Skip to content
Confir.
Prueba gratuita
Blog

Artículo 47 de la Ley de IA de la UE: declaración UE de conformidad para los sistemas de IA de alto riesgo

EU AI Act Guide2 February 2026· 19 min de lectura

El Artículo 47 exige a los proveedores de sistemas de IA de alto riesgo redactar una declaración UE de conformidad (Anexo V), conservada 10 años. Plazo: 2 de diciembre de 2027.

El Artículo 47 del Reglamento (UE) 2024/1689 exige a todo proveedor de un sistema de IA de alto riesgo redactar una declaración UE de conformidad formal —un documento firmado y legible por máquina en el que el proveedor declara, bajo su exclusiva responsabilidad, que el sistema cumple todos los requisitos aplicables de la Ley de IA de la UE— antes de que el sistema se introduzca en el mercado de la UE o se ponga en servicio.

Qué es la declaración UE de conformidad

La declaración UE de conformidad (DdC) es un documento jurídico formal, no un certificado emitido por un tercero. El proveedor la redacta él mismo. Al hacerlo, asume la responsabilidad jurídica personal del cumplimiento del sistema con la Ley de IA de la UE. El Artículo 47, apartado 5, lo establece de forma explícita: redactar la DdC es el acto de asumir esa responsabilidad.

La DdC no es una hoja de trabajo, un registro de riesgos ni una lista de comprobación. Es una declaración concisa y firmada de una conclusión —la afirmación formal del proveedor de que la evaluación de la conformidad se ha completado y de que el sistema cumple los requisitos—. Debe ser legible por máquina, conservarse durante 10 años y ponerse a disposición de las autoridades nacionales competentes que la soliciten.

Tres documentos se confunden en la práctica —en parte porque la Ley de IA de la UE exige los tres, y en parte porque se remiten unos a otros—. Mantenerlos diferenciados ahorra tiempo y evita lagunas regulatorias:

  • Documentación técnica (Artículo 11 / Anexo IV): la base de pruebas subyacente —arquitectura del sistema, resultados de la gestión de riesgos, resultados de las pruebas, registros de gobernanza de datos—. Es el expediente detallado que el proveedor reúne a lo largo del desarrollo.
  • Evaluación de la conformidad (Artículo 43): el procedimiento para verificar el cumplimiento. Para la mayoría de los sistemas del Anexo III, es un proceso de control interno (Anexo VI); para determinados sistemas (los que implican identificación biométrica u otros casos enumerados), debe intervenir un organismo notificado (Anexo VII).
  • Declaración UE de conformidad (Artículo 47 / Anexo V): el documento de salida. Se redacta una vez completada la evaluación. Concisa. Firmada. Legible por máquina.

Un cuarto documento que conviene distinguir son las instrucciones de uso exigidas por el Artículo 13. Las instrucciones se dirigen a los responsables del despliegue —les indican qué hace el sistema, sus limitaciones y la supervisión humana que requiere—. La DdC se dirige a las autoridades competentes —les indica que el proveedor ha verificado el cumplimiento y asume la responsabilidad jurídica—. Distinto público, distinta finalidad, ambos obligatorios.

La secuencia importa. El Artículo 47 viene después del Artículo 43, y el Artículo 48 (marcado CE) viene después del Artículo 47. Nada puede saltarse ni reordenarse:

Artículo 43 (evaluación de la conformidad) → Artículo 47 (declaración UE de conformidad) → Artículo 48 (marcado CE) → Artículo 49 (registro en la base de datos de la UE)

Qué exige el Artículo 47: las obligaciones básicas

Redactar la DdC

Todo proveedor de un sistema de IA de alto riesgo debe redactar una DdC por escrito antes de introducir el sistema en el mercado de la UE o ponerlo en servicio. El Artículo 47, apartado 1, es incondicional —no hay exenciones por tamaño para los pequeños proveedores, ni disposiciones transitorias que permitan comercializar sin la DdC—. Si el sistema es de alto riesgo con arreglo al Artículo 6, la DdC es obligatoria.

La DdC debe ser legible por máquina. Esto no es una mera recomendación. El Artículo 47, apartado 1, lo especifica de forma explícita. Una DdC legible por máquina puede ser procesada por sistemas automatizados —dando soporte a la base de datos de la UE, a las funciones de vigilancia del mercado y al intercambio transfronterizo de datos regulatorios—. Un PDF con contenido correctamente etiquetado o metadatos incorporados satisface el requisito; un escaneo sin etiquetar de un documento en papel, no.

Contenido: qué exige el Anexo V

El Artículo 47, apartado 3, incorpora el Anexo V por remisión. La DdC debe contener toda la información allí establecida. El Anexo V especifica:

  1. Identidad del proveedor — nombre completo y dirección del proveedor (y, en su caso, de su representante autorizado en la UE con arreglo al Artículo 22).
  2. Identidad del sistema de IA — nombre, tipo y cualquier referencia inequívoca (número de versión, número de lote, número de serie) que permita identificar claramente el sistema. Cuando la DdC cubra varios sistemas, cada uno debe enumerarse individualmente.
  3. Declaración de conformidad — una declaración explícita de que el sistema de IA es conforme con el Reglamento (UE) 2024/1689 y, en su caso, con cualquier otra legislación de la Unión que exija una DdC.
  4. Normas y especificaciones aplicadas — referencias por número y fecha a cualquier norma armonizada o especificación común que el proveedor haya aplicado. Cuando no se aplique ninguna, una descripción de las medidas adoptadas para demostrar la conformidad.
  5. Información sobre el organismo notificado — cuando haya intervenido un organismo notificado con arreglo al Artículo 43, su nombre, número de identificación y el número del certificado.
  6. Lugar, fecha y firma — el lugar y la fecha en que se redactó la DdC; el nombre y la función del firmante; su firma. El firmante debe tener facultad para obligar jurídicamente al proveedor.
  7. Representante autorizado — cuando el proveedor no esté establecido en la UE, el nombre, la dirección y la firma de su representante autorizado con arreglo al Artículo 22.

Conservación: 10 años

El Artículo 47, apartado 1, exige que la DdC permanezca a disposición de las autoridades nacionales competentes durante 10 años después de que el sistema se introduzca en el mercado o se ponga en servicio. Para los proveedores que lanzan versiones sucesivas, la regla práctica es: conservar la DdC de cada versión durante 10 años desde la fecha en que esa versión estuvo por última vez en el mercado.

La DdC debe mantenerse actualizada. El Artículo 47, apartado 5, lo establece expresamente. Si el sistema de IA sufre una modificación sustancial que activa una nueva evaluación de la conformidad con arreglo al Artículo 43, la DdC debe actualizarse para reflejar la nueva evaluación. Una DdC que describe la versión 1.0 no puede utilizarse para cubrir la versión 2.0 si esa versión introdujo capacidades que requieren una nueva evaluación. Lo que constituye una «modificación sustancial» es una cuestión de criterio que los proveedores deberían documentar en su momento —no retrospectivamente, si un regulador viene a preguntar—.

DdC combinada para sistemas sujetos a varios reglamentos

El Artículo 47, apartado 4, permite que una única DdC cubra toda la legislación de la Unión aplicable cuando un sistema de IA de alto riesgo esté sujeto a otra normativa de la UE que también exija una DdC —por ejemplo, un producto sanitario de IA sujeto tanto a la Ley de IA de la UE como al Reglamento sobre los productos sanitarios (MDR), o un sistema de IA en una máquina sujeto al Reglamento sobre máquinas—.

La única DdC debe contener todos los elementos exigidos por cada reglamento aplicable. Nada puede omitirse simplemente porque aparezca en otra sección del documento. La simplificación es administrativa, no sustantiva.

Quién soporta la obligación del Artículo 47

Los proveedores soportan la obligación. El proveedor es la entidad que desarrolla un sistema de IA de alto riesgo y lo introduce en el mercado o lo pone en servicio con su propio nombre o marca —o que modifica sustancialmente un sistema y asume con ello la condición de proveedor con arreglo al Artículo 25—. Redactar la DdC es una obligación del proveedor con arreglo al Artículo 16, letra e).

Los representantes autorizados de proveedores de fuera de la UE deben firmar la DdC en nombre del proveedor establecido en la UE. Con arreglo al Artículo 22, el representante autorizado asume la responsabilidad jurídica de la DdC dentro de la UE.

Los importadores (Artículo 23) y los distribuidores (Artículo 24) deben verificar que existe una DdC válida y que se ha redactado correctamente antes de introducir el sistema en el mercado de la UE o de comercializarlo. No pueden suministrar un sistema que carezca de DdC.

Los responsables del despliegue (Artículo 26) no están obligados a redactar una DdC —la obligación recae sobre el proveedor—. Pero los responsables del despliegue deberían solicitar y revisar la DdC antes de poner en servicio un sistema de alto riesgo de un tercero. La DdC confirma el alcance del sistema del que el proveedor ha asumido la responsabilidad, la base de la evaluación de la conformidad y las normas aplicadas. Esto importa para la propia diligencia debida de los responsables del despliegue y para cualquier Evaluación de Impacto relativa a los Derechos Fundamentales del Artículo 27 que puedan tener que realizar.

La DdC en la secuencia de cumplimiento

Comprender dónde se sitúa el Artículo 47 en el ciclo de vida completo del cumplimiento evita lagunas y errores de secuencia.

Un proveedor que despliega un sistema de IA de alto riesgo autónomo (un sistema del Anexo III —por ejemplo, una herramienta de cribado de selección de personal o un modelo de calificación crediticia—) debe completar lo siguiente antes de la introducción en el mercado:

  1. Sistema de gestión de riesgos (Artículo 9): identificar y evaluar los riesgos a lo largo de todo el ciclo de vida del sistema.
  2. Gobernanza de datos (Artículo 10): garantizar que los datos de entrenamiento, validación y prueba cumplen las normas de calidad y gobernanza.
  3. Documentación técnica (Artículo 11 / Anexo IV): reunir el expediente completo de pruebas —arquitectura, justificación del desarrollo, registros de gestión de riesgos, resultados de las pruebas, disposiciones de supervisión humana—.
  4. Conservación de registros (Artículo 12): garantizar el registro automático de eventos durante el funcionamiento.
  5. Transparencia (Artículo 13): elaborar instrucciones de uso adecuadas para los responsables del despliegue.
  6. Supervisión humana (Artículo 14): incorporar mecanismos de intervención humana.
  7. Sistema de gestión de la calidad (Artículo 17): mantener un SGC que cubra todo el ciclo de vida de desarrollo y poscomercialización.
  8. Evaluación de la conformidad (Artículo 43): completar el control interno (Anexo VI) o hacer intervenir a un organismo notificado (Anexo VII cuando se requiera).
  9. Declaración UE de conformidad (Artículo 47): redactar la DdC una vez completada la evaluación.
  10. Marcado CE (Artículo 48): colocar el marcado CE en el sistema o en su documentación.
  11. Registro (Artículo 49): registrar el sistema en la base de datos de la UE antes de la introducción en el mercado (para los sistemas del Anexo III).

La DdC se sitúa en el paso 9. No puede redactarse hasta que se haya completado la evaluación de la conformidad del paso 8. El marcado CE no puede colocarse hasta que esté hecha la DdC del paso 9. La secuencia es legal, no una preferencia administrativa.

Ejemplo trabajado: pequeño proveedor, ámbito del Anexo III

Escenario: una empresa fintech de 25 personas en Varsovia —llamémosla CreditLogic— ha construido un módulo de evaluación de la solvencia que puntúa las solicitudes de préstamo de pymes para un banco regional polaco. El banco despliega el módulo de CreditLogic bajo un acuerdo de marca blanca. CreditLogic introduce el módulo en el mercado con su propio nombre.

CreditLogic es el proveedor con arreglo al Artículo 16. El módulo entra en el Anexo III, categoría 5 (sistemas de IA utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia). No cumple los requisitos de la exención del Artículo 6, apartado 3 —la calificación de la solvencia de personas físicas influye directamente en el acceso a servicios financieros y constituye un riesgo significativo de perjuicio—. Se aplica toda la pila de alto riesgo.

Tras reunir la documentación técnica del Anexo IV y completar la evaluación interna de la conformidad con arreglo al Artículo 43 (control interno del Anexo VI), el responsable de cumplimiento de CreditLogic redacta la DdC. El documento contiene:

  • CreditLogic sp. z o.o., domicilio social registrado en Varsovia
  • Nombre del sistema: «CreditLogic Scoring Engine», versión 3.2, identificador único de producto CL-SCO-32
  • Declaración: «El sistema de IA identificado anteriormente es conforme con el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, sobre la inteligencia artificial»
  • Referencia al procedimiento de control interno con arreglo al Anexo VI (sin organismo notificado —no requerido para esta categoría—)
  • Cuando se hayan publicado y aplicado normas armonizadas, sus números de referencia y fechas; en caso contrario, una descripción de la metodología técnica interna utilizada para demostrar la conformidad con los Artículos 9 a 15
  • Firma del director ejecutivo de CreditLogic, con nombre, función, Varsovia y fecha
  • Sin entrada de representante autorizado (CreditLogic está establecida en la UE)

CreditLogic almacena la DdC como un PDF legible por máquina junto con el expediente del Anexo IV. Registra el sistema en la base de datos de la UE con arreglo al Artículo 49, coloca el marcado CE con arreglo al Artículo 48 y proporciona al banco responsable del despliegue una copia de la DdC y las instrucciones de uso.

Cuando CreditLogic lanza la versión 4.0 con un conjunto de funciones significativamente ampliado —incluido un nuevo modelo de estimación de ingresos—, el responsable de cumplimiento determina que se trata de una modificación sustancial que activa una nueva evaluación de la conformidad con arreglo al Artículo 43. Se redacta una nueva DdC para la versión 4.0. La DdC de la versión 3.2 se conserva durante 10 años desde su última fecha de mercado.

La lección para un equipo de 25 personas: la DdC en sí no es la parte difícil. Es un documento de tres a cinco páginas. La parte difícil es reunir la documentación técnica del Anexo IV y completar la evaluación de la conformidad que da a la DdC su fundamento jurídico. Una DdC redactada sin una evaluación subyacente genuina es una declaración falsa —el riesgo ahí no es administrativo, es jurídico—.

Requisitos de traducción y de lengua

El Artículo 47 no especifica un requisito de lengua para la DdC en sí, pero los Estados miembros pueden exigir a los proveedores que pongan la DdC (y la documentación de apoyo) a disposición en su lengua nacional como condición de acceso al mercado. En la práctica, el inglés se acepta ampliamente para la documentación técnica en los Estados miembros de la UE, pero los proveedores que se dirijan a Alemania, Francia, Polonia o España deberían verificar los requisitos nacionales antes de introducir el sistema en esos mercados. Incorporar la traducción al proceso de cumplimiento antes de la entrada en el mercado resulta más barato que corregirlo después de una solicitud de vigilancia del mercado.

Para los proveedores que suministran sistemas en varios Estados miembros —una posición habitual de las empresas SaaS con sede en la UE—, el enfoque práctico es preparar la DdC primero en inglés y luego encargar las traducciones para cada mercado simultáneamente, en lugar de secuencialmente. El contenido básico no cambia entre versiones lingüísticas; solo cambia la presentación. Confirme que cada versión traducida está firmada, fechada y almacenada en el mismo expediente de conservación que el original. Si una autoridad de vigilancia del mercado solicita el documento en su lengua nacional, querrá recuperarlo en segundos, no en semanas.

Un punto adicional sobre el alcance: cuando el sistema de IA se introduce en el mercado de un Estado miembro a través de un distribuidor o un importador, esas partes soportan sus propias obligaciones con arreglo a los Artículos 23 y 24 de verificar que la DdC existe y es válida. Un proveedor no puede confiar en que el distribuidor señale la ausencia de una DdC —la obligación de redactarla y mantenerla disponible recae únicamente sobre el proveedor—.

Sanciones por incumplimiento

Introducir un sistema de IA de alto riesgo en el mercado de la UE sin una DdC válida vulnera las obligaciones del proveedor de los Artículos 16 y 47. Con arreglo al Artículo 99 de la Ley de IA de la UE, esto entra en el segundo nivel sancionador: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor.

Para las empresas con un volumen de negocios mundial modesto, domina el importe fijo. Para los proveedores más grandes, el 3 % de los ingresos mundiales puede superar con creces los 15 millones de euros. El Artículo 99, apartado 6, ofrece una protección de proporcionalidad para las pymes y las empresas emergentes: para ellas, la multa es la menor de las dos cifras, el porcentaje o el importe fijo. Esta protección existe —pero no es un salvoconducto—. Una DdC inválida o ausente sigue siendo una infracción.

El plazo para los sistemas de IA de alto riesgo autónomos (la lista del Anexo III) es el 2 de diciembre de 2027 —aplazado respecto de la fecha original del 2 de agosto de 2026 en virtud del acuerdo del Ómnibus Digital alcanzado por el Parlamento y el Consejo en mayo de 2026—. Los sistemas de IA de alto riesgo que son componentes de seguridad de productos regulados del Anexo I se enfrentan a un plazo ampliado adicional del 2 de agosto de 2028. El tiempo adicional es para construir un cumplimiento genuino, no para aplazar el trabajo de documentación.

Cómo ayuda Confir

Para los proveedores que han completado el flujo de trabajo de evaluación de Confir, la declaración de conformidad del Anexo V se genera automáticamente a partir de los datos ya recopilados. El motor basado en reglas mapea las respuestas de la evaluación completada a cada uno de los campos del Anexo V —identidad del proveedor, identificación del sistema, referencias a normas, datos del organismo notificado si procede e información del firmante— y produce un documento legible por máquina listo para la firma. La misma lógica determinista que deriva el nivel de riesgo y la función (Proveedor / Responsable del despliegue con arreglo a los Artículos 6 y 16) también garantiza que la DdC referencie los Artículos y la base de evaluación correctos.

La DdC generada se exporta como parte del Paquete de Conformidad junto con la documentación técnica del Anexo IV. Los proveedores pueden asignar el firmante autorizado, registrar el lugar y la fecha de la firma y almacenar la versión firmada en el registro de auditoría inmutable —de modo que, cuando una autoridad nacional competente solicite una copia con arreglo al Artículo 47, apartado 2, el documento firmado sea recuperable en segundos, no en horas de búsqueda entre adjuntos de correo electrónico—.

Guías relacionadas

Preguntas frecuentes

¿Cuál es la diferencia entre la declaración UE de conformidad y la evaluación de la conformidad?

La evaluación de la conformidad (Artículo 43) es el procedimiento —una revisión sistemática de la documentación técnica, las pruebas y la evidencia frente a los requisitos de los Artículos 9 a 15—. La declaración UE de conformidad (Artículo 47) es el documento que el proveedor redacta una vez completado ese procedimiento. Es una declaración formal de la conclusión: el proveedor declara, bajo su exclusiva responsabilidad, que el sistema cumple. La DdC no puede redactarse sin completar primero la evaluación. Una es el trabajo; la otra es el registro firmado de lo que ese trabajo concluyó.

¿Qué debe contener la declaración UE de conformidad con arreglo al Anexo V?

El Anexo V exige: el nombre completo y la dirección del proveedor; el nombre, el tipo y un identificador único del sistema de IA; una declaración de conformidad explícita que cite el Reglamento (UE) 2024/1689; referencias a las normas armonizadas o especificaciones comunes aplicadas (o una descripción de las medidas utilizadas cuando no existan); los datos del organismo notificado y el número del certificado cuando proceda; y el nombre, la función y la firma del firmante, así como el lugar y la fecha de la firma. Para los proveedores de fuera de la UE, también deben constar los datos del representante autorizado. Si la DdC cubre varios sistemas, cada uno debe identificarse individualmente.

¿Quién debe firmar la declaración UE de conformidad?

Una persona con facultad para obligar jurídicamente al proveedor —normalmente un administrador, un director ejecutivo o un responsable de cumplimiento con autoridad delegada documentada—. Para los proveedores no establecidos en la UE, debe firmar el representante autorizado (Artículo 22). El nombre y la función del firmante deben constar en el documento junto con la firma, el lugar y la fecha.

¿Durante cuánto tiempo debe conservarse la DdC y en qué formato?

El Artículo 47, apartado 1, exige que la DdC se mantenga a disposición de las autoridades nacionales competentes durante 10 años después de que el sistema se introduzca en el mercado o se ponga en servicio. Debe ser legible por máquina —un documento digital correctamente etiquetado, no un escaneo de imagen sin etiquetar—. Para los sistemas con varias versiones, conserve la DdC de cada versión durante 10 años desde la última fecha de mercado de esa versión.

¿Puede una única DdC cubrir varios reglamentos de la UE?

Sí. El Artículo 47, apartado 4, permite explícitamente una DdC combinada para los sistemas sujetos a otra normativa de la Unión que también exija una declaración de conformidad —por ejemplo, un producto sanitario de IA cubierto tanto por la Ley de IA de la UE como por el Reglamento sobre los productos sanitarios—. La DdC combinada debe contener toda la información exigida por cada reglamento aplicable. Nada se exime simplemente porque el documento abarque varias bases jurídicas.

¿Cuál es la sanción por introducir un sistema de IA de alto riesgo en el mercado sin una DdC válida?

Con arreglo al Artículo 99 de la Ley de IA de la UE, no redactar ni mantener una declaración UE de conformidad válida entra en el segundo nivel sancionador: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa a la menor de las dos cifras. El plazo de cumplimiento para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027.

Última revisión: junio de 2026. Cita el Reglamento (UE) 2024/1689 (Ley de IA de la UE).

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.