Vigilancia poscomercialización de la Ley de IA de la UE: qué exige el Artículo 72 a los proveedores

El Artículo 72 del Reglamento (UE) 2024/1689 impone una obligación clara a los proveedores de sistemas de IA de alto riesgo: establecer, documentar y operar un sistema de vigilancia poscomercialización que recopile, registre y analice de forma activa y sistemática datos sobre el rendimiento del sistema a lo largo de toda su vida. La finalidad no es satisfacer la lista de comprobación de una autoridad una vez al año. Es detectar, lo antes posible, si un sistema desplegado sigue cumpliendo los requisitos de la Ley — y retroalimentar lo que se aprende en el sistema de gestión de riesgos del Artículo 9.

Este artículo abarca qué exige el Artículo 72, cómo encaja el plan de vigilancia en su documentación técnica del Anexo IV, dónde termina y dónde empiezan otras obligaciones (la notificación de incidentes graves del Artículo 73; los Artículos 74 y siguientes para la vigilancia del mercado por parte de las autoridades), y qué significa «proporcionado a los riesgos» en la práctica.

---

Qué dice realmente el Artículo 72

El Artículo 72 impone la obligación de vigilancia poscomercialización exclusivamente a los proveedores — quienes desarrollan o introducen un sistema de IA de alto riesgo en el mercado de la UE o lo ponen en servicio con su propio nombre o marca (Artículo 16). Los responsables del despliegue tienen un papel en el suministro de datos, pero diseñar y operar el sistema de vigilancia es su tarea como proveedor.

La obligación tiene tres partes operativas:

1. Establecer y documentar un sistema de vigilancia poscomercialización proporcionado a la naturaleza de la tecnología de IA y a los riesgos que presenta el sistema.
2. Recopilar, documentar y analizar de forma activa y sistemática los datos pertinentes sobre el rendimiento del sistema a lo largo de toda su vida. Esos datos pueden provenir de los responsables del despliegue, de los usuarios o de otras fuentes.
3. Retroalimentar los hallazgos en el sistema de gestión de riesgos del Artículo 9 y, cuando sea necesario, en las actualizaciones de su documentación técnica del Anexo IV.

El sistema de vigilancia debe basarse en un plan de vigilancia poscomercialización que forma parte de la documentación técnica exigida por el Artículo 11 y el Anexo IV. La Comisión Europea está obligada a proporcionar una plantilla para este plan — una ayuda práctica significativa, ya que el plan debe ser específico del sistema pero también debe seguir una estructura que las autoridades puedan auditar. Cuando la plantilla de la Comisión esté disponible, alinee su plan a ella.

Para los sistemas de IA de alto riesgo cubiertos también por otra legislación de la Unión (por ejemplo, una herramienta de diagnóstico por imagen que es también un producto sanitario al amparo del MDR), el Artículo 72 permite explícitamente que la obligación de vigilancia se integre en el mecanismo de vigilancia poscomercialización de ese otro reglamento, siempre que se cumplan los requisitos.

---

En qué se diferencia el Artículo 72 de los Artículos 73 y 74

Tres artículos se sitúan cerca unos de otros en la Ley y cubren un territorio que suena solapado. Confundirlos en su documentación es una señal de alarma para cualquier auditor.

El Artículo 72 es su propio sistema de vigilancia proactivo — interno, continuo, durante todo el ciclo de vida. Usted lo construye y lo opera.

El Artículo 73 es la notificación de incidentes graves — lo que usted hace cuando la vigilancia (o cualquier otra fuente) revela un incidente que causa o podría causar la muerte, un grave perjuicio para la salud, daños graves a la propiedad o al medio ambiente, o una grave vulneración de los derechos fundamentales. El Artículo 73 establece el plazo de notificación a las autoridades nacionales de vigilancia del mercado; el Artículo 72 es el mecanismo que detecta lo que usted notifica luego con arreglo al Artículo 73.

Los Artículos 74 y siguientes se refieren a la vigilancia del mercado por parte de las autoridades nacionales competentes — lo que ellas le hacen a usted, no lo que usted se hace a sí mismo.

En el texto original de esta página, estos tres se mezclaban y se presentaban como un único régimen de vigilancia. No lo son. El Artículo 72 es la obligación propia del proveedor; los demás son lo que se deriva de él o se sitúa junto a él.

---

El plan de vigilancia: qué incluye

El plan de vigilancia poscomercialización se sitúa en la sección 9 de la documentación técnica del Anexo IV. Es un documento vivo — se actualiza cuando la vigilancia revela que las suposiciones anteriores sobre el riesgo o el rendimiento eran erróneas.

Como mínimo, un plan creíble aborda:

Alcance y objetivos. ¿Qué indicadores de rendimiento rastreará? Para un sistema de cribado de selección de personal (Anexo III, punto 4, letra a)), podría rastrear la paridad de la tasa de selección entre grupos demográficos, la exactitud global frente a los resultados de referencia y la tasa de recursos que revocan las recomendaciones automatizadas. Para un sistema de calificación de la solvencia (Anexo III, punto 5, letra b)), podría rastrear la disparidad de la tasa de aprobación por categoría de solicitante y las tasas de impago de los préstamos por cohorte de aprobación.

Fuentes de datos y método de recopilación. ¿De dónde provienen los datos? ¿Directamente de su propia infraestructura, de los informes de los responsables del despliegue, de los registros de la API o de una combinación? Si depende de los responsables del despliegue para suministrar datos, sus contratos de suministro deben establecer esa obligación. No puede construir un sistema de vigilancia creíble sobre datos que no tiene derecho ni mecanismo para recopilar.

Frecuencia y metodología del análisis. ¿Con qué frecuencia analizará los datos — mensual, trimestralmente, sobre una base activada por eventos? ¿Qué métodos utilizará para detectar la deriva del rendimiento o los riesgos emergentes? Detállelo. «Revisaremos los datos periódicamente» no es un plan.

Retroalimentación en el sistema de gestión de riesgos del Artículo 9. ¿Qué ocurre cuando los datos muestran algo inesperado? El plan debe describir la vía de decisión desde el hallazgo de la vigilancia hasta la actualización de la evaluación del riesgo y la posible modificación de la documentación técnica. Las autoridades buscarán pruebas de que este bucle realmente se cerró — no solo de que se escribió.

Integración con el Artículo 73. Defina el umbral interno a partir del cual un hallazgo escala a un posible incidente grave que requiere notificación externa con arreglo al Artículo 73. Este umbral variará según el sistema y el uso previsto.

Proporcionalidad. El Artículo 72 exige explícitamente que el sistema de vigilancia sea proporcionado a los riesgos que presenta el sistema. Una herramienta interna de bajo volumen que una autoevaluación del Artículo 6, apartado 3, apenas situó en el territorio de alto riesgo no necesita el mismo aparato de vigilancia que un sistema de reconocimiento facial utilizado en toda una red nacional de control fronterizo. Documente su razonamiento de proporcionalidad.

---

De dónde provienen los datos de vigilancia

El Artículo 72 anticipa que los proveedores no siempre tendrán visibilidad directa de cómo rinde su sistema una vez desplegado. Los datos «pueden provenir de los responsables del despliegue o de otras fuentes». Esto importa en la práctica.

Si vende un sistema de IA de alto riesgo a cincuenta organizaciones de despliegue, necesita pensar, antes de firmar cualquier contrato, en cómo obtendrá datos de rendimiento de las cincuenta. Eso requiere obligaciones contractuales para los responsables del despliegue de registrar, conservar y compartir los datos pertinentes. Requiere acordar formatos de datos. Y requiere navegar por el RGPD, porque los datos de rendimiento se referirán a menudo a personas físicas — solicitantes, prestatarios, pacientes.

Cuando la recopilación de datos a nivel individual sea desproporcionada, los datos agregados por categorías pertinentes (p. ej., grupo demográfico, jurisdicción, escenario de caso de uso) suelen bastar. El objetivo es detectar el riesgo sistémico, no construir una nueva operación de tratamiento de datos personales por sí misma.

Para los sistemas cubiertos por otra legislación de la UE con sus propios requisitos de vigilancia poscomercialización — el MDR, por ejemplo —, el Artículo 72 permite un único mecanismo de vigilancia integrado en lugar de dos sistemas paralelos. Utilice esa integración cuando esté disponible; reduce la duplicación sin reducir la obligación de fondo.

---

El bucle de retroalimentación del Artículo 9

La obligación de vigilancia del Artículo 72 existe para servir al sistema de gestión de riesgos del Artículo 9. El Artículo 9 exige que los proveedores establezcan, apliquen, documenten y mantengan un sistema de gestión de riesgos a lo largo de todo el ciclo de vida de un sistema de IA de alto riesgo. Esa obligación de ciclo de vida carece de contenido sin datos poscomercialización.

Si su evaluación de riesgos del Artículo 9 concluyó, antes del lanzamiento, que los riesgos residuales eran aceptables, la vigilancia del Artículo 72 es cómo verifica que esa conclusión se mantuvo cierta en producción. Si los datos de vigilancia revelan nuevos modos de fallo, un desplazamiento de la distribución o un rendimiento dispar entre grupos demográficos, el Artículo 9 le exige actualizar su evaluación de riesgos y, cuando sea necesario, implementar mitigaciones adicionales. El Artículo 11 y el Anexo IV le exigen actualizar su documentación técnica para reflejar esos cambios.

Este es un bucle cerrado: la vigilancia alimenta la evaluación de riesgos, la evaluación de riesgos alimenta la documentación técnica, la documentación técnica es la base para demostrar la conformidad continua. Las autoridades y los organismos notificados que examinen el cumplimiento continuo rastrearán exactamente esta cadena. Si existen hallazgos de vigilancia pero la evaluación de riesgos nunca se actualizó, esa carencia es el problema.

---

Plazo y sanciones

El plazo para el cumplimiento del Artículo 72 sigue las obligaciones más amplias de alto riesgo. En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones para los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III se aplican desde el 2 de diciembre de 2027 (aplazado respecto de la fecha original del 2 de agosto de 2026). Para los sistemas de IA de alto riesgo integrados como componentes de seguridad de productos regulados del Anexo I, el plazo es el 2 de agosto de 2028.

Esa prórroga es útil, pero no cambia lo que necesita construir. Diseñar un plan de vigilancia, establecer una infraestructura de recopilación de datos e integrar los hallazgos en su sistema de gestión de riesgos lleva tiempo. Para la mayoría de los proveedores, el 2 de diciembre de 2027 está lo suficientemente cerca como para que el trabajo de diseño deba empezar ahora, no en 2027.

El incumplimiento del Artículo 72 entra en el Artículo 99, apartado 4: una multa de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas que cumplen la definición de pyme, el Artículo 99, apartado 6, limita la multa a la menor de esas dos cifras — una protección de proporcionalidad genuina, pero no una razón para omitir la obligación.

---

Cómo ayuda Confir

El área AIGM de Confir (Gobernanza y Vigilancia Poscomercialización) cubre el conjunto de los Artículos 9 y 72. Los controles de vigilancia de AIGM le guían a través de la estructuración de su plan, la definición de las métricas adecuadas al uso previsto de su sistema y la documentación de la vía de retroalimentación desde los hallazgos de la vigilancia hasta las actualizaciones de la gestión de riesgos.

El paquete de documentación técnica del Anexo IV que genera Confir incluye la sección del plan de vigilancia poscomercialización, preestructurada para coincidir con los requisitos del Artículo 72 y lista para la plantilla de la Comisión una vez que se emita. Dado que la lógica de evaluación de Confir es determinista y basada en reglas — no un LLM que genera texto que suena plausible —, el resultado es reproducible y defendible en auditoría: las mismas entradas producen los mismos resultados estructurados cada vez.

Si es un proveedor de un sistema de IA de alto riesgo y su plan de vigilancia del Artículo 72 aún no existe, el lugar adecuado para empezar es clasificar su sistema, establecer su papel y generar la documentación en un único flujo de trabajo en lugar de montarla a mano.

---

Preguntas frecuentes

¿Cuál es la diferencia entre la vigilancia poscomercialización del Artículo 72 y la vigilancia del mercado?

El Artículo 72 es su propia obligación, operada por el proveedor, de vigilar el rendimiento de su sistema a lo largo de toda su vida y retroalimentar los hallazgos en su sistema de gestión de riesgos. La vigilancia del mercado (Artículos 74 y siguientes) es lo que hacen las autoridades nacionales competentes — investigan, inspeccionan y pueden exigir medidas correctoras. Su vigilancia del Artículo 72 es interna y proactiva; la vigilancia del mercado es externa y reactiva. Confundir ambas es un error habitual: si una autoridad se presenta para realizar la vigilancia del mercado, examinará los registros que produjo su sistema del Artículo 72.

¿Se aplica el Artículo 72 también a los responsables del despliegue?

No. El Artículo 72 se aplica a los proveedores. Los responsables del despliegue tienen una obligación complementaria — deben informar al proveedor de cualquier incidente grave o fallo de funcionamiento que identifiquen (Artículo 26), y deben cooperar con los requisitos de recopilación de datos del proveedor. Pero los responsables del despliegue no diseñan, operan ni documentan el sistema de vigilancia. Si es a la vez proveedor y responsable del despliegue (porque construyó el sistema y lo utiliza usted mismo), soporta ambos conjuntos de obligaciones.

¿Qué significa «proporcionado a los riesgos» para un proveedor pequeño?

Significa que no necesita construir una canalización de telemetría en tiempo real para un sistema de alcance estrecho que apenas cruzó el umbral de alto riesgo del Artículo 6. Un calendario documentado de revisiones periódicas del rendimiento, un conjunto definido de métricas vinculadas al uso previsto del sistema y una vía de escalada interna clara si una métrica supera su umbral pueden ser suficientes. La justificación de proporcionalidad debe estar escrita en el plan. «Somos pequeños» no es una justificación; «nuestro sistema procesa 200 solicitudes por trimestre y presenta una baja probabilidad de perjuicio porque responsables de decisión humanos revisan cada resultado» sí lo es.

¿Cómo se relaciona el plan de vigilancia con la documentación técnica del Anexo IV?

El plan de vigilancia poscomercialización es un componente obligatorio de la documentación técnica del Anexo IV con arreglo al Artículo 11. Reside en la sección 9 del Anexo IV. Su documentación técnica en su conjunto debe mantenerse actualizada — si la vigilancia revela que una evaluación de riesgos anterior era errónea, actualiza las secciones pertinentes de la documentación. El plan de vigilancia no es un documento independiente archivado una vez; está integrado en el registro de cumplimiento vivo.

¿Se aplica el Artículo 72 si mi sistema está cubierto también por el MDR u otro reglamento sectorial?

El Artículo 72 permite explícitamente la integración con los requisitos de vigilancia poscomercialización de otra legislación de la Unión. Si su sistema es un producto sanitario regulado al amparo del MDR, puede utilizar un único mecanismo de vigilancia integrado en lugar de dos sistemas paralelos, siempre que cumpla los requisitos de ambos. En la práctica, esto significa que su plan de vigilancia poscomercialización del MDR debe ampliarse o referenciarse de forma cruzada para satisfacer el Artículo 72, y viceversa. Observe que el plazo para la IA de alto riesgo como componente de seguridad de un producto regulado por el MDR es el 2 de agosto de 2028, no el 2 de diciembre de 2027.

¿Qué multa se aplica si un proveedor no tiene un sistema de vigilancia del Artículo 72?

La multa aplicable es la del Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, aplica la menor de las dos cifras. Es más probable que la ejecución se dirija a los proveedores en los que se produjo un incidente grave y los registros de vigilancia muestran o bien que el incidente no se detectó sistemáticamente o bien que los hallazgos no se retroalimentaron en el sistema de gestión de riesgos.

¿Cuándo debe estar implantado el plan de vigilancia? ¿Debe estar operativo antes del lanzamiento?

Sí. El plan de vigilancia poscomercialización debe formar parte de su documentación técnica del Anexo IV en el momento de la evaluación de la conformidad, que se produce antes de introducir el sistema en el mercado. No puede lanzar primero y diseñar el plan después. El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027 (según el Ómnibus Digital acordado en mayo de 2026), y la infraestructura de vigilancia debe estar operativa desde el primer día del despliegue, no añadirse a posteriori.

---

Guías relacionadas

• vigilancia poscomercialización del Artículo 72
• clasificación de la IA de alto riesgo del Artículo 6
• casos de uso de alto riesgo del Anexo III
• lista de comprobación de cumplimiento para proveedores