Evaluación de la conformidad de la Ley de IA de la UE: cómo funciona

Antes de que un sistema de IA de alto riesgo pueda entrar en el mercado de la UE, su proveedor debe demostrar — por escrito, respaldado por pruebas documentadas — que cumple todos los requisitos de la Sección 2 del Capítulo III del Reglamento (UE) 2024/1689. Ese proceso de demostración es la evaluación de la conformidad con arreglo al Artículo 43. No es una auditoría puntual y no corresponde a tu responsable del despliegue ni a tu consultor. Es la obligación del proveedor y debe estar completa antes de la primera introducción en el mercado o puesta en servicio.

El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027 (aplazado desde agosto de 2026 por el Ómnibus Digital acordado en mayo de 2026). Para la IA de alto riesgo integrada en productos regulados del Anexo I, la fecha es el 2 de agosto de 2028. Eso es un respiro, no un colchón: ensamblar el paquete de conformidad — documentación técnica, declaración de conformidad, marcado CE y registro en la base de datos de la UE — lleva de seis a doce meses para la mayoría de las organizaciones.

Qué significa realmente la evaluación de la conformidad

La evaluación de la conformidad es el término de la UE para demostrar, antes del lanzamiento, que un sistema de IA de alto riesgo satisface las obligaciones de los Artículos 9 a 15: el sistema de gestión de riesgos, la gobernanza de datos, la documentación técnica, la conservación de registros, la transparencia hacia los responsables del despliegue, la supervisión humana y la exactitud, robustez y ciberseguridad. El Artículo 43 es la puerta procedimental — establece cuándo y cómo debe ensamblarse esa prueba y por quién.

Dos cosas que no es. Primero, no es la evaluación de impacto relativa a los derechos fundamentales (EIDF) con arreglo al Artículo 27, que es una obligación del responsable del despliegue activada para los organismos públicos y las empresas que despliegan sistemas de solvencia del Anexo III (punto 5, letra b)) o de seguros de vida o de salud (punto 5, letra c)). Un responsable del despliegue puede tener que realizar una EIDF; solo los proveedores llevan a cabo una evaluación de la conformidad. Segundo, no es la certificación ISO/IEC 42001. Un certificado ISO 42001 respalda tu sistema de gestión de la calidad del Artículo 17 y aporta pruebas al expediente técnico, pero no sustituye al procedimiento del Artículo 43 y no satisface el requisito del marcado CE.

Dos vías con arreglo al Artículo 43

El Artículo 43 ofrece dos caminos distintos. La vía aplicable depende de lo que hace tu sistema, no de su complejidad o coste.

Control interno del Anexo VI — la vía por defecto

Para la mayoría de los sistemas de alto riesgo, el control interno del Anexo VI es la vía correcta. Cubre todas las categorías del Anexo III excepto el punto 1 (biometría), siempre que apliques en su totalidad las normas armonizadas pertinentes. En la práctica, eso significa que las herramientas de cribado de selección de personal (Anexo III, punto 4, letra a)), los sistemas de calificación crediticia (punto 5, letra b)), el software de supervisión de exámenes (punto 3, letra c)), las herramientas de evaluación de riesgos para la garantía del cumplimiento del Derecho (punto 6) y las demás categorías del Anexo III utilizan el procedimiento de autoevaluación del Anexo VI.

Con arreglo al Anexo VI, evalúas tu propio sistema frente a los requisitos del Capítulo III, recopilas la documentación técnica del Anexo IV, elaboras la declaración UE de conformidad con arreglo al Artículo 47 y la firmas. Ningún organismo notificado toca el expediente. La autoridad competente puede auditarte en cualquier momento, de modo que la documentación debe estar lista para auditoría, no meramente completa de casillas marcadas.

Evaluación por organismo notificado del Anexo VII — exigida para la biometría (y los sistemas integrados en productos)

La evaluación por terceros del Anexo VII se exige en dos situaciones.

La primera es el Anexo III, punto 1 — biometría (sistemas de identificación biométrica remota, sistemas de categorización biométrica y sistemas de reconocimiento de emociones cuando no estén prohibidos): cuando las normas armonizadas no se apliquen plenamente, o cuando esas normas no cubran plenamente los requisitos aplicables, los proveedores de sistemas biométricos deben recurrir a un organismo notificado. El organismo notificado revisa tu sistema de gestión de la calidad (con arreglo al Artículo 17) y tu documentación técnica, y a continuación emite un certificado. Ese certificado sustenta tu declaración de conformidad.

La segunda situación es la IA integrada en productos del Anexo I. La IA de alto riesgo que funciona como componente de seguridad de un producto cubierto por la legislación de la UE sobre productos — productos sanitarios (MDR 2017/745), máquinas (Reglamento (UE) 2023/1230), diagnóstico in vitro (IVDR 2017/746) y los demás sectores del Anexo I — sigue los propios procedimientos de evaluación de la conformidad de esas normas sobre productos, que normalmente incluyen la intervención de un organismo notificado. El Artículo 43, apartado 3, de la Ley de IA de la UE integra la evaluación de la IA en esa vía de producto ya existente. Estos sistemas quedan sujetos al plazo del 2 de agosto de 2028, no al de diciembre de 2027.

Los organismos notificados son designados por las autoridades de los Estados miembros de la UE con arreglo a los Artículos 28 a 39. La designación con arreglo a la Ley de IA de la UE es independiente de la designación con arreglo a la legislación sobre productos, aunque los organismos pueden ostentar ambas.

Los cinco pasos hacia un paquete de conformidad completo

Paso 1: recopilar la documentación técnica del Anexo IV (Artículo 11)

El Artículo 11 exige a los proveedores elaborar la documentación técnica antes de introducir un sistema de alto riesgo en el mercado. El contenido se especifica en el Anexo IV a través de nueve áreas: una descripción general del sistema y de su finalidad prevista; una descripción de los elementos, el proceso de desarrollo y las decisiones de diseño; la información sobre seguimiento, funcionamiento y control; la documentación de gestión de riesgos; los cambios del sistema a lo largo de su ciclo de vida; una lista de las normas armonizadas aplicadas; la declaración UE de conformidad; y los procedimientos de vigilancia poscomercialización.

La documentación debe ser lo suficientemente detallada como para que una autoridad competente pueda evaluar el cumplimiento sin pedir al proveedor que se la explique. Es un listón alto. La documentación incompleta es el fallo de conformidad más habitual en la práctica.

Paso 2: realizar la evaluación

Para los sistemas del Anexo VI, el propio equipo de cumplimiento o jurídico del proveedor — o un especialista contratado al efecto — recorre cada uno de los requisitos de los Artículos 9 a 15 frente al expediente técnico. Toda brecha entre el requisito y la prueba documentada del cumplimiento debe cerrarse antes de que se firme la declaración.

Para los sistemas del Anexo VII, el organismo notificado realiza su propia evaluación del SGC y de la documentación técnica. Los proveedores deben prever de tres a seis meses para una evaluación por organismo notificado, más el tiempo de preparar la documentación que se incorpora.

Paso 3: elaborar la declaración UE de conformidad (Artículo 47, contenido en el Anexo V)

Una vez completada la evaluación, el proveedor prepara la declaración UE de conformidad. El Artículo 47 exige la declaración; el Anexo V especifica su contenido: la identificación del sistema y del proveedor, una declaración de conformidad con el Reglamento (UE) 2024/1689 y cualquier otra norma aplicable de la Unión, la referencia a las normas armonizadas o especificaciones aplicadas, la identificación del organismo notificado y el número de certificado (si se aplica el Anexo VII), la fecha y el lugar de emisión y la identidad del firmante autorizado. La declaración debe conservarse durante diez años a partir de la introducción en el mercado de la última unidad (Artículo 18).

Paso 4: colocar el marcado CE (Artículo 48)

Una vez establecida la declaración de conformidad, los proveedores colocan el marcado CE en el sistema — o, cuando el sistema es solo software, en la documentación que lo acompaña o en la interfaz a través de la cual se accede a él. El Artículo 48 prohíbe colocar el marcado CE antes de que se complete el procedimiento de evaluación de la conformidad y se elabore la declaración. Utilizar el marcado CE sin esa base constituye en sí mismo una infracción.

Para los sistemas integrados en productos del Anexo I, rigen las reglas de marcado CE de la legislación sobre productos aplicable; el marcado CE de la Ley de IA de la UE se integra en ese proceso.

Paso 5: registrar en la base de datos de la UE (Artículo 49)

Antes de la introducción en el mercado o en el momento de esta, los proveedores de sistemas autónomos del Anexo III deben registrar el sistema en la base de datos de la UE para sistemas de IA de alto riesgo establecida con arreglo al Artículo 71. El Artículo 49 contiene el deber de registro; el Artículo 71 describe la base de datos. El registro es de cara al público para los sistemas utilizados por personas físicas; algunos sistemas de garantía del cumplimiento del Derecho y de migración tienen una sección de acceso restringido.

Los proveedores que reclamen la exención del Artículo 6, apartado 3 — que un sistema del Anexo III no plantea un riesgo significativo de perjuicio y, por tanto, no es de alto riesgo — también deben registrar esa determinación en la base de datos.

Cuándo se exige una nueva evaluación

Una evaluación de la conformidad cubre el sistema tal como se describe en la documentación técnica en el momento de la evaluación. Con arreglo al Artículo 3, apartado 23, una modificación sustancial — aquella que cambia la finalidad prevista o el rendimiento, o que afecta a la base sobre la que se realizó la evaluación original — activa una nueva evaluación de la conformidad. Las correcciones menores de errores, el ajuste de parámetros dentro de rangos validados y las actualizaciones que no afectan a las capacidades del sistema ni a su perfil de riesgo no exigen, por lo general, una nueva evaluación, pero los proveedores deben documentar el razonamiento.

Los datos de la vigilancia poscomercialización del Artículo 72 retroalimentan este cálculo. Si la vigilancia revela que el rendimiento en el mundo real diverge materialmente del rendimiento evaluado, o que han surgido nuevos riesgos, los proveedores deben revisar si es necesaria una nueva evaluación y actualizar la documentación técnica en consecuencia.

El marco de los organismos notificados (Artículos 28 a 39)

Los organismos notificados son designados por las autoridades nacionales con arreglo a los Artículos 28 a 39. Los criterios de designación incluyen la independencia respecto de los proveedores, la competencia técnica, la imparcialidad y un seguro adecuado. A mediados de 2026, la red de organismos notificados de la Ley de IA de la UE aún se está formando — los proveedores de sistemas biométricos deben empezar pronto a contactar con organismos candidatos, ya que se esperan limitaciones de capacidad antes del plazo de diciembre de 2027.

Qué no cubre la evaluación de la conformidad

La EIDF del Artículo 27 es una obligación del responsable del despliegue, independiente de la evaluación de la conformidad del proveedor. Una declaración de conformidad no exime al responsable del despliegue de su deber de EIDF. Los organismos públicos y las empresas que despliegan sistemas de solvencia del Anexo III, punto 5, letra b), o de seguros de vida o de salud del punto 5, letra c), realizan la EIDF de forma independiente, apoyándose en la documentación técnica que reciben del proveedor con arreglo al Artículo 13.

La ISO/IEC 42001:2023 no es un sustituto. La norma es voluntaria, no es una norma armonizada con arreglo al Reglamento, y la certificación por un organismo ISO no constituye el procedimiento del Artículo 43 ni autoriza el marcado CE. Un proveedor que ostenta la certificación ISO 42001 sigue necesitando realizar la evaluación del Anexo VI o del Anexo VII y elaborar la declaración.

Sanciones

No realizar la evaluación de la conformidad, elaborar una declaración falsa o colocar el marcado CE sin completar el procedimiento entra en el nivel del Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Con arreglo al Artículo 99, apartado 6, las pymes y las empresas emergentes pagan la menor de las dos cifras — para una empresa de tecnología de RR. HH. de 40 personas con un volumen de negocios de 4 millones EUR, el 3 % son 120 000 EUR. Nada trivial.

Facilitar información incorrecta o incompleta a un organismo notificado o a una autoridad competente es una infracción independiente: 7 500 000 EUR o el 1 % (Artículo 99, apartado 5). Estas disposiciones sancionadoras están en vigor desde el 2 de agosto de 2025.

Cómo ayuda Confir

Ensamblar el paquete de conformidad manualmente significa reunir la documentación técnica del Artículo 11 / Anexo IV, la declaración de conformidad del Artículo 47 / Anexo V y las pruebas que respaldan los Artículos 9 a 15. El motor basado en reglas de Confir — determinista y reproducible por diseño — clasifica tu sistema (Artículos 5 y 6, lógica del Anexo III), deriva tu rol y genera el paquete de documentación técnica listo para imprimir y la declaración a partir de tus respuestas de admisión. Las mismas entradas, el mismo resultado, siempre; la regla que se activó es legible para humanos en el registro de auditoría.

El módulo AIRC de Confir (Clasificación de Riesgos y Cumplimiento de la IA; Artículos 5, 6, 43, 50) es el punto de partida para los proveedores que afrontan el plazo de diciembre de 2027. La vista de análisis de brechas muestra qué secciones del Anexo IV siguen incompletas.

---

Preguntas frecuentes

¿Qué es la evaluación de la conformidad conforme a la Ley de IA de la UE?

La evaluación de la conformidad con arreglo al Artículo 43 del Reglamento (UE) 2024/1689 es el procedimiento por el cual un proveedor de un sistema de IA de alto riesgo demuestra, antes de introducir el sistema en el mercado o de ponerlo en servicio, que cumple los requisitos de la Sección 2 del Capítulo III (Artículos 9 a 15). El procedimiento da lugar a una declaración UE de conformidad firmada (Artículo 47, contenido en el Anexo V), a la colocación del marcado CE (Artículo 48) y al registro en la base de datos de la UE (Artículo 49). Es una obligación del proveedor y no puede delegarse en el responsable del despliegue.

¿Qué vía de evaluación de la conformidad se aplica a mi sistema?

Las dos vías se establecen en el Artículo 43. La mayoría de los sistemas del Anexo III — cribado de selección de personal, calificación crediticia, educación, garantía del cumplimiento del Derecho, migración, etc. — siguen la vía de control interno del Anexo VI: el proveedor se autoevalúa frente a los requisitos y elabora la declaración sin implicar a un organismo notificado. Los sistemas biométricos del Anexo III, punto 1 (cuando las normas armonizadas no se aplican plenamente) y los sistemas de IA integrados en productos del Anexo I deben utilizar la vía del organismo notificado del Anexo VII, que implica una evaluación independiente del sistema de gestión de la calidad y de la documentación técnica.

¿Cuál es la diferencia entre la evaluación de la conformidad y la EIDF?

La evaluación de la conformidad (Artículo 43) es una obligación del proveedor: demostrar que tu sistema cumple los requisitos de alto riesgo antes del lanzamiento. La evaluación de impacto relativa a los derechos fundamentales (Artículo 27) es una obligación del responsable del despliegue: los responsables del despliegue que sean organismos públicos y las empresas que despliegan sistemas de solvencia del Anexo III, punto 5, letra b), o de seguros de vida o de salud del punto 5, letra c), deben evaluar el impacto sobre los derechos fundamentales antes del despliegue. La declaración de conformidad de un proveedor no satisface el deber de EIDF del responsable del despliegue. Los dos procesos son complementarios: la EIDF puede apoyarse en la documentación técnica del proveedor (el Artículo 27, apartado 4, lo permite), pero debe realizarse por separado.

¿Sustituye la certificación ISO/IEC 42001 a la evaluación de la conformidad del Artículo 43?

No. La certificación ISO/IEC 42001:2023 es voluntaria y no es una norma armonizada con arreglo a la Ley de IA de la UE. Respalda el sistema de gestión de la calidad del Artículo 17 y aporta pruebas útiles para el expediente técnico del Anexo IV, pero no constituye el procedimiento del Artículo 43 ni autoriza el marcado CE. Un proveedor sigue necesitando completar la evaluación del Anexo VI o del Anexo VII y elaborar la declaración UE de conformidad con arreglo al Artículo 47.

¿Qué activa una nueva evaluación una vez completada la conformidad inicial?

Una modificación sustancial tal como se define en el Artículo 3, apartado 23 — un cambio que afecta a la finalidad prevista, altera el rendimiento o socava la base de la evaluación original — exige una nueva evaluación de la conformidad. Los proveedores también deben revisar la evaluación si los datos de la vigilancia poscomercialización (Artículo 72) revelan una divergencia material respecto del rendimiento evaluado o la aparición de nuevos riesgos. La decisión de no reevaluar debe documentarse a su vez.

¿Qué sanciones se aplican por no completar la evaluación de la conformidad?

No realizar la evaluación de la conformidad exigida, emitir una declaración UE de conformidad falsa o colocar el marcado CE sin completar el procedimiento activa multas con arreglo al Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de las dos cifras. Facilitar información incorrecta a un organismo notificado o a una autoridad es una infracción independiente con arreglo al Artículo 99, apartado 5: hasta 7 500 000 EUR o el 1 %. Las disposiciones sancionadoras están en vigor desde el 2 de agosto de 2025.

¿Cuándo debe completarse la evaluación de la conformidad?

Para los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III, el plazo es el 2 de diciembre de 2027 (aplazado desde agosto de 2026 por el acuerdo político del Ómnibus Digital de mayo de 2026). Para la IA de alto riesgo integrada en productos regulados del Anexo I, el plazo es el 2 de agosto de 2028. Dado que ensamblar la documentación técnica del Anexo IV, realizar la evaluación y recurrir a un organismo notificado (cuando se exija) lleva normalmente de seis a doce meses, los proveedores deben comenzar el proceso ahora en lugar de tratar diciembre de 2027 como un horizonte lejano.

Guías relacionadas

• procedimientos de evaluación de la conformidad del Artículo 43
• requisitos de cumplimiento de la IA de alto riesgo
• definiciones clave del Artículo 3
• herramienta de clasificación de riesgo del Artículo 6
• software de cumplimiento de la Ley de IA de la UE
• lista de comprobación de obligaciones de cumplimiento de 2026