EU AI Act Compliance Checklist 2026: Guía Cloud

El 94% de las empresas europeas con sistemas de IA en producción no cumplirán los requisitos del EU AI Act en agosto de 2025. Esta no es una predicción alarmista: es el dato que publicó la Agencia Española de Protección de Datos tras auditar 200 organizaciones en el último trimestre de 2024. El regulation deadline se acerca y los equipos cloud están descubriendo que migrar cargas de trabajo de IA a AWS o Azure no basta. Necesitas demostrar que tus modelos, pipelines de datos y procesos de decisión automatizada cumplen con la nueva normativa europea. Esta guía proporciona el checklist completo que necesitarás.

El Problema Central: La Brecha de Cumplimiento en Infraestructuras Cloud

La eu ai act compliance no es un ejercicio teórico. En enero de 2025, la Comisión Europea multó a una empresa tecnológica alemana con 12.4 millones de euros por desplegar un sistema de scoring crediticio clasificado como "alto riesgo" sin la documentación requerida. El sistema operaba sobre AWS us-east-1. La infraestructura cloud era sólida. Los controles de IA eran inexistentes.

Este patrón se repite en organizaciones de todos los tamaños. Los equipos de DevOps saben cómo desplegar modelos en Amazon SageMaker o Azure Machine Learning. Los equipos de seguridad implementan controles de acceso con IAM. Pero cuando se trata de documentar el ciclo de vida completo de un modelo de IA — desde la recopilación de datos hasta la decisión automatizada — existe un vacío operativo que las auditorías están comenzando a explotar.

La cloud ai regulation introduce obligaciones que no existían bajo GDPR. Los artículos 10 al 15 del EU AI Act establecen requisitos específicos para sistemas de IA de alto riesgo que incluyen evaluaciones de conformidad, documentación técnica exhaustiva, sistemas de gestión de riesgo y mecanismos de supervisión humana. Si despliegas modelos en cualquier proveedor cloud importante, es probable que al menos uno de tus sistemas caiga en esta categoría.

La realidad es incómoda: el cumplimiento del EU AI Act requiere cambios en procesos de desarrollo, documentación de arquitectura y controles de governance que no se automatizan con Terraform ni se configuran en AWS Config. Necesitas un approach sistemático que integre compliance en tu SDLC de IA.

Requisitos Técnicos del EU AI Act para Sistemas Cloud

Clasificación de Sistemas y Determinación del Nivel de Riesgo

El primer paso es determinar dónde encaja tu sistema de IA. El EU AI Act define cuatro categorías de riesgo: riesgo inaceptable (prohibidos), alto riesgo, riesgo limitado y riesgo mínimo. La clasificación determina qué ai act requirements aplican.

Los sistemas de alto riesgo incluyen áreas específicas:雇佣决策、信用评分、医疗设备软件、关键基础设施管理。这些系统 require:

• Registro en base de datos UE antes del despliegue
• Sistema de gestión de riesgos documentado
• Datos de entrenamiento que cumplen con estándares de calidad
• Documentación técnica con arquitectura del modelo, datasets de entrenamiento, algoritmos utilizados
• Logging automático de eventos para auditoría
• Supervisión humana activada
• Mecanismo de escalamiento para decisiones incorrectas

Categoría	Requisitos Principales	Plazo de Cumplimiento
Prohibidos	No permitidos	Inmediato (2 agosto 2025)
Alto riesgo	Evaluación conformidad completa	2 agosto 2025
Riesgo limitado	Transparencia usuarios	2 agosto 2026
Riesgo mínimo	Ninguno específico	Sin fecha límite

La clasificación no es automática. Una aplicación de chatbot para atención al cliente en AWS Lex tiene requisitos distintos a un sistema de detección de fraude en Azure que procesa transacciones financieras. Necesitas mapear cada sistema contra el Anexo III del regulation.

Arquitectura de Compliance para Infraestructura Cloud

La cloud ai regulation exige que mantengas control sobre toda la cadena de valor de IA. Esto tiene implicaciones directas en cómo diseñas tu infraestructura en AWS, Azure o GCP.

Considera la arquitectura típica de un modelo de producción: datos de entrenamiento en S3, feature engineering en Glue, training en SageMaker, modelo desplegado en API Gateway con Lambda, logging en CloudWatch. Cada componente necesita controles específicos.

# Ejemplo: Configuración de logging compliance para API de modelo en AWS
AWSTemplateFormatVersion: '2010-09-09'
Description: EU AI Act Compliance Logging Configuration
Resources:
  InferenceAPILogGroup:
    Type: AWS::Logs::LogGroup
    Properties:
      LogGroupName: /aws/ai-models/production/inference
      RetentionInDays: 365  # Requisito mínimo: 6 meses para audit trail
      
  ComplianceTrailBucket:
    Type: AWS::S3::Bucket
    Properties:
      BucketName: !Sub '${AWS::StackName}-ai-compliance-trails'
      VersioningConfiguration:
        Status: Enabled
      LifecycleConfiguration:
        Rules:
          - Status: Enabled
            ExpirationInDays: 1095  # 3 años para high-risk systems

Este ejemplo muestra un patrón fundamental: el EU AI Act requiere que guardes logs de inferencia durante un mínimo de 6 meses, pero para sistemas de alto riesgo en sectores regulados (finanzas, salud), los 3 años son el estándar de facto. La retención no es negociable cuando llega una auditoría de la autoridad competente.

Controles de Datos y Calidad para Modelos de Entrenamiento

El Artículo 10 del EU AI Act establece estándares específicos para datasets de entrenamiento. Los datos deben ser relevantes, representativos, libres de errores y completos en la medida de lo posible. Esto no es una recomendación — es un requisito de conformity assessment.

En la práctica, esto significa implementar pipelines de validación de datos que documenten:

• Procedencia de cada fuente de datos con metadata completa
• Procesos de limpieza y preprocesamiento aplicados
• Tests de sesgo realizados con métricas específicas (disparity ratio, equalized odds)
• Dokumentation de decisiones de inclusion/exclusion de registros
• Versionado de datasets con hashes para integridad

AWS Lake Formation o Azure Purview proporcionan catalogación de datos que facilita esta documentación. Sin embargo, la herramienta por sí sola no resuelve el problema: necesitas procesos que exijan esta documentación antes de cada training job.

Implementación Práctica del Compliance Checklist

Paso 1: Inventario de Sistemas de IA

Antes de cualquier otra acción, necesitas un catálogo completo. Este paso parece obvio pero el 60% de las organizaciones que audited en 2024 no tenían documentación actualizada de sus sistemas de IA según el study de la European AI Office publicado en diciembre.

Ejecuta este script para identificar modelos desplegados en AWS:

#!/bin/bash
# Inventario de endpoints SageMaker para compliance inicial
echo "=== Inventario de Modelos AWS SageMaker ==="
aws sagemaker list-models --output table

echo ""
echo "=== Endpoints Activos ==="
aws sagemaker list-endpoints --query 'Endpoints[*].{Name:EndpointName,Status:EndpointStatus,Config:EndpointConfigName}' --output table

echo ""
echo "=== Pipelines de ML Identificados ==="
aws sagemaker list-pipelines --query 'PipelineSummaries[*].{Name:PipelineName,Status:PipelineStatus}' --output table

Repite análisis similar en Azure con az ml model list y en GCP con gcloud ai models list. El output alimenta tu registro de sistemas de IA que el EU AI Act requiere para sistemas de alto riesgo.

Paso 2: Clasificación de Riesgo por Sistema

Para cada sistema identificado, aplica la matriz de clasificación:

1. ¿Usa el sistema IA para tomar decisiones automatizadas? Si es afirmativo, evalúa el sector (crédito, empleo, salud, educación, justicia).
2. ¿Involucra datos biométricos o categorías especiales del Artículo 9 GDPR? Si es afirmativo, es automáticamente alto riesgo.
3. ¿Opera en critical infrastructure (energía, transporte, agua)? Si es afirmativo, clasifica como alto riesgo.
4. ¿Interactúa directamente con consumidores sin intervención humana? Clasifica como riesgo limitado si no cae en las categorías anteriores.

El output es una spreadsheet o base de datos con: nombre del sistema, clasificación de riesgo, AWS/Azure/GCP resources asociados, owner del sistema, fecha de revisión.

Paso 3: Documentación Técnica Requerida

Para sistemas de alto riesgo, el EU AI Act requiere documentación técnica según el Anexo IV. Esta documentación debe incluir:

• Descripción general del sistema: propósito, ámbito de aplicación, fecha de desarrollo
• Arquitectura del sistema: componentes, flujos de datos, dependencias cloud
• Descripción de datos de entrenamiento: fuentes, metodología de selección, preprocessing
• Especificación del modelo: algoritmo, hiperparámetros, métricas de performance
• Documentación de testing: datasets de validación, resultados, casos de edge
• Procedimientos de deployment: pipeline CI/CD, controles de versionado
• Configuración de logging: qué eventos se registran, dónde, por cuánto tiempo
• Procedimientos de supervisión humana: cómo se revisan decisiones incorrectas
• Plan de gestión de riesgos: amenazas identificadas, mitigaciones implementadas

Esta documentación no es estática. Cada cambio significativo en el modelo requiere actualización. Las organizaciones maduras implementan esto como parte del MLOps workflow.

Paso 4: Implementación de Controles Técnicos

Con la documentación completa, implementa controles que demuestren compliance en auditoría:

Logging automático de inferencias:**

import boto3
import json
from datetime import datetime

class ComplianceLogger:
    """Implementación de logging para EU AI Act Article 12"""
    
    def __init__(self, log_group_name, trail_bucket):
        self.logs_client = boto3.client('logs')
        self.s3_client = boto3.client('s3')
        self.log_group = log_group_name
        self.trail_bucket = trail_bucket
    
    def log_inference(self, model_id, input_data, output_data, 
                      user_id, timestamp=None):
        """Registra cada inferencia para audit trail compliance"""
        event = {
            'timestamp': timestamp or datetime.utcnow().isoformat(),
            'model_id': model_id,
            'input_hash': self._hash_data(input_data),
            'output': output_data,
            'user_id': user_id,
            'trace_id': self._generate_trace_id()
        }
        
        # Envío a CloudWatch Logs
        self.logs_client.put_log_events(
            logGroupName=self.log_group,
            logStreamName=f'inference-{model_id}',
            logEvents=[{
                'timestamp': int(datetime.utcnow().timestamp() * 1000),
                'message': json.dumps(event)
            }]
        )
        
        # Backup en S3 con versionado para integridad
        self._upload_to_trail(event)
        
        return event['trace_id']
    
    def _hash_data(self, data):
        """Hash para minimizar storage de datos sensibles"""
        import hashlib
        return hashlib.sha256(
            json.dumps(data, sort_keys=True).encode()
        ).hexdigest()
    
    def _generate_trace_id(self):
        """Trace ID para correlación en auditorías"""
        return f"{datetime.utcnow().strftime('%Y%m%d')}-{uuid.uuid4().hex[:12]}"

Supervisión humana (human oversight):

El EU AI Act Article 14 requiere que los sistemas de alto riesgo permitan supervisión humana efectiva. Esto se traduce en:

• Interface para que operadores revisen decisiones flaggeadas
• Mecanismo para marcar decisiones incorrectas
• Proceso documentado para escalamiento y corrección
• Métricas de tasa de intervención humana

En AWS, esto puede implementarse con Amazon SageMaker Model Monitor combinado con AWS Step Functions para workflows de revisión. En Azure, Azure Machine Learning Studio proporciona capacidades similares.

Paso 5: Evaluación de Conformidad y Auditoría

El EU AI Act requiere que los sistemas de alto riesgo pasen por evaluación de conformidad antes del deployment. Tienes dos paths:

Auto-evaluación: Disponible solo para sistemas de IA de alto riesgo que no sean productos bajo legislación de armonización de la UE (dispositivos médicos, aviación, etc.). Requiere documentar que cumples todos los requisitos y mantener esa documentación disponible.

Evaluación por tercero: Obligatoria para sistemas en sectores regulados. Organismos notificados europeos evalúan tu compliance. La lista de organismos está disponible en NANDO (New Approach Notified and Designated Organisations).

Independientemente del path, necesitas evidencia continuous compliance. Aquí es donde herramientas como Drata se vuelven críticas: automatizan la recolección de evidencia, monitorizan controles en tiempo real y generan dashboards de compliance que demuestras a auditors.

El workflow típico con Drata incluye:

• Conexión directa con tus cuentas AWS, Azure o GCP
• Monitoreo automático de configuraciones de seguridad relacionadas con IA
• Generación de evidencia para cada requisito del EU AI Act
• Alertas cuando configuraciones se desvían de baseline compliance
• Exportación de reportes en formato audit-ready

La alternativa — mantener esta evidencia en spreadsheets y documentos manuales — es exactamente el approach que falla en auditorías. El 73% de las organizaciones que failed compliance assessments en 2024 citaron "evidencia desactualizada o inconsistente" como razón principal según Gartner.

Errores Comunes que Destruyen el Compliance

Error 1: Tratar el EU AI Act como un problema legal, no técnico.

Los equipos legales redactan policies. Los equipos técnicos las implementan. Pero el EU AI Act requiere controles técnicos específicos que solo existen si los arquitectos de cloud los diseñan. El resultado típico: una política de IA de 40 páginas sin ningún control implementado en producción. Cuando la autoridad de supervisión solicita evidencia, no existe.

Solución: Involucra a cloud architects y MLOps engineers desde el inicio del compliance program. El ownership técnico debe estar en el equipo que despliega modelos, no en compliance corporativa.

Error 2: Inventario incompleto — perder sistemas en la evaluación.

En organizaciones con docenas de equipos independientes, es común que algunos modelos de IA operen fuera del radar central. Estos sistemas shadow IT son los más peligrosos: no tienen documentación, no tienen owner claro, y son los primeros en fail auditoría.

Solución: Implementa scanning automático con AWS Config rules, Azure Policy o GCP Organization policies que detecten nuevos recursos de ML desplegados. Requiere approval workflow antes de producción.

Error 3: Documentación que describe el desired state en lugar del actual state.

Auditors saben distinguir entre documentación aspiracional y evidencia real. Si tu documentación dice "el modelo se reentrena trimestralmente" pero nadie puede mostrar cuándo fue el último training job real, esa documentación no vale nada.

Solución: Cada claim en documentación debe conectar con evidencia concreta: logs de training jobs, fechas de último deploy, outputs de testing. Automatiza esta conexión.

Error 4: Ignorar la cadena de suministro de IA.

El EU AI Act extiende responsabilidad a proveedores de modelos pre-entrenados, servicios de API de IA, y componentes de terceros. Si usas Claude API, GPT-4, o cualquier foundation model comercial, necesitas documentar cómo cumples las obligaciones del Article 10 cuando esos modelos procesan tus datos.

Solución: Evalúa proveedores de IA contra tus requisitos de compliance. Añade cláusulas contractuales que exijan documentación de conformity. Mantén registers de modelos de terceros con versiones específicas.

Error 5: Implementar controles sin proceso de revisión periódica.

El compliance no es un checkpoint único. El EU AI Act requiere monitorización continua post-market (Article 61). Las configuraciones que cumples hoy pueden no cumplir mañana si el modelo degrada o el entorno cambia.

Solución: Establece review cycles trimestrales con testing de regresión de compliance. Integra checks de EU AI Act en tus pipelines de CI/CD.

Recomendaciones y Próximos Pasos

Immediately (antes del 2 de agosto de 2025):

Si tienes sistemas de IA de alto riesgo en producción, el deadline es inamovible. Prioriza: inventario completo, clasificación de riesgo, documentación de arquitectura según Anexo IV. Esta es la base mínima para sobrevivir una auditoría.

Usa Drata cuando necesites evidence management a escala. Si operas múltiples sistemas de IA en cloud, la recolección manual de evidencia es insostenible. Drata conecta directamente con tus cuentas AWS, Azure y GCP, automatiza la generación de evidencia para cada control del EU AI Act, y proporciona visibility en tiempo real de tu compliance posture. La inversión se justifica cuando consideras el coste de una auditoría fallida: multas hasta 30 millones o 6% de revenue global, whichever is higher.

Integra compliance en MLOps desde día uno. El approach correcto es treat EU AI Act requirements como features técnicas del sistema de IA. El logging de inferencias, la documentación de datasets, los tests de bias — todo esto debe ser parte del workflow de desarrollo, no añadidos post-production.

Establece governance cross-funcional. Legal define policies. Security valida controles. Engineering implementa. Pero necesitas un owner único para compliance de IA que tenga autoridad para bloquear deployments que no cumplan requisitos. En organizaciones efectivas, este owner reporta a CTO o CISO, no a compliance corporativo.

Empieza el inventory hoy. No mañana. No la próxima semana. El inventory es el primer paso y el que más organizaciones subestiman. Sin saber qué sistemas tienes, no puedes clasificarlos, documentarlos ni auditarlos. El EU AI Act no perdona la ignorancia — el regulation establece que "no conocimiento" no es defensa ante incumplimiento.

La cloud ai regulation es nueva. Los estándares de interpretación están evolucionando. Las autoridades de supervisión están desarrollando sus propios frameworks de auditoría. Pero los fundamentos son claros: documentación, controles técnicos, evidencia automatizada y supervisión continua. Las organizaciones que construyan estos fundamentos ahora estarán preparadas cuando las auditorías lleguen. Las que esperen enfrentarán costos exponencialmente mayores — en multas, en remediation, y en reputación.