Skip to content
Confir.
Prueba gratuita
Blog

Artículo 8 de la Ley de IA de la UE: cumplimiento de los requisitos para la IA de alto riesgo

EU AI Act Guide9 January 2026· 19 min de lectura

El Artículo 8 activa los Artículos 9 a 15 para los sistemas de IA de alto riesgo. Comprenda cada requisito, el criterio del estado de la técnica y el plazo del 2 de diciembre de 2027.

El Artículo 8 del Reglamento (UE) 2024/1689 hace exactamente una cosa: establece que los sistemas de IA de alto riesgo deben cumplir los requisitos establecidos en los Artículos 9 a 15. Esa frase es toda la disposición. El Artículo 8 es un encabezamiento — una cláusula de acceso —, no una obligación en sí misma. Todo deber sustantivo aplicable a los sistemas de IA de alto riesgo reside en los artículos que le siguen.

Comprender qué es el Artículo 8, y qué no es, importa porque los antiguos inventarios de cumplimiento le atribuyen con frecuencia obligaciones que no le corresponden. Si alguien le dice que el sistema de gestión de riesgos es un «requisito del Artículo 8», está siendo impreciso. El sistema de gestión de riesgos es el Artículo 9. El Artículo 8 es la frase que dice que los Artículos 9 a 15 se aplican.

Lo que el Artículo 8 dice realmente

La disposición tiene dos elementos.

En primer lugar, los sistemas de IA de alto riesgo deben cumplir los requisitos de los Artículos 9 a 15 antes de su introducción en el mercado o su puesta en servicio, y a lo largo de toda su vida operativa. La obligación de cumplimiento es continua, no una puerta única previa al lanzamiento.

En segundo lugar, el Artículo 8, apartado 2, añade un requisito de coherencia: el cumplimiento de dichos requisitos debe tener en cuenta la finalidad prevista del sistema de IA y el estado de la técnica generalmente reconocido en materia de IA y tecnologías relacionadas con la IA. No se trata de una aspiración vaga. El «estado de la técnica» fija el punto de partida técnico — un proveedor no puede satisfacer el Artículo 15 (exactitud, robustez, ciberseguridad) cumpliendo un criterio que ya estaba superado cuando comercializó el producto.

La referencia al Anexo I en el Artículo 8 hace que la disposición sea pertinente para los sistemas de IA de alto riesgo que son componentes de seguridad de productos regulados (máquinas, productos sanitarios, equipos de aviación civil y otros enumerados en el Anexo I). Esos sistemas deben cumplir los requisitos de los Artículos 9 a 15 de manera coherente con la legislación sobre productos del Anexo I en la que se integran. Cuando un reglamento del Anexo I ya exige una evaluación de la conformidad, las obligaciones de la Ley de IA se integran en ese proceso en lugar de ejecutarse en paralelo.

Los seis requisitos: Artículos 9 a 15

Cada uno de los seis requisitos que activa el Artículo 8 tiene su propio artículo. Conviene tratarlos como una lista de comprobación, porque todo proveedor de alto riesgo debe abordar los seis.

Artículo 9 — Sistema de gestión de riesgos. Un proceso continuo e iterativo que abarca la identificación de peligros, la estimación de riesgos, la evaluación de riesgos y la mitigación de riesgos, mantenido a lo largo de todo el ciclo de vida del sistema. El SGR se actualiza a la luz de los datos operativos y conecta directamente con la vigilancia poscomercialización del Artículo 72. Este es el requisito más exigente desde el punto de vista operativo para la mayoría de los proveedores.

Artículo 10 — Datos y gobernanza de datos. Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad: pertinentes, representativos, exentos de errores y completos a la luz de la finalidad prevista. Las prácticas de gobernanza de datos deben abordar la recopilación, el etiquetado, la depuración y la agregación de datos. Cuando se traten atributos sensibles con el fin de detectar y corregir sesgos, el Artículo 10, apartado 5, prevé una ventana de permisos acotada para ese tratamiento.

Artículo 11 — Documentación técnica. Los proveedores deben elaborar la documentación técnica antes de introducir un sistema de alto riesgo en el mercado y mantenerla actualizada. El contenido obligatorio se especifica en el Anexo IV (nueve áreas de contenido, entre ellas una descripción general del sistema, una descripción de sus elementos y del proceso de desarrollo, información detallada sobre su seguimiento, funcionamiento y control, información sobre sus métricas de exactitud y las disposiciones de vigilancia poscomercialización). Este es el documento que un organismo notificado o una autoridad de vigilancia del mercado examinará en primer lugar.

Artículo 12 — Conservación de registros y archivos de eventos. Los sistemas de IA de alto riesgo deben tener la capacidad de generar automáticamente archivos de registro a lo largo de su funcionamiento. El contenido mínimo de esos registros incluye el período de cada uso, la base de datos de referencia con la que el sistema cotejó los datos de entrada, los datos de entrada que dieron lugar a una coincidencia y las personas físicas implicadas en la verificación. La conservación de los registros por el proveedor es de al menos seis meses con arreglo al Artículo 19; la conservación por el responsable del despliegue con arreglo al Artículo 26 es también de al menos seis meses.

Artículo 13 — Transparencia e información a los responsables del despliegue. Los sistemas de IA de alto riesgo deben ser lo suficientemente transparentes para que los responsables del despliegue interpreten correctamente sus resultados y los utilicen de manera adecuada. El sistema debe ir acompañado de instrucciones de uso que abarquen la identidad del proveedor, la finalidad prevista, las métricas de rendimiento, los datos de entrada esperados, el grado de exactitud y sus limitaciones, y las medidas de supervisión humana exigidas. Este artículo es un deber del proveedor; el Artículo 26 lo traduce en obligaciones del responsable del despliegue.

Artículo 14 — Supervisión humana. Los sistemas de IA de alto riesgo deben diseñarse de modo que permitan a las personas físicas designadas para ejercer la supervisión comprender las capacidades y limitaciones del sistema, detectar y abordar fallos y comportamientos inesperados y, cuando proceda, decidir no utilizar el resultado del sistema. Los mecanismos de supervisión deben estar incorporados en el sistema desde el diseño — no pueden añadirse después del despliegue. Cuando el sistema interactúe con personas que puedan encontrarse en circunstancias de vulnerabilidad, las disposiciones de supervisión deben tenerlo en cuenta.

Artículo 15 — Exactitud, robustez, ciberseguridad. Los sistemas de IA de alto riesgo deben alcanzar un nivel adecuado de exactitud, ser resistentes frente a errores, fallos e incoherencias, y estar protegidos frente a ataques adversarios que puedan alterar los resultados o explotar el sistema. Deben declararse las métricas de rendimiento y sus límites. Se trata de un requisito técnico, pero su nivel se calibra en función de la finalidad prevista y del estado de la técnica — un modelo de calificación crediticia y una herramienta de supervisión de exámenes tendrán umbrales de exactitud distintos.

Estado de la técnica: qué significa en la práctica

La expresión «estado de la técnica generalmente reconocido» del Artículo 8, apartado 2, está tomada del Derecho de productos de la UE y significa algo más que «lo que hace hoy la mayoría de las empresas». Se refiere al nivel más alto de capacidad técnica disponible — el criterio que una persona técnicamente cualificada y familiarizada con el campo reconocería como la mejor práctica actual. Las normas armonizadas, cuando son adoptadas por la Comisión Europea, otorgan presunción de conformidad con los requisitos del estado de la técnica. La Comisión también puede emitir especificaciones comunes cuando no existan normas armonizadas o sean insuficientes.

Para los proveedores, esto crea una obligación continua. Un sistema validado en 2024 frente a los parámetros de robustez vigentes entonces puede necesitar una reevaluación si dichos parámetros han avanzado materialmente para 2027. El criterio del estado de la técnica es un objetivo móvil, y la obligación de cumplimiento continuo del Artículo 8, apartado 1, significa que los proveedores no pueden tratar la conformidad como una instantánea.

Lo que el Artículo 8 no es

El Artículo 8 no es una obligación autónoma. Una nota sobre una brecha de cumplimiento que cite únicamente «incumplimiento del Artículo 8» sin identificar cuál de los Artículos 9 a 15 se ha infringido está incompleta. El Artículo 8 no tiene ninguna obligación propia — apunta a los artículos que sí la tienen. La correspondencia regulatoria, las auditorías internas y los planes de acción correctiva deben citar el artículo concreto infringido.

El Artículo 8 no es la evaluación de la conformidad. La evaluación de la conformidad — el procedimiento formal que demuestra el cumplimiento de los Artículos 9 a 15 antes de la introducción en el mercado — es el Artículo 43. La distinción importa: el Artículo 8 define con qué hay que cumplir; el Artículo 43 define cómo se demuestra. El Anexo VI (autoevaluación interna) y el Anexo VII (evaluación por organismo notificado para los sistemas biométricos del punto 1 del Anexo III) son las dos vías.

El Artículo 8 no es el sistema de gestión de riesgos. La gestión de riesgos es el Artículo 9. Este es el error de etiquetado más frecuente en la literatura temprana sobre cumplimiento, incluida buena parte de la primera oleada de orientaciones sobre la Ley de IA publicadas en 2023-2024. La confusión surge porque a veces se describía el Artículo 8 como el «artículo de gestión de riesgos» en los comentarios de la fase de borrador. En el texto definitivo, no lo es.

El Artículo 8 no es un artículo sancionador. El incumplimiento de los Artículos 9 a 15 es un incumplimiento de los requisitos de un sistema de IA de alto riesgo. La sanción por ello corresponde al tramo de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del Artículo 99, apartado 4 — si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

La intersección con el Anexo I

Los sistemas de IA de alto riesgo que son componentes de seguridad de productos regulados por la legislación del Anexo I — el Reglamento sobre máquinas, el Reglamento sobre los productos sanitarios (MDR 2017/745), el Reglamento sobre los productos sanitarios para diagnóstico in vitro (IVDR 2017/746), los equipos de seguridad de la aviación civil y otros — se enfrentan a un panorama de cumplimiento más complejo.

Para esos sistemas, se aplica el requisito de cumplimiento del Artículo 8, pero la evaluación de la conformidad con arreglo al Artículo 43 se lleva a cabo como parte de la evaluación de la conformidad del producto del Anexo I, no como un procedimiento separado exclusivo de la IA. El efecto práctico es que el organismo notificado responsable de la evaluación del producto del Anexo I también evalúa los componentes de IA frente a los Artículos 9 a 15. El plazo para esos sistemas es el 2 de agosto de 2028, no la fecha del 2 de diciembre de 2027 que se aplica a los sistemas de alto riesgo autónomos del Anexo III.

Los proveedores que integren IA en productos regulados deben verificar con su organismo notificado del Anexo I cómo se tratarán los requisitos de la Ley de IA dentro del procedimiento de certificación de producto existente — los flujos de trabajo difieren entre sectores, y algunos organismos notificados del Anexo I no habían publicado sus procedimientos de integración de la Ley de IA a mediados de 2026.

Una secuencia práctica para cumplir los requisitos del Artículo 8

La mayoría de los equipos de cumplimiento consideran útil tratar los Artículos 9 a 15 no como una lista que marcar en orden, sino como un conjunto de resultados interdependientes que se desarrollan conjuntamente. Esta es una secuencia práctica que refleja cómo se conectan los requisitos.

Paso 1 — Determinar que el Artículo 8 se aplica. Clasifique el sistema con arreglo a los Artículos 5 y 6 utilizando el Anexo III. Si el sistema es de alto riesgo y no está exento en virtud del Artículo 6, apartado 3, el Artículo 8 se aplica. Si el sistema es un componente de seguridad de un producto del Anexo I, identifique la legislación de producto aplicable y el organismo notificado pertinente. Documente la decisión de clasificación — es el fundamento de todo lo demás.

Paso 2 — Establecer pronto el sistema de gestión de riesgos (Artículo 9). El SGR no es un documento; es un proceso. Debe estar operativo antes de que se complete la evaluación de la conformidad, porque el resultado del Artículo 9 (el plan de gestión de riesgos y la evaluación del riesgo residual) alimenta directamente la documentación técnica del Artículo 11. Iniciar el SGR cuando la documentación técnica ya está en borrador hace casi seguras las revisiones.

Paso 3 — Cerrar la documentación de gobernanza de datos (Artículo 10). Las especificaciones de los conjuntos de datos de entrenamiento, validación y prueba deben documentarse con la suficiente concreción para demostrar la pertinencia, la representatividad y la ausencia de errores. Para los proveedores que utilizan conjuntos de datos de terceros, los contratos de adquisición y los registros de procedencia de los datos pasan a formar parte de esta documentación. La documentación del Artículo 10 es una sección del expediente técnico del Anexo IV.

Paso 4 — Ensamblar la documentación técnica del Artículo 11. La plantilla del Anexo IV tiene nueve áreas de contenido. Es el registro maestro de cumplimiento — contiene o remite al resultado del SGR del Artículo 9, a la documentación de datos del Artículo 10, a las métricas de exactitud y robustez del Artículo 15 y al diseño de la supervisión del Artículo 14. Completarla obliga a que todo el trabajo previo adopte una forma coherente y lista para auditoría.

Paso 5 — Diseñar en paralelo el registro de eventos (Artículo 12) y los materiales de transparencia (Artículo 13). La capacidad de registro debe estar incorporada en el sistema, no añadida a posteriori. Las instrucciones de uso exigidas por el Artículo 13 deben estar completas antes del despliegue — los responsables del despliegue no pueden operar el sistema correctamente sin ellas.

Paso 6 — Validar los mecanismos de supervisión humana (Artículo 14). La capacidad de supervisión debe probarse frente a condiciones de funcionamiento realistas, incluidos los casos límite y los modos de fallo. Es a menudo aquí donde los proveedores descubren que el diseño de la supervisión es adecuado para el funcionamiento normal, pero falla bajo carga o en casos extremos de alto riesgo.

Paso 7 — Comparar y documentar la exactitud, la robustez y la ciberseguridad (Artículo 15). Las métricas de rendimiento deben declararse con sus intervalos de confianza y sus condiciones operativas. Las pruebas adversarias frente a patrones de ataque conocidos (inyección de instrucciones, envenenamiento de datos, inversión de modelos) deben documentarse aun cuando no sean estrictamente obligatorias, porque evidencian directamente el cumplimiento del Artículo 15 y la evaluación del riesgo residual del Artículo 9.

Paso 8 — Realizar la evaluación de la conformidad (Artículo 43). Una vez completa la documentación de los Artículos 9 a 15, puede procederse a la evaluación formal — bien la autoevaluación interna del Anexo VI (la mayoría de los sistemas del Anexo III), bien el procedimiento de organismo notificado del Anexo VII (biometría del punto 1 del Anexo III cuando no se aplican normas armonizadas). La evaluación de la conformidad genera la declaración UE de conformidad (Artículo 47) y el derecho al marcado CE (Artículo 48).

Paso 9 — Registrar en la base de datos de la UE (Artículo 49). Los proveedores deben registrar los sistemas de alto riesgo en la base de datos de la UE para la IA antes de la introducción en el mercado.

Esta secuencia no es una prescripción legal — el Artículo 8 no impone un orden. Pero los proveedores que tratan de ejecutar estos pasos simultáneamente o de forma desordenada descubren de forma sistemática que los pasos posteriores sacan a la luz carencias que obligan a volver sobre los anteriores.

Cuándo comienza el cumplimiento del Artículo 8

En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones de la IA de alto riesgo se aplazan:

  • 2 de diciembre de 2027 — sistemas de IA de alto riesgo autónomos enumerados en el Anexo III (contratación, crédito, biometría, garantía del cumplimiento del Derecho, etc.).
  • 2 de agosto de 2028 — sistemas de IA de alto riesgo que son componentes de seguridad de productos del Anexo I.

La fecha original del 2 de agosto de 2026 era la fecha de aplicación de la IA de alto riesgo antes del Ómnibus Digital. Ya no es operativa como plazo de cumplimiento de la IA de alto riesgo (aunque sigue siendo la fecha general de aplicación de la Ley y la fecha a partir de la cual se aplican las obligaciones de transparencia de riesgo limitado del Artículo 50).

Ese aplazamiento no afecta al tiempo necesario para lograr el cumplimiento. Ensamblar la documentación técnica del Artículo 11, construir el sistema de gestión de riesgos del Artículo 9 y completar la evaluación de la conformidad del Artículo 43 para un sistema de alto riesgo no trivial lleva meses. Los proveedores que esperen hasta finales de 2027 para empezar no estarán listos.

Cómo estructura Confir los requisitos del Artículo 8

Dado que el Artículo 8 apunta a seis requisitos discretos, Confir asigna cada uno a un área de evaluación concreta:

  • AIRC (Clasificación de Riesgos y Cumplimiento de la IA) — Artículos 5, 6, 43, 50: clasificación y evaluación de la conformidad.
  • AITR (Datos y Robustez Técnica de la IA) — Artículos 10, 11, 15: gobernanza de datos, documentación técnica, exactitud y robustez.
  • AITO (Transparencia y Supervisión Humana de la IA) — Artículos 13, 14, 27, 50: transparencia hacia los responsables del despliegue y diseño de la supervisión humana.
  • AIGM (Gobernanza y Vigilancia Poscomercialización de la IA) — Artículos 9, 72, 73: sistema de gestión de riesgos, vigilancia poscomercialización y notificación de incidentes.

La evaluación utiliza una lógica determinista y basada en reglas — la misma admisión produce la misma conclusión, con la regla que se activó visible y legible por humanos. Esto significa que el análisis de brechas es reproducible y defendible en una auditoría o una revisión por parte de una autoridad. El resultado es una Puntuación de Salud de Cumplimiento en las cuatro áreas, con conclusiones a nivel de control vinculadas al artículo concreto que abordan.

Preguntas frecuentes

¿Cuál es la diferencia entre el Artículo 8 y el Artículo 9?

El Artículo 8 es la disposición de encabezamiento que hace que los Artículos 9 a 15 se apliquen a los sistemas de IA de alto riesgo. El Artículo 9 es uno de esos seis requisitos — en concreto, la exigencia de establecer y mantener un sistema de gestión de riesgos. El Artículo 8 dice «debe cumplir los requisitos»; el Artículo 9 define en qué consiste realmente el requisito de gestión de riesgos. No son intercambiables, y citar el Artículo 8 cuando se quiere decir el Artículo 9 es impreciso en cualquier documento de cumplimiento.

¿Se aplica el Artículo 8 a los responsables del despliegue?

No. Los Artículos 9 a 15 son obligaciones del proveedor. Los responsables del despliegue tienen su propio conjunto de obligaciones con arreglo al Artículo 26 — incluido el deber de utilizar el sistema conforme a las instrucciones de uso, conservar los registros y garantizar la supervisión humana. Los responsables del despliegue no elaboran la documentación técnica ni gestionan el sistema de gestión de riesgos; esos son deberes del proveedor con arreglo a los artículos que activa el Artículo 8.

¿Qué significa «estado de la técnica» para el cumplimiento del Artículo 15?

El estado de la técnica significa el nivel más alto de desarrollo técnico generalmente aceptado como la mejor práctica actual en el campo técnico pertinente. Para el Artículo 15 (exactitud, robustez, ciberseguridad), esto significa que los proveedores deben comparar sus sistemas con los mejores métodos disponibles en el momento del desarrollo — y no con la mera práctica media del sector. Las normas armonizadas, cuando se publican y son referenciadas por la Comisión, crean una presunción de conformidad con el criterio del estado de la técnica.

¿Cómo interactúa el Artículo 8 con la evaluación de la conformidad del Artículo 43?

El Artículo 8 define con qué deben cumplir los sistemas de IA de alto riesgo (Artículos 9 a 15). El Artículo 43 define el procedimiento para demostrar ese cumplimiento antes de la introducción en el mercado. La mayoría de los sistemas del Anexo III utilizan la vía de autoevaluación interna del Anexo VI; los sistemas biométricos del punto 1 del Anexo III (cuando no se aplican normas armonizadas) requieren la vía de organismo notificado del Anexo VII. El Artículo 8 es el «qué»; el Artículo 43 es el «cómo se demuestra».

¿Cuáles son las sanciones por incumplir los requisitos de los Artículos 9 a 15?

El incumplimiento de cualquiera de los Artículos 9 a 15 entra en el Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija. Cada artículo conlleva el mismo techo sancionador — no existe una estructura graduada dentro del conjunto de requisitos de alto riesgo.

¿Cuándo se aplican las obligaciones del Artículo 8?

Para los sistemas de alto riesgo autónomos del Anexo III: desde el 2 de diciembre de 2027 (en virtud del acuerdo político del Ómnibus Digital de mayo de 2026, que aplazó la fecha original del 2 de agosto de 2026). Para la IA de alto riesgo integrada como componente de seguridad en productos del Anexo I: desde el 2 de agosto de 2028.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.