Respuesta directa: el inventario de sistemas de IA es la lista de todas las herramientas de inteligencia artificial que usa tu organización, con su finalidad, los datos que tratan, el riesgo que suponen y tu rol respecto a cada una. Es el documento cero del cumplimiento del AI Act (Reglamento UE 2024/1689): sin él no puedes clasificar el riesgo ni saber qué obligaciones te tocan antes del 2 de agosto de 2026. En este artículo tienes la plantilla, las columnas mínimas, cómo clasificar cada sistema y cómo mantenerlo vivo. Es la base sobre la que se monta todo lo demás.

Cuando una pyme se acerca por primera vez al AI Act, la reacción habitual es buscar la obligación concreta: «¿tengo que etiquetar el chatbot?», «¿necesito formar al equipo?». Son preguntas legítimas, pero llegan tarde. Antes de responder a ninguna de ellas hay que saber qué sistemas de IA usas, porque cada uno tiene un riesgo distinto y unas obligaciones distintas. Ese mapa es el inventario, y por eso lo llamamos el documento cero: es el primero, el que ordena todo lo que viene después.

La buena noticia es que es el entregable más fácil de hacer y el que menos competencia tiene publicada con detalle. La mala es que casi nadie lo tiene, porque suena a burocracia. En realidad es lo contrario: es la herramienta que te ahorra trabajo, porque evita que clasifiques riesgos sobre una lista incompleta y que te olvides de sistemas que sí tienen obligaciones.

¿Qué es el inventario de sistemas de IA?

Es un registro, normalmente una tabla, en el que listas cada sistema de inteligencia artificial que tu organización usa, desarrolla o pone en el mercado, con la información mínima para poder gestionarlo: qué es, para qué sirve, quién lo usa, qué datos toca, qué riesgo supone y qué rol tienes tú frente a él (proveedor o responsable del despliegue). No es un documento que el AI Act exija con ese nombre exacto para todas las empresas, pero es la base práctica sin la cual no puedes demostrar que has hecho el análisis que el reglamento sí espera.

Piensa en él como en el registro de tratamientos del RGPD, pero para la IA. Quien ya pasó por el registro de actividades de tratamiento reconocerá la lógica: primero inventarías, luego clasificas, luego aplicas medidas. El inventario de IA es el primer paso de esa misma escalera.

¿Por qué es el documento cero del AI Act?

Porque el AI Act no impone las mismas obligaciones a todos los sistemas: las impone según el nivel de riesgo. Y no puedes clasificar el riesgo de algo que no has identificado. La secuencia lógica es esta:

  1. Inventarías los sistemas de IA que usas (este documento).
  2. Clasificas cada uno en su nivel de riesgo.
  3. Aplicas las obligaciones que correspondan a ese nivel.

Si te saltas el primer paso, los otros dos se hacen sobre una lista incompleta. Y la experiencia dice que las pymes usan muchos más sistemas de IA de los que creen: el chatbot de la web, el corrector que sugiere texto, la herramienta que genera imágenes para redes, el módulo del CRM que puntúa leads, el asistente que resume reuniones. Cada uno puede tener obligaciones distintas. El inventario es lo que evita que se te escape ninguno.

Las columnas mínimas del inventario

No necesitas un sistema complejo: una tabla bien pensada basta. Estas son las cuatro familias de columnas mínimas que recomendamos, y que puedes ampliar según tu caso:

Las cuatro columnas mínimas del inventario de IA: sistema y proveedor, finalidad y datos, clasificación de riesgo, rol y acción
Las cuatro columnas mínimas de un inventario de sistemas de IA. Elaboración propia de Summum Marketing conforme al Reglamento (UE) 2024/1689.

Desarrolladas, así es como queda la plantilla. Puedes copiarla a una hoja de cálculo tal cual:

CampoQué anotarEjemplo
SistemaNombre de la herramientaChatbot de atención web
ProveedorQuién lo desarrolla / de quién esPlataforma de terceros
Propia o de terceroDesarrollada por ti o contratadaDe tercero
FinalidadPara qué se usaAtender consultas de clientes
Área / usuarioQuién la operaAtención al cliente
Datos que trataPersonales / no personales; categoríasNombre, email, consulta
Nivel de riesgoProhibido / alto / limitado / mínimoRiesgo limitado (transparencia)
Tu rolProveedor / responsable del despliegueResponsable del despliegue
Obligación pendienteQué hay que hacerAvisar de que es IA
Fecha límite / estadoCuándo y cómo va2 ago 2026 — pendiente

Con esas columnas, una sola fila te dice todo lo que necesitas saber de un sistema: qué es, qué riesgo tiene, qué te toca hacer y para cuándo. Multiplica esa fila por cada herramienta y tienes el mapa completo.

Cómo clasificar el riesgo de cada sistema

La columna más importante, y la que más dudas genera, es la del nivel de riesgo. El AI Act define cuatro categorías. Esta es la versión práctica para clasificar sin ser jurista:

Riesgo inaceptable (prohibido)

Prácticas vetadas por el artículo 5: puntuación social, manipulación que explota vulnerabilidades, ciertos usos de identificación biométrica, etc. Si algo cae aquí, no es que tengas que documentarlo: es que no puedes usarlo. En una pyme normal es raro, pero conviene descartarlo expresamente.

Alto riesgo (Anexo III)

Sistemas que pueden afectar a derechos o a la seguridad de las personas: selección de personal, evaluación de solvencia, ciertos usos en educación, infraestructuras críticas, etc. Conllevan las obligaciones más exigentes (documentación técnica, gestión de riesgos, supervisión humana). Su aplicación se ha aplazado a finales de 2027 con el Digital Omnibus, pero si tienes uno, márcalo y planifícalo.

Riesgo limitado (transparencia)

Aquí cae la mayoría de lo que usa una pyme: chatbots, IA generativa de texto e imagen, deepfakes. La obligación es de transparencia (artículo 50): avisar y etiquetar. Vence el 2 de agosto de 2026.

Riesgo mínimo

El resto: filtros antispam, recomendadores básicos, automatizaciones sin impacto en derechos. Sin obligaciones específicas más allá del sentido común y la alfabetización del equipo.

Infraestructura tecnológica que da soporte a los sistemas de IA de una empresa
Foto: compujeramey, licencia CC BY 2.0, vía Flickr.

Proveedor o responsable del despliegue: por qué cambia tus obligaciones

El reglamento distingue dos roles, y el inventario tiene que recogerlo porque cambia qué te toca a ti. Eres proveedor si desarrollas el sistema o lo comercializas con tu nombre o marca. Eres responsable del despliegue si lo usas bajo tu autoridad. La mayoría de las pymes son responsables del despliegue: no fabrican IA, la usan.

La diferencia es importante. Por ejemplo, si usas una herramienta de IA generativa de un tercero para crear imágenes, parte de las obligaciones de marcado recaen sobre el proveedor (que debe hacer el contenido marcable por máquina), pero tú, como responsable del despliegue, tienes que asegurarte de avisar de que ese contenido es generado por IA cuando lo publicas. Anotar el rol en el inventario te evita asumir obligaciones que no son tuyas y, sobre todo, te evita ignorar las que sí lo son.

Cómo construir tu inventario en una tarde

No hace falta un proyecto de meses. Con un método simple sale en una sesión:

  1. Reúne a quien usa herramientas. Marketing, atención al cliente, ventas, administración. Cada área conoce sus propias herramientas.
  2. Haz la pregunta correcta. No «¿usáis IA?» (todos dirán que no), sino «¿qué herramientas usáis que sugieran texto, generen imágenes, respondan automáticamente, puntúen o recomienden?».
  3. Apunta todo, sin filtrar. En esta fase la lista se hace larga; mejor que sobre.
  4. Rellena las columnas básicas. Finalidad, datos, proveedor, rol.
  5. Clasifica el riesgo de cada fila. Con las cuatro categorías de arriba.
  6. Anota la obligación y la fecha. Lo que hay que hacer y para cuándo.

El resultado es un documento que cabe en una pantalla y que, además de cumplir, te sirve para decidir: qué herramientas tienen sentido, cuáles duplican funciones, cuáles conviene retirar. Si quieres una visión más amplia de cómo introducir IA con orden en una pyme, encaja con la guía de por dónde empezar con la IA.

El inventario no es un documento que se hace una vez

El error más común es tratarlo como una foto fija. Las herramientas de IA entran y salen de una organización constantemente: un equipo prueba algo nuevo, se cancela una suscripción, un proveedor añade una función de IA a un software que ya tenías. Un inventario de hace seis meses puede estar a medias.

Por eso conviene fijar una rutina: una revisión trimestral, un responsable que la actualice y la norma de que cualquier herramienta nueva con IA pasa por el inventario antes de usarse en serio. Si tu organización va en serio con la gestión de la IA, el siguiente paso natural es un marco formal de gestión como la norma ISO 42001, que convierte este inventario en parte de un sistema vivo. Y como casi todos estos sistemas tratan datos personales, conviene cruzarlo con tu registro de tratamientos del RGPD.

Tres ejemplos de filas reales del inventario

La teoría se entiende mejor con casos. Estas son tres filas tipo que aparecen en casi cualquier pyme, ya clasificadas, para que veas cómo se rellena en la práctica:

Ejemplo 1: chatbot de atención al cliente. Finalidad: responder preguntas frecuentes en la web. Datos: nombre, correo y la consulta del cliente (datos personales). Proveedor: plataforma de terceros. Tu rol: responsable del despliegue. Riesgo: limitado (transparencia). Obligación: avisar de que es un asistente automático. Fecha: 2 de agosto de 2026. Es el caso más común y el que más pymes tienen pendiente.

Ejemplo 2: generador de imágenes para redes sociales. Finalidad: crear creatividades para campañas. Datos: ninguno personal, salvo lo que introduzcas en los prompts. Proveedor: herramienta de IA generativa de tercero. Tu rol: responsable del despliegue. Riesgo: limitado. Obligación: marcar el contenido como generado por IA cuando se publique. Fecha: 2 de agosto de 2026.

Ejemplo 3: módulo de puntuación de leads del CRM. Finalidad: priorizar contactos comerciales. Datos: datos de contacto y comportamiento (personales). Proveedor: el del CRM. Tu rol: responsable del despliegue. Riesgo: a verificar; si solo ordena prioridad comercial suele ser limitado o mínimo, pero conviene revisar que no entre en un supuesto del Anexo III. Acción: documentar el análisis y, en su caso, transparencia interna.

Como ves, con tres filas ya tienes claro qué hacer y para cuándo en buena parte de tu actividad. Ese es el valor del inventario: convierte la duda en tarea.

Cómo se relaciona el inventario con la formación del equipo

Hay una conexión que se suele pasar por alto. La alfabetización en IA del artículo 4 del reglamento es obligatoria desde febrero de 2025, y el inventario es justamente lo que te dice sobre qué tienes que formar a tu equipo. No se trata de dar un curso genérico de «inteligencia artificial», sino de que quien usa cada herramienta entienda qué hace, qué riesgos tiene y cómo usarla con criterio. El inventario, al listar quién opera cada sistema, te permite diseñar una formación a medida y dejar constancia de quién la ha recibido. Inventario y formación se alimentan mutuamente: uno te dice qué tienes, el otro asegura que se usa bien.

Preguntas frecuentes sobre el inventario de IA

¿El AI Act obliga a tener un inventario de IA?

No con ese nombre exacto para toda empresa, pero sí necesitas el análisis que el inventario documenta. Es la forma práctica de demostrar que has identificado y clasificado tus sistemas de IA, que es lo que el reglamento espera para aplicar las obligaciones por nivel de riesgo.

¿Qué columnas mínimas debe tener?

Como mínimo: sistema y proveedor, finalidad y datos que trata, nivel de riesgo, y tu rol (proveedor o responsable del despliegue) con la obligación pendiente y su fecha. Con esas cuatro familias de columnas tienes lo esencial.

¿Sirve una hoja de cálculo?

Sí. Para una pyme, una hoja de cálculo bien estructurada es suficiente. Lo importante no es la herramienta, sino que esté completo, clasificado y actualizado.

¿Cada cuánto hay que actualizarlo?

Idealmente cada trimestre, y siempre que entre una herramienta nueva con IA. Un inventario desactualizado da una falsa sensación de cumplimiento.

¿Quién debe hacerlo en la empresa?

Lo construye quien coordina el cumplimiento, pero se nutre de todas las áreas que usan herramientas. Necesitas la colaboración de marketing, atención, ventas y administración para que no se escape nada.

¿Por dónde sigo después del inventario?

Por clasificar el riesgo y aplicar las obligaciones. Para la mayoría de pymes eso significa transparencia (avisar y etiquetar) antes del 2 de agosto de 2026 y mantener la alfabetización del equipo, vigente desde 2025.

Conclusión: empieza por el mapa

Cumplir el AI Act sin un inventario es como ordenar una casa con los ojos cerrados: puedes mover cosas, pero no sabes si has tocado lo importante. El inventario de sistemas de IA es el documento cero precisamente porque convierte una obligación difusa en una lista manejable: estos sistemas, estos riesgos, estas acciones, estas fechas. Es lo más fácil de hacer y lo que más te ahorra después. Si quieres montarlo bien a la primera y clasificar el riesgo con criterio, ese es el tipo de acompañamiento que ofrecemos en cumplimiento y digitalización.

Fuentes