Anexo V de la Ley de IA de la UE: contenido de la declaración UE de conformidad

El Anexo V del Reglamento (UE) 2024/1689 especifica exactamente qué debe contener la declaración UE de conformidad de un sistema de IA de alto riesgo. Es un anexo breve —siete elementos numerados—, pero cada uno de ellos tiene peso jurídico. Si se yerra en cualquier elemento, la declaración es defectuosa, lo que significa que el sistema no está legalmente en el mercado de la UE.

Esta guía explica qué exige cada elemento, cómo encaja el Anexo V en la arquitectura de conformidad más amplia y qué aspecto tiene una declaración conforme en la práctica.

---

Qué es el Anexo V (y qué no es)

El Anexo V es la especificación de contenido de la declaración UE de conformidad (DdC). Indica qué debe figurar en el documento.

La obligación de elaborar una DdC se encuentra en el Artículo 47. El Artículo 47, apartado 1, dispone que, antes de introducir un sistema de IA de alto riesgo en el mercado o ponerlo en servicio, el proveedor debe elaborar una declaración UE de conformidad por escrito y mantenerla a disposición de las autoridades nacionales competentes durante 10 años a partir de la fecha en que el sistema se introdujo en el mercado. El Artículo 47, apartado 2, añade que la declaración debe mantenerse actualizada, lo que significa que ha de revisarse cuando el sistema sufra una modificación sustancial. El Artículo 47, apartado 3, confirma la estructura de lo que la declaración debe contener, con remisión al Anexo V.

No confunda el Anexo V con la documentación técnica del Anexo IV. Están relacionados, pero son distintos:

La documentación técnica del Anexo IV es la base probatoria. La DdC del Anexo V es la declaración formal de que las pruebas sustentan el cumplimiento. Ambas deben existir. Ninguna sustituye a la otra.

---

Los siete elementos obligatorios

1. Nombre, tipo e identificación del sistema de IA

La DdC debe identificar el sistema de IA con la precisión suficiente para que no haya ambigüedad sobre cuál es el sistema que cubre. Esto suele significar:

• Nombre: el nombre comercial o de producto (p. ej., «Motor de Calificación de Riesgo CreditReady»)
• Tipo: una descripción de la categoría del sistema de IA (p. ej., «sistema de evaluación de la solvencia basado en aprendizaje automático»)
• Versión: el número de versión o el identificador de la edición, coherente con la versión consignada en la documentación técnica del Anexo IV
• Referencia de trazabilidad: un código de producto, un identificador único del sistema o un número de lote — lo que elimine cualquier duda restante sobre qué despliegue cubre la DdC

Cuando una sola DdC cubre varios sistemas de IA —el Artículo 47, apartado 1, permite que una única declaración cubra más de un sistema de alto riesgo—, cada sistema debe identificarse individualmente dentro del documento.

El vínculo de versión importa en la práctica. Cuando el sistema sufre una modificación sustancial —definida en el Artículo 3, apartado 23, como un cambio que afecta al cumplimiento de los requisitos del capítulo III o altera la finalidad prevista—, debe elaborarse una DdC nueva o revisada con arreglo al Artículo 47, apartado 2. El identificador de versión es lo que distingue la declaración actualizada de aquella a la que sustituye.

2. Nombre y dirección del proveedor

La DdC debe indicar el nombre legal completo y la dirección registrada del proveedor —la entidad que ha desarrollado el sistema o lo introduce en el mercado de la UE bajo su propio nombre o marca (véase el Artículo 3, apartado 3, para la definición de «proveedor» y el Artículo 16 para la lista completa de obligaciones del proveedor).

Cuando el proveedor no esté establecido en la UE, debe designar a un representante autorizado con arreglo al Artículo 22. En ese caso, la DdC debe incluir el nombre y la dirección registrada del representante autorizado establecido en la UE. El representante autorizado asume las responsabilidades regulatorias del proveedor en el mercado de la UE con arreglo al Artículo 22, apartado 3.

3. Declaración de responsabilidad exclusiva

La DdC debe incluir una declaración de que «se expide bajo la responsabilidad exclusiva del proveedor». Se trata de una declaración jurídica obligatoria, no de una fórmula de relleno. Confirma que el proveedor —y no ningún auditor externo, organismo de normalización u organismo notificado— es responsable de la exactitud de la afirmación de conformidad.

Este elemento es especialmente importante cuando interviene un organismo notificado. Cuando un organismo notificado (Artículo 43) ha realizado la evaluación de la conformidad y ha expedido un certificado, ese certificado se referencia en el Elemento 6. Pero la propia DdC sigue siendo la declaración del proveedor: el proveedor asume la responsabilidad exclusiva de lo que afirma en el documento.

4. Declaración de conformidad con el Reglamento (UE) 2024/1689

El núcleo de la DdC es una declaración inequívoca de que el sistema de IA identificado «es conforme con el presente Reglamento» —el Reglamento (UE) 2024/1689—. Esta declaración no debe estar matizada, condicionada ni cualificada.

Cuando el sistema esté regido también por otra legislación de la Unión que exija una DdC —por ejemplo, el Reglamento sobre los productos sanitarios (MDR), la Directiva sobre equipos radioeléctricos, el Reglamento general de seguridad de los productos—, la declaración de conformidad debe extenderse a cada reglamento aplicable. El Artículo 47, apartado 4, permite expresamente que una sola DdC cubra varios actos de la Unión, siempre que se incluyan todas las referencias aplicables.

Esto resulta útil para los sistemas de IA integrados en productos regulados (sistemas del Anexo I): una IA de imagen médica sujeta tanto a la Ley de IA de la UE como al MDR puede consolidar ambas declaraciones de conformidad en un único documento.

5. Referencias a las normas armonizadas o a las especificaciones comunes

Si el proveedor utilizó normas armonizadas publicadas en el Diario Oficial en virtud del mandato a CEN/CENELEC (M/570), esas normas deben citarse por su número de referencia completo y su fecha de publicación. Aplicar correctamente las normas armonizadas otorga una presunción de conformidad con los requisitos de la Ley de IA que cubren.

Para la mayoría de los sistemas de IA actuales, las normas armonizadas de CEN/CENELEC siguen en elaboración. Cuando no exista ninguna norma armonizada aplicable, el proveedor debe referenciar cualquier especificación común adoptada por la Comisión Europea, o exponer el enfoque utilizado para demostrar la conformidad en ausencia de tales referencias. La descripción del Elemento 5 debe ser coherente con la metodología documentada en la documentación técnica del Anexo IV y con el registro de la evaluación de la conformidad del Artículo 43.

6. Información del organismo notificado (cuando proceda)

Para un subconjunto de sistemas de IA de alto riesgo —principalmente los sistemas de identificación biométrica remota—, el Artículo 43 exige que la evaluación de la conformidad la realice un organismo notificado acreditado en lugar de hacerse por la vía del control interno. Cuando intervenga un organismo notificado, la DdC debe incluir:

• El nombre completo del organismo notificado
• Su número de identificación en la UE (el número NANDO asignado por la Comisión)
• Una descripción del procedimiento de evaluación de la conformidad realizado (por ejemplo, «evaluación de la conformidad con arreglo al Anexo VII, Módulo D: aseguramiento de la calidad del proceso de producción»)
• El número de referencia del certificado de conformidad expedido

Para la mayoría de los sistemas de IA de alto riesgo —los de categorías del Anexo III distintas de la identificación biométrica remota en tiempo real en espacios de acceso público—, se aplica la vía del control interno con arreglo al Anexo VI. En esos casos, el Elemento 6 no es aplicable y debe marcarse como tal.

7. Lugar, fecha, nombre, función y firma

La DdC debe estar firmada por una persona física autorizada para obligar al proveedor. El bloque de firma debe incluir:

• Lugar: la ciudad (y el país) donde se firma la DdC
• Fecha: la fecha de la firma
• Nombre: el nombre completo del firmante
• Función: el cargo o papel del firmante dentro de la organización del proveedor (por ejemplo, «Consejero Delegado» o «Responsable de Asuntos Regulatorios»)
• Calidad: una indicación de en nombre de quién firma la persona, es decir, el proveedor designado en el Elemento 2
• Firma: una firma manuscrita o una firma electrónica cualificada con arreglo al eIDAS

En el caso de un representante autorizado que firma en nombre de un proveedor de fuera de la UE, la declaración de calidad debe dejar claro que el firmante actúa como representante autorizado del proveedor de fuera de la UE designado.

---

Dónde se sitúa el Anexo V en la arquitectura de conformidad

Comprender el Anexo V exige situarlo en la secuencia más amplia de obligaciones del proveedor antes de la entrada en el mercado.

Primero, el proveedor realiza la evaluación de la conformidad con arreglo al Artículo 43. Para la mayoría de los sistemas de IA de alto riesgo, se trata del control interno por la vía del Anexo VI; para los sistemas de identificación biométrica remota en espacios de acceso público, implica a un organismo notificado con arreglo al Anexo VII. La evaluación de la conformidad es lo que genera las pruebas de que el sistema cumple los requisitos de la sección 2 del capítulo III (Artículos 9 a 15).

Segundo, una vez completada la evaluación de la conformidad, el proveedor elabora la DdC del Anexo V con arreglo al Artículo 47. La DdC es el resultado formal de una evaluación satisfactoria. Elaborar la DdC antes de que la evaluación esté completa haría falsa la declaración —los proveedores no pueden declarar una conformidad que aún no han establecido.

Tercero, el proveedor coloca el marcado CE con arreglo al Artículo 48. El marcado CE no puede colocarse en un sistema de IA de alto riesgo hasta que se haya elaborado y firmado la DdC del Anexo V.

Cuarto, el proveedor registra el sistema en la base de datos de la UE con arreglo al Artículo 49. El registro hace referencia al resultado de la evaluación de la conformidad y a la existencia de la DdC. Ambos deben existir antes de que el registro esté completo.

La DdC del Anexo V es, por tanto, un documento intermedio del proceso: es el resultado de la evaluación de la conformidad y el requisito previo del marcado CE y del registro.

---

Esqueleto ilustrativo: DdC de un sistema de IA de alto riesgo ficticio

Lo siguiente es una ilustración trabajada de una DdC del Anexo V conforme. Cubre los siete elementos obligatorios para un sistema ficticio de calificación de la solvencia del Anexo III, categoría 5 (acceso a servicios esenciales). Esto se ofrece solo a efectos ilustrativos y no constituye asesoramiento jurídico.

---

DECLARACIÓN UE DE CONFORMIDAD

Expedida en virtud del Artículo 47 del Reglamento (UE) 2024/1689 (Ley de IA de la UE)

---

Elemento 1 — Identificación del sistema de IA

Nombre del sistema: Motor de Calificación de Riesgo CreditReady Tipo de sistema: sistema de evaluación de la solvencia basado en aprendizaje automático para solicitudes de crédito al consumo Versión: 4.2.1 Referencia de producto: CRSE-421-EU

---

Elemento 2 — Proveedor

FinScale Solutions GmbH Goethestraße 12 60313 Frankfurt am Main, Alemania

---

Elemento 3 — Declaración de responsabilidad exclusiva

La presente declaración UE de conformidad se expide bajo la responsabilidad exclusiva de FinScale Solutions GmbH.

---

Elemento 4 — Declaración de conformidad

El sistema de IA de alto riesgo identificado más arriba es conforme con el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, relativo a la inteligencia artificial (Ley de IA de la UE).

---

Elemento 5 — Normas y especificaciones

No se ha publicado en el Diario Oficial de la Unión Europea, a la fecha de la presente declaración, ninguna norma armonizada aplicable a esta categoría de sistema de IA. La conformidad con los requisitos de la sección 2 del capítulo III del Reglamento (UE) 2024/1689 se ha evaluado con arreglo al procedimiento de control interno establecido en el Anexo VI de dicho Reglamento. La metodología de evaluación, la documentación de gestión de riesgos, los registros de las pruebas y las pruebas de gobernanza de datos figuran en la documentación técnica mantenida con arreglo al Artículo 11 y al Anexo IV, referencia TD-CRSE-421-EU, versión 4.2.1.

---

Elemento 6 — Organismo notificado

No aplicable. La evaluación de la conformidad de este sistema se realizó por la vía del control interno (Anexo VI). No intervino ningún organismo notificado.

---

Elemento 7 — Firma

Frankfurt am Main, Alemania, 2 de diciembre de 2027

Firmado por: Dra. Katharina Vogt Función: Consejera Delegada, FinScale Solutions GmbH En nombre de: FinScale Solutions GmbH

[Firma]

---

Fin de la declaración UE de conformidad — Referencia del documento DoC-CRSE-421-EU

---

La exposición sancionadora ante una DdC ausente o defectuosa

No elaborar la DdC del Anexo V —o elaborar una defectuosa que omita elementos obligatorios, contenga información falsa o no se mantenga actualizada— constituye un incumplimiento del Artículo 47, que forma parte de las obligaciones del proveedor del Artículo 16, letra e). Con arreglo al Artículo 99, apartado 4, esto acarrea una multa máxima de 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor.

Para las empresas (en particular las más pequeñas), el Artículo 99, apartado 6, dispone que las multas se limitan al menor de los dos importes, el porcentaje o la cantidad fija —una protección de proporcionalidad genuina, pero no un motivo para tratar la DdC como opcional.

El plazo de aplicación para los sistemas de IA de alto riesgo autónomos del Anexo III es el 2 de diciembre de 2027, en virtud del Ómnibus Digital acordado en mayo de 2026, que aplazó la fecha original de agosto de 2026. Para los sistemas de IA de alto riesgo integrados en productos regulados del Anexo I, la obligación se aplica a partir del 2 de agosto de 2028. Ese calendario es más largo de lo que parece: llegar a una DdC válida exige completar primero la evaluación de la conformidad completa, lo que significa que el sistema de gestión de riesgos (Artículo 9), la documentación técnica (Artículo 11) y todos los requisitos de la sección 2 del capítulo III deben estar implantados antes de que se firme la declaración.

---

Cómo genera Confir la declaración del Anexo V

Cuando los proveedores completan su evaluación de cumplimiento en Confir, la declaración de conformidad del Artículo 47 / Anexo V se genera directamente a partir del registro de la evaluación. Los datos del proveedor (Elemento 2) se extraen del perfil de la organización. Los datos de identificación del sistema (Elemento 1) se trasladan del registro del sistema creado durante la clasificación del Artículo 6. Las referencias a normas (Elemento 5) se rellenan a partir de la metodología de evaluación de la conformidad que el proveedor confirma durante el flujo de trabajo de evaluación.

La declaración de responsabilidad exclusiva (Elemento 3) y la declaración de conformidad (Elemento 4) vienen prerredactadas con la redacción legal —el firmante del proveedor las revisa y confirma antes de finalizar el documento—. Cuando intervino un organismo notificado, campos estructurados captan el nombre del organismo, el número NANDO, el procedimiento de evaluación y la referencia del certificado para el Elemento 6.

La DdC generada se emite como un PDF legible por máquina, según exige el Artículo 47, apartado 1, e incluida en la exportación de la Ficha Técnica (Datasheet) de Confir junto con el resumen de la documentación técnica del Anexo IV. Todas las versiones anteriores se conservan con marcas de tiempo para respaldar la obligación de conservación de 10 años. El motor es basado en reglas y determinista: la misma evaluación completada produce la misma declaración, sin ambigüedad sobre qué campos son obligatorios.

---

---

Cuestiones prácticas que hacen defectuosas las declaraciones

Una DdC que supera una comprobación visual rápida puede seguir siendo jurídicamente defectuosa. Merece la pena señalar explícitamente cuatro problemas recurrentes.

Firmar antes de que la evaluación de la conformidad esté completa. La DdC es una declaración de que se ha establecido la conformidad. Los proveedores que la redactan y firman por adelantado —para cumplir un plazo de contratación o demostrar que están listos para el cumplimiento— y después completan la evaluación más tarde producen un documento falso. La secuencia correcta es firme: primero la evaluación, después la declaración.

No actualizarla tras una modificación sustancial. El Artículo 47, apartado 2, exige la revisión cuando el sistema sufre una modificación sustancial. En la práctica, las actualizaciones del modelo, los cambios en la finalidad prevista y la integración en nuevos contextos de despliegue pueden superar todos ellos el umbral de modificación sustancial del Artículo 3, apartado 23. Muchos proveedores mantienen una única DdC a lo largo de varias generaciones de producto y nunca la revisan —lo que significa que la declaración deja de describir con exactitud el sistema sometido a evaluación.

Utilizar la dirección de un representante autorizado en el Elemento 2 sin aclarar la relación. Si el proveedor no está establecido en la UE y un representante autorizado firma la DdC con arreglo al Artículo 22, el documento debe identificar tanto al proveedor de fuera de la UE (de quien es el sistema) como al representante autorizado establecido en la UE (que firma en su nombre). Omitir el nombre del proveedor de fuera de la UE, o presentar al representante como el proveedor, crea una inexactitud material en el Elemento 2.

Elemento 5 ausente o de relleno. Cuando no se aplique ninguna norma armonizada, el Elemento 5 debe describir la metodología utilizada en su lugar. Una DdC que se limita a indicar «no hay norma aplicable» sin explicar el enfoque de evaluación de la conformidad adoptado deja sustancialmente vacío el campo obligatorio. La descripción debe remitir al procedimiento de control interno del Anexo VI y al paquete de documentación técnica del Artículo 11 / Anexo IV que lo sustenta.

Ninguno de estos defectos requiere mala fe para producirse. En su mayoría son el resultado de tratar la DdC como un ejercicio de rellenar un formulario en lugar de como un instrumento jurídico. Para un proveedor, la salvaguarda más sencilla es una lista de comprobación estructurada vinculada a los siete elementos, revisada por alguien con responsabilidad jurídica sobre el estado de cumplimiento del sistema —no solo por el equipo de producto.

---

Guías relacionadas

• requisitos de la declaración del Artículo 47
• procedimientos de evaluación de la conformidad
• lista de comprobación de cumplimiento para proveedores
• documentación técnica del Anexo IV