Skip to content
Confir.
Prueba gratuita
Blog

Artículo 72 de la Ley de IA de la UE: vigilancia poscomercialización por los proveedores (2026)

EU AI Act Guide4 March 2026· 20 min de lectura

El Artículo 72 de la Ley de IA de la UE obliga a los proveedores de IA de alto riesgo a realizar una vigilancia poscomercialización. Estructura del plan, vínculo con el Artículo 9 y el plazo del 2 de diciembre de 2027.

El Artículo 72 del Reglamento (UE) 2024/1689 impone una obligación permanente a todo proveedor de un sistema de IA de alto riesgo: establecer, documentar y mantener un sistema de vigilancia poscomercialización que funcione durante toda la vida útil del sistema. No es una auditoría única ni una casilla que marcar en el lanzamiento. Es un programa activo de recopilación y análisis de datos, llevado a cabo por el proveedor, diseñado para detectar si el sistema sigue cumpliendo los requisitos de la sección 2 del capítulo III una vez que está operando en el mundo real.

El antiguo encuadre del Artículo 72 como «vigilancia del mercado» es erróneo. La vigilancia del mercado — las facultades de las autoridades nacionales para inspeccionar, ensayar y sancionar — se sitúa en los Artículos 74 y siguientes. El Artículo 72 es la propia obligación de vigilancia del proveedor, distinta del régimen de supervisión de las autoridades, aunque conectada con él. Acertar con esa distinción condiciona cada decisión práctica sobre quién construye el sistema de vigilancia, qué cubre y cuándo deben escalarse las conclusiones.

En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones de alto riesgo (incluido el Artículo 72) se aplican desde el 2 de diciembre de 2027 a los sistemas autónomos del Anexo III, y desde el 2 de agosto de 2028 a la IA de alto riesgo integrada en productos regulados del Anexo I. La fecha original del 2 de agosto de 2026 ya no se aplica. Eso sigue estando a unos 18 meses vista — tiempo suficiente para construir un programa de vigilancia adecuado, pero lo bastante corto como para que esperar sea un error.

Qué exige realmente el Artículo 72

Artículo 72, apartado 1: un sistema proporcionado al riesgo

Los proveedores deben establecer, implantar, documentar y mantener un sistema de vigilancia poscomercialización adecuado a la naturaleza de la tecnología de IA y a los riesgos del sistema de alto riesgo concreto. La palabra «proporcionado» importa: una herramienta de cribado para la contratación desplegada con miles de candidatos al mes justifica una vigilancia más intensiva que un sistema de clasificación de documentos de bajo volumen y alcance estrecho que también resulta entrar en un ámbito del Anexo III. El Reglamento no impone una única plantilla — impone un sistema calibrado a lo que podría salir mal y con qué frecuencia.

La obligación se extiende a todo el ciclo de vida del sistema. No hay ningún momento en el que la vigilancia poscomercialización se vuelva opcional porque el sistema lleve un año funcionando sin incidentes. Los nuevos datos, los nuevos contextos de los responsables del despliegue y los cambios en la población de usuarios generan, todos ellos, nuevas señales de riesgo.

Artículo 72, apartado 2: recopilación, documentación y análisis activos de los datos pertinentes

El sistema de vigilancia debe recopilar, documentar y analizar de forma activa y sistemática los datos pertinentes para evaluar el cumplimiento continuo de la sección 2 del capítulo III — los requisitos básicos de alto riesgo que cubren la gestión de riesgos (Artículo 9), la gobernanza de datos (Artículo 10), la documentación técnica (Artículo 11), la conservación de registros (Artículo 12), la transparencia hacia los responsables del despliegue (Artículo 13), la supervisión humana (Artículo 14) y la exactitud, la robustez y la ciberseguridad (Artículo 15).

Varios puntos merecen ser destacados:

Los responsables del despliegue son una fuente de datos. El Artículo 72, apartado 2, contempla explícitamente que los datos pertinentes puedan proceder de los responsables del despliegue. Los proveedores deben construir canales de retorno — contractuales y técnicos — que permitan a los responsables del despliegue notificar anomalías de rendimiento, resultados inesperados e incidentes que estuvieron a punto de producirse. Un proveedor que publica un sistema y carece de mecanismo para escuchar a las organizaciones que realmente lo utilizan no está cumpliendo el Artículo 72, apartado 2.

También cuentan otras fuentes. La vigilancia no se limita a lo que notifican los responsables del despliegue. Los proveedores deben recurrir a su propia telemetría, a los comentarios de los usuarios, a la literatura académica sobre el tipo de modelo y a las orientaciones reglamentarias sectoriales.

Interacción con otros sistemas de IA. Cuando proceda, el sistema de vigilancia debe cubrir cómo se comporta el sistema de alto riesgo en combinación con otros sistemas de IA con los que esté integrado. Un módulo de calificación crediticia integrado en una plataforma de préstamos más amplia puede comportarse de forma distinta según el preprocesamiento de datos previo. Esa interacción entra dentro del ámbito.

Excepción de la garantía del cumplimiento del Derecho. El Artículo 72, apartado 2, excluye una categoría: los datos operativos sensibles de los responsables del despliegue utilizados con fines de garantía del cumplimiento del Derecho. A los proveedores que construyen sistemas para responsables del despliegue del ámbito de la garantía del cumplimiento del Derecho no se les puede exigir que reciban y traten esos datos como parte de su programa de vigilancia. En la práctica, esto significa que los proveedores del segmento de la garantía del cumplimiento del Derecho deben diseñar arquitecturas de vigilancia que recurran a señales agregadas, anonimizadas o seudonimizadas en lugar de a datos operativos de casos concretos.

Artículo 72, apartado 3: el plan de vigilancia poscomercialización

La vigilancia debe seguir un plan de vigilancia poscomercialización documentado. El plan es un componente obligatorio de la documentación técnica del Anexo IV — el mismo paquete de documentación que los proveedores deben reunir para sustentar la evaluación de la conformidad en virtud del Artículo 43. Un plan archivado por separado de la documentación técnica, o conservado únicamente en una wiki interna, no satisface el Artículo 72, apartado 3.

La Comisión Europea adoptará un acto de ejecución que establezca una plantilla para el plan. Esa plantilla aún no existe a junio de 2026, pero el Reglamento es claro sobre la finalidad del plan: debe describir la metodología, las fuentes de datos, la frecuencia de revisión, los roles responsables del análisis y los procedimientos de escalado cuando las conclusiones de la vigilancia indiquen que el sistema puede haber dejado de cumplir un requisito de la sección 2 del capítulo III.

Redactar el plan ahora, incluso antes de que se publique la plantilla de la Comisión, es sensato. Los requisitos estructurales — qué datos, de dónde, revisados con qué frecuencia, por quién, con qué desencadenantes de escalado — ya se desprenden con claridad del Reglamento. Un proveedor que espere a la plantilla acabará construyendo un plan bajo presión de tiempo, cerca del plazo de diciembre de 2027.

Artículo 72, apartado 4: integración con el Derecho de la Unión sectorial

Cuando un sistema de IA de alto riesgo ya esté sujeto a otra norma de Derecho de la Unión que incluya obligaciones equivalentes de vigilancia poscomercialización (los productos sanitarios y las máquinas son los ejemplos más claros), los proveedores pueden integrar la vigilancia del Artículo 72 en ese régimen existente en lugar de ejecutar un proceso paralelo. Esto importa para las empresas que ya operan bajo el Reglamento sobre los productos sanitarios o marcos similares: si sus obligaciones del Artículo 72 quedan cubiertas en lo sustancial por un sistema de vigilancia o vigilancia poscomercialización existente, pueden consolidarlas en lugar de duplicarlas.

Cómo conecta el Artículo 72 con la arquitectura de cumplimiento más amplia

Artículo 9: sistema de gestión de riesgos

El Artículo 72 no es una obligación autónoma. Alimenta directamente el sistema de gestión de riesgos del Artículo 9, que los proveedores deben establecer, implantar, documentar y mantener a lo largo de todo el ciclo de vida del sistema de IA. El Artículo 9 exige a los proveedores identificar riesgos, adoptar medidas de gestión de riesgos y evaluar el riesgo residual tras la mitigación. La vigilancia poscomercialización es el mecanismo por el cual los proveedores aprenden si esas medidas están funcionando realmente en producción — y si han surgido nuevos riesgos que no eran evidentes durante el desarrollo o las pruebas.

Si la vigilancia revela que los resultados de una herramienta de contratación son sistemáticamente menos exactos para los candidatos de determinados grupos demográficos de lo que sugerían las pruebas previas al lanzamiento, el Artículo 9 exige al proveedor evaluar esa conclusión, actualizar la evaluación de riesgos y adoptar medidas correctoras. El Artículo 72 es la fuente de esa señal; el Artículo 9 es el marco para actuar sobre ella.

Artículo 73: notificación de incidentes graves

Cuando la vigilancia poscomercialización saca a la luz un incidente grave — uno que causa o puede causar la muerte, lesiones graves, daños graves a la propiedad o al medio ambiente, o el incumplimiento de obligaciones relativas a los derechos fundamentales — el proveedor debe notificarlo a la autoridad nacional competente pertinente sin demora indebida en virtud del Artículo 73.

El Artículo 72 y el Artículo 73 tienen una clara división del trabajo: el Artículo 72 es la infraestructura de vigilancia continua; el Artículo 73 es el mecanismo de notificación desencadenado por incidentes que se activa cuando las conclusiones de la vigilancia cruzan el umbral del incidente grave. Un proveedor que carezca de sistema de vigilancia del Artículo 72 también es probable que pase por alto incidentes que activarían la notificación del Artículo 73, agravando el incumplimiento.

Los plazos de notificación del Artículo 73 son estrictos: 15 días naturales para los incidentes graves estándar desde la fecha en que el proveedor tiene conocimiento, y notificación inmediata (con un informe formal posterior) para los incidentes que amenazan la vida. Estos plazos dejan claro por qué la vigilancia debe ser activa y continua, no periódica ni reactiva.

Artículos 74 y siguientes: vigilancia del mercado por las autoridades

Las autoridades nacionales de vigilancia del mercado — designadas por los Estados miembros en virtud del Artículo 74 — tienen facultades para solicitar documentación, realizar ensayos, dictar medidas correctoras y, en última instancia, exigir la recuperación o la retirada de los sistemas no conformes. Su labor no es el objeto del Artículo 72, pero es el contexto de ejecución en el que opera el Artículo 72. Un proveedor con un sistema de vigilancia poscomercialización bien documentado y genuinamente activo se encuentra en una posición fundamentalmente distinta durante una inspección de la autoridad que uno que ha presentado un plan nominal y no ha hecho nada desde el despliegue.

El plan de vigilancia poscomercialización: qué incluir

El Artículo 72, apartado 3, sitúa el plan dentro de la documentación técnica del Anexo IV. La plantilla de la Comisión aún no se ha publicado, pero el Reglamento y la lógica de la obligación apuntan con claridad a la siguiente estructura:

1. Descripción del sistema y perfil de riesgo. ¿Qué sistema de IA de alto riesgo cubre este plan? ¿Cuáles son sus fundamentos de clasificación del Anexo III? ¿Qué escenarios de riesgo se identificaron durante la evaluación previa al lanzamiento? Esto vincula el programa de vigilancia con el registro de riesgos del Artículo 9.

2. Fuentes de datos. ¿De dónde procederán los datos de vigilancia? Canales de retorno de los responsables del despliegue, telemetría del sistema, mecanismos de notificación accesibles a los usuarios, ensayos por terceros, fuentes reglamentarias sectoriales. Para los responsables del despliegue del ámbito de la garantía del cumplimiento del Derecho, describa el enfoque de anonimización o agregación que evita la excepción del Artículo 72, apartado 2.

3. Indicadores de rendimiento. ¿Qué métricas indican si el sistema sigue cumpliendo los requisitos de la sección 2 del capítulo III? Exactitud y tasas de error por subgrupo (Artículo 15); frecuencia y patrones de anulación humana (Artículo 14); incidentes registrados (Artículo 12). Elija indicadores que realmente detecten los modos de fallo identificados en la evaluación de riesgos del Artículo 9.

4. Frecuencia de revisión. ¿Con qué frecuencia se revisan los datos recopilados? Cuadros de mando automatizados mensuales complementados con revisiones sustantivas trimestrales es una base habitual. La frecuencia debe ser proporcionada al volumen de uso y a la gravedad del perjuicio potencial.

5. Roles y responsabilidades. ¿Quién, dentro de la organización, es responsable de ejecutar el sistema de vigilancia, revisar las conclusiones y escalarlas a la dirección o al departamento jurídico? Documente nombres o roles, no solo una genérica «función de cumplimiento».

6. Umbrales y procedimientos de escalado. ¿En qué punto una conclusión de la vigilancia desencadena una actualización del registro de riesgos del Artículo 9? ¿En qué punto desencadena una investigación preliminar del Artículo 73? Defina los umbrales por adelantado — formular ese juicio bajo presión tras un incidente es una peor posición en la que estar.

7. Interacción con otros sistemas de IA. Si el sistema está integrado con herramientas de IA anteriores o posteriores, describa cómo el programa de vigilancia tiene en cuenta su influencia en el rendimiento del sistema de alto riesgo.

8. Integración con el Derecho sectorial (si procede). Si el proveedor se basa en el Artículo 72, apartado 4, para integrarse con un régimen de vigilancia de Derecho de la Unión existente, describa esa integración de forma explícita.

Ejemplo resuelto: un proveedor de tecnología de RR. HH. de 35 personas

Una empresa de 35 personas vende una herramienta de cribado de currículos a los departamentos de RR. HH. de toda la UE. La herramienta clasifica a los candidatos para la preselección, lo que la sitúa en la categoría 4 del Anexo III (empleo y gestión de los trabajadores). El proveedor ha completado la evaluación de la conformidad en virtud del Artículo 43 y ha introducido el sistema en el mercado.

En virtud del Artículo 72, el proveedor debe ejecutar un programa de vigilancia poscomercialización. En la práctica, esto significa:

Canal de retorno del responsable del despliegue. El proveedor incorpora un formulario de notificación estructurado en el panel de administración del producto. Los responsables de RR. HH. pueden marcar los casos en que la clasificación de la herramienta parece incoherente con los requisitos del puesto o en que candidatos que esperaban que puntuaran alto puntuaron inesperadamente bajo. Las notificaciones se registran automáticamente con marcas de tiempo.

Telemetría sobre el rendimiento del modelo. El sistema registra las puntuaciones de confianza de la predicción para cada clasificación. El proveedor revisa las distribuciones mensualmente — un cambio en los patrones de las puntuaciones de confianza entre las cohortes de candidatos señala una posible deriva del modelo.

Comprobaciones de rendimiento demográfico. Trimestralmente, el proveedor ejecuta el modelo frente a un conjunto de datos de referencia sintético, representativo de la demografía de la mano de obra de la UE. Los resultados se comparan con los indicadores de validación previos al lanzamiento. Cualquier brecha por encima de un umbral definido desencadena una revisión de escalado.

Vínculo con el Artículo 9. Si la revisión trimestral revela una brecha de exactitud material — pongamos que la tasa de precisión del modelo para candidatos con formación educativa fuera de la UE ha caído 8 puntos porcentuales desde el lanzamiento — el proveedor actualiza el registro de riesgos del Artículo 9, evalúa si el sistema sigue cumpliendo los requisitos de la sección 2 del capítulo III y determina si se requiere una medida correctora (reentrenamiento, gobernanza de datos actualizada).

Desencadenante del Artículo 73. Si un responsable del despliegue notifica que la preselección del sistema contribuyó a un resultado discriminatorio que dio lugar a una reclamación formal ante un tribunal de lo social, el proveedor investiga si esto constituye un incidente grave en virtud del Artículo 73. Si lo es, lo notifican a la autoridad nacional competente pertinente en un plazo de 15 días.

Documentación del plan. Todo lo anterior se plasma por escrito en un plan de vigilancia poscomercialización que reside en el paquete de documentación técnica del Anexo IV. Nombra al gestor de producto responsable, especifica las cadencias de revisión y define los umbrales de escalado.

No es una operación enorme. Para una empresa de 35 personas, equivale a que una persona dedique un día al mes a las revisiones de vigilancia y a una sesión trimestral de dos horas para las comprobaciones más sustantivas. Lo que no es es opcional.

Sanciones por incumplimiento

No establecer un sistema de vigilancia poscomercialización, o no documentarlo según exige el Artículo 72, apartado 3, es un incumplimiento de una obligación del proveedor de alto riesgo. En virtud del Artículo 99, apartado 4, esto se sitúa en la franja sancionadora de nivel 2: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total del ejercicio anterior, si esta última cifra es mayor.

Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad: la multa aplicable es el importe menor de los dos. Una empresa con 3 millones de euros de ingresos anuales se enfrenta a un máximo de 90 000 euros (el 3 % del volumen de negocios) en lugar de 15 millones. Eso sigue siendo material. Y no incluye las consecuencias operativas de una investigación de la autoridad, que pueden incluir la suspensión de la distribución del sistema o la recuperación obligatoria mientras prosiguen los procedimientos de ejecución.

No confunda este nivel con las sanciones de nivel 1 (35 millones de euros o el 7 %) que se aplican únicamente a las prácticas prohibidas del Artículo 5. Incumplir un requisito de vigilancia poscomercialización es grave; no está en la misma categoría que desplegar una técnica de IA prohibida.

Una cifra sancionadora más a tener en cuenta: facilitar información incorrecta o incompleta a un organismo notificado o a una autoridad competente — incluida una documentación de vigilancia incompleta — conlleva una multa de nivel 3 de 7,5 millones de euros o el 1 % del volumen de negocios anual mundial. Presentar un plan nominal que no refleje la práctica real es un riesgo tanto en la dirección del nivel 2 como del nivel 3.

Cómo ayuda Confir

El ámbito AIGM de Confir (Gobernanza y Vigilancia Poscomercialización) se corresponde directamente con los Artículos 9 y 72. El control AIGM-02 estructura el plan de vigilancia poscomercialización como parte del paquete de documentación técnica del Anexo IV — cubriendo las fuentes de datos, los indicadores de rendimiento, las cadencias de revisión y los umbrales de escalado. El plan se rellena automáticamente a partir del perfil de riesgo y las conclusiones del Artículo 9 ya recogidas durante la admisión, de modo que los proveedores no parten de una página en blanco.

Cuando una revisión de vigilancia saca a la luz una conclusión que podría cruzar el umbral del incidente grave del Artículo 73, el flujo de trabajo de seguimiento de incidentes de Confir recoge la marca de tiempo de la detección, los pasos de la investigación y las decisiones de notificación en el registro de auditoría inmutable. Ese registro es la prueba que un proveedor necesita durante una inspección de la autoridad para demostrar un cumplimiento puntual y de buena fe de los plazos de notificación del Artículo 73.

El registro de riesgos vincula las conclusiones de la vigilancia de vuelta al sistema de gestión de riesgos del Artículo 9. Si una revisión de rendimiento trimestral revela una deriva del modelo, la conclusión se crea directamente contra la entrada de riesgo afectada — manteniendo sincronizados la documentación técnica y el registro de vigilancia en vivo, que es exactamente lo que exige el bucle de retroalimentación del Artículo 72 hacia el Artículo 9.

Distinciones clave que conviene fijar en su documentación

El Artículo 72 es una obligación del proveedor; la vigilancia del mercado es una facultad de la autoridad. Si su documentación interna de cumplimiento las confunde — tratando el Artículo 72 como el mandato de vigilancia de la autoridad — su plan de vigilancia tendrá un alcance incorrecto. El Artículo 72 trata de lo que usted, como proveedor, hace de forma proactiva. Lo que las autoridades pueden hacerle a usted es una cuestión aparte.

El Artículo 72 no es el Artículo 26. El Artículo 26 impone obligaciones a los responsables del despliegue — utilizar el sistema conforme a las instrucciones, mantener registros, garantizar la competencia para la supervisión humana y transmitir los incidentes graves de vuelta al proveedor. Los responsables del despliegue son una fuente de datos importante para el programa del Artículo 72 del proveedor, pero no son quienes ejecutan ese programa. Si usted es un responsable del despliegue, el Artículo 26 es su obligación primaria. Si es un proveedor, el Artículo 72 es la suya.

El plan de vigilancia poscomercialización no es el sistema de gestión de riesgos. El Artículo 9 y el Artículo 72 son instrumentos relacionados, pero distintos. El sistema de gestión de riesgos del Artículo 9 se establece antes del lanzamiento, identifica riesgos y define mitigaciones. El plan de vigilancia del Artículo 72 describe cómo se recopilarán y revisarán los datos de rendimiento tras el lanzamiento para evaluar si esas mitigaciones están funcionando. Uno alimenta al otro; no son el mismo documento.

La evaluación de la conformidad previa a la comercialización (Artículo 43) no satisface el Artículo 72. La evaluación de la conformidad es el proceso anterior al lanzamiento. El Artículo 72 comienza en el lanzamiento y se extiende de forma indefinida. Algunos proveedores confunden ambos, tratando una evaluación de la conformidad superada como prueba de un cumplimiento continuo. No lo es. Un sistema que supera la evaluación de la conformidad en 2027 puede incumplir la sección 2 del capítulo III en 2028 si el rendimiento se ha degradado y ningún programa de vigilancia lo detectó.

Qué hacer antes del 2 de diciembre de 2027

El plazo está lo bastante fijado como para planificar frente a él. El acto de ejecución de la Comisión que establece la plantilla del plan de vigilancia no se ha publicado, pero esperar a tenerlo antes de redactar nada es la postura equivocada. La plantilla fijará la forma; el fondo — qué datos, de qué fuentes, revisados con qué frecuencia, por quién, con qué desencadenantes de escalado — ya está determinado por el Reglamento.

Un calendario razonable para un proveedor de un sistema autónomo del Anexo III:

  • Desde ahora hasta el 3T de 2026: Redactar la estructura del plan de vigilancia poscomercialización. Identificar las fuentes de datos, definir los indicadores de rendimiento, asignar roles, fijar las cadencias de revisión. Validar los umbrales de escalado frente a los escenarios de riesgo del Artículo 9.
  • 4T de 2026: Integrar el plan en el paquete de documentación técnica del Anexo IV. Construir o adquirir la infraestructura técnica (telemetría, canales de retorno de los responsables del despliegue, conjuntos de datos de prueba).
  • 2027: Ejecutar un ciclo de vigilancia de prueba — al menos dos ciclos completos de revisión — antes del plazo. Identificar lagunas en la recopilación de datos o en los procedimientos de escalado y corregirlas. Documentar los resultados de la prueba.
  • 2 de diciembre de 2027: Las obligaciones se aplican. El sistema de vigilancia debe estar en funcionamiento, documentado y demostrablemente activo.

Solo la documentación — el plan, la integración con el Anexo IV, el vínculo con el Artículo 9 — lleva un tiempo considerable de reunir correctamente. Empezar en la segunda mitad de 2026 no es pronto; es aproximadamente a tiempo.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.