Todos los sistemas
Agente 01 — Artículo 52
Auditor de Transparencia
⚖️ Art. 52 — Obligaciones de Transparencia
Escanea cada respuesta generada por otros agentes para asegurar que el usuario sabe que está interactuando con una IA. Detecta contenido que podría confundirse con producción humana y aplica marcas de agua o avisos de texto automáticos. Sin este agente, cualquier sistema de IA generativa en Europa incumple por defecto.
Caso real: Un chatbot de atención al cliente que no se identifica como IA puede generar multas de hasta 15 millones o el 3% de la facturación global. Este agente es la primera línea de defensa.
Alto riesgo
Agente 02 — Anexo III
Guardián de Datos Sensibles
🛡️ Anexo III — Sistemas de Alto Riesgo
Actúa como proxy que anonimiza, filtra y clasifica datos personales antes de que lleguen al LLM. Especialmente crítico en sectores de educación, recursos humanos, banca y salud. Detecta automáticamente si una query contiene nombre, DNI, datos de salud o información protegida y aplica el tratamiento adecuado antes de procesar.
Caso real: Un agente de RRHH que procesa CVs sin este filtro puede discriminar por género, edad o etnia sin que el modelo lo "sepa". La responsabilidad legal recae sobre el operador, no sobre el proveedor del LLM.
Alto riesgo
Agente 03 — Artículo 12
Registrador de Trazabilidad
📋 Art. 12 — Trazabilidad y Registro de Eventos
Crea un log inmutable de todas las decisiones que tomó la IA: qué input recibió, qué razonamiento aplicó, qué output generó y qué acción tomó. Si algo sale mal — y en producción, eventualmente algo sale mal — este agente entrega el informe forense que exige cualquier regulador europeo. Sin trazabilidad, no hay defensa posible ante una inspección.
Caso real: La AESIA (Agencia Española de Supervisión de IA) puede solicitar los logs de los últimos 12 meses en cualquier inspección. Si no existen, la multa es automática independientemente de si el sistema funcionaba correctamente.
Alto riesgo
Agente 04 — Artículo 14
Supervisor Humano (Human-in-the-Loop)
👁️ Art. 14 — Vigilancia Humana
Detecta cuando una respuesta o decisión supera un umbral de riesgo y pausa la ejecución para que un humano valide antes de continuar. La UE prohíbe que las decisiones críticas sean 100% automáticas en sistemas de alto riesgo. Este agente no frena la IA — define cuándo debe pedir permiso.
Caso real: Un agente legal que redacta contratos vinculantes, un sistema médico que recomienda tratamientos, o cualquier agente que tome decisiones con impacto económico superior a un umbral definido. Sin supervisión humana documentada, el sistema no puede clasificarse como "conforme".
Riesgo medio
Agente 05 — Artículo 9
Analizador de Deriva (Drift Detector)
📊 Art. 9 — Gestión Continua de Riesgos
Compara el comportamiento actual del agente con su baseline histórico. Si la tasa de error sube, la consistencia baja o los patrones de respuesta cambian más de un umbral configurable, alerta o bloquea el sistema. Las IAs cambian con el tiempo — los modelos se actualizan, los datos de entrada evolucionan, y lo que era seguro en enero puede ser tóxico en julio.
Caso real: Un agente de ventas que empieza a usar lenguaje más agresivo o a hacer promesas que no puede cumplir después de que el LLM subyacente fue actualizado. Sin detección de deriva, esto puede pasar durante semanas sin que nadie lo note.
Riesgo medio
Agente 06 — Artículo 15
Monitor de Ciberseguridad y Robustez
🔒 Art. 15 — Precisión, Robustez y Ciberseguridad
Detecta intentos de manipulación del agente mediante prompt injection, jailbreaking o inputs adversariales. Monitoriza patrones de uso anómalos que podrían indicar un ataque. El EU AI Act exige que los sistemas de alto riesgo sean resilientes frente a intentos de alterar su comportamiento por parte de terceros.
Caso real: Un agente de soporte que puede ser manipulado para revelar información de otros usuarios, ejecutar acciones no autorizadas o generar contenido inapropiado mediante prompts especialmente diseñados. Este agente actúa como firewall semántico.
Todos los sistemas
Agente 07 — Artículo 13
Generador de Explicabilidad
💡 Art. 13 — Transparencia para los Usuarios
Traduce las decisiones del agente a lenguaje comprensible para el usuario final. Cuando un sistema de IA toma una decisión que afecta a una persona — rechazar una solicitud, clasificar un documento, recomendar una acción — este agente genera automáticamente la explicación requerida por ley. Sin explicabilidad no hay transparencia, y sin transparencia no hay conformidad.
Caso real: Un agente de scoring crediticio que rechaza una solicitud debe poder explicar en términos comprensibles por qué tomó esa decisión. "El modelo lo decidió" no es una respuesta válida bajo el EU AI Act ni bajo el GDPR.
Todos los sistemas
Agente 08 — Artículo 62
Notificador de Incidentes Graves
🚨 Art. 62 — Notificación de Incidentes Graves
Detecta automáticamente cuando un evento supera el umbral de "incidente grave" según la definición del EU AI Act y activa el protocolo de notificación a las autoridades nacionales de supervisión. Los operadores tienen entre 15 días (incidentes graves) y 3 días (incidentes críticos) para notificar. Sin automatización, este plazo es casi imposible de cumplir.
Caso real: Un agente médico que genera una recomendación errónea que causa daño a un paciente, o un sistema de seguridad que falla en detectar una amenaza. El incidente debe reportarse aunque no haya habido negligencia — la obligación es sobre el sistema, no sobre la intención.
La arquitectura que nadie te está contando
La mayoría de equipos de IA en Europa están construyendo el modelo central — el agente que hace "la cosa útil" — e ignorando completamente la capa de compliance que lo rodea. Esto es un error estratégico, no solo legal.
Los 8 agentes descritos arriba no son obstáculos burocráticos. Son la diferencia entre un sistema que puede operar a escala en Europa y uno que puede ser clausurado en cualquier momento. Y lo más importante: son ventaja competitiva. El cliente que elige tu agente sobre el de la competencia lo hará porque el tuyo tiene Trust Score verificado, trazabilidad demostrable y supervisión humana documentada.
La pregunta no es si vas a implementar esta capa. Es si lo vas a hacer antes o después de que te lo exijan.
¿Cuántos de estos agentes tienes monitorizados?
TrustLayer monitoriza en tiempo real los agentes que conectan su API. El Trust Score refleja cuántos de estos requisitos se cumplen en producción — no en el papel, no en el README, sino en cada request real.