Skip to content
Confir.
Prueba gratuita
Blog

Artículo 73 de la Ley de IA de la UE: notificación de incidentes graves para proveedores de IA de alto riesgo

EU AI Act Guide6 January 2026· 16 min de lectura

Artículo 73 de la Ley de IA de la UE: los proveedores de IA de alto riesgo deben notificar los incidentes graves en 15 días (general), 10 días (fallecimiento) o 2 días (perturbación crítica).

Si su sistema de IA de alto riesgo causa —o contribuye a— el fallecimiento de una persona, dispone de diez días para informar a la autoridad de vigilancia del mercado. Dos días si desencadena una perturbación generalizada de infraestructuras críticas o una avería grave e irreversible. Quince días para todo lo demás que alcance el umbral de incidente grave. Esos plazos empiezan a contar desde el momento en que se establece un nexo causal, no desde que se produjo el perjuicio ni desde que concluye la investigación.

El Artículo 73 del Reglamento (UE) 2024/1689 es el brazo reactivo del régimen poscomercialización de la Ley de IA de la UE. El Artículo 72 exige a los proveedores recopilar datos de rendimiento de forma continua; el Artículo 73 les obliga a notificar cuando esa vigilancia —o cualquier otro canal— revela un incidente grave. Esta guía expone quién debe notificar, qué se considera incidente grave, qué significan los plazos en la práctica y cómo se reparten la responsabilidad proveedores y responsables del despliegue.

Qué se considera un incidente grave

La Ley define «incidente grave» en el Artículo 3, apartado 49. Un incidente cumple el umbral si directa o indirectamente da lugar a cualquiera de los siguientes:

  • el fallecimiento de una persona o un perjuicio grave para su salud;
  • una perturbación grave e irreversible de infraestructuras críticas;
  • un incumplimiento de las obligaciones derivadas del Derecho de la Unión destinadas a proteger los derechos fundamentales; o
  • daños graves a la propiedad o al medio ambiente.

Merece la pena detenerse en dos cuestiones. Primera, la definición abarca la causalidad indirecta: un sistema de IA que produce un resultado defectuoso sobre el que actúa un facultativo, lo que provoca un perjuicio al paciente, entra en el ámbito aunque hubiera un humano en la cadena causal. Segunda, el umbral es un perjuicio «grave», no un mero resultado negativo. Una IA de contratación que produce una clasificación subóptima no es un incidente grave. El mismo sistema que excluye sistemáticamente a candidatos de grupos protegidos de un modo que infringe el Derecho de la Unión en materia de no discriminación sí lo es.

La definición no abarca cualquier fallo de funcionamiento de un sistema de IA de alto riesgo, solo aquellos cuyas consecuencias alcancen esta gravedad. Los proveedores deben documentar su valoración de por qué un suceso alcanzó o no el umbral del Artículo 3, apartado 49, porque ese razonamiento será examinado con detenimiento si la autoridad discrepa posteriormente.

Los tres plazos de notificación del Artículo 73

El Artículo 73 establece plazos diferenciados en función de la gravedad. Todos empiezan a contar desde el momento en que el proveedor establece un nexo causal —o una probabilidad razonable de que exista— entre el sistema de IA y el incidente. Se permite expresamente una notificación inicial incompleta; el proveedor la completa después, una vez disponga de más información (Art. 73, apdo. 5).

DesencadenantePlazo
Incidente grave general (Art. 73, apdo. 2)A más tardar, 15 días después de tener conocimiento
Incumplimiento generalizado de los derechos fundamentales, o perturbación grave e irreversible de infraestructuras críticas (Art. 73, apdo. 3)A más tardar, 2 días después de tener conocimiento
Fallecimiento de una persona (Art. 73, apdo. 4)A más tardar, 10 días después de tener conocimiento
Notificación inicial incompleta (Art. 73, apdo. 5)Presente lo que tenga dentro del plazo aplicable; complétela sin demora

El desencadenante es «tener conocimiento», no la fecha del incidente. En el momento en que la vigilancia interna del proveedor, una notificación de un responsable del despliegue o cualquier otra fuente pone al proveedor sobre aviso de que puede haberse producido un incidente que alcanza el Artículo 3, apartado 49, empieza a correr el plazo. Esperar a que concluya un análisis de causa raíz antes de presentar la notificación no amplía la ventana.

Quién debe notificar — y quién no

El Artículo 73 es una obligación del proveedor. Solo la entidad que introdujo el sistema de IA de alto riesgo en el mercado o lo puso en servicio bajo su propio nombre soporta el deber de notificar a las autoridades de vigilancia del mercado. Los importadores y distribuidores no notifican con arreglo al Art. 73; trasladan la información sobre el incidente al proveedor a través de la cadena.

Los responsables del despliegue ocupan una posición distinta. En virtud del Artículo 26, un responsable del despliegue que detecte lo que considera un incidente grave debe informar primero al proveedor. El responsable del despliegue también debe notificarlo al importador o distribuidor cuando el proveedor esté fuera de la UE. Cuando el responsable del despliegue tenga motivos para creer que el proveedor no ha presentado la notificación ante la autoridad —o cuando las circunstancias así lo exijan—, también puede dirigirse directamente a la autoridad de vigilancia del mercado. Pero el deber primario de notificación, con sus plazos perentorios, recae en el proveedor.

Esto importa en la práctica. Una empresa de 20 personas que utiliza una IA de contratación de terceros no presenta una notificación del Art. 73 cuando se descubre un episodio de sesgo: notifica de inmediato al proveedor del sistema de IA y documenta esa notificación. El proveedor pasa entonces a ser titular del plazo regulatorio. Si el proveedor está fuera de la UE, el importador establecido en la UE o el representante autorizado con arreglo al Art. 22 asume ese papel.

A quién se notifica

La notificación se dirige a la autoridad de vigilancia del mercado del Estado miembro en el que se produjo el incidente —no necesariamente donde esté establecido el proveedor—. Si un episodio de sesgo en un proceso de contratación alemán perjudica a candidatos en Alemania, el proveedor lo notifica a la autoridad alemana. Los incidentes multinacionales pueden requerir notificaciones paralelas; los proveedores deben mantener una matriz de jurisdicciones en lugar de descubrir esto bajo presión.

Qué debe contener la notificación

La Ley no prescribe un formulario normalizado a escala de la UE; los Estados miembros aún están ultimando los portales de notificación a mediados de 2026. Sea cual sea el canal, la sustancia que la autoridad necesita es constante:

  • Identificación del sistema de IA (nombre, versión, finalidad prevista, categoría del Anexo III).
  • Descripción de qué ocurrió, cuándo, dónde y a quién afectó.
  • La naturaleza del perjuicio causado o del perjuicio que se arriesgó, con remisión a las categorías del Art. 3, apdo. 49.
  • Las medidas ya adoptadas o previstas: contención, notificación a los usuarios, medidas correctoras.
  • Una valoración causal preliminar, aunque sea incompleta. La autoridad necesita lo suficiente para clasificar el caso, no una investigación terminada.
  • Datos de contacto de la persona responsable en el proveedor.

Una notificación preliminar incompleta presentada a tiempo es mejor que una notificación completa presentada tarde. El Art. 73, apdo. 5, permite expresamente que la notificación inicial vaya seguida de información complementaria. La restricción no es la exhaustividad, sino la puntualidad.

Una restricción práctica: el reglamento prohíbe a los proveedores alterar el sistema de IA de maneras que afectarían a una evaluación posterior por parte de las autoridades antes de haber informado a la autoridad del incidente. Si una actualización correctora resulta urgente por motivos de seguridad, notifique primero, después despliegue la corrección y documente la secuencia.

Las obligaciones del proveedor en torno a un incidente

La notificación no es el único deber que se activa. Una vez establecido un incidente grave, el proveedor debe:

Investigar y realizar una evaluación de riesgos. Determinar la causa técnica u operativa. Evaluar si el mismo modo de fallo podría afectar a otros despliegues del mismo sistema, incluso en otros Estados miembros o sectores. Esto alimenta tanto la notificación complementaria como el registro de vigilancia poscomercialización del Art. 72.

Adoptar medidas correctoras. La Ley espera que los proveedores actúen, no que se limiten a documentar. La acción correctora puede significar detener el despliegue, emitir un modelo actualizado, revisar las instrucciones de uso o reforzar la capa de supervisión humana exigida en el Art. 14.

Cooperar con la autoridad. Facilitar información adicional cuando se solicite. No modificar el sistema de maneras que puedan ocultar lo ocurrido antes de que la autoridad lo haya evaluado.

Actualizar la documentación técnica. Los cambios introducidos en respuesta a un incidente deben reflejarse en la documentación técnica del Art. 11 / Anexo IV. Si los cambios son lo bastante sustanciales como para constituir una modificación sustancial con arreglo al Art. 3, apdo. 23, la evaluación de la conformidad del Art. 43 se reinicia.

Cómo encaja esto en el marco poscomercialización más amplio

El Artículo 72 y el Artículo 73 son las dos caras de la misma obligación. El Artículo 72 exige a los proveedores recopilar y revisar datos de forma proactiva a lo largo de toda la vida operativa de un sistema de IA: métricas de rendimiento, comentarios de los responsables del despliegue, notificaciones de los usuarios. El Artículo 73 es lo que ocurre cuando esa vigilancia (o cualquier otra fuente) revela algo lo bastante grave como para requerir la notificación a la autoridad.

El sistema de gestión de riesgos del Artículo 9 debe diseñarse de modo que los incidentes graves se detecten antes de que ocurran, mediante la identificación continua de peligros, las pruebas y la mitigación. Una notificación del Art. 73 es, en cierto sentido, un fallo del Artículo 9 que aflora a la superficie. Las autoridades examinarán si el sistema de gestión de riesgos del proveedor debería haber identificado y controlado el riesgo que finalmente se materializó.

Relación con otros regímenes de notificación

Muchos despliegues de IA de alto riesgo se inscriben en sectores regulados con sus propios requisitos de notificación de incidentes. La Ley fomenta la coordinación en lugar de la duplicación.

Las violaciones de la seguridad de los datos personales del RGPD deben notificarse a la autoridad de control en un plazo de 72 horas desde que se tiene conocimiento (Art. 33 del RGPD). Si un incidente grave de IA implica además una violación de datos personales, son obligatorias ambas notificaciones, pero los proveedores y los responsables del despliegue deben coordinarlas para que los hechos sean coherentes y la autoridad no reciba versiones contradictorias.

Los incidentes significativos con arreglo a la NIS2 que afecten a entidades esenciales deben notificarse en un plazo de 24 horas (alerta temprana) y después de 72 horas (notificación del incidente) en virtud del Art. 23 de la NIS2. Si una perturbación de infraestructuras críticas relacionada con la IA desencadena también la NIS2, presente ambas. Cuando los Estados miembros permitan la notificación consolidada, utilícela.

La vigilancia de los productos sanitarios con arreglo al MDR 2017/745 / IVDR 2017/746 tiene sus propios plazos para incidentes graves (en general 15 días; 2 días en caso de fallecimiento o deterioro grave de la salud pública). Una IA de imagen médica integrada como componente de seguridad de un producto regulado opera bajo ambos regímenes. La notificación del MDR/IVDR y la del Art. 73 atienden a autoridades distintas; puede que deban presentarse en paralelo.

El principio general: notifique una sola vez cuando los regímenes permitan la coordinación; cuando no lo permitan, presente todas las notificaciones exigidas y sea transparente con cada autoridad acerca de que se está notificando en paralelo.

Notificación de incidentes por riesgo sistémico de la GPAI

Los proveedores de modelos de IA de uso general con riesgo sistémico tienen una obligación de notificación de incidentes independiente con arreglo al Artículo 55. Esa obligación se dirige a la Oficina de IA, no a una autoridad de vigilancia del mercado de un Estado miembro. Los regímenes del Art. 73 y del Art. 55 son distintos: el Art. 73 se aplica al proveedor de un sistema de IA de alto riesgo cuando ese sistema causa un incidente grave; el Art. 55 se aplica a los proveedores de modelos de GPAI cuando el modelo en sí está implicado en un incidente de riesgo sistémico. Una empresa que a la vez proporciona un modelo de GPAI y desarrolla aplicaciones de alto riesgo sobre él puede deber ambas notificaciones por el mismo suceso.

Sanciones

El incumplimiento del Art. 73 acarrea el tramo de 15 millones de euros o el 3 % del volumen de negocios anual mundial total con arreglo al Artículo 99, apartado 4 —si esta última cifra es mayor—. Para las empresas con un volumen de negocios limitado se aplica el tope fijo de 15 millones de euros; para las grandes multinacionales, la cifra del 3 % será normalmente mayor.

Facilitar a la autoridad de vigilancia del mercado información incorrecta, incompleta o engañosa en relación con una notificación del Art. 73 es una infracción independiente con arreglo al Artículo 99, apartado 5: hasta 7,5 millones de euros o el 1 % del volumen de negocios mundial. Presentar de buena fe una notificación preliminar que después se corrige no es desinformación, pero una presentación deliberadamente incompleta concebida para ocultar hechos sí lo es.

Para las empresas que tengan la consideración de pymes o empresas emergentes con arreglo al Art. 99, apdo. 6, la multa se limita al menor de los dos importes, el porcentaje o la cantidad fija —una protección significativa—. No obstante, este tope se aplica a la multa, no a la obligación de notificar. Los plazos son los mismos con independencia del tamaño de la empresa.

Cómo apoya Confir la notificación de incidentes

El área de evaluación AIGM de Confir (Gobernanza y Vigilancia Poscomercialización) abarca los Artículos 9, 72 y 73. Los controles de AIGM incluyen un registro estructurado de incidentes que capta la fecha en que se tuvo conocimiento, el plazo aplicable, la categoría de perjuicio del Art. 3, apdo. 49, el contenido del borrador de notificación y la confirmación de la presentación. Como la lógica es basada en reglas y determinista —la misma admisión produce la misma conclusión—, la decisión de alcance (¿alcanza este suceso el umbral del Art. 73?) es reproducible y defendible ante una auditoría.

El registro de auditoría inmutable consigna cada entrada y modificación, que es justo lo que pedirá ver una autoridad que examine su historial de gestión de incidentes. Los proveedores pueden generar un resumen de incidente alineado con el contenido obligatorio de la notificación sin que el equipo de cumplimiento tenga que reconstruir la información desde cero bajo un plazo de 10 o de 2 días.

Preguntas frecuentes

¿Cuál es exactamente la definición de «incidente grave» con arreglo al Artículo 73?

«Incidente grave» se define en el Artículo 3, apartado 49, del Reglamento (UE) 2024/1689. Un incidente cumple el umbral si directa o indirectamente causa el fallecimiento de una persona, un perjuicio grave para su salud, una perturbación grave e irreversible de infraestructuras críticas, un incumplimiento del Derecho de la Unión que protege los derechos fundamentales o daños graves a la propiedad o al medio ambiente. La definición abarca la causalidad indirecta, de modo que un resultado de IA sobre el que actúa un facultativo —causando un perjuicio al paciente— entra en el ámbito aunque hubiera una decisión humana entre el resultado y el perjuicio.

¿Cuáles son los plazos exactos de notificación con arreglo al Artículo 73?

Se aplican tres plazos, todos medidos desde que el proveedor tiene conocimiento (o establece una probabilidad razonable de nexo causal): a más tardar, 15 días para un incidente grave general (Art. 73, apdo. 2); a más tardar, 2 días cuando el incidente constituya un incumplimiento generalizado de los derechos fundamentales o una perturbación grave e irreversible de infraestructuras críticas (Art. 73, apdo. 3); a más tardar, 10 días cuando haya fallecido una persona (Art. 73, apdo. 4). Puede presentarse a tiempo una notificación preliminar incompleta y completarla después con arreglo al Art. 73, apdo. 5.

¿Se aplica el Artículo 73 a los responsables del despliegue?

No. El Artículo 73 es una obligación del proveedor. Un responsable del despliegue que detecte un incidente grave debe notificarlo al proveedor —y, cuando proceda, al importador, al distribuidor y a la autoridad de vigilancia del mercado— con arreglo al Artículo 26. Pero la notificación regulatoria con plazo perentorio corresponde al proveedor. El deber del responsable del despliegue es señalar el incidente sin demora para que el plazo del proveedor no se agote sin advertirlo.

¿A qué autoridad de vigilancia del mercado debemos notificar?

A la autoridad del Estado miembro en el que se produjo el incidente, no necesariamente donde esté establecido el proveedor. Si un incidente afecta a usuarios de varios Estados miembros, pueden requerirse notificaciones paralelas a cada autoridad pertinente. Los proveedores que operan por toda la UE deben mapear las autoridades nacionales competentes antes de que se produzca un incidente; las designaciones pertinentes se realizan con arreglo al Artículo 70.

¿Podemos presentar una notificación preliminar y complementarla después?

Sí. El Artículo 73, apartado 5, lo permite expresamente. Presente lo que tenga dentro del plazo aplicable: fecha del incidente, identificación del sistema, descripción preliminar del perjuicio y cualquier medida correctora ya adoptada. Aporte después las conclusiones completas de la investigación en cuanto estén disponibles. No trate el permiso de notificación preliminar como una licencia para retrasar una divulgación significativa; la presentación inicial debe ser lo bastante sustantiva como para que la autoridad pueda clasificar el caso.

¿Cómo interactúa el Art. 73 con la notificación de violaciones de datos del RGPD y con la NIS2?

Las obligaciones discurren en paralelo, no sustituyéndose unas a otras. Una violación de la seguridad de los datos personales del RGPD requiere una notificación a la autoridad de control en un plazo de 72 horas con arreglo al Art. 33 del RGPD. Un incidente significativo con arreglo a la NIS2 requiere una alerta temprana en 24 horas y una notificación completa en 72 horas. Cuando un único suceso desencadene los tres regímenes, presente las tres notificaciones e indique en cada una que se está notificando en paralelo. Cuando los Estados miembros ofrezcan canales de notificación coordinados, utilícelos para evitar presentaciones contradictorias.

¿Cuáles son las sanciones por incumplir el plazo de notificación?

El incumplimiento del Art. 73 se encuadra en el Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Suministrar a sabiendas información incorrecta o engañosa a la autoridad es una infracción independiente con arreglo al Art. 99, apdo. 5: hasta 7,5 millones de euros o el 1 % del volumen de negocios. Para las pymes y las empresas emergentes, el Art. 99, apdo. 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija, pero la obligación de notificar y sus plazos no varían.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.