertinentes en relación con el propósito del sistema;

- Suficientemente representativos de las personas y situaciones que el sistema encontrará;

- Libres de errores y completos —en la medida de lo posible, según el propósito (el reglamento es pragmático: no exige la perfección, sino un esfuerzo documentado);

- Estadísticamente adecuados para las personas o grupos de personas sobre los que se utilizará el sistema; un criterio que puede cumplirse a nivel de conjuntos de datos individuales o mediante su combinación;

- Ancladas en el contexto — reflejando el marco geográfico, contextual, conductual o funcional del despliegue. Un modelo de detección de peatones entrenado únicamente con imágenes de California a plena luz del día no cumple con el Artículo 10 para su despliegue en las carreteras invernales del norte de Europa.

La excepción de «datos sensibles» — Artículo 10(5)

Aquí, el reglamento hace algo inusual: autoriza lo que el RGPD normalmente prohíbe. Para detectar y corregir sesgos, los proveedores de sistemas de alto riesgo pueden, de forma excepcional, tratar categorías especiales de datos personales (origen étnico, datos de salud, orientación sexual y otras categorías del artículo 9 del RGPD), pero solo bajo seis condiciones acumulativas: imposibilidad de alcanzar el objetivo con otros datos (incluidos los sintéticos o anonimizados), seudonimización y medidas de seguridad de vanguardia, controles de acceso estrictos, prohibición de transmisión a terceros, eliminación una vez corregido el sesgo y justificación documentada en los registros de tratamiento.

El Omnibus digital amplía esta base legal más allá de los proveedores de alto riesgo (mediante un nuevo Artículo 4 bis) a los desplegadores, a los proveedores de sistemas que no son de alto riesgo y a los proveedores de modelos de IA de propósito general. Esto elimina una barrera jurídica real para las pruebas de equidad, pero es un permiso envuelto en obligaciones, no un cheque en blanco...

El calendario actualizado: lo que el Omnibus digital ha cambiado (y lo que no)

El calendario de cumplimiento se ha movido a 2026 y tiene el mérito de ser preciso: algunos titulares de prensa malinterpretados («la UE pospone la Ley de IA») han adormecido a ciertos equipos en una falsa sensación de seguridad.

El Omnibus digital sobre IA —acuerdo provisional del 7 de mayo de 2026, aprobación del Parlamento el 16 de junio, luz verde definitiva del Consejo el 29 de junio de 2026— modifica las fechas de aplicación del reglamento:

Fecha Qué se aplica
Febrero de 2025 (en vigor) Prácticas prohibidas (Artículo 5) y obligaciones de alfabetización en IA (Artículo 4)
Agosto de 2025 (en vigor) Obligaciones de los proveedores de modelos de IA de uso general (GPAI)
2 de agosto de 2026 Obligaciones de transparencia del Artículo 50: los sistemas de IA deben revelar que son IA
2 de diciembre de 2026 Obligaciones de marcado/filigrana para los sistemas ya comercializados; nuevas prohibiciones del Artículo 5
2 de diciembre de 2027 Obligaciones de « alto riesgo » — incluido el Artículo 10 — para los sistemas autónomos del Anexo III (contratación, crédito, educación, biometría…) — aplazadas desde agosto de 2026
2 de agosto de 2028 Obligaciones de « alto riesgo » para la IA integrada en productos regulados (Anexo I: dispositivos médicos, máquinas, etc.)

Tres puntos clave a integrar:

Los requisitos no han cambiado, solo se ha modificado la fecha. El Reglamento Omnibus ha desplazado los plazos y simplificado ciertas formalidades documentales para las pymes, pero no ha suavizado el Artículo 10. Cada práctica de gobernanza y cada criterio de calidad descritos anteriormente serán de plena aplicación a partir de diciembre de 2027.

Dieciséis meses es menos tiempo de lo que parece. Elaborar un inventario de conjuntos de datos, reconstruir la procedencia de datos recopilados hace años, formalizar la gobernanza de la anotación, realizar evaluaciones de sesgos y generar la documentación necesaria para la evaluación de conformidad es un proyecto que requiere varios trimestres. Las organizaciones que trataron los dos años de preaviso del RGPD como un botón de "posponer" pasaron la primavera de 2018 en modo de emergencia. La misma película ya está programada para el otoño de 2027.

Las decisiones sobre datos que se tomen hoy estarán reguladas mañana. Cualquier conjunto de datos que recopile, anote o adquiera en 2026 seguirá formando parte de su corpus de entrenamiento cuando la normativa entre en vigor. Reconstruir a posteriori la procedencia de datos cuyo origen no se registró es una tarea entre dolorosa e imposible. El momento más económico para cumplir con el Artículo 10 es precisamente cuando se crea el conjunto de datos.

Del texto legal a la realidad de la ingeniería: cómo operacionalizar el Artículo 10

¿Cómo es, en la práctica, una operación de datos preparada para el Artículo 10? Basándonos en nuestra experiencia creando conjuntos de datos para equipos de IA en visión artificial, PNL, ajuste fino de LLM y RLHF, el cumplimiento se desglosa en cinco capacidades operativas.

1. Un inventario de los datos de entrenamiento

No se puede gobernar lo que no se puede enumerar. El punto de partida —y el paso que la mayoría de las organizaciones descubren que les falta— es un inventario completo de cada conjunto de datos utilizado para entrenar, validar y probar cada sistema de IA: datos internos, datos adquiridos, conjuntos de datos abiertos, corpus extraídos mediante scraping, datos sintéticos y las capas anotadas construidas sobre ellos. Cada entrada necesita un propietario, una versión, una licencia, un registro de procedencia y un enlace a los sistemas que alimenta. Sin esto, todas las demás prácticas del Artículo 10 carecen de relevancia.

2. Registros de procedencia y linaje

El Artículo 10(2)(b) exige el historial de origen de sus datos. Esto significa registrar, por conjunto de datos: la fuente, el método de recopilación, la fecha, la finalidad inicial (para datos personales), las condiciones de licencia y cada transformación aplicada desde entonces, con la capacidad de rastrear cualquier ejemplo de entrenamiento a través de la limpieza, el filtrado, el enriquecimiento y la anotación hasta su fuente. Es linaje de datos, pero con un estándar de prueba legal asociado.

3. Gobernanza documentada de la anotación y el etiquetado

Dado que el reglamento nombra explícitamente la anotación y el etiquetado como operaciones de preparación reguladas, su flujo de trabajo de etiquetado se convierte en una prueba documental. Los auditores esperarán: directrices de anotación por escrito y su historial de versiones, registros de formación y cualificación de los anotadores, procedimientos de control de calidad, métricas de acuerdo entre anotadores (IAA) y flujos de trabajo de revisión y escalado. El crowdsourcing anónimo —donde nadie puede decir quién etiquetó qué, siguiendo qué instrucciones y con qué control de calidad— es estructuralmente difícil de reconciliar con este requisito.

4. Flujos de trabajo de evaluación y mitigación de sesgos

Los puntos (f) y (g) exigen un proceso repetible: definir los grupos protegidos y los modos de fallo pertinentes para su destino, medir la representación y el rendimiento en cada uno, documentar los hallazgos, aplicar medidas correctivas (reequilibrio, recopilación dirigida, reanotación) y volver a medir. Una auditoría de equidad puntual no satisface una obligación de ciclo de vida; este proceso debe ejecutarse con cada evolución del conjunto de datos o del contexto de despliegue.

5. Un análisis de brechas y una hoja de ruta de datos dinámica

Por último, el Artículo 10 le exige ser honesto sobre lo que sus datos no cubren —geografías, demografías, casos límite y contextos en los que son insuficientes— y documentar cómo cubrirá esas carencias. Si se realiza correctamente, este análisis deja de ser un ejercicio de cumplimiento para convertirse en su hoja de ruta de adquisición de datos.

El cambio de enfoque es clave: ninguna de estas cinco capacidades es un lastre normativo. Los equipos que cuentan con inventarios limpios, procesos de anotación documentados y flujos de trabajo para detectar sesgos sistemáticos entregan mejores modelos, con menos sorpresas desagradables al final del proyecto. En el fondo, el Artículo 10 es higiene de ingeniería de ML hecha obligatoria. Para los equipos que ya operan sobre bases de datos sólidas, el cumplimiento equivale a formalizar lo existente; para los demás, permite matar dos pájaros de un tiro al reducir la deuda técnica.

El Artículo 10 desciende por la cadena de suministro: elija a sus socios de datos en consecuencia

Esta es la parte del Artículo 10 que no está escrita en el propio artículo, pero que se deriva inevitablemente de él: los proveedores no pueden generar estas pruebas por sí solos.

Si un tercero recopila sus datos, construye sus conjuntos de datos o realiza la anotación, los registros de procedencia, las directrices de anotación, las cualificaciones de los anotadores y las métricas de control de calidad que exige el Artículo 10 residen —al menos en parte— en dicho socio.

Por lo tanto, los proveedores trasladarán estos requisitos aguas abajo, contractualmente. Los proveedores de datos y anotación que sean incapaces de proporcionar documentación lista para auditorías se convertirán en un riesgo de cumplimiento, y los equipos de compras ya están empezando a hacer las preguntas pertinentes:

- ¿Puede documentar con precisión quién anotó cada elemento y bajo qué versión de las directrices?

- ¿Puede proporcionar la procedencia de los datos recopilados u obtenidos, incluyendo sus licencias?

- ¿Puede generar informes de control de calidad y deacuerdo entre anotadores por lote?

- ¿Puede demostrar que sus equipos están formados, cualificados y trabajan en condiciones trazables?

💡 Si su proveedor de datos actual responde con silencio —o con un «utilizamos una multitud global de anotadores»—, acaba de encontrar una brecha en el Artículo 10.

Cómo Innovatiana construye conjuntos de datos listos para el cumplimiento normativo

Este es precisamente el modelo sobre el que se construyó Innovatiana, años antes de que la Ley de IA lo convirtiera en una expectativa regulatoria.

Somos una empresa francesa que crea conjuntos de datos para equipos de IA: anotación de visión artificial, PNL, procesamiento de documentos, IA generativa y ajuste fino de LLM, moderación y RLHF. Y lo hacemos de una manera que responde directamente a los requisitos del Artículo 10:

Equipos internos y formados — nada de crowdsourcing anónimo. Contratamos y formamos a nuestros propios etiquetadores de datos y expertos en la materia. Cada anotación es atribuible a un profesional identificado y cualificado, que trabaja siguiendo directrices documentadas. Es una elección ética —salarios justos, perspectivas de carrera reales, condiciones de trabajo dignas— y, además, resulta ser exactamente lo que exige la trazabilidad normativa. La ética por diseño y el cumplimiento por diseño convergen.

Trazabilidad completa del proceso de anotación. Versiones de las directrices, asignación de anotadores, niveles de revisión, métricas de control de calidad y resolución de discrepancias: documentamos las operaciones de preparación que regula el Artículo 10(2)(c), para que nuestros clientes puedan incluir estas pruebas directamente en su documentación técnica conforme al Artículo 11 y al Anexo IV.

Sourcing de datos transparente. Cuando recopilamos u obtenemos datos para un conjunto de datos, divulgamos su origen y sus condiciones de uso, cumpliendo con el registro de procedencia que espera el Artículo 10(2)(b).

La calidad como propiedad medible. Representatividad, tasa de error, cobertura de casos límite y contextos de despliegue: tratamos los criterios de calidad del Artículo 10(3) como objetivos de ingeniería con umbrales de aceptación, no como meras declaraciones de intenciones. Todo ello en un marco de seguridad y confidencialidad de datos alineado con el RGPD.

En resumen: cuando un cliente entrena un sistema de alto riesgo con un conjunto de datos que hemos elaborado, la pista de auditoría del Artículo 10 para dicho conjunto de datos ya existe. Descubra cómo trabajamos a través de nuestros casos de estudio.

Presentamos Dataset Finder: la gobernanza de conjuntos de datos y el inventario de datos de entrenamiento, convertidos en producto

Construir cientos de conjuntos de datos nos ha enseñado algo más: lo más difícil de la gobernanza de datos según la Ley de IA de la UE no es un conjunto de datos aislado, sino el inventario. La mayoría de los equipos de IA no tienen un solo conjunto de datos; tienen decenas o cientos, dispersos entre buckets, unidades de almacenamiento y entregas de proveedores, con una procedencia que solo existe en la memoria de las personas.

Por eso, creamos una herramienta para resolver este problema internamente. Se llama Dataset Finder, y es la que utilizamos para gestionar nuestros conjuntos de datos hoy en día:

- Inventario de datos de entrenamiento — un catálogo único de cada conjunto de datos, con propietario, control de versiones y los sistemas de IA que alimenta cada uno. El punto de partida del Artículo 10, automatizado.

- Seguimiento de la procedencia y linaje de datos — fuente, licencia, contexto de recopilación y cada etapa de preparación (limpieza, enriquecimiento, anotación) registrada por versión del conjunto de datos.

- Metadatos de gobernanza alineados con el Artículo 10 — decisiones de diseño, hipótesis, evaluaciones de idoneidad, análisis de sesgos y lagunas identificadas, capturados como registros estructurados en lugar de documentos dispersos; listos para alimentar su documentación técnica del Anexo IV.

- Exportaciones listas para auditoría — porque la verdadera prueba de un sistema de gobernanza es su capacidad para responder a la consulta de un regulador en minutos, no en semanas.

💡 Dataset Finder se lanzará públicamente a finales de año; un calendario elegido deliberadamente para dar a los equipos un margen de maniobra real antes de la fecha límite de «alto riesgo» de diciembre de 2027. Si desea acceso anticipado o construir su inventario de datos de entrenamiento con asesoramiento experto en lugar de empezar desde cero, contáctenos.

Nuestras recomendaciones: un plan de acción de gobernanza de datos para la Ley de IA de la UE

Independientemente de si trabaja con nosotros o no, esta es la secuencia que recomendamos a cualquier equipo de IA que se prepare para el Artículo 10. Seamos realistas: es un programa de 12 a 18 meses, exactamente el tiempo que queda hasta diciembre de 2027.

1. Clasifique primero sus sistemas. Determine cuáles de sus sistemas de IA son de alto riesgo según el Anexo III (o el Anexo I). Todo el resto de este plan depende de esta respuesta, y un error de clasificación, en cualquier sentido, sale caro.

2. Construya su inventario de datos de entrenamiento ahora. Enumere cada conjunto de datos de entrenamiento, validación y prueba por sistema. Reserve más tiempo del que imagina; prepárese para encontrar conjuntos de datos que nadie recuerda.

3. Reconstruya la procedencia mientras aún sea posible. Para cada conjunto de datos: fuente, método de recopilación, licencia y finalidad inicial. Las personas que poseen este conocimiento abandonan las empresas; documéntelo antes de que se vayan.

4. Formalice la gobernanza de la anotación. Directrices escritas, control de versiones, expedientes de cualificación de los anotadores y métricas de control de calidad. Si externaliza el etiquetado, exija estas pruebas contractualmente, desde hoy mismo, para cada nuevo proyecto.

5. Establezca una base de referencia de sesgos y representatividad. Mida sus conjuntos de datos en relación con su contexto real de implementación (geografía, demografía, condiciones). Documente los hallazgos y las medidas correctivas. Conviértalo en un proceso recurrente, no en un evento puntual.

6. Escriba sus hipótesis y sus carencias. ¿Qué se supone que representa cada conjunto de datos? ¿Dónde es insuficiente? Transforme la lista de carencias en una hoja de ruta de datos, con responsables y fechas.

7. Audite su cadena de suministro de datos. Envíe sus preguntas del Artículo 10 a cada proveedor de datos y de anotación. Reemplace a aquellos que no puedan responder.

8. Conecte la gobernanza de datos con el resto de su sistema de cumplimiento. Las pruebas del Artículo 10 alimentan la documentación técnica del Artículo 11, la gestión de riesgos del Artículo 9 y su evaluación de conformidad. Diseñe los registros una vez y reutilícelos en todas partes.

9. No espere a diciembre de 2027. Las obligaciones de transparencia entran en vigor en agosto de 2026, los cuestionarios de compras ya están circulando y cada conjunto de datos creado sin gobernanza es trabajo extra para el futuro. El aplazamiento es una pista de despegue, no una pausa.

Preguntas frecuentes

Conforme al Artículo 10, la gobernanza de datos de la EU AI Act designa las prácticas documentadas aplicadas a los datasets de entrenamiento, validación y prueba de los sistemas de IA de alto riesgo: registro de las decisiones de diseño, del origen y la recopilación de los datos, de las operaciones de preparación (incluidas la anotación y el etiquetado), de las hipótesis, de las evaluaciones de adecuación, del examen y la mitigación de sesgos, y del análisis de las carencias — además del cumplimiento de criterios de calidad (pertinencia, representatividad, ausencia de errores, exhaustividad respecto a la finalidad prevista).
Tras el Ómnibus digital adoptado en junio de 2026, las obligaciones de « alto riesgo » — incluido el Artículo 10 — se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos del Anexo III, y del 2 de agosto de 2028 para la IA de alto riesgo integrada en productos regulados (Anexo I). Los requisitos en sí no han sido modificados, solo aplazados.
Sí, parcialmente. Para los sistemas de alto riesgo desarrollados sin entrenamiento de modelos (sistemas basados en reglas, por ejemplo), los requisitos del Artículo 10 se aplican a los datasets de prueba utilizados para validar el sistema.
Sí. Si su sistema de IA se comercializa en el mercado de la UE o si sus resultados son utilizados por personas en la UE, está dentro del ámbito de aplicación, independientemente de la sede de su empresa o de la ubicación de sus servidores — la misma lógica extraterritorial que el RGPD.
Excepcionalmente, sí. El Artículo 10(5) autoriza el tratamiento de categorías especiales de datos personales estrictamente para la detección y corrección de sesgos, bajo seis garantías acumulativas (necesidad, seguridad y seudonimización, controles de acceso, prohibición de transferencia a terceros, supresión tras la corrección, justificación documentada). El Ómnibus digital extiende esta base legal a los responsables del despliegue y a los proveedores de GPAI mediante un nuevo Artículo 4 bis.
El incumplimiento de los requisitos de « alto riesgo », incluida la gobernanza de datos, puede sancionarse con hasta 15 millones de euros o el 3 % de la facturación anual mundial, aplicándose el importe más elevado (con un tratamiento más favorable para las pymes). Las autoridades también pueden ordenar la retirada de los sistemas del mercado.
El Artículo 10(2)(c) regula explícitamente la anotación y el etiquetado como operaciones de preparación de datos. Los proveedores de sistemas de alto riesgo deben poder documentar sus workflows de anotación — lo que significa que sus socios de etiquetado deben proporcionar la documentación de las guidelines, los expedientes de cualificación de los anotadores y las evidencias de QA. Por eso Innovatiana trabaja exclusivamente con equipos internos y formados, con una trazabilidad completa de la anotación.
Dataset Finder es la herramienta de gobernanza de datasets de Innovatiana — utilizada internamente hoy para mantener nuestro inventario de datos de entrenamiento, rastrear la procedencia y el linaje, y capturar los metadatos de gobernanza del Artículo 10 por dataset. Se lanzará públicamente antes de finales de 2026, por delante del plazo de « alto riesgo » de diciembre de 2027. Contáctenos para obtener acceso anticipado.

👉 Adelántese al Artículo 10 con Innovatiana

La Ley de IA de la UE ha convertido los datos de entrenamiento en un activo regulado, y la gobernanza de los conjuntos de datos en una ventaja competitiva. Innovatiana crea conjuntos de datos de alta calidad, totalmente trazables, con equipos expertos internos; y Dataset Finder aporta esa misma disciplina de gobernanza a todo su patrimonio de datos.

Solicite un presupuesto gratuito → o hable con un experto → para hablar sobre sus conjuntos de datos, su preparación para el Artículo 10 o el acceso anticipado a Dataset Finder.

________________________________________

Este artículo se ofrece con fines informativos generales y no constituye asesoramiento jurídico. Si tiene alguna duda sobre sus obligaciones en virtud del Reglamento (UE) 2024/1689, consulte a un asesor jurídico cualificado.