Skip to content
Confir.
Prueba gratuita
Blog

Artículo 43 de la Ley de IA de la UE: evaluación de la conformidad para los sistemas de IA de alto riesgo

Annex Guide14 January 2026· 26 min de lectura

El Artículo 43 de la Ley de IA de la UE fija la puerta previa a la comercialización para la IA de alto riesgo. Conozca qué vía de conformidad se aplica — Anexo VI o Anexo VII — y qué exige cada una.

El Artículo 43 del Reglamento (UE) 2024/1689 fija la puerta entre el desarrollo y el mercado. Antes de que un sistema de IA de alto riesgo pueda introducirse en el mercado de la UE o ponerse en servicio, su proveedor debe completar una evaluación de la conformidad — el procedimiento formal que demuestra que el sistema cumple todos los requisitos del Capítulo III, Sección 2. Supérela, y podrá emitir la declaración UE de conformidad (Artículo 47), colocar el marcado CE (Artículo 48) y registrar el sistema en la base de datos de la UE (Artículo 49). No la realice, y el techo sancionador es de 15 millones de euros o el 3 % del volumen de negocios anual mundial, la cifra que sea mayor (Artículo 99).

En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas de IA de alto riesgo autónomos (Anexo III) es el 2 de diciembre de 2027. Para la IA de alto riesgo integrada en productos regulados del Anexo I — componentes de seguridad de IA en máquinas, productos sanitarios, equipos radioeléctricos —, el plazo es el 2 de agosto de 2028. La fecha original del 2 de agosto de 2026 se ha aplazado; las obligaciones en sí no han cambiado.

Esta guía explica qué vía de evaluación se aplica a su sistema, qué exigen el Anexo VI (control interno) y el Anexo VII (organismo notificado), qué deben contener el SGC y la documentación técnica, cómo una modificación sustancial reinicia la evaluación y qué aspecto tienen los pasos posteriores a la evaluación en la práctica.

Qué es realmente la evaluación de la conformidad del Artículo 43

La evaluación de la conformidad es el procedimiento obligatorio de prueba previa a la comercialización de la UE. No es una auditoría de su postura de protección de datos, no es un ejercicio de responsabilidad por productos y no es la Evaluación de Impacto sobre los Derechos Fundamentales (EIDF) que determinados responsables del despliegue realizan con arreglo al Artículo 27. Es específicamente el procedimiento por el cual un proveedor demuestra — antes de salir al mercado — que un sistema de IA de alto riesgo cumple los requisitos técnicos del Capítulo III, Sección 2: el sistema de gestión de riesgos (Artículo 9), la gobernanza de datos (Artículo 10), la documentación técnica (Artículo 11), el registro (Artículo 12), la transparencia hacia los responsables del despliegue (Artículo 13), la supervisión humana (Artículo 14) y la exactitud/robustez/ciberseguridad (Artículo 15).

El Artículo 43 no se sostiene por sí solo. Se sitúa al final del conjunto de obligaciones de cumplimiento — no puede completarlo hasta que su sistema de gestión de riesgos del Artículo 9, su documentación técnica del Artículo 11 y su sistema de gestión de la calidad (SGC) del Artículo 17 estén debidamente implantados. Considérelo la comprobación de montaje final, no el propio proceso de construcción.

Mantenga claras estas distinciones:

  • Artículo 27 (EIDF) — una Evaluación de Impacto sobre los Derechos Fundamentales que realizan determinados responsables del despliegue antes del uso operativo. No es una obligación del proveedor. No es una evaluación de la conformidad.
  • Artículo 72 (vigilancia poscomercialización) — una obligación continua que comienza después de la introducción en el mercado y se prolonga durante toda la vida operativa del sistema. La evaluación de la conformidad es una instantánea previa a la comercialización; el Artículo 72 es lo que la mantiene actualizada.
  • Artículo 9 (sistema de gestión de riesgos) — un proceso iterativo continuo que alimenta las pruebas de la evaluación de la conformidad pero continúa indefinidamente más allá de ella.

Las dos vías de evaluación: Anexo VI y Anexo VII

El Artículo 43 prescribe exactamente dos vías. Cuál se aplica depende de la categoría del Anexo III del sistema y — para los sistemas biométricos — de si se han aplicado normas armonizadas o especificaciones comunes que cubran los requisitos del Capítulo III, Sección 2.

Anexo VI — Control interno (autoevaluación)

Para la mayoría de los sistemas de IA de alto riesgo del Anexo III — los puntos 2 a 8, que cubren la educación y la formación profesional, el empleo, el acceso a servicios esenciales, la garantía del cumplimiento del Derecho, la migración y la administración de justicia —, el proveedor realiza la evaluación por sí mismo. No interviene ningún organismo notificado.

Con arreglo al Anexo VI, el proveedor verifica su propio sistema frente a los requisitos del Capítulo III, Sección 2, confirma que la documentación técnica del Artículo 11 / Anexo IV está completa y comprueba que el SGC del Artículo 17 cubre todo el ciclo de vida de desarrollo y poscomercialización. A continuación, el proveedor elabora la declaración UE de conformidad y conserva el expediente técnico y la declaración durante diez años.

La autoevaluación no significa control superficial. La documentación debe ser lo suficientemente detallada como para que una autoridad de vigilancia del mercado que la revise pueda verificar cada afirmación de conformidad. «Probamos el sesgo» no es suficiente. «Probamos el sesgo de sexo y de edad en los datos de entrenamiento utilizando el método X frente al umbral Y, con resultados registrados en registros con control de versiones en la ruta Z» sí lo es.

Anexo VII — Evaluación por un organismo notificado

Un organismo notificado — una organización independiente de terceros designada por un Estado miembro de la UE con arreglo a los Artículos 31 a 39 — evalúa tanto el SGC como la documentación técnica. Esto es obligatorio en dos situaciones.

Primera: biometría del punto 1 del Anexo III, cuando las normas armonizadas no se han aplicado plenamente.

El punto 1 del Anexo III cubre los sistemas de identificación biométrica, de categorización biométrica y de reconocimiento de emociones. La vía depende de si el proveedor ha aplicado normas armonizadas (o especificaciones comunes emitidas por la Comisión con arreglo al Artículo 41) que cubran todos los requisitos del Capítulo III, Sección 2:

  • Si el proveedor las ha aplicado en su totalidad: puede optar por el Anexo VI (control interno) o por el Anexo VII (organismo notificado). Ambas vías están disponibles.
  • Si no las ha aplicado, las ha aplicado solo parcialmente o aún no existen tales normas: debe utilizar el Anexo VII. El control interno no es una opción.

Esta es la regla de selección de vía que con más frecuencia se malinterpreta. Un proveedor de biometría que ha aplicado plenamente las normas armonizadas pertinentes tiene una elección genuina. Uno que opera sin esas normas — lo que describe actualmente a la mayoría de los proveedores, ya que las normas armonizadas de la Ley de IA de la UE aún están en elaboración — no tiene elección: el Anexo VII es obligatorio.

Segunda: sistemas de IA de alto riesgo que son componentes de seguridad de productos del Anexo I.

Cuando la IA se integra como componente de seguridad en un producto cubierto por la legislación de armonización de la UE enumerada en el Anexo I — máquinas (Reglamento (UE) 2023/1230), productos sanitarios (Reglamento (UE) 2017/745), equipos radioeléctricos, ascensores, recipientes a presión y otros —, la evaluación de la conformidad sigue la legislación de productos aplicable. Los requisitos de IA del Capítulo III, Sección 2, se integran en ese procedimiento. Para la mayoría de los sectores de productos del Anexo I, la legislación sectorial ya exige un organismo notificado, por lo que los requisitos de conformidad de la IA se montan, en efecto, sobre esa obligación existente.

Con arreglo al Anexo VII, el organismo notificado revisa tanto el SGC como la documentación técnica, puede realizar inspecciones in situ de los procesos de desarrollo y la infraestructura de pruebas, y emite un certificado de evaluación si se confirma la conformidad.

Coste y plazo de entrega: las evaluaciones del Anexo VII cuestan típicamente entre 8 000 y 25 000 EUR según la complejidad del sistema y el alcance de la auditoría. Desde la presentación inicial hasta el certificado, prevea entre 12 y 20 semanas — más si el organismo notificado solicita documentación complementaria. Contacte pronto; la capacidad de los organismos notificados de cara al plazo de diciembre de 2027 estará limitada.

Selección de vía de un vistazo

Tipo de sistema¿Normas armonizadas aplicadas en su totalidad?Vía de evaluación
Anexo III, puntos 2 a 8 (educación, empleo, servicios, garantía del cumplimiento del Derecho, migración, justicia)N/AAnexo VI — control interno
Anexo III, punto 1 (biometría)Elección del proveedor: Anexo VI o Anexo VII
Anexo III, punto 1 (biometría)No / parcial / aún no existenAnexo VII — organismo notificado obligatorio
Componente de seguridad de un producto del Anexo IN/AEvaluación de la conformidad con arreglo a la legislación de productos aplicable; los requisitos de IA se integran

Qué debe cubrir la evaluación

Con independencia de la vía, la evaluación demuestra la conformidad con el Capítulo III, Sección 2. Los requisitos son:

  • Artículo 9 — Sistema de gestión de riesgos. Un proceso iterativo continuo: identificar y analizar los riesgos conocidos y razonablemente previsibles para la salud, la seguridad y los derechos fundamentales; estimar los riesgos del uso previsto y del uso indebido razonablemente previsible; adoptar medidas de mitigación adecuadas; actualizar cuando los datos poscomercialización revelen nuevos riesgos.
  • Artículo 10 — Datos y gobernanza de datos. Los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, representativos, suficientemente libres de errores y evaluados en busca de sesgos que pudieran causar perjuicios o resultados discriminatorios, atendiendo a la finalidad prevista del sistema.
  • Artículo 11 + Anexo IV — Documentación técnica. El expediente técnico completo: descripción del sistema, proceso de diseño y desarrollo, métricas de rendimiento, registros de gestión de riesgos, medidas de supervisión humana, plan de vigilancia poscomercialización. Siete secciones obligatorias, que se tratan más adelante.
  • Artículo 12 — Conservación de registros. Registro automático de eventos a lo largo de toda la vida operativa.
  • Artículo 13 — Transparencia hacia los responsables del despliegue. Instrucciones de uso que permitan a los responsables del despliegue utilizar el sistema correctamente, comprender sus capacidades y limitaciones y ejercer una supervisión humana adecuada.
  • Artículo 14 — Supervisión humana. Medidas que permitan a los operadores humanos vigilar, comprender y, cuando sea necesario, intervenir o anular el sistema.
  • Artículo 15 — Exactitud, robustez, ciberseguridad. Métricas de exactitud declaradas, resiliencia frente a errores e incoherencias, y protección contra la interferencia adversaria y el envenenamiento de datos.

El SGC (Artículo 17) es la columna vertebral organizativa. No aparece como un resultado de evaluación separado, pero un SGC ausente o hueco aflora como carencias probatorias en todo lo anterior.

Documentación técnica con arreglo al Artículo 11 y al Anexo IV

El expediente técnico es el núcleo probatorio de cualquier evaluación de la conformidad. El Anexo IV especifica su contenido obligatorio. Hay siete secciones exigidas:

1. Descripción del sistema. La finalidad prevista, las tareas concretas que realiza el sistema, el contexto de despliegue, los escenarios de uso indebido razonablemente previsibles y cualquier limitación de la que el proveedor tenga conocimiento.

2. Datos de entrenamiento, validación y prueba. La composición del conjunto de datos, la metodología de etiquetado, los procedimientos utilizados para comprobar la representatividad y los errores, y la evaluación del sesgo realizada con arreglo al Artículo 10. Esta sección debe ser rastreable: si un auditor pregunta qué versión de los datos de entrenamiento produjo qué punto de control del modelo, sus registros deben responderlo.

3. Diseño y arquitectura del modelo. La arquitectura del sistema, los algoritmos, las decisiones de diseño clave y el razonamiento que las sustenta. Para los proveedores que utilizan componentes de modelo de terceros, esto incluye lo que sabe sobre esos componentes y la evaluación de los riesgos que introducen.

4. Métricas de rendimiento. Exactitud, precisión, exhaustividad (recall) (según corresponda al caso de uso), umbrales de robustez, resultados de las pruebas adversarias y cómo varía el rendimiento entre las subpoblaciones pertinentes. Las cifras de exactitud globales escuetas son insuficientes — las autoridades examinarán el rendimiento desglosado.

5. Registros de gestión de riesgos. El resultado del proceso del Artículo 9: identificación de peligros, estimación del riesgo, evaluación y los controles de mitigación adoptados. Los riesgos residuales y la justificación para aceptarlos.

6. Medidas de supervisión humana. Cómo comunica el sistema la confianza y la incertidumbre a los operadores, qué mecanismos de anulación existen, cómo se forma a los operadores y qué pistas de auditoría genera el sistema para respaldar la revisión a posteriori.

7. Plan de vigilancia poscomercialización. El plan del Artículo 72: metodología de recopilación de datos, umbrales de vigilancia del rendimiento, desencadenantes de identificación de incidentes y el bucle de retroalimentación hacia el sistema de gestión de riesgos del Artículo 9.

La documentación debe mantenerse durante diez años desde que el sistema se introduce en el mercado. Cuando una autoridad de vigilancia del mercado la solicite durante una inspección o en respuesta a una reclamación, el proveedor debe aportarla sin demora. Las plantillas genéricas no adaptadas al sistema concreto no sobrevivirán al escrutinio.

Sistema de gestión de la calidad (Artículo 17)

El SGC es el cimiento procedimental que hace defendible la evaluación de la conformidad a lo largo del tiempo, no solo en el momento de la evaluación inicial. El Artículo 17 exige que los proveedores de sistemas de IA de alto riesgo establezcan, apliquen, documenten y mantengan un SGC que cubra todo el ciclo de vida.

El SGC debe cubrir, como mínimo:

  • Procedimientos de desarrollo. Cómo se documentan, revisan y aprueban las decisiones de diseño. Control de versiones de los conjuntos de datos y los puntos de control del modelo.
  • Gobernanza de datos. Quién autoriza el uso de los datos de entrenamiento, cómo se registran las pruebas de sesgo, qué desencadena el reentrenamiento y cómo se mantiene el control de versiones de los conjuntos de datos.
  • Verificación y validación. Conjuntos de pruebas definidos con criterios de aprobado/suspenso documentados. Registros de cada ejecución de prueba — no solo resúmenes de aprobado/suspenso, sino los resultados subyacentes.
  • Gestión de cambios. Cómo se evalúan las modificaciones propuestas para determinar si constituyen una modificación sustancial con arreglo al Artículo 43, apartado 4, y qué proceso de aprobación se aplica.
  • Vigilancia poscomercialización. Cómo se recopilan los datos operativos, cómo se clasifican los incidentes y cómo retroalimentan los hallazgos el sistema de gestión de riesgos y la documentación técnica.
  • Respuesta a incidentes. Procedimientos para detectar, escalar, investigar y resolver los fallos en producción. Documentación de las medidas correctoras.

La distinción que importa para la ejecución: un SGC que describe lo que debería ocurrir es un documento de política. Un SGC que registra lo que realmente ocurrió — registros de pruebas, registros de aprobación de conjuntos de datos, investigaciones de incidentes — es una prueba. Los organismos notificados y las autoridades de vigilancia del mercado pedirán ambos y los contrastarán.

Para los sistemas del Anexo VI (autoevaluación), el SGC sirve de comprobación interna de la conformidad. Para los sistemas del Anexo VII (organismo notificado), el organismo notificado revisa el SGC como parte de la evaluación.

El proceso de evaluación por el organismo notificado (Anexo VII)

Para los proveedores obligados a utilizar el Anexo VII — sistemas biométricos sin normas armonizadas plenamente aplicadas y componentes de seguridad de productos del Anexo I —, el proceso se desarrolla aproximadamente como sigue.

Paso 1: preinteracción y verificación del alcance. Antes de presentar la documentación, verifique en la base de datos NANDO (nando.ec.europa.eu) que el organismo está designado para la evaluación de la conformidad de la IA y que su alcance cubre su tipo de sistema. Confirme la duración actual de la cola del organismo y solicite una consulta de preevaluación si se ofrece — muchos organismos revisarán un resumen de su SGC y su expediente técnico para identificar carencias evidentes antes de que arranque el reloj de presentación formal.

Paso 2: presentación de la documentación. Usted presenta el paquete completo de documentación técnica del Anexo IV, el informe de gestión de riesgos del Artículo 9, los registros de gobernanza de datos del Artículo 10, la documentación del SGC del Artículo 17 y las pruebas de las pruebas de robustez y ciberseguridad del Artículo 15. Las presentaciones incompletas son habituales; la carencia más frecuente son los registros de procedencia de los datos de entrenamiento que no pueden rastrearse hasta la fuente para versiones anteriores del conjunto de datos.

Paso 3: revisión documental. El organismo notificado realiza una revisión documental de la documentación, típicamente a lo largo de cuatro a ocho semanas. Comprueba la conformidad con cada requisito del Capítulo III, Sección 2, e identifica cualquier carencia que requiera información complementaria o subsanación.

Paso 4: auditoría in situ (cuando sea necesaria). Para los sistemas complejos o cuando la revisión documental plantee dudas, el organismo notificado puede realizar una auditoría in situ de su entorno de desarrollo, sus sistemas de control de versiones, su infraestructura de pruebas y sus procesos de SGC. Las auditorías in situ suelen durar entre dos y cinco días.

Paso 5: emisión del certificado. Si la evaluación es satisfactoria, el organismo notificado emite un certificado de evaluación de la conformidad. Una vez que tenga el certificado, elabore la declaración de conformidad del Artículo 47 y coloque el marcado CE. El certificado tiene una validez de tres años y es renovable; el organismo vigila su SGC durante el período de validez del certificado y puede realizar reevaluaciones periódicas.

Paso 6: registro. Antes de introducir el sistema en el mercado, regístrelo en la base de datos de la UE con arreglo al Artículo 49.

La modificación sustancial reinicia la evaluación

Se exige una nueva evaluación de la conformidad siempre que un sistema de IA de alto riesgo sufra una modificación sustancial (Artículo 43, apartado 4). Una modificación sustancial es aquella que no se anticipó en la evaluación original y afecta a la conformidad con los requisitos del Capítulo III, Sección 2, o que cambia la finalidad prevista de un modo que activa una clasificación de alto riesgo nueva o distinta.

Qué cuenta típicamente: el reentrenamiento con un conjunto de datos materialmente diferente que altera la población a la que sirve el modelo; añadir un caso de uso que entra en un punto distinto del Anexo III; cambiar la lógica de decisión de formas que afectan a la exactitud o a las características de sesgo; modificar los mecanismos de supervisión humana de modo que se reduzca su eficacia.

Qué no cuenta típicamente: los parches de seguridad rutinarios que no alteran el comportamiento del modelo; las correcciones de errores que restablecen el rendimiento documentado; las mejoras incrementales de la exactitud dentro del mismo caso de uso y dentro de las tolerancias documentadas en el expediente técnico original.

En caso de duda, documente la evaluación de la modificación y su conclusión. Si un organismo notificado emitió el certificado original, notifique al organismo los cambios significativos — este determina si se necesita una nueva evaluación.

Tras una evaluación satisfactoria: tres pasos posteriores

1. Declaración UE de conformidad (Artículo 47)

El proveedor elabora una declaración escrita que identifica el sistema por nombre comercial, modelo y versión; indica qué procedimiento de evaluación de la conformidad se utilizó; remite a la documentación técnica; identifica al organismo notificado si intervino alguno; declara la conformidad con los requisitos aplicables del Capítulo III, Sección 2; y lleva la denominación legal, la dirección y la firma autorizada del proveedor. Conserve la declaración durante diez años. Aportela a las autoridades cuando lo soliciten.

2. Marcado CE (Artículo 48)

Coloque el marcado CE en el sistema — o, en el caso de los sistemas exclusivamente de software en los que el marcado físico no sea practicable, en la interfaz de usuario, el embalaje o la documentación adjunta. Colocar el marcado sin una evaluación válida completada es un incumplimiento. También lo es no colocarlo tras una válida.

3. Registro en la base de datos de la UE (Artículo 49)

Antes de introducir el sistema en el mercado, regístrelo en la base de datos de la UE para sistemas de IA de alto riesgo. Esta es una obligación del Artículo 49 — no del Artículo 51, que se refiere a la clasificación de los modelos GPAI. El registro debe mantenerse actualizado; se exigen actualizaciones cuando la información cambia de forma material.

Ejemplo trabajado: un proveedor de tecnología de RR. HH. en la vía de autoevaluación

Una empresa de 35 personas con sede en Tallin proporciona una herramienta de cribado de currículos utilizada por empleadores de Alemania, Francia y los Países Bajos. La herramienta clasifica a los candidatos frente a los criterios del puesto. Eso entra en el punto 4 del Anexo III (empleo, gestión de los trabajadores, acceso al autoempleo), situándola firmemente en el nivel de alto riesgo.

La vía aplicable es el Anexo VI — control interno. El punto 4 del Anexo III no es biometría; no hay requisito de organismo notificado.

Qué aspecto tiene la evaluación:

El responsable de cumplimiento compila el expediente técnico del Artículo 11 / Anexo IV. Descripción del sistema: clasificación de candidatos para puestos vacantes; destinado a ser utilizado por responsables de contratación humanos que conservan la autoridad de decisión final. Datos de entrenamiento: cinco conjuntos de datos de currículos etiquetados, con pruebas de sesgo demográfico por sexo, edad y nacionalidad realizadas en cada ciclo de entrenamiento; resultados de las pruebas conservados por versión del conjunto de datos. Arquitectura del modelo: clasificador con potenciación del gradiente (gradient-boosted) con una restricción de equidad que penaliza la disparidad de clasificación por atributo protegido. Métricas de rendimiento: recall@10 evaluado por grupo demográfico, con un umbral definido por debajo del cual el modelo se reentrena. Gestión de riesgos del Artículo 9: riesgo principal identificado como la infravaloración sistemática de los candidatos infrarrepresentados; la mitigación es la restricción de equidad más la vigilancia mensual de la disparidad tras el despliegue. Supervisión humana del Artículo 14: el responsable de contratación toma la decisión final; la interfaz muestra la puntuación de confianza del modelo y señala cuándo una recomendación produciría una disparidad demográfica significativa respecto al conjunto de candidatos. Plan de vigilancia poscomercialización: recall@10 mensual por grupo demográfico; cualquier descenso superior al 3 % desencadena un análisis de la causa raíz.

La documentación del SGC del Artículo 17 cubre el flujo de trabajo de aprobación de las actualizaciones de conjuntos de datos, el conjunto de pruebas (pruebas unitarias, de integración y de equidad ejecutadas antes de cualquier lanzamiento), el proceso de gestión de cambios y el procedimiento de respuesta a incidentes.

Una vez montado el expediente técnico y en orden los registros del SGC, el responsable de cumplimiento elabora y firma la declaración de conformidad del Artículo 47, coloca el marcado CE en la documentación del producto y registra el sistema con arreglo al Artículo 49.

Objetivo: completar bastante antes del 2 de diciembre de 2027. Plazo realista desde el inicio de la documentación hasta la evaluación completada: de seis a diez semanas. El principal cuello de botella fue montar los registros de pruebas de sesgo para las versiones históricas del conjunto de datos anteriores a la actual disciplina de control de versiones.

Las evaluaciones AIRC y AITR de Confir estructuran este proceso — proyectándose directamente sobre los requisitos del Artículo 11 / Anexo IV, recopilando las pruebas control por control y generando el paquete de documentación técnica y la declaración de conformidad del Artículo 47 como resultados.

Errores habituales y cómo evitarlos

Tratar el Anexo IV como una plantilla que rellenar, no como pruebas que montar. Un organismo notificado o una autoridad de vigilancia del mercado comprobará si sus controles documentados se corresponden con los riesgos concretos que plantea su sistema. El lenguaje genérico sobre las «pruebas de sesgo» sin metodología, resultados ni referencias de versión no superará la prueba.

Suponer que la biometría siempre necesita un organismo notificado. Eso es incorrecto. Si ha aplicado plenamente las normas armonizadas que cubren los requisitos del Capítulo III, Sección 2, puede optar por el Anexo VI. Compruebe qué normas existen y qué cubren antes de suponer que el Anexo VII es inevitable.

Suponer que los puntos 2 a 8 del Anexo III nunca necesitan un organismo notificado. También incorrecto — en la otra dirección. Para los sistemas de los puntos 2 a 8, el Anexo VI es la vía correcta con independencia de que existan normas armonizadas. No se requiere organismo notificado.

Confundir la evaluación de la conformidad con la EIDF. El Artículo 27 es una obligación del responsable del despliegue que se realiza antes del uso operativo. El Artículo 43 es una obligación del proveedor que se realiza antes de la introducción en el mercado. Cubren actores diferentes en etapas diferentes con fines diferentes. La EIDF no sustituye a la evaluación de la conformidad, y la evaluación de la conformidad no satisface la obligación de la EIDF.

Planificar agosto de 2026 como plazo. El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027 (2 de agosto de 2028 para los componentes de seguridad del Anexo I). La fecha original de agosto de 2026 se ha aplazado en virtud del Ómnibus Digital. Utilice las fechas correctas en su hoja de ruta de cumplimiento.

Descuidar la vigilancia poscomercialización una vez realizada la evaluación. La evaluación de la conformidad es una instantánea previa a la comercialización. La vigilancia del Artículo 72 es lo que valida que el sistema sigue siendo conforme en producción. Están conectadas — el plan de vigilancia del Anexo IV debe ser real y operativo — pero son obligaciones distintas. Los proveedores que superan la evaluación y luego no realizan ninguna vigilancia significativa cumplen solo sobre el papel.

Relación con la vigilancia poscomercialización (Artículo 72) y la EIDF (Artículo 27)

Estas tres obligaciones se confunden con frecuencia. Son distintas en actor, momento y finalidad.

ObligaciónArtículoActorCuándoFinalidad
Evaluación de la conformidad43ProveedorPrevia a la comercializaciónDemuestra que el sistema cumple el Capítulo III, Sección 2, antes de la introducción
Vigilancia poscomercialización72ProveedorContinua, tras la comercializaciónDetecta la degradación del rendimiento, nuevos riesgos e incidentes
EIDF27Determinados responsables del desplieguePrevia al usoEvalúa el impacto sobre los derechos fundamentales antes del despliegue operativo en contextos específicos

El Artículo 72 y el Artículo 43 están conectados: el plan de vigilancia poscomercialización de la sección 7 del expediente técnico del Anexo IV es el puente. Pero la obligación de vigilancia se prolonga durante toda la vida operativa del sistema y no se satisface con la propia evaluación.

El Artículo 27 es enteramente independiente. Es una obligación del responsable del despliegue — la realiza la organización que utiliza el sistema en un contexto concreto — no una obligación del proveedor. Los proveedores no son responsables del cumplimiento de la EIDF por parte de los responsables del despliegue, aunque deben proporcionar la información que estos necesitan para realizarla (Artículo 13, instrucciones de uso).

Plazos y sanciones

Fechas de aplicación (según el Ómnibus Digital, acuerdo político de mayo de 2026):

  • 2 de diciembre de 2027 — sistemas de IA de alto riesgo autónomos (Anexo III, puntos 1 a 8).
  • 2 de agosto de 2028 — sistemas de IA de alto riesgo que son componentes de seguridad de productos del Anexo I.

La fecha original del 2 de agosto de 2026 se ha aplazado. Estos son los plazos operativos para todos los efectos de planificación.

Sanciones (Artículo 99):

El incumplimiento del Artículo 43 — introducir un sistema de alto riesgo en el mercado sin completar la evaluación de la conformidad — entra en el nivel sancionador intermedio: 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio financiero precedente, la cifra que sea mayor.

Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. Es una protección de proporcionalidad que conviene señalar, pero no elimina la obligación.

La cifra de «30 millones de euros o el 6 %» no figura en la Ley. Cualquier fuente que la cite es incorrecta.

Organismos notificados: designación y supervisión (Artículos 31 a 39)

Los organismos notificados no se autodesignan. Son notificados por los Estados miembros de la UE a la Comisión Europea tras satisfacer los requisitos de independencia, imparcialidad y competencia técnica establecidos en los Artículos 31 a 39. La Comisión publica la lista de designados a través de la base de datos NANDO.

Al seleccionar un organismo notificado para una evaluación del Anexo VII, verifique:

  • Que el organismo está designado específicamente para la evaluación de la conformidad de la IA (no solo para el sector del producto con la IA como alcance añadido incidental).
  • Que su alcance de acreditación cubre su tipo concreto de sistema — biometría, o el sector de productos del Anexo I pertinente.
  • Que actualmente acepta nuevas presentaciones de evaluación y que el plazo de su cola es compatible con su fecha límite.

Un certificado emitido por un organismo cuya designación no cubre su tipo de sistema es jurídicamente inválido. Compruebe NANDO antes de contactar.

Los organismos nacionales de acreditación (uno por Estado miembro con arreglo al Reglamento (CE) n.º 765/2008) supervisan a los organismos notificados y se puede contactar con ellos si surgen dudas sobre la competencia o la imparcialidad de un organismo.

Cómo ayuda Confir

La mayor parte del tiempo y el esfuerzo de la evaluación de la conformidad del Artículo 43 se dedica a montar la documentación técnica del Artículo 11 / Anexo IV y a garantizar que el SGC del Artículo 17 tenga registros adecuados que respalden cada afirmación. Las evaluaciones AIRC y AITR de Confir recorren los requisitos del Capítulo III, Sección 2, control por control, recopilan las pruebas de forma sistemática y generan el paquete de documentación técnica y la declaración de conformidad del Artículo 47 como resultados estructurados. La admisión de AIRC también determina qué vía de evaluación se aplica — Anexo VI o Anexo VII — en función de la clasificación de su sistema, de modo que no hay conjeturas.

El motor es determinista y basado en reglas: la misma admisión produce el mismo alcance y la misma estructura de documentación, lo que importa para la defendibilidad en auditoría.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.