Skip to content
Confir.
Prueba gratuita
Blog

Notificación de incidentes graves del Artículo 73: qué deben hacer los proveedores de IA de alto riesgo

Guide7 May 2026· 14 min de lectura

Artículo 73: los proveedores de IA de alto riesgo deben notificar los incidentes graves en 15 días, 10 en caso de fallecimiento, 2 para infraestructuras críticas. Plazos y obligaciones.

Con arreglo al Artículo 73 del Reglamento (UE) 2024/1689, los proveedores de sistemas de IA de alto riesgo deben notificar los incidentes graves a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente. El reloj se pone en marcha en el momento en que se establece un vínculo causal — o una probabilidad razonable de uno —. A partir de ese punto, dispone de 15 días como máximo. Para los fallecimientos, 10 días. Para las infracciones generalizadas o las perturbaciones graves de infraestructuras críticas, 2 días — y debe actuar de inmediato al tener conocimiento.

El Artículo 73 es el canal de salida del sistema de vigilancia poscomercialización que el Artículo 72 exige construir a los proveedores. El Artículo 72 crea la maquinaria de detección; el Artículo 73 rige lo que ocurre cuando esa maquinaria detecta algo grave.

Qué cuenta como incidente grave

La definición del Artículo 3, apartado 49, es específica. Un incidente grave es cualquier incidente o defecto de funcionamiento de un sistema de IA de alto riesgo que, directa o indirectamente, conduzca a una o varias de las siguientes consecuencias:

  • el fallecimiento de una persona o un perjuicio grave para la salud de una persona
  • una perturbación grave e irreversible de infraestructuras críticas (según se definen en la Directiva (UE) 2022/2555 — la Directiva NIS2)
  • una vulneración de las obligaciones del proveedor en virtud del Derecho de la Unión destinadas a proteger los derechos fundamentales
  • un perjuicio grave para la propiedad o el medio ambiente

Esta última subcategoría — Artículo 3, apartado 49, letra b) — cubre el escenario de infraestructuras críticas y desencadena la ventana de notificación más corta (2 días, de inmediato al tener conocimiento).

No todo fallo de IA es un incidente grave. Un sistema que produce un resultado incorrecto, señalado y corregido por un operador humano antes de que se adopte ninguna acción, no alcanza el umbral. Tampoco una caída de rendimiento, un pico de latencia o un resultado del modelo que sea meramente poco útil. El umbral requiere un daño demostrable o una perspectiva realista de él. Una IA de triaje médico que contribuye a un diagnóstico retrasado que resulta en una lesión grave sí cumple los requisitos. Una IA de contratación cuyo sesgo se detecta en una auditoría interna antes de que se tome ninguna decisión de contratación, no — aunque esa conclusión de la auditoría puede aun así desencadenar una acción correctiva con arreglo al Artículo 72.

Las tres ventanas de notificación (verificadas en la web)

El Artículo 73 establece un calendario escalonado por gravedad, confirmado a partir del texto oficial:

15 días — la ventana por defecto para los incidentes graves que no entran en las dos categorías de vía más rápida de a continuación. Los 15 días corren desde que el proveedor (o, cuando proceda, el responsable del despliegue) tiene conocimiento del incidente — no desde que se produjo el incidente. Si su sistema de vigilancia poscomercialización señala un posible incidente grave el 3 de enero, el reloj de 15 días empieza el 3 de enero, con independencia de cuándo se produjo el fallo subyacente.

10 días — cuando el incidente implica el fallecimiento de una persona. La notificación debe realizarse inmediatamente después de que el proveedor establezca (o sospeche) un vínculo causal entre el sistema de IA y el fallecimiento, y a más tardar 10 días después de tener conocimiento.

2 días / de inmediato — para las infracciones generalizadas, o para los incidentes de la categoría del Artículo 3, apartado 49, letra b): perturbaciones graves e irreversibles de infraestructuras críticas. «De inmediato» significa el mismo día en la práctica. El plazo de 2 días es el límite exterior, no el objetivo.

En todos los casos, el Artículo 73, apartado 5, permite un informe inicial incompleto cuando sea necesario para cumplir el plazo, seguido de un informe completo. Presentar un informe incompleto el día 14 es mejor que incumplir la ventana.

Quién debe notificar, y a quién

El Artículo 73 impone la obligación a los proveedores — la entidad jurídica que desarrolló el sistema y lo introdujo en el mercado de la UE o lo puso en servicio con su propio nombre o marca. Una empresa que concede una licencia de un modelo de IA a un hospital y lo comercializa como producto propio es el proveedor del Artículo 73. El hospital que utiliza ese sistema es un responsable del despliegue.

Los responsables del despliegue no están directamente sujetos a las obligaciones de notificación del Artículo 73, pero tienen un deber conexo con arreglo al Artículo 26: si un responsable del despliegue tiene conocimiento de un incidente grave, debe informar al proveedor. Si el responsable del despliegue no puede contactar con el proveedor, debe notificarlo directamente a la autoridad de vigilancia del mercado pertinente.

Los informes se dirigen a la autoridad de vigilancia del mercado del Estado miembro donde se produjo el incidente — no necesariamente donde está establecido el proveedor. Un hospital francés que despliega la IA de diagnóstico de un proveedor alemán, con un incidente que se produce en Francia, supone la notificación a la autoridad francesa pertinente. Los proveedores con sistemas desplegados en múltiples Estados miembros deberían mantener por adelantado los datos de contacto de cada autoridad pertinente.

Qué debe cubrir el informe

El Artículo 73 no prescribe un formulario fijo. Un informe completo debería cubrir: la identidad del sistema y su clasificación en el Anexo III; un relato fáctico de qué ocurrió, cuándo y dónde; el daño causado y el número de personas afectadas; la cadena causal en la medida en que se conozca; las medidas inmediatas de contención; y el calendario de subsanación. Cuando la investigación esté en curso en el momento de la presentación, indíquelo — las autoridades esperan documentación profesional, no un análisis de causa raíz completado en las 48 horas posteriores a un fallecimiento. La disposición de informe incompleto del Artículo 73, apartado 5, existe precisamente para eso.

El Artículo 73, apartado 6, exige que el proveedor lleve a cabo la investigación completa sin demora tras la notificación, coopere con la autoridad y — fundamentalmente — no modifique el sistema de IA de ninguna manera que pudiera afectar a las conclusiones de la investigación sin informar antes a la autoridad competente.

Conexión con la vigilancia poscomercialización y otros regímenes

El Artículo 73 no funciona de forma aislada.

El Artículo 72 (vigilancia poscomercialización) es la capa de detección. Su plan de vigilancia del Artículo 72 debería definir qué indicadores podrían señalar un incidente grave y fijar umbrales de escalado. Sin esa infraestructura, descubrir un incidente dentro de la ventana de conocimiento — y, por tanto, dentro de la ventana de notificación — no es fiable.

RGPD (Artículo 33 del RGPD): Un incidente grave de IA que implique datos personales puede desencadenar simultáneamente una notificación de violación de datos en un plazo de 72 horas. Las dos obligaciones son independientes; una no satisface la otra. Coordine ambas desde un único proceso de respuesta interfuncional para evitar que comunicaciones contradictorias lleguen a autoridades distintas.

NIS2 (Directiva (UE) 2022/2555): Cuando el sistema afectado forma parte de infraestructuras críticas, las obligaciones de notificación de incidentes de la NIS2 discurren en paralelo, con sus propios plazos (alerta temprana en 24 horas, notificación formal en 72 horas, informe final en un mes). Las empresas de los sectores de la energía, el transporte, la salud o las infraestructuras digitales deben contrastar los tres regímenes con el mismo flujo de trabajo de respuesta a incidentes.

Excepción MDR/IVDR: El Artículo 73, apartado 10, limita la notificación de los sistemas de IA de alto riesgo que son componentes de seguridad de productos sanitarios cubiertos por los Reglamentos (UE) 2017/745 o 2017/746 a la categoría del Artículo 3, apartado 49, letra c) (vulneraciones de derechos fundamentales) únicamente. El régimen de incidentes graves del MDR/IVDR se ocupa del resto para esos sistemas.

Construir un flujo de trabajo de notificación del Artículo 73

La obligación es sencilla sobre el papel; la dificultad está en operacionalizarla antes de que se produzca un incidente.

Defina «conocimiento» por escrito. El reloj de 15 días empieza cuando el proveedor tiene conocimiento. Documente qué rol asume esa responsabilidad y qué información constituye conocimiento para su organización. Sin esto, tendrá discusiones sobre cuándo empezó el reloj.

Redacte por adelantado su plantilla de notificación. Una plantilla ajustada a los requisitos de contenido del Artículo 73, revisada por el área jurídica antes de cualquier incidente, elimina la presión de redactar bajo una ventana de 48 horas. Presente pronto y complemente después utilizando la disposición de informe incompleto del Artículo 73, apartado 5.

Mapee ahora sus autoridades competentes. Si sus sistemas están desplegados en múltiples Estados miembros, identifique la autoridad pertinente en cada uno antes de necesitarla. La autoridad para la IA de empleo puede diferir de la autoridad para la IA biométrica en el mismo Estado miembro — verifique las designaciones con arreglo al Artículo 70.

Documente sus decisiones de no notificar. La vigilancia del Artículo 72 sacará a la luz muchas anomalías, la mayoría de las cuales no alcanzan el umbral del Artículo 3, apartado 49. Un breve registro escrito de cada una — responsable de la decisión, fecha, razonamiento — es el rastro de auditoría que demuestra que revisó el evento y concluyó que no requería notificación.

Cómo ayuda Confir

El módulo AIGM de Confir — Gobernanza y Vigilancia Poscomercialización — cubre los Artículos 9, 72 y 73 a través de su marco de evaluación basado en reglas. Para los sistemas de alto riesgo que registre en el inventario de IA de Confir, el módulo AIGM capta su configuración de seguimiento de incidentes: qué indicadores de vigilancia están definidos, qué umbrales de escalado están fijados y si existe un flujo de trabajo de notificación. El registro de auditoría inmutable de Confir registra la fecha en que se revisa cada conclusión y se toma cada decisión de clasificación, que es la documentación que necesita si una autoridad competente pregunta alguna vez por qué un evento concreto no alcanzó el umbral de notificación.

Confir no sustituye al asesoramiento jurídico en un incidente en curso. Garantiza que el trabajo procedimental de base esté en marcha de modo que, si se produce un incidente, no empiece desde cero.

Sanciones y el plazo de cumplimiento

No notificar un incidente grave como exige el Artículo 73 es una vulneración de los requisitos de la IA de alto riesgo. Con arreglo al Artículo 99, apartado 4, la multa máxima es de 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas clasificadas como pymes o empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes — una protección de proporcionalidad digna de mención.

El plazo de cumplimiento del Artículo 73 para los sistemas de IA de alto riesgo autónomos (la lista del Anexo III) es el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026, que aplazó la fecha original del 2 de agosto de 2026. Para los sistemas de IA de alto riesgo integrados en productos regulados del Anexo I, el plazo es el 2 de agosto de 2028. Tenga en cuenta que el propio Artículo 73 entra en aplicación general en agosto de 2026, pero toda la pila de cumplimiento del Anexo III — incluidas las obligaciones del Artículo 73 para esos sistemas — se aplica a partir del 2 de diciembre de 2027. El aplazamiento es un respiro para construir sistemas, no un permiso para ignorar los incidentes que causan un daño real entretanto.

Preguntas frecuentes

¿Qué incidentes debe notificar un proveedor de IA de alto riesgo con arreglo al Artículo 73?

Cualquier incidente o defecto de funcionamiento de un sistema de IA de alto riesgo que, directa o indirectamente, cause el fallecimiento, una lesión grave para la salud de una persona, una perturbación grave e irreversible de infraestructuras críticas, una vulneración de las obligaciones del proveedor de proteger los derechos fundamentales en virtud del Derecho de la Unión, o un perjuicio grave para la propiedad o el medio ambiente. La definición procede del Artículo 3, apartado 49. Los fallos operativos, las degradaciones de rendimiento y los errores detectados antes de causar daño generalmente no alcanzan este umbral.

¿Cuáles son los plazos exactos de notificación del Artículo 73?

Tres tramos, verificados a partir del texto oficial: 15 días para la mayoría de los incidentes graves (desde la fecha en que el proveedor tiene conocimiento); 10 días cuando el incidente implica el fallecimiento de una persona (desde el conocimiento, con notificación inmediata exigida al sospecharse un vínculo causal); 2 días para las infracciones generalizadas o las perturbaciones graves e irreversibles de infraestructuras críticas con arreglo al Artículo 3, apartado 49, letra b), con notificación inmediata exigida al tener conocimiento. Se permite un informe inicial incompleto con arreglo al Artículo 73, apartado 5, para cumplir el plazo, seguido de un informe completo.

¿Tiene un responsable del despliegue obligaciones de notificación del Artículo 73?

No directamente. El Artículo 73 impone la obligación de notificación a los proveedores. Un responsable del despliegue que tiene conocimiento de un incidente grave debe notificarlo al proveedor con arreglo al Artículo 26. Si el responsable del despliegue no puede contactar con el proveedor, debe notificarlo directamente a la autoridad competente. Los responsables del despliegue deberían incorporar esta vía de escalado a sus procesos de cumplimiento del Artículo 26 antes de necesitarla.

¿Cómo interactúa el Artículo 73 con la notificación de violaciones de datos del RGPD?

Las dos obligaciones son independientes. Un incidente grave de IA que implique datos personales puede desencadenar simultáneamente la notificación del Artículo 33 del RGPD a la autoridad de protección de datos en un plazo de 72 horas. Presentar un informe del Artículo 73 no satisface la obligación del RGPD, y viceversa. Cuando el mismo incidente desencadene ambas, coordine las dos notificaciones con cuidado — la información contradictoria enviada a autoridades distintas desde la misma organización crea una exposición adicional.

¿Qué debe contener realmente un informe del Artículo 73?

El reglamento no prescribe un formulario fijo. El informe debe identificar el sistema de IA, describir el incidente de forma fáctica, cuantificar el daño, explicar el vínculo causal en la medida en que se conozca, describir las medidas inmediatas de contención y esbozar el plan de subsanación. Cuando la investigación esté en curso, indíquelo y presente un informe incompleto dentro del plazo. El Artículo 73, apartado 6, exige que el proveedor lleve a cabo la investigación completa sin demora tras la presentación y coopere con la autoridad en todo momento — sin modificar el sistema de formas que pudieran afectar a la investigación a menos que se informe antes a la autoridad.

¿Cuándo se aplica el plazo de cumplimiento del Artículo 73?

Para los sistemas de IA de alto riesgo autónomos de la lista del Anexo III, las obligaciones del Artículo 73 se aplican a partir del 2 de diciembre de 2027 en virtud del Ómnibus Digital (acuerdo político, mayo de 2026), que aplazó la fecha original del 2 de agosto de 2026. Para la IA de alto riesgo integrada en productos regulados del Anexo I, la fecha es el 2 de agosto de 2028. La aplicación general del reglamento — incluida la entrada en vigor formal del Artículo 73 — es el 2 de agosto de 2026, pero toda la pila de cumplimiento del Anexo III (Artículos 9 a 17, 72, 73) se aplica a partir de diciembre de 2027.

¿Cuál es la sanción por no notificar un incidente grave?

El incumplimiento del Artículo 73 entra en el Artículo 99, apartado 4: una multa máxima de 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, aplica el menor de los dos importes. El ocultamiento deliberado, los períodos prolongados de no notificación y los incidentes que causan el fallecimiento o un daño generalizado atraerán el extremo superior del rango. La notificación proactiva y una subsanación demostrada dan lugar de forma sistemática a sanciones reducidas.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Lista de materiales de IA (AI-BOM): qué es y cómo apoya el cumplimiento de la Ley de IA de la UE

La AI-BOM es una práctica emergente, no un término legal. Estructura los modelos base, los conjuntos de datos y las dependencias de GPAI para alimentar la documentación del Artículo 11 / Anexo IV.

Guide

Planificación presupuestaria del cumplimiento de la Ley de IA de la UE: motores de coste para la IA de alto riesgo

Presupueste el cumplimiento de la Ley de IA de la UE: Artículo 9, documentación técnica del Anexo IV, evaluación de la conformidad del Artículo 43, vigilancia del Artículo 72. Dic 2027.

Guide

Quién es el titular del cumplimiento de la Ley de IA de la UE en su organización

La Ley de IA de la UE crea obligaciones, no un puesto. Quién es el titular de los deberes de los Art. 9, 11, 14, 72 y 73 — estructura RACI, división DPD/CISO y la realidad de la pequeña empresa.