Artículo 17 de la Ley de IA de la UE: requisitos del sistema de gestión de la calidad

El Artículo 17 del Reglamento (UE) 2024/1689 exige a todo proveedor de un sistema de IA de alto riesgo implantar un sistema de gestión de la calidad (SGC) documentado. La obligación no es opcional y no puede delegarse en un tercero. Se aplica a la entidad jurídica que introduce el sistema en el mercado o lo pone en servicio bajo su propio nombre. En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas de IA de alto riesgo autónomos (la lista del Anexo III) es el 2 de diciembre de 2027; para la IA de alto riesgo integrada en productos regulados del Anexo I, el plazo es el 2 de agosto de 2028. Es un aplazamiento respecto de la fecha original de agosto de 2026 — un respiro, no un indulto, porque ensamblar el registro del SGC por sí solo lleva meses.

---

Qué exige el Artículo 17

El Artículo 17, apartado 1 establece el marco: el SGC debe estar documentado, debe ser proporcionado al tamaño del proveedor y a la naturaleza del sistema de IA, y debe estar diseñado para garantizar el cumplimiento del Reglamento a lo largo de todo el ciclo de vida del sistema. La cláusula de proporcionalidad es real y jurídicamente significativa — una empresa emergente de 15 personas que desarrolla una herramienta de clasificación de candidatos no necesita la misma masa documental que un grupo industrial de 3000 personas. Ambos necesitan sustancia; ninguno necesita relleno.

El Artículo 17, apartado 2 enumera lo que el SGC debe cubrir como mínimo. El Reglamento nombra estos elementos explícitamente:

• Una estrategia de cumplimiento normativo, incluido el enfoque de la evaluación de la conformidad (Artículo 43) y la gestión de cambios poscomercialización
• Técnicas y procedimientos para el diseño y el desarrollo del sistema de IA
• Procedimientos y técnicas de verificación y validación del diseño
• Procedimientos de prueba y las normas técnicas aplicadas
• Procedimientos de gestión de datos que cumplan los requisitos del Artículo 10 para los conjuntos de datos de entrenamiento, validación y prueba
• El sistema de gestión de riesgos exigido por el Artículo 9
• Procedimientos de vigilancia poscomercialización en virtud del Artículo 72
• Procedimientos para la notificación de incidentes graves en virtud del Artículo 73
• Procedimientos para la comunicación con las autoridades competentes y, cuando proceda, con los organismos notificados
• Prácticas de conservación de registros que cubran todo lo anterior
• Gestión de recursos, incluido cómo se mantiene la competencia en materia de cumplimiento dentro de la organización
• Un marco de rendición de cuentas — quién es responsable de cada elemento del SGC

Este último elemento a menudo se infravalora. Los reguladores que inspeccionen un SGC preguntarán no solo si existen procedimientos, sino si hay personas concretas que los asuman y si las decisiones son trazables.

---

La conexión con el Artículo 9

El sistema de gestión de riesgos exigido por el Artículo 9 no es un documento separado que se sitúa junto al SGC. El Artículo 17 convierte el sistema del Artículo 9 en un componente integral del SGC. En la práctica, esto significa que el registro de riesgos, las evaluaciones de riesgos residuales y el ciclo de revisión exigidos por el Artículo 9 deben figurar en la documentación del SGC o estar explícitamente referenciados en ella.

El Artículo 9 exige a los proveedores identificar y analizar los riesgos previsibles asociados a la finalidad prevista del sistema de IA de alto riesgo a lo largo de todo su ciclo de vida — incluido el uso indebido razonablemente previsible. Los riesgos que no puedan eliminarse deben mitigarse hasta un nivel aceptable, y los riesgos residuales deben evaluarse y divulgarse. El SGC formaliza todo eso: es donde residen los resultados de la gestión de riesgos y donde se documenta el proceso que los genera.

Para una empresa emergente de calificación crediticia de 30 personas, el registro de riesgos del Artículo 9 podría comprender ocho riesgos identificados (deriva del algoritmo, fallos de calidad de los datos de entrada, sesgo del modelo por cohorte de edad, desencadenantes de revisión humana inadecuados, entre otros). El SGC del Artículo 17 envuelve un proceso documentado en torno a esos riesgos — quién los revisa, con qué frecuencia, cómo se prueba la mitigación y qué umbral activa el escalado.

---

Gobernanza de datos en virtud del Artículo 10

El Artículo 10 establece normas para los conjuntos de datos de entrenamiento, validación y prueba: deben ser pertinentes, representativos, exentos de errores y de calidad suficiente. El SGC del Artículo 17 debe documentar cómo se cumplen esas normas. Esto no es un ejercicio que se realiza una sola vez en el lanzamiento — el Artículo 10, apartado 4 exige una atención continua a la calidad de los datos a medida que el sistema evoluciona.

Lo que la documentación del SGC debe captar:

• Un inventario de conjuntos de datos que cubra las fuentes, el método de recopilación, los protocolos de etiquetado y la cobertura de los grupos demográficos pertinentes para el uso previsto
• Una evaluación de la representatividad: pruebas de que los datos de entrenamiento reflejan la población que el sistema encontrará en producción
• Resultados de las pruebas de sesgo y equidad, documentados antes del despliegue y después de cada actualización material del modelo
• Una política de conservación y versionado de los datos que permita a un regulador reconstruir el conjunto de datos utilizado para entrenar la versión desplegada

Un fabricante de productos sanitarios que integra una IA de diagnóstico en un producto sujeto al MDR 2017/745 debe tener en cuenta que la vía de evaluación de la conformidad es diferente: ese sistema es de alto riesgo vía Artículo 6, apartado 1 y Anexo I, no vía Anexo III, y el plazo del Anexo I es el 2 de agosto de 2028. Las obligaciones de gobernanza de datos del Artículo 10 son las mismas; el calendario y la vía de evaluación de la conformidad no.

---

Vigilancia poscomercialización y notificación de incidentes

El Artículo 72 exige a los proveedores supervisar activamente el rendimiento de los sistemas de IA de alto riesgo desplegados. El SGC debe documentar el plan de vigilancia: qué datos se recopilan, con qué frecuencia se revisan, qué umbrales activan la acción correctiva y cómo se registran las acciones correctivas.

El Artículo 73 se ocupa de los incidentes graves — sucesos que dan lugar a la muerte, a un perjuicio grave para la salud, a daños materiales o a vulneraciones de los derechos fundamentales atribuibles a un sistema de IA de alto riesgo. El SGC debe contener un procedimiento documentado de notificación de incidentes: cómo se identifican los incidentes, quién evalúa la gravedad y cómo llegan las notificaciones a la autoridad de vigilancia del mercado pertinente. Las obligaciones de notificación del Artículo 73 se aplican a los proveedores; los responsables del despliegue tienen obligaciones separadas de notificar a los proveedores cuando tienen conocimiento de un incidente.

El solapamiento entre la vigilancia del Artículo 72 y la notificación del Artículo 73 es intencionado. Un SGC bien diseñado trata la vigilancia continua como el sistema de alerta temprana que saca a la luz los posibles incidentes antes de que se conviertan en sucesos notificables.

---

La proporcionalidad en la práctica: qué necesitan realmente los proveedores más pequeños

El principio de proporcionalidad del Artículo 17, apartado 1 es el salvavidas práctico para las empresas que no son grandes organizaciones con un equipo de cumplimiento de cien personas. Permite una implementación a escala sin sacrificar la sustancia regulatoria. La clave es que deben abordarse los doce elementos enumerados en el Artículo 17, apartado 2 — la proporcionalidad rige con qué exhaustividad se documentan, no si aparecen.

Un SGC realista para una empresa de 20 a 50 personas que despliega uno o dos sistemas de IA de alto riesgo podría tener este aspecto:

• Un único manual del SGC de 25 a 40 páginas que cubra todos los elementos exigidos, en lugar de una biblioteca de documentos de procedimiento separados
• Un registro de riesgos consolidado que cubra todos los riesgos del Artículo 9, en lugar de registros por departamentos
• Una sección de gobernanza de datos dentro del manual del SGC en lugar de un sistema de gestión de datos independiente
• Un responsable de cumplimiento designado (a tiempo parcial o combinado con otra función) en lugar de una función de cumplimiento completa
• Vigilancia poscomercialización en un ciclo trimestral en lugar de una vigilancia automatizada continua, siempre que el perfil de riesgo del sistema sustente esa frecuencia

Una empresa de tecnología de RR. HH. de 15 personas cuyo producto clasifica a los candidatos a un empleo se encuadra en el Anexo III, punto 4, letra a) (empleo, gestión de los trabajadores). Una implementación proporcionada significa que el responsable de cumplimiento — probablemente el director de tecnología o un ingeniero sénior con un mandato de cumplimiento definido — mantiene la documentación del SGC en una carpeta con control de versiones, ejecuta pruebas de sesgo trimestralmente, revisa el registro de riesgos cada seis meses y dispone de un procedimiento documentado para escalar cualquier incidente a la autoridad de vigilancia del mercado. No es una carga pesada. Sí requiere, no obstante, empezar ahora.

---

ISO/IEC 42001 e ISO 9001: marcos útiles, no sustitutos

La ISO/IEC 42001 — la norma internacional para los sistemas de gestión de la IA (SGIA) — comparte ADN estructural con el SGC del Artículo 17: políticas documentadas, integración de riesgos, consideración poscomercialización, marcos de recursos y de rendición de cuentas. Si su organización ha implementado o está implementando la ISO/IEC 42001, ese trabajo se traduce de forma significativa en la estructura del SGC del Artículo 17.

La salvedad crítica: la certificación ISO/IEC 42001 no equivale al cumplimiento del Artículo 17. La norma es más amplia en algunas dimensiones y más estrecha en otras. No se asigna uno a uno a cada elemento del Artículo 17, apartado 2, y no aborda los requisitos específicos de la Ley de IA de la UE, como el canal de notificación de incidentes graves del Artículo 73 o la vinculación con la evaluación de la conformidad del Artículo 43. Piense en un SGIA como un andamiaje del SGC que reduce la carga de redacción, no como un edificio terminado.

La ISO 9001 (la norma general de gestión de la calidad) proporciona un marco documental familiar. Las empresas que ya operan un SGC certificado con la ISO 9001 pueden ampliar ese sistema para cubrir los requisitos específicos de la IA. La ampliación es más significativa de lo que a menudo se supone — los requisitos del Artículo 17 son sustantivamente específicos de los sistemas de IA y de su perfil de riesgo — pero la cultura documental disciplinada de una organización conforme con la 9001 es una ventaja genuina.

Ninguna de las dos normas puede presentarse a una autoridad competente como prueba del cumplimiento del Artículo 17 por sí sola. Lo que la autoridad inspeccionará es si su SGC, tal como está documentado e implementado, aborda realmente cada elemento del Artículo 17, apartado 2.

---

Cómo ayuda Confir

Construir la documentación del SGC del Artículo 17 desde cero — sin consultores externos — es factible para la mayoría de los proveedores, pero requiere saber qué documentar y en qué forma. El cuello de botella no suele ser la voluntad, sino la estructura: ¿qué campos necesita el SGC, cómo se conecta el registro de riesgos con la sección de gobernanza de datos, qué aspecto tiene un plan de vigilancia poscomercialización proporcionado para un equipo de dos personas?

El módulo AIGM de Confir (Gobernanza y Vigilancia Poscomercialización) guía a los proveedores a través del sistema de gestión de riesgos del Artículo 9 y del plan de vigilancia del Artículo 72, generando un andamiaje de documentación estructurado sin necesidad de vocabulario de GRC. El motor basado en reglas y determinista deriva sus obligaciones de sus respuestas de admisión — los mismos datos de entrada producen siempre el mismo resultado, sin alucinaciones, sin inferencia. A efectos del SGC, el resultado es un registro que explica qué regla se activó y por qué, lo que hace auditable la justificación de cumplimiento.

La Puntuación de Salud de Cumplimiento muestra cuáles de los doce elementos del Artículo 17, apartado 2 están documentados y cuáles están abiertos, de modo que el responsable de cumplimiento siempre sabe dónde están las lagunas. De autoservicio.

---

Preguntas frecuentes

¿Se aplica el Artículo 17 a los responsables del despliegue además de a los proveedores?

No. El Artículo 17 es una obligación del proveedor en virtud del Artículo 16. Los responsables del despliegue — organizaciones que utilizan un sistema de IA de alto riesgo proporcionado por un tercero, bajo su propia autoridad, sin modificarlo — se rigen por el Artículo 26. El Artículo 26 exige a los responsables del despliegue seguir las instrucciones de uso, garantizar la supervisión humana, supervisar los riesgos, conservar los registros durante al menos seis meses (Artículo 26) y, en determinados casos, notificar a los representantes de los trabajadores antes del despliegue (Artículo 26). El Artículo 17 no aparece en la lista de obligaciones del responsable del despliegue.

¿Cuál es el plazo de cumplimiento del Artículo 17?

Para los sistemas de IA de alto riesgo autónomos de las categorías del Anexo III — biometría, empleo, calificación crediticia, garantía del cumplimiento del Derecho y los otros seis ámbitos — el plazo es el 2 de diciembre de 2027, en virtud del Ómnibus Digital acordado en mayo de 2026. Para los sistemas de IA de alto riesgo que son componentes de seguridad de productos regulados del Anexo I (máquinas, productos sanitarios, etc.), el plazo es el 2 de agosto de 2028. La fecha original del 2 de agosto de 2026 se ha aplazado formalmente.

¿Cuáles son las sanciones por no tener un SGC?

El incumplimiento del Artículo 17 se encuadra en el Artículo 99, apartado 4: una multa máxima de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas que cumplen los requisitos de pyme o de empresa emergente, el Artículo 99, apartado 6 limita la multa al menor del porcentaje o el importe fijo — una protección de proporcionalidad genuina, pero no una exención de la obligación.

¿Satisface la certificación ISO/IEC 42001 el Artículo 17?

No por sí sola. La ISO/IEC 42001 (la norma de sistema de gestión de la IA) está alineada estructuralmente con el Artículo 17 y reduce significativamente el esfuerzo de redacción. Pero la certificación no se asigna uno a uno a cada elemento del Artículo 17, apartado 2 — en particular, el canal de notificación de incidentes del Artículo 73 y la vinculación con la evaluación de la conformidad del Artículo 43 no están cubiertos por la norma. Un SGIA certificado es una sólida prueba de una cultura de gestión de la calidad y es valioso durante una inspección regulatoria, pero la autoridad seguirá verificando que su documentación aborde cada elemento del Artículo 17, apartado 2 específicamente.

¿Cómo se relaciona el SGC del Artículo 17 con la documentación técnica del Artículo 11?

Son distintos pero están interconectados. El Artículo 11 exige a los proveedores elaborar la documentación técnica de conformidad con el Anexo IV — un registro específico que cubre la descripción del sistema de IA, el diseño, la metodología de desarrollo, los datos de entrenamiento, los resultados de validación y la finalidad prevista. El SGC del Artículo 17 contiene los procedimientos que generan y mantienen esa documentación. Piense en el SGC como el marco de gestión y en el expediente técnico del Anexo IV como uno de sus resultados clave.

¿Puede una empresa recurrir a un consultor para construir el SGC y después asumirlo internamente?

Sí, y muchos proveedores más pequeños hacen exactamente eso para la construcción inicial. El requisito legal es que el SGC esté implementado y mantenido, no que se haya construido internamente. Dos consideraciones prácticas: primero, el SGC debe reflejar realmente cómo opera la organización — un documento importado al por mayor de una plantilla de consultor y nunca tocado de nuevo no resistirá una inspección. Segundo, el marco de rendición de cuentas del Artículo 17 exige que personas concretas dentro de la organización asuman cada elemento. La redacción externa está bien; la rendición de cuentas interna es obligatoria.

¿Qué registros deben conservarse, y durante cuánto tiempo?

El Artículo 18 especifica que la documentación técnica y la documentación del SGC deben conservarse durante diez años tras la introducción del sistema de IA en el mercado, o tres años para los proveedores más pequeños cuando el Reglamento prevé una exención específica. Los registros de la vigilancia poscomercialización, las evaluaciones de riesgos, los resultados de las pruebas y las notificaciones de incidentes forman parte del registro del SGC y se encuadran en la misma obligación de conservación. Los registros de actividad exigidos por el Artículo 19 (los registros generados automáticamente que el proveedor controla) deben conservarse durante al menos seis meses.

---

Guías relacionadas

• requisitos de gestión de la calidad del Artículo 17
• vía de cumplimiento para proveedores de IA de alto riesgo
• procedimientos de evaluación de la conformidad del Artículo 43
• clasificación de alto riesgo del Artículo 6
• lista de comprobación de cumplimiento de la Ley de IA de la UE