Evaluación de la conformidad en el Reglamento de IA de la UE
Guía sobre los procedimientos de evaluación de la conformidad para los sistemas de IA de alto riesgo — control interno, evaluación por terceros, marcado CE y declaración UE de conformidad explicados.
Antes de que un sistema de IA de alto riesgo pueda introducirse en el mercado de la UE o ponerse en servicio, debe someterse a una evaluación de la conformidad. Este es el proceso por el cual el proveedor demuestra — y una autoridad competente puede verificar — que el sistema de IA cumple con todos los requisitos aplicables del Reglamento de IA de la UE (Reglamento 2024/1689). Sin una evaluación de la conformidad completada, un proveedor no puede emitir una declaración UE de conformidad, colocar el marcado CE ni poner legalmente a disposición el sistema en la Unión Europea.
La evaluación de la conformidad no es un concepto nuevo en la regulación de productos de la UE. Se ha utilizado durante décadas en sectores como los dispositivos médicos, la maquinaria y los equipos de protección individual. Lo nuevo es su aplicación a los sistemas de IA.
El marco jurídico: Artículos 43 y 44
El Artículo 43 del Reglamento de IA de la UE establece los procedimientos de evaluación de la conformidad para los sistemas de IA de alto riesgo. Proporciona dos vías:
- Evaluación de la conformidad basada en el control interno (Anexo VI): El proveedor realiza la evaluación por sí mismo, sin participación de terceros.
- Evaluación de la conformidad con la participación de un organismo notificado (Anexo VII): Una organización tercera designada por un Estado miembro de la UE revisa el sistema de IA y emite un certificado.
¿Cuándo se requiere la evaluación por terceros?
Control interno (la mayoría de los sistemas de IA de alto riesgo)
Para la mayoría de los sistemas de IA de alto riesgo enumerados en el Anexo III del reglamento — incluidos los sistemas utilizados en empleo, educación, calificación crediticia, aplicación de la ley, migración y acceso a servicios esenciales — el proveedor puede realizar la evaluación de la conformidad mediante control interno en virtud del Anexo VI. No se requiere ningún organismo notificado tercero.
Evaluación por terceros (casos específicos)
La evaluación de la conformidad por terceros en virtud del Anexo VII se requiere en dos escenarios principales:
1. Sistemas de IA cubiertos por la legislación de armonización de la UE existente del Anexo I, Sección A. Cuando un sistema de IA de alto riesgo es un componente de seguridad de un producto cubierto por legislación de la Sección A del Anexo I, la evaluación de la conformidad sigue los procedimientos ya establecidos por esa legislación.
2. Sistemas de identificación y categorización biométrica. Los sistemas de IA de alto riesgo destinados a la identificación y categorización biométrica de personas físicas (Anexo III, punto 1) están sujetos al procedimiento de evaluación de la conformidad por terceros del Anexo VII.
Incluso cuando se permite el control interno, los proveedores deben aplicar normas armonizadas o especificaciones comunes cuando estén disponibles. La elección del control interno no reduce los requisitos sustantivos de cumplimiento — solo cambia quién verifica el cumplimiento.
El procedimiento de control interno (Anexo VI)
El proveedor verifica que su sistema de gestión de la calidad y la documentación técnica cumplen con los requisitos del reglamento, incluyendo la verificación del SGC (Artículo 17), la verificación de la documentación técnica (Artículo 11 y Anexo IV), la verificación del cumplimiento de todos los requisitos (Artículos 8-15), y la emisión de la declaración UE de conformidad y colocación del marcado CE.
El control interno requiere una autoevaluación rigurosa. "Revisamos nuestro propio trabajo" no satisfará a los reguladores si la evaluación fue superficial. Documente cada paso de verificación, mantenga las pruebas y considere la posibilidad de recurrir a experiencia externa para apoyar el proceso, incluso si no se requiere legalmente un organismo notificado.
¿Preparándose para la evaluación de la conformidad?
Ctrl AI le ayuda a construir el sistema de gestión de la calidad, la documentación técnica y las pistas de auditoría necesarias para superar la evaluación de la conformidad — ya sea interna o por terceros.
Learn About Ctrl AIEl procedimiento por terceros (Anexo VII)
Cuando se requiere la evaluación por terceros, un organismo notificado examina el sistema de IA y el sistema de gestión de la calidad del proveedor. Si el organismo notificado concluye que el SGC y el sistema de IA cumplen con el reglamento, emite un certificado válido por un máximo de cinco años, que puede ser renovado.
La declaración UE de conformidad
El Artículo 47 establece los requisitos de la declaración UE de conformidad, un documento formal en el que el proveedor declara que el sistema de IA cumple con todos los requisitos aplicables. Debe mantenerse actualizada y ponerse a disposición de las autoridades de vigilancia del mercado previa solicitud, durante un período de 10 años.
Marcado CE
El Artículo 48 exige que el marcado CE se coloque en el sistema de IA de alto riesgo, o cuando esto no sea posible, en su embalaje o documentación adjunta. Para los sistemas de IA proporcionados digitalmente, puede utilizarse un marcado CE digital.
El marcado CE ya es conocido en muchos sectores de productos. Para los sistemas de IA, tiene la misma significación jurídica: es la declaración del proveedor de que el sistema cumple con todos los requisitos de la UE aplicables. El uso indebido del marcado CE — colocarlo en un sistema no conforme — está sujeto a sanciones.
Organismos notificados
Los organismos notificados son organizaciones designadas por los Estados miembros de la UE para realizar evaluaciones de conformidad por terceros. Deben demostrar independencia, competencia técnica, recursos adecuados y confidencialidad.
Modificaciones y reevaluación
El Artículo 43(4) aborda lo que sucede cuando un sistema de IA de alto riesgo que ya ha sido sometido a una evaluación de la conformidad es sustancialmente modificado. Una modificación sustancial requiere una nueva evaluación de la conformidad.
La distinción entre modificaciones sustanciales y no sustanciales es específica de cada caso. En caso de duda, trate una modificación como sustancial. Introducir en el mercado un sistema no conforme tiene consecuencias mucho mayores que realizar una evaluación adicional.
Sanciones
Introducir en el mercado de la UE un sistema de IA de alto riesgo sin completar la evaluación de la conformidad requerida es una infracción grave. Las multas administrativas pueden alcanzar hasta 15 millones de EUR o el 3 % del volumen de negocios total anual mundial, lo que sea mayor.
Conclusión
La evaluación de la conformidad es la puerta de acceso al mercado de la UE para los sistemas de IA de alto riesgo. Ya sea que su sistema siga la vía del control interno o requiera una evaluación por terceros, el trabajo subyacente es el mismo: documentación técnica integral, un sistema de gestión de la calidad robusto, gestión de riesgos exhaustiva y pruebas y validación rigurosas.
Las organizaciones no deben ver la evaluación de la conformidad como un obstáculo puntual. Es una obligación continua — las modificaciones sustanciales desencadenan una reevaluación, los certificados tienen una validez limitada y las autoridades de vigilancia del mercado pueden solicitar documentación y pruebas de cumplimiento en cualquier momento.
Make Your AI Auditable and Compliant
Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.
Explore Ctrl AIArtículos relacionados
Requisitos de documentación técnica para sistemas de IA
Qué documentación técnica se exige en virtud del Reglamento de IA de la UE — requisitos del Anexo IV, registros de gestión de riesgos, documentación de gobernanza de datos y cómo mantener el cumplimiento.
Requisitos de supervisión humana del Reglamento de IA de la UE
Guía sobre las obligaciones de supervisión humana del Artículo 14 — qué deben implementar los operadores, prevención del sesgo de automatización y el derecho a anular las decisiones de IA en sistemas de alto riesgo.
Requisitos de alfabetización en IA: Artículo 4 del Reglamento de IA de la UE
Comprensión de la obligación de alfabetización en IA del Artículo 4 del Reglamento de IA de la UE — qué significa, quién debe cumplir y cómo implementar programas de alfabetización en IA en su organización.