Skip to content
Confir.
Prueba gratuita
Blog

Artículo 16 de la Ley de IA de la UE: obligaciones de los proveedores de sistemas de IA de alto riesgo

Annex Guide5 February 2026· 20 min de lectura

El Artículo 16 enumera 13 obligaciones del proveedor para la IA de alto riesgo: SGC, expediente técnico, marcado CE, DdC, registro. Plazo 2 dic 2027. Sanciones 15 M EUR/3 %.

El Artículo 16 del Reglamento (UE) 2024/1689 es la lista de comprobación maestra para los proveedores de sistemas de IA de alto riesgo. Si desarrolla un sistema de IA de alto riesgo — o si pone su nombre en uno, lo modifica sustancialmente o cambia su finalidad prevista (véase el Artículo 25) —, el Artículo 16 es el punto de partida de todo lo que debe hacer antes y después de introducir ese sistema en el mercado.

Las obligaciones abarcan trece requisitos distintos. Cada uno remite a un artículo más detallado de la sección 2 del capítulo III. Esta guía mapea cada obligación, explica qué significa en la práctica y cubre quién cumple los requisitos de proveedor con arreglo a las reglas de cambio de función.

En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones del proveedor de alto riesgo se aplican desde el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III, y desde el 2 de agosto de 2028 para la IA de alto riesgo que es un componente de seguridad de un producto cubierto por la legislación de la UE sobre productos (Anexo I). La fecha original — 2 de agosto de 2026 — se ha aplazado. Eso es un respiro, no un indulto: reunir un expediente técnico completo por sí solo suele llevar varios meses.

¿Quién es un «proveedor» con arreglo al Artículo 16?

Un proveedor es toda persona física o jurídica que desarrolla un sistema de IA de alto riesgo, o que encarga su desarrollo, y lo introduce en el mercado de la UE o lo pone en servicio con su propio nombre o marca — ya sea a título oneroso o gratuito.

En términos llanos: si lo construyó y lo comercializa con su marca, usted es el proveedor. El Artículo 16 es su lista.

El Artículo 25 amplía el círculo. Un distribuidor, importador o responsable del despliegue se convierte en proveedor — y hereda todas las obligaciones del Artículo 16 — si:

  • introduce un sistema de IA de alto riesgo en el mercado con su propio nombre o marca;
  • realiza una modificación sustancial de un sistema de IA de alto riesgo ya comercializado; o
  • cambia la finalidad prevista de un sistema de tal modo que pase a ser de alto riesgo cuando antes no estaba así clasificado.

La consecuencia práctica: una empresa SaaS que toma un modelo de un tercero, lo cambia de marca y lo vende a clientes como producto propio se convierte en el proveedor. Una empresa que ajusta un modelo de uso general para un caso de uso de alto riesgo específico y lo comercializa con su propio nombre se convierte en el proveedor. La etiqueta del producto determina la obligación, no quién construyó originalmente el modelo subyacente.

Las trece obligaciones del Artículo 16: qué exige cada una

1. Garantizar que el sistema cumple los requisitos de la sección 2 (Artículos 8 a 15)

La primera obligación remite a toda la columna vertebral técnica del cumplimiento de alto riesgo: los Artículos 8 a 15. Cada uno cubre un requisito distinto:

  • Artículo 8 — la obligación marco de cumplir todos los requisitos de la sección 2 a lo largo del ciclo de vida del sistema.
  • Artículo 9 — establecer y operar un sistema de gestión de riesgos: iterativo, documentado, que cubra los riesgos previsibles para la salud, la seguridad y los derechos fundamentales a lo largo de todo el ciclo de vida.
  • Artículo 10 — implementar normas de datos y gobernanza de datos para los conjuntos de datos de entrenamiento, validación y prueba: pertinencia, representatividad, ausencia de errores, propiedades estadísticas adecuadas, comprobaciones de sesgo.
  • Artículo 11 — compilar y mantener la documentación técnica antes de la introducción en el mercado (véase el Anexo IV para la lista completa de contenidos). La documentación debe permitir evaluar la conformidad y debe mantenerse actualizada.
  • Artículo 12 — incorporar la capacidad de conservación de registros: registro automático de eventos a lo largo de toda la vida operativa, en la medida en que sea técnicamente factible.
  • Artículo 13 — facilitar información de transparencia a los responsables del despliegue antes de que se utilice el sistema: identidad del proveedor, capacidades y limitaciones, rendimiento en poblaciones o zonas geográficas específicas, medidas de supervisión humana y los datos con los que se entrenó el sistema cuando proceda.
  • Artículo 14 — diseñar para la supervisión humana: permitir que las personas que supervisan el despliegue comprendan las capacidades y limitaciones del sistema, ignoren o anulen los resultados, e interrumpan o detengan el sistema.
  • Artículo 15 — alcanzar niveles adecuados de exactitud, robustez y ciberseguridad a lo largo de todo el ciclo de vida, incluida la resiliencia frente a los intentos de alterar el comportamiento del sistema.

Estos no son una lista de tareas secuencial. Forman un sistema integrado que debe estar implantado antes de que el sistema salga al mercado y mantenerse de forma continua mientras esté en servicio.

2. Etiquetado: indicar la identidad del proveedor en el sistema o su embalaje

Los proveedores deben indicar su nombre, su nombre comercial registrado o su marca registrada, y una dirección de contacto, ya sea en el propio sistema de IA de alto riesgo o, cuando ello no sea posible, en su embalaje o en la documentación que lo acompaña. Este es el requisito mínimo de trazabilidad de la UE — cualquier autoridad de vigilancia del mercado, organismo notificado o usuario puede identificar con quién ponerse en contacto.

Para un producto SaaS, esto significa que el nombre de la entidad jurídica del proveedor y una dirección de contacto accesible deben aparecer en la documentación o la interfaz del producto. Una empresa que opera comercialmente como «Acme AI» debe asegurarse de que su nombre legal (p. ej., Acme GmbH) y un correo electrónico o dirección postal de contacto sean claramente visibles.

3. Operar un sistema de gestión de la calidad (Artículo 17)

El Artículo 17 exige a los proveedores establecer, implementar, documentar y mantener un sistema de gestión de la calidad (SGC). El SGC debe cubrir todo el ciclo de vida: diseño, desarrollo, pruebas, despliegue y vigilancia poscomercialización.

Los elementos exigidos incluyen políticas documentadas sobre la estrategia regulatoria; procedimientos de diseño y desarrollo, incluida la evaluación de riesgos en cada fase; metodologías de prueba; planes de vigilancia poscomercialización; y procedimientos de acciones correctivas/preventivas. Se aplica la proporcionalidad: el SGC de una empresa emergente de tecnología de RR. HH. de 12 personas no tiene el mismo volumen que el de una gran empresa de 500 personas, pero debe cubrir las mismas categorías.

El SGC es la columna vertebral de gestión que mantiene unidas las demás obligaciones. Sin él, incluso los sistemas bien documentados carecen de la capa de gobernanza que los reguladores esperan ver.

4. Conservar la documentación técnica (Artículo 11)

La documentación técnica debe compilarse antes de la introducción en el mercado y mantenerse actualizada mientras el sistema esté en el mercado, para conservarse después durante diez años desde que la última unidad se introdujo en el mercado o se puso en servicio. El Anexo IV especifica exactamente qué debe contener el expediente: una descripción general del sistema; una descripción detallada de sus elementos y de su proceso de desarrollo; información sobre las metodologías y los datos de entrenamiento, validación y prueba; información de vigilancia, funcionamiento y control; una descripción de sus medidas de robustez, exactitud y ciberseguridad; y más.

Para los proveedores que reclaman la exención del Artículo 6, apartado 3 (el filtro que permite a los proveedores argumentar que su sistema del Anexo III no es, de hecho, de alto riesgo), la documentación debe incluir la evaluación y el razonamiento que sustentan esa determinación.

5. Conservar bajo su control los registros generados automáticamente (Artículo 19)

Cuando sea técnicamente factible, los sistemas de IA de alto riesgo deben generar automáticamente registros de su funcionamiento. Los proveedores son responsables de conservar esos registros — al menos en la medida en que los registros estén bajo el control del proveedor y no del responsable del despliegue. Los registros se conservan durante un mínimo de seis meses, salvo que el Derecho de la UE o nacional, o la finalidad prevista del sistema, exijan una conservación más larga.

Estos registros no son rastros de auditoría opcionales. Son el registro fáctico que permite a una autoridad reconstruir qué hizo el sistema, cuándo y en qué condiciones. Un proveedor cuyo sistema no produce registros, o que no los conserva, no tiene pruebas de un funcionamiento conforme.

6. Garantizar la evaluación de la conformidad antes de la introducción en el mercado (Artículo 43)

Antes de introducir un sistema de IA de alto riesgo en el mercado o de ponerlo en servicio, debe someterse a una evaluación de la conformidad — el término de la UE para demostrar, antes del lanzamiento, que el sistema cumple los requisitos de la sección 2.

El Artículo 43 establece las vías:

  • Para la mayoría de los sistemas del Anexo III, los proveedores pueden seguir el procedimiento de control interno (Anexo VI) — una autoevaluación en la que el proveedor elabora la documentación técnica, implementa un SGC y autodeclara la conformidad. No se requiere la intervención de un organismo notificado tercero para la mayoría de las categorías del Anexo III.
  • Para los sistemas del Anexo III en biometría (sistemas de identificación biométrica remota destinados a ser utilizados en espacios públicos por las autoridades de garantía del cumplimiento del Derecho) y algunas otras categorías específicas, debe intervenir un organismo notificado tercero.
  • Para la IA de alto riesgo integrada en productos regulados cubiertos por el Anexo I (máquinas, productos sanitarios, etc.), la vía de evaluación de la conformidad sigue la legislación de productos aplicable e integra los requisitos de la Ley de IA.

Los proveedores también deben seguir de nuevo el procedimiento del Artículo 43 cuando se realice una modificación sustancial de un sistema ya certificado.

7. Elaborar la declaración UE de conformidad (Artículo 47)

Tras una evaluación de la conformidad satisfactoria, el proveedor debe elaborar la declaración UE de conformidad (DdC) — una declaración formal por escrito de que el sistema cumple los requisitos de la Ley de IA de la UE. La DdC debe contener la información especificada en el Anexo V: identidad del proveedor, una descripción del sistema, una declaración de conformidad, referencias a las normas armonizadas o especificaciones comunes aplicadas, y una firma fechada.

La DdC permanece con el sistema. Debe mantenerse actualizada y conservarse durante diez años después de que la última unidad se introdujera en el mercado.

Un proveedor no puede colocar el marcado CE (paso siguiente) sin completar primero la DdC.

8. Colocar el marcado CE (Artículo 48)

Una vez que la DdC está en su lugar, el proveedor debe colocar el marcado CE en el sistema de IA de alto riesgo — o, cuando la naturaleza del sistema haga que ello sea poco práctico, en su embalaje o en la documentación que lo acompaña.

El marcado CE indica a las autoridades de vigilancia del mercado y a los usuarios que el sistema cumple los requisitos de la Ley de IA de la UE. Para la IA de alto riesgo integrada en un producto regulado (p. ej., un producto sanitario), el proceso de marcado CE se integra con el proceso de marcado de la legislación de productos.

Los proveedores no pueden colocar el marcado CE antes de completar la evaluación de la conformidad y elaborar la DdC.

9. Cumplir el registro (Artículo 49)

Antes de introducir un sistema de IA de alto riesgo en el mercado de la UE, los proveedores deben registrarse a sí mismos y a sus sistemas en la base de datos de la UE establecida en virtud del Artículo 71. El Artículo 49 establece la obligación de registro; la base de datos es el registro públicamente consultable de los sistemas de alto riesgo en circulación.

El registro es obligatorio y se aplica incluso cuando el proveedor utiliza la vía de evaluación de la conformidad por control interno (es decir, sin necesidad de organismo notificado). Los proveedores que reclamen la exención del Artículo 6, apartado 3, también deben registrar esa determinación.

No confunda el Artículo 49 con el Artículo 47 (DdC) ni con el registro de los GPAI. Son obligaciones distintas con requisitos de contenido distintos.

10. Adoptar medidas correctoras cuando sea necesario (Artículo 20)

Si un proveedor tiene motivos para creer que un sistema de IA de alto riesgo que ha introducido en el mercado no es conforme con la Ley de IA de la UE, debe adoptar inmediatamente medidas correctoras — retirando el sistema, desactivándolo, recuperándolo o haciéndolo conforme —, según proceda.

El proveedor también debe informar a los distribuidores del sistema, y a las autoridades nacionales competentes de cualquier Estado miembro en el que el sistema se haya comercializado o puesto en servicio, de la no conformidad y de las medidas correctoras adoptadas. Si el sistema plantea un riesgo para la salud, la seguridad o los derechos fundamentales, el proveedor debe informar inmediatamente a las autoridades de vigilancia del mercado.

El Artículo 73 gestiona la obligación específica de notificar los incidentes graves a las autoridades de vigilancia del mercado — generalmente en el plazo de 15 días desde que se tiene conocimiento del incidente (o sin demora cuando el incidente implique un riesgo para la salud o la seguridad de las personas).

11. Demostrar la conformidad a petición de una autoridad competente

Los proveedores deben, previa solicitud motivada de una autoridad nacional competente, demostrar que el sistema es conforme con la Ley de IA de la UE. Esto significa poner a disposición la documentación técnica, facilitar el acceso a los registros, explicar la metodología de evaluación de la conformidad y cooperar con la investigación de la autoridad.

Una «solicitud motivada» significa que la autoridad debe exponer por qué la formula — no puede exigir documentación al azar sin fundamento. Pero cuando llega una solicitud, el proveedor debe responder con pruebas, no con afirmaciones.

12. Garantizar el cumplimiento en materia de accesibilidad

La Ley de IA de la UE exige que los sistemas de IA de alto riesgo accesibles a personas físicas — en particular los utilizados por consumidores — se diseñen y desarrollen con medidas de accesibilidad adecuadas, en consonancia con la legislación de la UE aplicable en materia de accesibilidad (en particular, la Ley Europea de Accesibilidad, Directiva 2019/882).

Para los proveedores de SaaS B2B cuyos sistemas son utilizados exclusivamente por responsables del despliegue profesionales y nunca directamente por consumidores finales, esta obligación tiene un alcance práctico limitado. Para los proveedores que ofrecen IA de cara al consumidor — herramientas de calificación crediticia, herramientas de admisibilidad a prestaciones, diagnósticos médicos —, la accesibilidad debe integrarse en la fase de diseño.

13. Designar un representante autorizado si está establecido fuera de la UE (Artículo 22)

Un proveedor establecido fuera de la Unión Europea que introduzca un sistema de IA de alto riesgo en el mercado de la UE o ponga uno en servicio en la UE debe, antes de hacerlo, designar mediante mandato escrito a un representante autorizado establecido en la UE.

El representante autorizado actúa en nombre del proveedor en todas las interacciones con las autoridades competentes y los organismos notificados de la UE. Conserva una copia de la DdC y de la documentación técnica, registra el sistema en la base de datos de la UE y es el punto de contacto para cualquier acción de ejecución.

Los proveedores no establecidos en la UE no pueden simplemente designar a un distribuidor local y dar por cubiertas las obligaciones de cumplimiento: la relación con el representante autorizado es un mandato específico con responsabilidades jurídicas específicas.

El cambio de función del Artículo 25: cuándo se convierte en proveedor por acción

El Artículo 25 es el mecanismo que impide que las empresas eludan las obligaciones del proveedor estructurando su participación como algo distinto de «desarrollar» un sistema de IA.

Tres escenarios convierten a un actor posterior en proveedor:

  1. Introducir un sistema en el mercado con su propio nombre o marca. Un distribuidor que cambia de marca una herramienta de IA de alto riesgo de un tercero y la comercializa como producto propio se convierte en el proveedor. La documentación de cumplimiento del desarrollador original no se transfiere — el nuevo proveedor debe realizar su propia evaluación de la conformidad.

  2. Modificación sustancial. Una empresa que ajusta, reentrena o modifica arquitectónicamente un sistema de IA de alto riesgo existente de un modo que afecta a su conformidad con los requisitos de la sección 2 se convierte en el proveedor del sistema modificado.

  3. Cambio de la finalidad prevista. Una empresa que toma un sistema no clasificado previamente como de alto riesgo y lo redespliega para un caso de uso de alto riesgo (por ejemplo, reutilizar una herramienta de análisis de RR. HH. de carácter general como un sistema de cribado de currículos que clasifica candidatos para decisiones de contratación) se convierte en el proveedor para ese uso en el contexto de alto riesgo.

En cada caso, el marcado CE, la DdC y el expediente técnico del proveedor original dejan de cubrir el sistema modificado o renombrado. El nuevo proveedor empieza de cero.

Ejemplo práctico: una empresa SaaS como proveedor del Artículo 16

Considere una empresa de 35 personas que ha construido una herramienta de cribado para la contratación — ingiere currículos y produce preselecciones ordenadas de candidatos para los empleadores. El sistema entra en el Anexo III, apartado 4 (empleo y gestión de los trabajadores), y no cumple los requisitos del filtro del Artículo 6, apartado 3, porque influye directamente en las decisiones de contratación.

La empresa es un proveedor con arreglo al Artículo 16. He aquí lo que eso significa en la práctica, recorriendo cada obligación:

Antes de la introducción en el mercado:

  • Compilar el expediente técnico del Anexo IV: descripción de la arquitectura, procedencia de los datos de entrenamiento, resultados de las pruebas desglosados por género y edad, evaluación de riesgos (incluidas las conclusiones sobre sesgos), definición del uso previsto.
  • Establecer un SGC con arreglo al Artículo 17: políticas escritas que cubran el proceso de desarrollo, la gestión de cambios, la vigilancia poscomercialización y los procedimientos de acciones correctoras.
  • Realizar la evaluación de la conformidad con arreglo al Artículo 43 utilizando la vía de control interno del Anexo VI (no se requiere organismo notificado para esta categoría).
  • Elaborar la DdC de la UE con arreglo al Artículo 47 (contenido del Anexo V).
  • Registrarse en la base de datos de la UE con arreglo al Artículo 49.
  • Añadir el nombre legal de la empresa y la dirección de contacto a la documentación del producto.

En el lanzamiento:

  • Facilitar el paquete de información del Artículo 13 a cada responsable del despliegue (el empleador que utiliza la herramienta): descripción de las capacidades, métricas de exactitud por grupo demográfico, requisitos de supervisión humana, limitaciones, instrucciones sobre cuándo anular el sistema.

De forma continua:

  • Conservar los registros operativos generados automáticamente durante al menos seis meses con arreglo al Artículo 19.
  • Vigilar el rendimiento del sistema tras la comercialización con arreglo al Artículo 72; notificar los incidentes graves a las autoridades de vigilancia del mercado con arreglo al Artículo 73.
  • Actualizar el expediente técnico y repetir la evaluación de la conformidad si se realiza una modificación sustancial.
  • Adoptar medidas correctoras y notificar a las autoridades con arreglo al Artículo 20 si se descubre una no conformidad.

El plazo para tener todo esto en su lugar para un sistema autónomo del Anexo III nuevo en el mercado es el 2 de diciembre de 2027. Eso da aproximadamente 18 meses desde hoy — lo que suena generoso hasta que se considera que el expediente técnico por sí solo suele llevar de tres a seis meses para un equipo de tamaño medio que nunca lo ha hecho antes.

La sanción por incumplir estas obligaciones es de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). Para las empresas con menos empleados, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija — una auténtica protección de proporcionalidad.

Cómo ayuda Confir a los proveedores a cumplir el Artículo 16

La evaluación estructurada de Confir se corresponde directamente con la lista de comprobación del Artículo 16. Ejecuta cada uno de sus cuatro módulos de cumplimiento — AIRC (Clasificación de Riesgos y Cumplimiento de la IA con arreglo a los Artículos 5, 6 y 43), AITR (Datos y Robustez Técnica de la IA con arreglo a los Artículos 10, 11 y 15), AITO (Transparencia y Supervisión Humana de la IA con arreglo a los Artículos 13 y 14) y AIGM (Gobernanza y Vigilancia Poscomercialización de la IA con arreglo a los Artículos 9, 72 y 73) — y consolida los resultados en un paquete de documentación técnica del Anexo IV listo para imprimir y en una declaración de conformidad del Artículo 47 / Anexo V.

La lógica de evaluación es determinista y basada en reglas: las mismas respuestas de admisión producen el mismo resultado siempre, con la regla que se activó visible para su revisión. Esa reproducibilidad importa cuando una autoridad competente le pide que muestre su razonamiento.

Confir también deriva su función — proveedor o responsable del despliegue — a partir de preguntas en lenguaje sencillo sobre cómo se introduce su sistema en el mercado, cubriendo los escenarios del Artículo 25. Si es un proveedor, el conjunto completo de obligaciones se activa automáticamente.

El Artículo 16 en el calendario de cumplimiento

ObligaciónCuándo debe estar completa
Documentación técnica (Art. 11), SGC (Art. 17)Antes de la introducción en el mercado
Evaluación de la conformidad (Art. 43)Antes de la introducción en el mercado
Declaración UE de conformidad (Art. 47)Antes de la introducción en el mercado
Marcado CE (Art. 48)Antes de la introducción en el mercado
Registro en la base de datos de la UE (Art. 49)Antes de la introducción en el mercado
Etiquetado (identidad + contacto)Antes de la introducción en el mercado
Información del Artículo 13 a los responsables del despliegueAntes del primer uso por los responsables del despliegue
Conservación de registros (Art. 19)De forma continua; mínimo de seis meses
Vigilancia poscomercialización (Art. 72)De forma continua desde la introducción en el mercado
Notificación de incidentes graves (Art. 73)En el plazo de 15 días desde que se tiene conocimiento
Medidas correctoras (Art. 20)Inmediatamente al descubrirse
Conservación del expediente técnico (Art. 11)Diez años tras la última comercialización

Plazo para los nuevos sistemas de alto riesgo autónomos (Anexo III): 2 de diciembre de 2027. Plazo para la IA de alto riesgo en productos del Anexo I: 2 de agosto de 2028.

Empiece por el expediente técnico y el SGC — son las partidas de plazo más largo y las que la mayoría de las empresas subestiman.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.