Skip to content
Confir.
Prueba gratuita
Blog

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Annex Guide21 April 2026· 16 min de lectura

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

El Anexo IV del Reglamento (UE) 2024/1689 define qué debe contener la documentación técnica de un proveedor de IA de alto riesgo. El Artículo 11 crea la obligación — debe compilar el expediente antes de introducir el sistema en el mercado o ponerlo en servicio. El Anexo IV es la especificación de contenido de ese expediente: nueve áreas obligatorias, ninguna opcional.

Esta página es una lista de comprobación de requisitos. Si desea el recorrido conceptual completo — qué significa cada área, un ejemplo práctico y la relación con la evaluación de la conformidad del Artículo 43 —, esa es la guía del Anexo IV de la Ley de IA de la UE. Utilice esta página para hacer seguimiento de lo que tiene y de lo que aún falta.

El plazo para los sistemas de alto riesgo autónomos (la lista del Anexo III) es el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo integrada en productos regulados del Anexo I, la fecha es el 2 de agosto de 2028. El expediente debe estar completo antes de salir al mercado, no para cuando una autoridad lo inspeccione. El incumplimiento del Artículo 11 entra en el ámbito del Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, la multa se limita al menor de los dos importes (Artículo 99, apartado 6).

La relación entre el Artículo 11, el Anexo IV y el Artículo 18

El Artículo 11 es el deber jurídico: los proveedores de sistemas de IA de alto riesgo deben elaborar y mantener actualizada la documentación técnica establecida en el Anexo IV antes de la introducción en el mercado o la puesta en servicio. El Anexo IV no es un marco discrecional — es lo que el Artículo 11 exige.

El Artículo 18 fija el período de conservación: 10 años después de que la última unidad se introduzca en el mercado o se ponga en servicio. Eso se aplica a todas las versiones, no solo a la actual. Empiece ahora con su disciplina de control de versiones y archivo; incorporarla a posteriori es más difícil que integrarla desde el principio.

El Artículo 11, apartado 3, ofrece una concesión genuina: las pymes y las empresas emergentes pueden facilitar los elementos del Anexo IV de forma simplificada, proporcionada a su tamaño y recursos. Las nueve áreas siguen siendo obligatorias. La forma simplificada significa un nivel adecuado de detalle técnico, no menos secciones. Una empresa de 20 personas sigue necesitando documentar sus datos de entrenamiento, su evaluación de riesgos con arreglo al Artículo 9 y su plan de vigilancia poscomercialización.

Área 1 — Descripción general del sistema de IA

Qué cubre: la finalidad prevista; la identidad y los datos de contacto del proveedor; el representante autorizado (Artículo 22) cuando proceda; el número de versión y la fecha de lanzamiento; cómo interactúa el sistema con el hardware o software del que no forma parte (incluidos otros sistemas de IA); las versiones de software utilizadas; las formas en que el sistema se introduce en el mercado (software autónomo, API, integrado en un producto); el hardware en el que está destinado a ejecutarse; las instrucciones de uso dirigidas a los responsables del despliegue; una descripción básica para las personas afectadas cuando proceda.

La prueba: una autoridad competente que lea únicamente esta sección debería saber con precisión qué hace el sistema, quién lo construyó y dónde funciona. Las declaraciones de finalidad genéricas no la superan.

Carencia común: los proveedores enumeran una categoría general («IA de contratación») sin especificar la tarea («clasifica a los solicitantes en la fase inicial de cribado de currículos para puestos de ingeniería de software; produce una puntuación numérica y una marca de apto/no apto»). La finalidad prevista en la documentación debe coincidir con la finalidad prevista tal como aparecería en las instrucciones de uso y en la declaración UE de conformidad.

Área 2 — Descripción detallada de los elementos del sistema y del proceso de desarrollo

Qué cubre: la especificación de diseño y las decisiones tomadas (tipo de modelo, arquitectura, hiperparámetros clave, especificaciones de entrada/salida); los conjuntos de datos de entrenamiento, validación y prueba — procedencia, alcance, composición, metodología de etiquetado, pasos de preprocesamiento, limitaciones y sesgos conocidos; el diseño de la supervisión humana con arreglo al Artículo 14 (qué decisiones requieren revisión humana, cómo se hacen interpretables los resultados, qué mecanismos de anulación existen); los cambios predeterminados del sistema tras el despliegue, incluidas las disposiciones de aprendizaje continuo y los controles de deriva; los procedimientos de validación y prueba y las métricas de rendimiento desglosadas por subgrupos y modos de fallo; los registros generados automáticamente y durante cuánto tiempo se conservan.

La prueba: alguien que no haya construido el sistema debería poder comprender cómo se construyó y con qué datos. La ficha de datos de cada conjunto de datos utilizado no es documentación opcional — vive aquí.

Carencia común: los resultados de validación se comunican como una cifra de exactitud principal sin desglose demográfico. Cuando el rendimiento difiere por edad, género, etnia o discapacidad, esas diferencias deben divulgarse. Si una herramienta de selección rechaza a las solicitantes en puestos tecnológicos a una tasa un 4 % superior, eso va en la sección 2 — junto con lo que se hizo al respecto.

Área 3 — Información detallada sobre la vigilancia, el funcionamiento y el control

Qué cubre: las capacidades y limitaciones conocidas, incluidas las condiciones en las que el rendimiento se degrada y los modos de fallo conocidos; las diferencias de exactitud para personas o grupos específicos; los resultados no deseados previsibles y las fuentes de riesgo, incluidos los riesgos derivados del uso indebido o del uso fuera del contexto previsto; las medidas de supervisión humana en términos operativos con arreglo al Artículo 14 — qué debe hacer el personal del responsable del despliegue, cómo aparecen las alertas, las vías de escalado; las especificaciones de los datos de entrada en el momento de la inferencia, incluidos los requisitos de formato, los requisitos de calidad de los datos y las advertencias de fuera de distribución.

La prueba: el Área 2 trata de cómo se construyó el sistema; el Área 3 trata de cómo se comporta una vez desplegado y de cómo un responsable del despliegue lo mantiene bajo control. Si estas dos secciones se leen igual, una de ellas está mal.

Carencia común: la sección de supervisión humana reformula el Área 2 sin traducir las decisiones del momento del diseño en instrucciones operativas. Un responsable del despliegue necesita saber qué hacer cuando salta una alerta, no cómo se diseñó arquitectónicamente la alerta.

Área 4 — Idoneidad de las métricas de rendimiento

Qué cubre: una justificación de por qué las métricas elegidas para evaluar el rendimiento del sistema son adecuadas para su finalidad prevista y su perfil de riesgo.

Esto es breve pero sustantivo. Seleccionar la paridad demográfica como métrica de equidad para una IA de contratación, en lugar de las probabilidades igualadas o la equidad individual, es una decisión deliberada que conlleva consecuencias sobre qué grupos se benefician o pierden con los resultados del sistema. Esa elección debe explicarse y defenderse en el expediente, no presuponerse.

Carencia común: los proveedores copian las cifras de rendimiento sin explicar la selección de métricas. Si el sistema opera en un dominio en el que un falso negativo conlleva un perjuicio mayor que un falso positivo — calificación de riesgo médico, admisibilidad a prestaciones, crédito —, el razonamiento detrás de la métrica principal debe ser explícito. Los auditores y los organismos notificados lo preguntarán.

Área 5 — El sistema de gestión de riesgos del Artículo 9

Qué cubre: los resultados del proceso continuo de gestión de riesgos exigido por el Artículo 9 — los riesgos conocidos y razonablemente previsibles para la salud, la seguridad o los derechos fundamentales en el uso previsto y el uso indebido previsible; las evaluaciones de probabilidad y gravedad de cada riesgo identificado; las medidas de mitigación adoptadas y su base técnica; los riesgos residuales tras la mitigación, con una justificación de por qué son aceptables a ese nivel.

El Área 5 no es un párrafo de resumen de riesgos. Es el resultado formal del proceso del Artículo 9 documentado en el expediente del Anexo IV. Cada riesgo necesita un responsable con nombre, un control específico, un umbral específico y una evaluación del riesgo residual.

Carencia común: la entrada dice «riesgo de sesgo identificado; pruebas de sesgo realizadas». Una entrada conforme nombra los atributos protegidos sometidos a prueba, el umbral que define un rendimiento aceptable, la cadencia de las nuevas pruebas y el nivel residual.

Área 6 — Cambios a lo largo del ciclo de vida

Qué cubre: todos los cambios materiales realizados en el sistema tras la introducción inicial en el mercado — eventos de reentrenamiento, cambios arquitectónicos, actualizaciones de los datos de entrenamiento, ampliaciones de la finalidad prevista y cambios en el entorno de despliegue. Cada cambio debe documentarse con una reevaluación de si constituye una modificación sustancial (definida en el Artículo 3, punto 23) que volvería a desencadenar las obligaciones de evaluación de la conformidad del Artículo 43.

La prueba: esto no es un registro de corrección de errores. Es un mecanismo de gobernanza prospectivo: antes del despliegue, defina qué umbrales de cambio requieren una actualización de la documentación y qué umbrales requieren una nueva evaluación de la conformidad del Artículo 43.

Carencia común: los proveedores documentan solo la primera versión. Cada evento de reentrenamiento con datos nuevos, cada cambio de umbral, cada ampliación del alcance del caso de uso requiere una entrada fechada en el Área 6.

Área 7 — Normas armonizadas, especificaciones comunes y otras soluciones técnicas

Qué cubre: las normas técnicas aplicadas durante el desarrollo y la validación o — cuando no exista ninguna norma armonizada o especificación común — las otras soluciones técnicas utilizadas para demostrar el cumplimiento de los Artículos 9 a 15 (capítulo III, sección 2).

La aplicación de normas armonizadas crea una presunción de conformidad con arreglo a la Ley. Cuando los proveedores se basan en sus propias soluciones técnicas, el Área 7 debe explicar cómo esas soluciones cumplen los requisitos legales.

A mediados de 2026, no se ha publicado formalmente ninguna norma armonizada con arreglo a la Ley de IA de la UE. La ISO/IEC 42001 (sistemas de gestión de la IA) y la ISO/IEC 23894 (orientaciones de gestión de riesgos de la IA) son los marcos de referencia principales, aunque ninguna tiene todavía la condición de norma armonizada. Anote esto explícitamente en el expediente — es la posición exacta, y los reguladores la esperan.

Área 8 — Declaración UE de conformidad (Artículo 47, contenido conforme al Anexo V)

Qué cubre: una copia de la declaración UE de conformidad elaborada con arreglo al Artículo 47. La declaración es un documento jurídico independiente — una manifestación formal del proveedor de que el sistema cumple todos los requisitos aplicables del Reglamento (UE) 2024/1689. Su contenido obligatorio se establece en el Anexo V: el nombre y la versión del sistema, una referencia al Reglamento, la identidad y la dirección del proveedor, los datos del representante autorizado cuando proceda y la firma del proveedor.

La declaración y el expediente técnico del Anexo IV viajan juntos. Si se actualiza el expediente, revise la declaración. Si el sistema cambia materialmente, ambos deben revisarse y, potencialmente, reemitirse.

Área 9 — Plan de vigilancia poscomercialización (Artículo 72)

Qué cubre: cómo el proveedor recopilará y analizará activamente datos sobre el rendimiento del sistema en condiciones reales tras el despliegue; los ANS internos para la clasificación de incidentes (los incidentes graves deben notificarse a las autoridades de vigilancia del mercado con arreglo al Artículo 73 en el plazo de 15 días desde que se tiene conocimiento, o 2 días para los incidentes de infraestructuras críticas, o 10 días cuando una persona haya fallecido); los umbrales de deriva del rendimiento que desencadenan una investigación; los procedimientos de reentrenamiento y actualización; el calendario de revisión periódica.

El Artículo 72 exige que la vigilancia sea proactiva y estructurada. «Vigilaremos el sistema» no es un plan. Un plan nombra una métrica, un umbral, un responsable, una cadencia y un procedimiento de respuesta.

Carencia común: la sección de vigilancia se redacta al mismo nivel de abstracción que la sección de gestión de riesgos. Una IA de calificación crediticia en un prestamista regional necesita: comprobación mensual de la exactitud frente a un conjunto de retención; umbral de alerta definido en puntos porcentuales; responsable con nombre; plazo de respuesta especificado; canal para que los responsables del despliegue señalen anomalías; enlace al proceso de notificación de incidentes del Artículo 73.

Conservación y acceso

Las nueve áreas del expediente del Anexo IV deben conservarse durante 10 años desde la introducción en el mercado o el inicio del servicio (Artículo 18). Las autoridades nacionales de vigilancia del mercado y la Oficina de IA de la UE pueden solicitar el acceso en cualquier momento. Los organismos notificados revisan el expediente antes de emitir cualquier certificado de conformidad. Los responsables del despliegue tienen derecho a acceder a las partes pertinentes con arreglo a los Artículos 11, apartado 2, y 13 — necesitan información suficiente para operar el sistema correctamente y cumplir sus propias obligaciones del Artículo 26.

En la práctica, si su sistema lo despliegan varios clientes empresariales, cada uno tiene derecho a solicitar el acceso. El expediente debe tener control de versiones, ser localizable y resultar legible para alguien que no sea su autor.

Cómo ayuda Confir

Reunir el expediente del Anexo IV es la parte más intensiva en documentación del cumplimiento de la IA de alto riesgo. La auditoría de los datos de entrenamiento por sí sola puede llevar meses si los registros están fragmentados. La evaluación AITR de Confir (vía de Datos y Robustez Técnica de la IA) guía a los proveedores a través de las nueve áreas, solicitando la información específica que cada una requiere y señalando las carencias. El motor es determinista basado en reglas: las mismas entradas producen las mismas conclusiones, con el requisito aplicable visible en cada paso. El resultado es el paquete de documentación técnica estructurado que funciona como su registro del Anexo IV.

La AITR enlaza directamente con la declaración de conformidad del Artículo 47 y con los resultados de gestión de riesgos del Artículo 9, de modo que el expediente sea internamente coherente — que es lo que comprobarán los auditores y los organismos notificados. No se requieren consultores.

Preguntas frecuentes

¿Cuál es la relación entre el Anexo IV y el Artículo 11?

El Artículo 11 crea la obligación jurídica: los proveedores de sistemas de IA de alto riesgo deben elaborar y mantener la documentación técnica antes de salir al mercado o entrar en servicio. El Anexo IV define el contenido de esa documentación — las nueve áreas descritas anteriormente. El Artículo 11 ES el requisito; el Anexo IV ES lo que lo satisface. Un proveedor no puede cumplir el Artículo 11 sin abordar las nueve áreas del Anexo IV. La obligación de conservación (10 años) se sitúa en el Artículo 18.

¿Qué proveedores deben cumplir el Anexo IV?

Todo proveedor que introduzca un sistema de IA de alto riesgo en el mercado de la UE o lo ponga en servicio — con independencia de dónde esté establecido el proveedor. Si un responsable del despliegue modifica sustancialmente un sistema de alto riesgo o lo introduce en el mercado con su propio nombre o marca, ese responsable del despliegue se convierte en proveedor con arreglo al Artículo 25 y hereda toda la obligación del Artículo 11 y del Anexo IV. Los importadores (Artículo 23) deben verificar que la documentación existe antes de distribuir un producto.

¿Pueden las pymes producir una versión más corta del expediente del Anexo IV?

El Artículo 11, apartado 3, permite a las pymes y a las empresas emergentes facilitar el contenido del Anexo IV de forma simplificada, ajustada a su tamaño, recursos y perfil de riesgo. Las nueve áreas siguen siendo obligatorias — la simplificación se aplica a la profundidad del detalle técnico, no a qué secciones se incluyen. Una empresa SaaS de 25 personas sigue necesitando identificar los conjuntos de datos de entrenamiento, completar la evaluación de riesgos del Artículo 9, documentar los mecanismos de supervisión humana y mantener un plan de vigilancia poscomercialización.

¿Qué ocurre si el expediente del Anexo IV está incompleto cuando el sistema sale al mercado?

El incumplimiento del Artículo 11 es una infracción de los requisitos de alto riesgo cubiertos por el Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, la multa es el menor de los dos importes (Artículo 99, apartado 6). Las autoridades de vigilancia del mercado también pueden ordenar la retirada del sistema e imponer medidas correctoras. No hay período de gracia para un expediente deficiente una vez que el sistema está en el mercado.

¿Cómo se conecta el expediente del Anexo IV con la declaración UE de conformidad?

El Área 8 del Anexo IV exige una copia de la declaración UE de conformidad elaborada con arreglo al Artículo 47, cuyo contenido obligatorio se establece en el Anexo V. Los dos documentos están vinculados: la declaración es la manifestación jurídica formal del proveedor de que el sistema cumple todos los requisitos aplicables; el expediente del Anexo IV es la prueba técnica que la sustenta. Si se actualiza el expediente, debe revisarse la declaración. Deben mantenerse coherentes.

¿Con qué frecuencia debe actualizarse el expediente del Anexo IV?

El expediente debe mantenerse actualizado a lo largo del ciclo de vida del sistema (Artículo 11). El Área 6 (cambios a lo largo del ciclo de vida) es el registro continuo. Cada cambio material — reentrenamiento con datos nuevos, modificación arquitectónica, ampliación de la finalidad prevista, cambio en el entorno de despliegue — requiere una nueva entrada y una reevaluación de si el cambio constituye una modificación sustancial con arreglo al Artículo 3, punto 23, que desencadene una nueva evaluación de la conformidad. Los proveedores deben definir los umbrales de cambio de antemano, antes del despliegue.

¿Cuál es el plazo del Anexo IV en virtud del Ómnibus Digital?

En virtud del Ómnibus Digital acordado en mayo de 2026, el expediente del Anexo IV debe estar completo antes de que los sistemas autónomos del Anexo III salgan al mercado a partir del 2 de diciembre de 2027. Para la IA de alto riesgo integrada en productos regulados del Anexo I (productos sanitarios, máquinas, vehículos), la fecha es el 2 de agosto de 2028. Estas son condiciones de entrada en el mercado: desplegar sin un expediente conforme a partir de esas fechas es una infracción desde el primer día, no algo que las autoridades comprueben de forma retrospectiva.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.

Annex Guide

Anexo IV de la Ley de IA de la UE: qué incluir en su expediente de documentación técnica

El Anexo IV define nueve secciones obligatorias para la documentación técnica de la IA de alto riesgo en virtud del Reglamento (UE) 2024/1689. Plazo del proveedor: 2 dic 2027. Sanciones: 15 M EUR o el 3 %.