Documentación técnica de la Ley de IA de la UE: el Artículo 11 y el Anexo IV explicados
El Artículo 11 exige a los proveedores elaborar la documentación técnica antes del lanzamiento. El Anexo IV establece nueve secciones obligatorias. Plazo: 2 de diciembre de 2027.
Antes de que un sistema de IA de alto riesgo pueda introducirse en el mercado de la UE o ponerse en servicio, su proveedor debe elaborar la documentación técnica. El Artículo 11 del Reglamento (UE) 2024/1689 establece la obligación; el Anexo IV especifica qué debe contener. Los dos funcionan juntos: el Artículo 11 es la cerradura, el Anexo IV es la llave.
No es un marco voluntario. Sin un expediente completo del Anexo IV, un sistema de IA de alto riesgo no puede superar la evaluación de la conformidad del Artículo 43, no puede llevar el marcado CE del Artículo 48 y no puede lanzarse legalmente. La documentación es además lo que lee un organismo notificado cuando revisa su sistema — es la prueba principal frente a la que se juzga el cumplimiento.
El plazo para los sistemas de alto riesgo autónomos (la lista del Anexo III) es el 2 de diciembre de 2027, aplazado respecto de la fecha original del 2 de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo integrada en productos regulados del Anexo I (productos sanitarios, máquinas, etc.), la fecha es el 2 de agosto de 2028. Eso es un respiro, no un indulto — reunir un expediente completo del Anexo IV para un sistema no trivial lleva meses.
Qué exige realmente el Artículo 11
El Artículo 11 hace tres cosas. En primer lugar, impone la obligación a los proveedores — las entidades que desarrollan un sistema de IA de alto riesgo y lo introducen en el mercado o lo ponen en servicio con su propio nombre o marca. Los responsables del despliegue no están obligados a producir la documentación; la reciben.
En segundo lugar, el Artículo 11 fija el momento: la documentación debe elaborarse antes de la introducción en el mercado o del inicio del servicio. No es algo que se reúna de forma retrospectiva tras la evaluación de la conformidad.
En tercer lugar, el Artículo 11 exige mantener la documentación actualizada. Todo cambio en el sistema — arquitectura, datos de entrenamiento, finalidad prevista, parámetros operativos — debe reflejarse en el expediente. Un documento estático que describe la versión 1.0 mientras el sistema funciona con la versión 3.2 no es conforme.
Con arreglo al Artículo 18, los proveedores deben conservar la documentación durante diez años desde la fecha en que el sistema se introduce por última vez en el mercado. Ese reloj de diez años importa: significa que el expediente debe sobrevivir a la retirada del producto, a las reestructuraciones de la empresa y, potencialmente, a los cambios de proveedor de nube o de sistema documental.
Anexo IV: las nueve secciones obligatorias
El Anexo IV establece nueve secciones. La documentación debe contener al menos estos elementos — un organismo notificado puede pedir más, pero las nueve son el mínimo innegociable.
Sección 1 — Descripción general del sistema de IA. La finalidad prevista, la versión y el historial de versiones, y el entorno de hardware y software en el que está diseñado para funcionar el sistema. Este es el ancla: todas las demás secciones se entienden en relación con lo que hace el sistema y dónde funciona.
Sección 2 — Descripción detallada de los elementos y del proceso de desarrollo. En la práctica, esta es la sección más larga. Cubre: los métodos y pasos utilizados para desarrollar el sistema; las especificaciones de diseño; los datos de entrenamiento, validación y prueba (sus características, origen, metodologías de etiquetado y recogida); las medidas de supervisión humana incorporadas al sistema durante el desarrollo; y los resultados de la validación y las pruebas, incluidas las medidas adoptadas para identificar, prevenir y mitigar el uso indebido previsible.
El subelemento de los datos es donde muchos proveedores documentan de forma insuficiente. El Artículo 10 rige la gobernanza de datos por separado, pero la sección 2 del Anexo IV exige que la documentación técnica la resuma: de dónde proceden los datos, cuán representativos son, qué tratamiento se aplicó, cómo se evaluó y se abordó el sesgo.
Sección 3 — Descripción detallada de la vigilancia, el funcionamiento y el control del sistema de IA. Esto cubre las capacidades y los límites del rendimiento del sistema, incluidas la exactitud, la robustez y la ciberseguridad exigidas por el Artículo 15. También aborda cómo se generan los resultados del sistema y qué aspecto tiene su fiabilidad.
Sección 4 — Descripción de la idoneidad de las métricas de rendimiento. No solo debe comunicar las métricas — debe justificar por qué esas métricas concretas son las adecuadas para el uso previsto del sistema. Un proveedor que elige la exactitud como su única métrica para un sistema que opera en un contexto sensible (por ejemplo, la puntuación de reincidencia) sin explicar por qué es adecuada tendrá dificultades aquí.
Sección 5 — Descripción del sistema de gestión de riesgos. Esto incorpora el resultado del proceso del Artículo 9: la metodología de identificación de riesgos, la evaluación de la probabilidad y la gravedad de los perjuicios, las medidas de mitigación y el riesgo residual. El sistema de gestión de riesgos del Artículo 9 y la documentación del Anexo IV no son dos líneas de trabajo separadas — el expediente de riesgos se sitúa dentro de la documentación técnica.
Sección 6 — Descripción de cualquier cambio realizado en el sistema a lo largo de su ciclo de vida. Todas las modificaciones poscomercialización — actualizaciones de algoritmos, reentrenamiento con datos nuevos, cambios en las condiciones de despliegue — deben registrarse aquí. Así es como la documentación se mantiene actualizada y como un organismo notificado puede reconstruir el historial del sistema.
Sección 7 — Lista de las normas armonizadas aplicadas. Cuando haya aplicado normas armonizadas europeas (serie EN) o especificaciones comunes emitidas por la Comisión, estas se enumeran aquí. Cuando se haya apartado de una norma o no exista ninguna norma aplicable, documenta cómo se logró el cumplimiento por otros medios.
Sección 8 — Copia de la declaración UE de conformidad. La declaración del Artículo 47 pertenece al expediente de documentación técnica. Los dos documentos se emiten juntos: la declaración es la manifestación formal; el expediente técnico es lo que la respalda.
Sección 9 — Descripción detallada del plan de vigilancia poscomercialización. El plan exigido con arreglo al Artículo 72 — cómo hará seguimiento del rendimiento en el mundo real, recopilará datos de incidentes y retroalimentará las conclusiones al sistema de gestión de riesgos — se documenta aquí antes del lanzamiento. Debe especificar la frecuencia de vigilancia, las fuentes de datos en las que se basará y los umbrales que desencadenarían una revisión del diseño o un informe de incidente con arreglo al Artículo 73.
La relación entre el Artículo 11, el Artículo 43 y el Anexo IV
Estas tres disposiciones se confunden a menudo. Tenerlas claras importa para la planificación del proyecto.
El Artículo 11 es la obligación: elaborar y mantener la documentación técnica.
El Anexo IV es el contenido: las nueve secciones que debe contener ese documento.
El Artículo 43 es la evaluación de la conformidad: el procedimiento que revisa si ha cumplido todas las obligaciones, utilizando la documentación técnica como prueba principal.
Un organismo notificado que realiza una evaluación del Artículo 43 no genera su documentación técnica — la lee. Si el expediente es escaso, incompleto o autocontradictorio, la evaluación falla. El trabajo de documentación debe hacerse primero.
La mayoría de los sistemas de alto riesgo del Anexo III (con la excepción de los sistemas biométricos, que generalmente requieren la vía del organismo notificado del Anexo VII) pueden utilizar el procedimiento de evaluación de la conformidad interna del Anexo VI — lo que significa que el proveedor se autoevalúa en lugar de instruir a un organismo notificado. Pero los requisitos de documentación del Artículo 11 y el Anexo IV son idénticos con independencia de la vía de evaluación elegida.
Documentación simplificada para los proveedores más pequeños
El Artículo 11, apartado 3, permite a las microempresas y a las pequeñas y medianas empresas — según las define el Derecho de la UE — facilitar algunos de los elementos del Anexo IV de forma simplificada. La Comisión tiene la facultad de adoptar orientaciones específicas sobre lo que significa «simplificada» en la práctica.
Esto no es una exención de las obligaciones del Artículo 11. Las nueve secciones siguen siendo obligatorias. Forma simplificada significa que el nivel de detalle y de elaboración técnica puede ser proporcionado a la escala y la complejidad del sistema, no que se puedan omitir las secciones. Una empresa emergente de cinco personas que desarrolla una herramienta de cribado de currículos sigue necesitando una sección de gestión de riesgos; la cuestión es qué profundidad es suficiente dada la complejidad del sistema.
Si es una pyme que considera la vía simplificada, documente su clasificación de tamaño de forma explícita y anote qué elementos ha facilitado de forma simplificada. Esto se anticipa a las preguntas de un organismo notificado o de una autoridad de vigilancia del mercado.
Cómo ayuda Confir
Confir genera el paquete de documentación técnica del Anexo IV — lo que llamamos la AITR (evaluación de Datos y Robustez Técnica de la IA) — mediante un cuestionario de admisión estructurado. El motor es determinista y basado en reglas: las mismas respuestas producen el mismo resultado, se activan las mismas reglas para las mismas condiciones y el razonamiento es legible por humanos en lugar de opaco.
El resultado cubre las nueve secciones del Anexo IV y puede utilizarse como borrador de trabajo para su expediente del Artículo 11. Como la lógica es basada en reglas, los proveedores pueden explicar por qué una sección concreta se completó de la manera en que se hizo — que es exactamente lo que preguntará un auditor o un organismo notificado.
La AITR es una de las cuatro áreas de evaluación del flujo de trabajo de cumplimiento de Confir. Las otras son la AIRC (clasificación de riesgos con arreglo a los Artículos 5 y 6), la AITO (transparencia y supervisión humana con arreglo a los Artículos 13 y 14) y la AIGM (gobernanza y vigilancia poscomercialización con arreglo a los Artículos 9, 72 y 73).
Preguntas frecuentes
¿Cuál es la diferencia entre el Artículo 11 y el Anexo IV?
El Artículo 11 es la obligación jurídica: exige a los proveedores de sistemas de IA de alto riesgo elaborar la documentación técnica antes de introducir el sistema en el mercado y mantenerla actualizada. El Anexo IV es la especificación de contenido: enumera las nueve secciones que debe contener la documentación. La obligación y la plantilla están en lugares separados del Reglamento, pero son inseparables en la práctica. Piense en el Artículo 11 como el deber y en el Anexo IV como el archivador que debe rellenar.
¿Quién está obligado a elaborar la documentación técnica del Artículo 11 — los proveedores o los responsables del despliegue?
Los proveedores. El Artículo 11 impone la obligación a la entidad que desarrolla el sistema de IA de alto riesgo y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca. Los responsables del despliegue reciben la documentación de los proveedores y deben ponerla a disposición de las autoridades competentes que la soliciten, pero no producen el expediente del Anexo IV. Tenga en cuenta que, con arreglo al Artículo 25, un responsable del despliegue que modifique sustancialmente un sistema o lo cambie de marca se convierte en proveedor — momento en el que la obligación de documentación se le transfiere.
¿Durante cuánto tiempo debe conservarse la documentación técnica?
El Artículo 18 fija un período de conservación de diez años desde la fecha en que el sistema se introduce por última vez en el mercado o se pone en servicio. No son cinco años — una cifra que apareció en algunas orientaciones anteriores —, sino diez. El plazo de diez años es lo bastante largo como para abarcar varias generaciones de productos y significa que los proveedores necesitan un sistema de gestión documental duradero, no una unidad compartida que se archiva.
¿Qué ocurre si la documentación técnica está incompleta en la evaluación de la conformidad?
La evaluación de la conformidad del Artículo 43 no puede completarse. Sin un expediente completo del Anexo IV, un organismo notificado no tiene base para emitir un informe de conformidad, y el proveedor no puede emitir la declaración de conformidad del Artículo 47 ni colocar el marcado CE del Artículo 48. El sistema no puede salir legalmente al mercado. Más allá del bloqueo del acceso al mercado, operar un sistema de alto riesgo sin la documentación exigida expone al proveedor a multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total con arreglo al Artículo 99, apartado 4.
¿Pueden las empresas más pequeñas utilizar una versión simplificada de la documentación?
Sí. El Artículo 11, apartado 3, permite a las microempresas y a las pequeñas y medianas empresas facilitar algunos elementos del Anexo IV de forma simplificada, proporcionada a la escala y la complejidad de su sistema. Esto no es una exención — las nueve secciones siguen siendo obligatorias —, pero la profundidad de la elaboración técnica puede adaptarse. La Comisión tiene la facultad de adoptar orientaciones específicas sobre la documentación simplificada; consulte la Oficina de IA de la UE para conocer las últimas plantillas publicadas y los actos de ejecución.
¿Es necesario actualizar la documentación técnica después de que el sistema entre en funcionamiento?
El Artículo 11 exige explícitamente mantener la documentación actualizada a lo largo de todo el ciclo de vida del sistema. Todo cambio que afecte al rendimiento, el perfil de riesgo, la finalidad prevista, los datos de entrenamiento o la arquitectura del sistema debe reflejarse en el expediente antes de que se despliegue el sistema modificado. La sección 6 del Anexo IV — cambios a lo largo del ciclo de vida — es donde se registran estas actualizaciones, creando un historial auditable que los reguladores y los organismos notificados pueden reconstruir.
¿Cuál es la relación entre la documentación técnica y el plan de vigilancia poscomercialización?
La sección 9 del Anexo IV exige que el plan de vigilancia poscomercialización se incluya dentro de la documentación técnica. El plan — que especifica cómo hará seguimiento del rendimiento en el mundo real, recopilará datos sobre incidentes y retroalimentará las conclusiones al sistema de gestión de riesgos — debe existir antes de que el sistema se lance, no después. El Artículo 72 rige la propia obligación de vigilancia poscomercialización; el Artículo 73 rige la notificación de incidentes graves a las autoridades. Ambos se derivan del plan documentado en la sección 9.
Guías relacionadas
- requisitos de documentación del Anexo IV
- requisitos completos del Artículo 11
- elementos mínimos de documentación
- supervisión humana del Artículo 14
- gestión de riesgos del Artículo 9
- obligaciones de conservación de registros del Artículo 12
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →