Skip to content
Confir.
Prueba gratuita
Blog

Documentación técnica de la IA conforme a la Ley de IA de la UE

Annex Guide27 March 2026· 14 min de lectura

Artículo 11 de la Ley de IA de la UE: elabore la documentación técnica del Anexo IV antes del lanzamiento al mercado, conservación durante 10 años conforme al Artículo 18, plazo 2 de diciembre de 2027.

Si su organización desarrolla o introduce un sistema de IA de alto riesgo en el mercado de la UE, el Artículo 11 del Reglamento (UE) 2024/1689 le exige elaborar la documentación técnica antes de que el sistema entre en funcionamiento — y mantenerla actualizada durante todo el tiempo que el sistema opere, más diez años después. Esa documentación no es una formalidad. Es el principal expediente probatorio que una autoridad de vigilancia del mercado o un organismo notificado examina cuando quiere saber si su sistema es conforme.

Esta guía explica qué es la documentación técnica, qué debe contener con arreglo al Anexo IV, cómo se relaciona con las demás obligaciones de documentación de la Ley, quién debe elaborarla y qué permite realmente la simplificación para pymes. Para un análisis más detallado del contenido específico del Anexo IV y del propio texto del Artículo 11, consulte las guías dedicadas enlazadas al final.

Qué exige el Artículo 11

El Artículo 11 impone tres obligaciones distintas a los proveedores de sistemas de IA de alto riesgo:

Elaborarla antes de introducir el sistema en el mercado. La documentación debe existir antes de que un sistema se comercialice entre los responsables del despliegue o se ponga en servicio bajo el nombre propio del proveedor. No es una tarea de mantenimiento posterior al lanzamiento.

Mantenerla actualizada. La documentación debe seguir el sistema a medida que evoluciona. Un modelo reentrenado con nuevos datos, una finalidad prevista modificada o un nuevo entorno operativo requieren actualizaciones. Un documento que describía con exactitud el sistema en el momento del lanzamiento pero que ya no refleja su estado actual incumple el requisito.

Ponerla a disposición de las autoridades. Las autoridades competentes y los organismos notificados deben poder obtener y revisar la documentación cuando lo soliciten. Esto significa que debe ser recuperable — no estar enterrada en sistemas internos sin una vía de acceso.

La obligación de conservación reside en el Artículo 18, no en el propio Artículo 11: la documentación debe conservarse durante diez años después de que el sistema se introduzca en el mercado o se ponga en servicio. Para los sistemas retirados anticipadamente, el plazo de diez años corre desde la fecha de retirada.

Quién debe elaborarla

El Artículo 11 es una obligación del proveedor. Con arreglo al Artículo 3, un proveedor es cualquier persona física o jurídica que desarrolla un sistema de IA de alto riesgo y lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca comercial — lo venda comercialmente o no.

Los responsables del despliegue — organizaciones que utilizan el sistema de alto riesgo de otra persona en un contexto profesional — no están obligados, por lo general, a elaborar la documentación del Artículo 11 del sistema que despliegan. Ese deber sigue recayendo en el proveedor. Sin embargo, un responsable del despliegue que modifique sustancialmente un sistema, ponga su propio nombre en él o cambie su finalidad prevista pasa a ser proveedor en virtud del Artículo 25 y hereda toda la obligación de documentación.

Para las empresas que desarrollan herramientas de IA y las venden o licencian a otras empresas: usted es un proveedor. La documentación técnica le corresponde a usted reunirla.

Qué especifica el Anexo IV

El Anexo IV establece el contenido exigido. La estructura abarca nueve áreas sustantivas:

  1. Descripción general y finalidad prevista — el nombre del sistema, la versión, lo que está diseñado para hacer, el contexto de despliegue y el conjunto de personas a las que afecta.

  2. Proceso de desarrollo, decisiones de diseño y arquitectura — cómo se construyó el sistema, qué decisiones de diseño se tomaron y por qué, la arquitectura (incluidas las dependencias de hardware y software) y la metodología de entrenamiento.

  3. Datos y gobernanza de datos — en consonancia con los requisitos del Artículo 10, esto abarca los conjuntos de datos de entrenamiento, validación y prueba: fuentes, procedimientos de recopilación, representación demográfica, limitaciones conocidas y las medidas adoptadas para garantizar la calidad y la pertinencia de los datos.

  4. Validación y prueba, incluidas las métricas de exactitud, robustez y ciberseguridad — las metodologías de prueba aplicadas, los puntos de referencia utilizados y los resultados de rendimiento exigidos en virtud del Artículo 15, desglosados cuando proceda. Esta sección debe incluir los resultados de la validación y la prueba previas a la introducción en el mercado.

  5. Sistema de gestión de riesgos — documentación del sistema de gestión de riesgos operado en virtud del Artículo 9, incluidos los riesgos detectados, las medidas adoptadas para abordarlos y los resultados de la prueba de esas medidas.

  6. Supervisión humana — las medidas diseñadas para permitir la supervisión humana prevista en el Artículo 14, incluidos los medios técnicos por los que los operadores pueden intervenir en los resultados del sistema o interrumpirlos.

  7. Cambios e historial de versiones — registros de todas las modificaciones poscomercialización, los eventos de reentrenamiento y las actualizaciones, con fechas y una descripción de lo que cambió.

  8. Normas y especificaciones aplicadas — cualquier norma armonizada utilizada y, cuando no existan normas armonizadas, las especificaciones comunes u otras soluciones técnicas aplicadas para demostrar la conformidad.

  9. Declaración UE de conformidad — una copia de la declaración elaborada en virtud del Artículo 47 (y del Anexo V), que confirma que el sistema cumple los requisitos aplicables.

La guía del Anexo IV enlazada al final repasa cada elemento en detalle. Lo importante aquí es que la documentación no es una narrativa general sobre el sistema — es un registro probatorio estructurado y vinculado directamente a los requisitos sustantivos de la Ley (Artículos 9, 10, 14, 15).

El plazo

Los sistemas de IA de alto riesgo que entran dentro del Anexo III (la lista autónoma de casos de uso — selección de personal, solvencia, biometría, etc.) deben cumplir el Artículo 11 a partir del 2 de diciembre de 2027, en virtud del acuerdo político del Ómnibus Digital alcanzado en mayo de 2026, que aplazó la fecha original del 2 de agosto de 2026.

Para los sistemas de IA de alto riesgo que sean componentes de seguridad de productos regidos por la legislación de seguridad de los productos de la UE enumerada en el Anexo I — productos sanitarios, máquinas, vehículos —, la fecha es el 2 de agosto de 2028.

El aplazamiento crea tiempo para prepararse, no un motivo para demorarse. Reunir el paquete de documentación del Anexo IV para un sistema de complejidad moderada lleva meses: hay que reconstruir los registros de gobernanza de datos, documentar las decisiones de arquitectura, formalizar la gestión de riesgos y establecer los historiales de versiones. Iniciar ese proceso a mediados de 2027 es optimista para la mayoría de los equipos.

La simplificación para pymes

El Artículo 11, apartado 3, permite a las pymes (y a las empresas emergentes que cumplen la definición de la UE) presentar su documentación técnica de forma simplificada. La Ley no define con detalle qué significa «simplificada»; se espera que la Oficina Europea de IA publique orientaciones. En la práctica, es probable que la simplificación reduzca la profundidad de determinadas secciones probatorias en lugar de eliminar alguna de las nueve áreas del Anexo IV — el contenido exigido sigue siendo fijo, aunque una empresa pequeña pueda aportar pruebas justificativas proporcionadas, y no exhaustivas, para cada elemento.

Si usted es una pyme y tiene la intención de acogerse a la forma simplificada, documente su condición de pyme en sus registros de cumplimiento. La simplificación es un privilegio para el que hay que reunir los requisitos, no una opción por defecto disponible para todos.

Cómo se relaciona la documentación técnica con otros documentos

La documentación del Artículo 11 es el registro central de cumplimiento, pero se sitúa dentro de un ecosistema documental más amplio en el marco de la Ley. Estos documentos están relacionados y a menudo enlazados, pero son distintos:

Artículo 12 — Conservación de archivos y registros. Los proveedores deben garantizar que los sistemas de alto riesgo registren automáticamente los eventos a lo largo de su vida operativa. Esos registros no forman parte del paquete de documentación del Artículo 11, pero alimentan el registro de vigilancia poscomercialización y están a disposición de las autoridades por separado.

Artículo 13 — Instrucciones de uso. Los proveedores deben facilitar a los responsables del despliegue instrucciones claras que expliquen la finalidad prevista del sistema, sus características de rendimiento, su uso indebido previsible y las medidas de supervisión humana disponibles. Las instrucciones de uso suelen basarse en secciones de la documentación del Anexo IV, pero son un entregable distinto, orientado al responsable del despliegue.

Artículo 17 — Sistema de gestión de la calidad. Los proveedores deben operar un SGC que abarque, entre otras cosas, sus procedimientos de documentación. El SGC es el marco de gobernanza; la documentación del Artículo 11 es uno de los resultados que dicho marco rige.

Artículo 47 / Anexo V — Declaración UE de conformidad. Una vez que el proveedor está convencido de que el sistema cumple los requisitos, elabora esta declaración. Una copia de la declaración debe incluirse en la documentación del Anexo IV (véase el punto 9 anterior), de modo que la declaración y la documentación están interrelacionadas, pero la declaración es un instrumento jurídico distinto.

Artículo 53 / Anexos XI–XII — Documentación de la GPAI. Los proveedores de sistemas de IA de alto riesgo construidos sobre un modelo de IA de uso general reciben documentación técnica del proveedor del modelo en virtud del Artículo 53. Esa documentación de la GPAI puede servir de base, pero no sustituye, al propio paquete de documentación del Artículo 11 del proveedor que abarca el sistema completo.

Qué comprueban los reguladores

Cuando una autoridad de vigilancia del mercado realiza una inspección en virtud del Artículo 74, la documentación del Artículo 11 es lo primero que solicita. Las debilidades prácticas que surgen con más frecuencia:

Documentación obsoleta. El sistema en producción no coincide con la versión documentada. Un modelo reentrenado tras un problema de calidad de los datos, una nueva funcionalidad añadida por el equipo de desarrollo o un ámbito de despliegue ampliado que nunca se reflejó en la documentación — cualquiera de estos casos crea una brecha entre la prueba y la realidad.

Falta de registros de gobernanza de datos. El Anexo IV exige documentar los datos de entrenamiento, validación y prueba con arreglo a las normas del Artículo 10. Las organizaciones que carecen de registros de trazabilidad de los datos o no pueden presentar desgloses demográficos de sus conjuntos de entrenamiento no pueden cumplir este elemento.

Ausencia de rastro de gestión de riesgos. El sistema de gestión de riesgos del Artículo 9 debe documentarse como un proceso continuo, no como una evaluación puntual. Si la documentación muestra un registro de riesgos elaborado en el momento del lanzamiento sin entradas posteriores, sugiere que el proceso existe solo sobre el papel.

Supervisión humana sin documentar. El Artículo 14 exige que las medidas de supervisión humana estén incorporadas en el sistema y se expliquen a los responsables del despliegue. Una documentación que describe la supervisión en términos generales sin especificar los medios técnicos de intervención y las circunstancias en las que debe utilizarse no cumplirá el requisito.

Cómo ayuda Confir

Reunir el paquete de documentación del Anexo IV es la parte que más tiempo consume del cumplimiento de alto riesgo. Confir genera el paquete completo de documentación técnica del Artículo 11 / Anexo IV a partir de una admisión estructurada — que abarca la descripción del sistema, el proceso de desarrollo, la gobernanza de datos, la gestión de riesgos, la supervisión humana y el historial de versiones — utilizando una lógica determinista y basada en reglas que produce el mismo resultado a partir de los mismos datos de entrada siempre. Sin redacción desde cero; sin adivinar qué elemento del Anexo IV se corresponde con qué Artículo.

El paquete es uno de los resultados de la vía de evaluación AITR (Datos y Robustez Técnica), que vincula sus respuestas con los Artículos 10, 11 y 15 de forma secuencial. Una vez generado, se sitúa junto a la declaración de conformidad del Artículo 47 y la EIDF del Artículo 27 en un único expediente de cumplimiento listo para imprimir, preparado para la revisión de las autoridades.

Preguntas frecuentes

¿Cuál es la diferencia entre el Artículo 11 y el Anexo IV?

El Artículo 11 es la obligación jurídica: los proveedores de sistemas de IA de alto riesgo deben elaborar, mantener y poner a disposición la documentación técnica. El Anexo IV especifica el contenido que esa documentación debe abarcar — nueve áreas que incluyen la descripción del sistema, el proceso de desarrollo, la gobernanza de datos (Artículo 10), las métricas de prueba y rendimiento (Artículo 15), el sistema de gestión de riesgos (Artículo 9) y las medidas de supervisión humana (Artículo 14). El Artículo 11 es el deber; el Anexo IV es la lista de comprobación para cumplirlo.

¿Durante cuánto tiempo debo conservar la documentación técnica después de retirar mi sistema del mercado?

Diez años a partir de la fecha en que el sistema se introduce en el mercado o se pone en servicio, en virtud del Artículo 18. Ese plazo no se reinicia cuando se retira el sistema — corre desde la introducción original en el mercado. El período de conservación es más largo de lo que muchas organizaciones esperan y exige una política deliberada de gestión de registros.

¿Cuáles son las sanciones por no mantener la documentación del Artículo 11?

El incumplimiento del Artículo 11 se rige por la sanción de nivel intermedio del Artículo 99, apartado 4: multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas con un volumen de negocios superior a 500 millones de euros, el umbral porcentual superará el importe fijo. Las pymes y las empresas emergentes se benefician de la regla de proporcionalidad del Artículo 99, apartado 6, que limita su multa al menor de los dos importes, el porcentaje o la cantidad fija.

¿Elimina la simplificación para pymes alguno de los requisitos del Anexo IV?

No. El Artículo 11, apartado 3, permite a las pymes presentar la documentación de forma simplificada, pero las nueve áreas sustantivas del Anexo IV siguen siendo obligatorias. La simplificación afecta a la profundidad y el formato de las pruebas, no a su cobertura. Una pyme sigue teniendo que documentar su gobernanza de datos, su gestión de riesgos y su supervisión humana — puede que sea capaz de hacerlo con material justificativo proporcionado, y no exhaustivo.

¿Cuándo se aplica el Artículo 11 a mi sistema?

Si su sistema entra dentro de la lista de casos de uso del Anexo III (selección de personal, solvencia, biometría, garantía del cumplimiento del Derecho y las otras cuatro categorías), la obligación se aplica a partir del 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo integrada en productos cubiertos por la legislación de seguridad de los productos del Anexo I, la fecha es el 2 de agosto de 2028. La documentación debe estar lista antes de que el sistema salga al mercado — no elaborarse después de que venza el plazo.

¿Tienen los responsables del despliegue que elaborar la documentación del Artículo 11?

En principio, no — la obligación recae en el proveedor. Pero si un responsable del despliegue modifica sustancialmente un sistema de alto riesgo, le pone su propio nombre o cambia su finalidad prevista, pasa a ser proveedor en virtud del Artículo 25 y se le aplica toda la obligación del Artículo 11. Los responsables del despliegue que reciben un sistema de un proveedor deben comprobar que el paquete de documentación del proveedor está completo; esa diligencia importa para las obligaciones del responsable del despliegue del Artículo 26.

¿Cuál es la relación entre la documentación del Artículo 11 y la Declaración UE de conformidad?

Son instrumentos distintos que se remiten mutuamente. El proveedor elabora la Declaración UE de conformidad en virtud del Artículo 47 (con el contenido exigido en el Anexo V) para afirmar formalmente que el sistema cumple los requisitos aplicables. Una copia de esa declaración debe incluirse en el propio paquete de documentación del Anexo IV. La documentación es el expediente probatorio; la declaración es la afirmación jurídica que se construye sobre ella.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Lista de materiales de IA (AI-BOM): qué es y cómo apoya el cumplimiento de la Ley de IA de la UE

La AI-BOM es una práctica emergente, no un término legal. Estructura los modelos base, los conjuntos de datos y las dependencias de GPAI para alimentar la documentación del Artículo 11 / Anexo IV.

Guide

Planificación presupuestaria del cumplimiento de la Ley de IA de la UE: motores de coste para la IA de alto riesgo

Presupueste el cumplimiento de la Ley de IA de la UE: Artículo 9, documentación técnica del Anexo IV, evaluación de la conformidad del Artículo 43, vigilancia del Artículo 72. Dic 2027.

Guide

Quién es el titular del cumplimiento de la Ley de IA de la UE en su organización

La Ley de IA de la UE crea obligaciones, no un puesto. Quién es el titular de los deberes de los Art. 9, 11, 14, 72 y 73 — estructura RACI, división DPD/CISO y la realidad de la pequeña empresa.