Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE para la IA sanitaria y los productos sanitarios

EU AI Act Guide17 February 2026· 22 min de lectura

Dos vías hacia el alto riesgo en la Ley de IA de la UE: el Artículo 6, apartado 1, para la IA integrada en MDR/IVDR (ago 2028) y el Anexo III para la IA de triaje y de seguros (dic 2027).

La IA sanitaria se sitúa en la intersección de dos exigentes marcos regulatorios de la UE, y la Ley de IA de la UE no suaviza eso. Un sistema de diagnóstico por imagen, un algoritmo de triaje de urgencias, una herramienta de tarificación de seguros de salud — cada uno activa un punto de entrada distinto al régimen de alto riesgo con arreglo al Reglamento (UE) 2024/1689. Acertar pronto con la clasificación importa, porque el trabajo de cumplimiento que viene después — gestión de riesgos, validación clínica, documentación técnica, evaluación de la conformidad — tarda meses en construirse correctamente.

Esta guía abarca cómo se clasifica la IA sanitaria con arreglo a la Ley, las dos vías distintas hacia la condición de alto riesgo, cómo interactúan las obligaciones con el Reglamento de Productos Sanitarios (MDR) y el Reglamento de Productos Sanitarios para Diagnóstico In Vitro (IVDR), y qué deben hacer las empresas de tecnología médica y los hospitales antes de los plazos aplicables.

Dos vías hacia el alto riesgo: Artículo 6, apartado 1, y Anexo III

La Ley de IA de la UE alcanza la IA sanitaria a través de dos mecanismos distintos. La vía determina su plazo, su procedimiento de evaluación de la conformidad y cómo interactúa con su organismo notificado.

Vía 1 — Artículo 6, apartado 1, y Anexo I: IA integrada en productos sanitarios regulados

El Artículo 6, apartado 1, clasifica un sistema de IA como de alto riesgo si es un producto sanitario, o un componente de seguridad de un producto sanitario, regulado al amparo del MDR (Reglamento (UE) 2017/745) o del IVDR (Reglamento (UE) 2017/746), y el producto ya requiere una evaluación de la conformidad por terceros con arreglo a esos instrumentos.

Esa última condición es la bisagra. No todos los productos sanitarios necesitan un organismo notificado — los productos de la clase I al amparo del MDR pueden, en gran medida, autocertificarse. Es cuando ya interviene un organismo notificado — los productos de las clases IIa, IIb y III al amparo del MDR; los productos de las clases B, C y D al amparo del IVDR — cuando el Artículo 6, apartado 1, se activa automáticamente.

El efecto práctico es significativo: los requisitos de la Ley de IA de la UE se integran en la evaluación de la conformidad MDR/IVDR existente. No hay un proceso de certificación de la Ley de IA aparte que funcione en paralelo. El organismo notificado que ya evalúa su producto evalúa también las obligaciones de la Ley de IA, una «ventanilla única» concebida para evitar la doble evaluación. El considerando 53 de la Ley reconoce la carga que la duplicación de procedimientos supondría para las empresas de tecnología médica, y el Artículo 6, apartado 1, es la respuesta estructural.

Plazo: 2 de agosto de 2028. En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo de los sistemas integrados en productos del Anexo I se trasladó de la fecha original del 2 de agosto de 2026 al 2 de agosto de 2028.

Ejemplos de sistemas del Artículo 6, apartado 1:

  • Un modelo de IA que segmenta automáticamente tumores en imágenes de TAC, integrado en un producto de imagen de clase IIb — la IA es un componente de seguridad; el producto requiere evaluación por organismo notificado al amparo del MDR; el Artículo 6, apartado 1, se aplica.
  • Un producto de software como producto sanitario (SaMD) que analiza escáneres de retina para detectar retinopatía diabética, con marcado CE de clase IIa al amparo del MDR — se aplica la misma lógica si la clasificación requiere la intervención de un organismo notificado.
  • Un algoritmo integrado en un analizador de diagnóstico in vitro (clase C al amparo del IVDR) que interpreta los resultados de los ensayos — se requiere la evaluación por organismo notificado del IVDR; el Artículo 6, apartado 1, se activa.

Vía 2 — Anexo III: sistemas de IA autónomos en casos de uso relacionados con la salud

La segunda vía discurre a través del Anexo III, la lista de ocho categorías de casos de uso de alto riesgo que la Ley designa directamente. Dos son pertinentes para la sanidad:

Anexo III, punto 5 — Acceso a servicios esenciales privados y públicos. Esto incluye la IA utilizada en el envío y el triaje de la atención de urgencias, y la IA utilizada para determinar la admisibilidad a un seguro de salud o para fijar el riesgo y los precios de los seguros de salud/vida. Un sistema de IA que enruta las llamadas de urgencia, decide qué unidad de ambulancia responde o ayuda a determinar si se prioriza a un paciente para su ingreso urgente en un hospital entra aquí. También lo hace el software que trata datos sanitarios del paciente para puntuar la asegurabilidad o calcular el riesgo de las primas.

Anexo III, punto 1 — Biometría. La IA de reconocimiento de emociones utilizada en contextos sanitarios — por ejemplo, sistemas que analizan las expresiones faciales de los pacientes para evaluar los niveles de dolor o el estado mental — entra en esta categoría cuando lo permite el Artículo 50.

El régimen estándar de alto riesgo se aplica a los sistemas del Anexo III: los proveedores deben realizar su propia evaluación de la conformidad (Artículo 43 — bien control interno con arreglo al Anexo VI, bien auditoría por organismo notificado con arreglo al Anexo VII), y se aplica el conjunto completo de obligaciones de los Artículos 9 a 15.

Plazo: 2 de diciembre de 2027. Los sistemas autónomos de alto riesgo del Anexo III deben cumplir desde el 2 de diciembre de 2027 en virtud del Ómnibus Digital.

Observe que el Artículo 6, apartado 3, ofrece un filtro: un sistema del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, una herramienta que desempeña una tarea preparatoria estrecha o mejora el resultado de una actividad humana ya realizada sin sustituir el juicio humano. En sanidad, el margen para invocar el Artículo 6, apartado 3, es estrecho. Todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de este filtro.

La integración MDR/IVDR en la práctica

Para los sistemas del Artículo 6, apartado 1, la integración de los requisitos de la Ley de IA en la evaluación de la conformidad MDR/IVDR tiene implicaciones concretas para la forma de planificar el trabajo.

Su organismo notificado evaluará el cumplimiento de la Ley de IA junto con el MDR/IVDR. Eso significa que el expediente técnico que construya para su organismo notificado — estructurado conforme al Anexo II del MDR o a las disposiciones equivalentes del IVDR — debe abordar ahora también los requisitos de la Ley de IA de la UE. Considérelo como un único expediente técnico, dos lentes regulatorias.

En concreto, los requisitos de documentación técnica del Artículo 11 y del Anexo IV de la Ley de IA se proyectan sobre (pero no sustituyen) el expediente técnico del MDR. Tendrá que añadir:

  • Una descripción de la lógica de diseño del sistema de IA, las características de los datos de entrenamiento y la finalidad prevista tal como se define al amparo de la Ley de IA de la UE (Artículo 3, apartado 12).
  • La documentación del sistema de gestión de riesgos exigida por el Artículo 9 — distinta del proceso de gestión de riesgos del MDR con arreglo a la norma ISO 14971, pero que puede ejecutarse junto a él.
  • La documentación de gobernanza de datos con arreglo al Artículo 10: de dónde procedían los datos de entrenamiento, cómo se evaluó la representatividad entre los subgrupos de pacientes, qué pruebas de sesgo se realizaron.
  • Las medidas de supervisión humana con arreglo al Artículo 14 y cómo se implementan en el flujo de trabajo clínico.
  • El plan de vigilancia poscomercialización con arreglo al Artículo 72, coordinado con el plan de vigilancia poscomercialización del MDR ya exigido por el Artículo 83 del MDR.

La vigilancia poscomercialización del MDR y la vigilancia del Artículo 72 de la Ley de IA de la UE son complementarias, no duplicadas. Ambas exigen el seguimiento del rendimiento en condiciones reales, los acontecimientos adversos y la deriva del rendimiento. En la práctica, puede construir un único marco de vigilancia que satisfaga ambos, siempre que los desencadenantes específicos de la IA — la deriva del modelo, el desplazamiento de la distribución de entrenamiento, la degradación de la equidad — se aborden explícitamente junto con los requisitos convencionales de vigilancia de productos al amparo de los Artículos 87 a 92 del MDR y del Artículo 73 de la Ley de IA de la UE.

El conjunto de obligaciones para la IA sanitaria de alto riesgo

Tanto si llega a través del Artículo 6, apartado 1, como a través del Anexo III, se aplican las obligaciones básicas de alto riesgo de los Artículos 9 a 15. Esto es lo que exige cada una y cómo aterriza en un contexto clínico.

Sistema de gestión de riesgos — Artículo 9

Un sistema de gestión de riesgos documentado y continuo que funciona a lo largo de todo el ciclo de vida del sistema. No una evaluación puntual: el Reglamento exige explícitamente una revisión continua mientras el sistema opera en el despliegue.

Para la IA sanitaria, el proceso de gestión de riesgos debe abordar modos de fallo específicos de la IA que difieren de los riesgos del software convencional: el desplazamiento de la distribución de entrenamiento (el modelo se validó con datos de hospitales académicos, pero se despliega en clínicas comunitarias), el sesgo algorítmico (el rendimiento se degrada para los pacientes mayores o los grupos étnicos minoritarios) y la fragilidad adversaria (modificaciones sutiles de la imagen que engañan al modelo mientras parecen normales para un radiólogo). La gestión de riesgos estándar de la ISO 14971 cubre los peligros del producto; el Artículo 9 añade la capa de IA por encima.

Datos y gobernanza de datos — Artículo 10

Los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, representativos y suficientemente amplios para evitar el sesgo. Para la IA sanitaria, esto implica directamente el Artículo 9 del RGPD — los datos sanitarios son datos personales de categoría especial, lo que exige una base jurídica (típicamente el Artículo 9, apartado 2, letra j), para la investigación científica, o el consentimiento explícito con arreglo al Artículo 9, apartado 2, letra a)) y salvaguardas técnicas y organizativas adecuadas.

El Artículo 10 le exige documentar la representatividad entre las poblaciones de pacientes. Un modelo de diagnóstico por imagen validado exclusivamente con datos de la red hospitalaria de un solo país puede rendir mal con pacientes de orígenes étnicos, grupos de edad o configuraciones de equipos diferentes. El Artículo 10, apartado 3, exige explícitamente que los conjuntos de datos abarquen las características pertinentes para la población geográfica, contextual y conductual prevista. Para los productos sanitarios, esto se cruza con la validación clínica del Anexo XIV del MDR — las pruebas clínicas deben demostrar el rendimiento en toda la población prevista, lo que significa que los conjuntos de datos de entrenamiento y validación deben reflejar esa población.

Documentación técnica — Artículo 11 y Anexo IV

El expediente técnico del Artículo 11 debe describir la finalidad prevista del sistema, la lógica de diseño, los datos de entrenamiento, los resultados de validación, las limitaciones conocidas, el informe de gestión de riesgos y el plan de vigilancia poscomercialización. Para los sistemas del Artículo 6, apartado 1, este expediente se incorpora a la revisión del organismo notificado.

Supervisión humana — Artículo 14

Los proveedores deben diseñar los sistemas de IA para que las personas cualificadas puedan comprender los resultados, vigilar el rendimiento e intervenir cuando sea necesario. Los responsables del despliegue — hospitales y clínicas — deben implementar las medidas de supervisión que el proveedor especifica y deben asignar a personas concretas con la competencia necesaria para hacerlo.

En la práctica, el Artículo 14 significa que un radiólogo que revisa hallazgos marcados por la IA no puede situarse en un flujo de trabajo en el que el resultado de la IA sea estructuralmente difícil de cuestionar. El sistema debe indicar su nivel de confianza, señalar las entradas anómalas o fuera de distribución y permitir que el clínico anule el resultado sin fricción. La supervisión humana es un derecho del clínico como cuestión regulatoria, no una mera buena práctica.

Los responsables del despliegue soportan aquí obligaciones reales. Un hospital que adquiere una IA de diagnóstico por imagen a un proveedor es un responsable del despliegue con arreglo al Artículo 26. El hospital debe implementar las medidas de supervisión humana que el proveedor especifica en las instrucciones, formar al personal en consecuencia, vigilar resultados inesperados y notificar los incidentes graves con arreglo al Artículo 73.

Exactitud, robustez y ciberseguridad — Artículo 15

El sistema debe alcanzar los niveles de exactitud declarados en la documentación técnica entre los grupos de pacientes pertinentes, ser resiliente frente a errores e incoherencias en los datos de entrada y estar protegido contra la manipulación adversaria. Para los productos sanitarios, esto se solapa considerablemente con los requisitos generales de seguridad y funcionamiento del Anexo I del MDR — pero el Artículo 15 añade expectativas de ciberseguridad que el MDR no aborda plenamente, en especial para los sistemas de IA que se comunican a través de redes o reciben actualizaciones de modelo de forma remota.

Vigilancia poscomercialización — Artículo 72

Los proveedores deben establecer y mantener un plan de vigilancia poscomercialización, recopilar y analizar los datos del despliegue y adoptar medidas correctoras si el rendimiento se degrada. Los incidentes graves — en sanidad, esto puede significar un diagnóstico omitido que contribuyó a un perjuicio para el paciente — deben notificarse con arreglo al Artículo 73 a la autoridad de vigilancia del mercado del Estado miembro correspondiente.

La vigilancia del Artículo 72 funciona junto a la vigilancia del MDR. Un proveedor de un sistema de IA regulado por el MDR ya tendrá un plan de vigilancia poscomercialización (PMS) y obligaciones de informe periódico de actualización de la seguridad (PSUR) con arreglo a los Artículos 83 a 86 del MDR. La Ley de IA añade el seguimiento del rendimiento específico de la IA: notificación de la exactitud por grupo demográfico, umbrales de detección de deriva y documentación de cualquier reentrenamiento o actualización del modelo. Coordinar estos dos flujos de vigilancia desde el principio ahorra una considerable cantidad de trabajo de rehacer.

Obligaciones del proveedor y del responsable del despliegue: un ejemplo de diagnóstico por imagen

Tomemos una empresa de tecnología médica con sede en Berlín — el proveedor — que desarrolla un sistema de IA con marcado CE para el cribado mamográfico, clasificado como producto de clase IIb al amparo del MDR. El sistema marca posibles tumores malignos y asigna una puntuación de probabilidad que los radiólogos revisan antes de emitir un informe.

El sistema es un componente de seguridad de IA de un producto regulado que requiere evaluación por organismo notificado: el Artículo 6, apartado 1, se aplica, plazo 2 de agosto de 2028.

Las obligaciones del proveedor incluyen: construir el sistema de gestión de riesgos del Artículo 9; compilar la documentación técnica del Artículo 11 / Anexo IV para la revisión del organismo notificado; asegurarse de que los datos de entrenamiento con arreglo al Artículo 10 abarquen poblaciones de pacientes diversas, tipos de equipos de imagen y protocolos de cribado de toda la UE; diseñar medidas de supervisión humana (Artículo 14) — indicadores de confianza, señales de fuera de distribución, vías de anulación claras; y mantener la vigilancia poscomercialización con arreglo al Artículo 72 junto al PMS del MDR.

Los hospitales que adquieren y despliegan el sistema son responsables del despliegue con arreglo al Artículo 26. Cada hospital debe: implementar las medidas de supervisión humana de las instrucciones de uso del proveedor; asegurarse de que los radiólogos reciban formación adecuada sobre las capacidades y las limitaciones documentadas del sistema; vigilar el rendimiento en su población de pacientes y entorno de imagen específicos; y notificar cualquier incidente grave con arreglo al Artículo 73 en el que el resultado del sistema pueda haber contribuido a un perjuicio para el paciente.

Si un hospital modifica sustancialmente el sistema — por ejemplo, reentrenándolo con datos locales sin la intervención del proveedor — el Artículo 25 puede trasladar las obligaciones del proveedor al hospital. Es un riesgo para el que pocas instituciones clínicas están preparadas.

Qué deben hacer ahora las empresas de tecnología médica

Ambos plazos son alcanzables, pero ninguno es generoso si se tiene en cuenta el trabajo que implica.

Para los sistemas del Artículo 6, apartado 1 (plazo 2 de agosto de 2028): empiece por su organismo notificado del MDR. Confirme que está preparado para evaluar el cumplimiento de la Ley de IA como parte de la evaluación de la conformidad del Artículo 43. Algunos organismos notificados están más avanzados que otros en el desarrollo de la competencia para evaluar la Ley de IA — vale la pena investigarlo ahora y no en 2027. Audite su expediente técnico existente frente al Anexo IV de la Ley de IA de la UE e identifique las carencias: documentación de gestión de riesgos específica de la IA, pruebas de representatividad de los datos de entrenamiento, registros de gobernanza de datos del Artículo 10. Empiece a alinear su plan de PMS del MDR con los requisitos del Artículo 72.

Para los sistemas del Anexo III (plazo 2 de diciembre de 2027): la evaluación de la conformidad es responsabilidad suya (Artículo 43), sin el mecanismo de integración MDR/IVDR. Construya primero el sistema de gestión de riesgos del Artículo 9 — es el cimiento sobre el que descansa todo lo demás. Evalúe sus datos de entrenamiento para la representatividad del Artículo 10. Diseñe las medidas de supervisión humana del Artículo 14 y confirme que se implementan en los flujos de trabajo clínicos, no que solo se documentan en un manual. Registre el sistema en la base de datos de la UE con arreglo al Artículo 49 una vez que la base de datos de la UE esté operativa.

Para ambos: el cumplimiento de los datos sanitarios con arreglo al Artículo 9 del RGPD no es una infraestructura opcional — es un requisito previo. Confirme su base jurídica para utilizar datos sanitarios en el entrenamiento y la validación, y asegúrese de que sus acuerdos de tratamiento de datos con hospitales y proveedores de datos cubran los requisitos de gobernanza de datos del Artículo 10.

La multa por incumplimiento de las obligaciones de alto riesgo es de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. Es una protección significativa, pero no abarata el incumplimiento — y las restricciones de acceso al mercado son el riesgo comercial más inmediato.

Cómo ayuda Confir

Clasificar un sistema de IA sanitaria con arreglo a la Ley de IA de la UE implica preguntas en capas: ¿es un producto sanitario? ¿Requiere un organismo notificado al amparo del MDR/IVDR? ¿Qué categoría del Anexo III se aplica? ¿Se aplica el filtro del Artículo 6, apartado 3? El motor de clasificación basado en reglas de Confir recorre estas preguntas de forma sistemática — la misma admisión, el mismo resultado determinista, con el artículo aplicable citado para cada conclusión.

Una vez confirmada la clasificación, Confir estructura la evaluación en las cuatro áreas de cumplimiento: AIRC (clasificación de riesgo con arreglo a los Artículos 5, 6, 43), AITR (datos y robustez técnica con arreglo a los Artículos 10, 11, 15), AITO (transparencia y supervisión humana con arreglo a los Artículos 13, 14, 27) y AIGM (gobernanza y vigilancia poscomercialización con arreglo a los Artículos 9, 72, 73). El cruce con las obligaciones correspondientes del MDR se muestra cuando es pertinente, de modo que pueda ver qué requisito de la Ley de IA ya está parcialmente cubierto por su documentación del MDR y dónde están las carencias genuinas.

El resultado es un paquete de documentación técnica del Artículo 11 / Anexo IV listo para imprimir y la declaración UE de conformidad del Artículo 47 — estructurados para su presentación a su organismo notificado o conservados para el control interno.

Preguntas frecuentes

¿Una herramienta de apoyo a la decisión clínica siempre se considera de alto riesgo con arreglo a la Ley de IA de la UE?

No automáticamente. La clasificación depende de la función de la herramienta y del filtro del Artículo 6, apartado 3. Una IA que proporciona rangos de referencia a un clínico pero no influye en un diagnóstico o en una decisión de tratamiento, y no elabora perfiles de pacientes, puede no ser de alto riesgo. Una IA que marca los niveles de urgencia en un flujo de trabajo de triaje de urgencias — influyendo directamente en qué pacientes reciben una atención más rápida — entra casi con seguridad en el Anexo III, punto 5. La respuesta honesta es que «apoyo a la decisión clínica» es una categoría amplia, y la clasificación requiere un análisis caso por caso frente al Anexo III y a los criterios del Artículo 6, apartado 3.

¿Cómo interactúa la Ley de IA de la UE con el RGPD para la IA sanitaria?

Interactúan en el Artículo 10 de la Ley de IA de la UE (gobernanza de datos) y en el Artículo 9 del RGPD (datos de categoría especial). Los datos sanitarios son de categoría especial; necesita una base jurídica con arreglo al Artículo 9, apartado 2, del RGPD para utilizarlos en el entrenamiento y la validación — típicamente motivos científicos o de interés público, o el consentimiento explícito. La Ley de IA de la UE no prevalece sobre el RGPD; añade una capa separada que exige la representatividad y la documentación del sesgo. Sus acuerdos de tratamiento de datos deben abordar ambos marcos.

¿Quién es el «proveedor» de una herramienta de diagnóstico con IA construida por un hospital y utilizada solo internamente?

Si un hospital desarrolla un sistema de IA y lo pone en servicio con su propio nombre — incluso para uso interno — es un proveedor con arreglo al Artículo 3, apartado 3, y soporta todas las obligaciones del proveedor con arreglo al Artículo 16. La Ley no limita la condición de proveedor a las empresas que venden a terceros. Un gran hospital académico que construye su propio modelo de predicción de sepsis y lo ejecuta en la UCI es un proveedor. El Artículo 25 también puede ser pertinente si el hospital modifica sustancialmente un sistema de terceros.

¿Qué significan los «datos de entrenamiento representativos» con arreglo al Artículo 10 para una IA médica?

El Artículo 10, apartado 3, exige que los conjuntos de datos abarquen las características pertinentes para la población geográfica, contextual y conductual prevista, con atención a los sesgos conocidos. Para una IA de diagnóstico destinada a un despliegue en toda la UE, los datos de entrenamiento deben reflejar la diversidad demográfica (edad, sexo, etnia), la diversidad clínica (gravedad de la enfermedad, comorbilidades) y la diversidad de equipos (distintos fabricantes y configuraciones de escáner). Un modelo entrenado exclusivamente con datos de un hospital de referencia de un solo país y desplegado en una red hospitalaria de toda la UE tiene un problema documentado del Artículo 10.

¿Puede un hospital invocar el Artículo 6, apartado 3, para evitar la clasificación de alto riesgo de una herramienta de triaje con IA?

Rara vez, y requiere una documentación rigurosa. El Artículo 6, apartado 3, exige que el proveedor (o el responsable del despliegue que actúa como proveedor) demuestre que el sistema no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. Una herramienta de triaje que asigna recursos de urgencia limitados influye en los resultados de los pacientes de forma directa y material; las autoridades examinarán con detenimiento cualquier reclamación del Artículo 6, apartado 3. Si el sistema elabora perfiles de personas físicas — clasificando a los pacientes por nivel de urgencia — es siempre de alto riesgo y el filtro no se aplica.

¿Cuál es la diferencia entre la vigilancia poscomercialización del Artículo 72 y la vigilancia poscomercialización del MDR?

El Artículo 72 de la Ley de IA de la UE y los Artículos 83 a 86 del MDR exigen ambos una vigilancia continua del rendimiento tras el despliegue, pero se centran en modos de fallo diferentes. La vigilancia del MDR aborda la seguridad convencional del producto: acontecimientos adversos, fallos del producto, fallos de materiales. El Artículo 72 añade la vigilancia específica de la IA: la deriva del rendimiento del modelo, la aparición de sesgo demográfico, el desplazamiento de la distribución de entrenamiento y cualquier deterioro de la exactitud no captado por los criterios convencionales de seguridad del producto. Para los sistemas del Artículo 6, apartado 1, ambos se aplican y pueden ejecutarse a través de un único programa de vigilancia coordinado.

¿Cuáles son las sanciones por incumplimiento en la IA sanitaria?

El Artículo 99, apartado 4, fija el techo en 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor, por el incumplimiento de las obligaciones de alto riesgo. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. Las autoridades nacionales de vigilancia del mercado también pueden restringir o prohibir el despliegue de sistemas no conformes — para una empresa de tecnología médica con un producto con marcado CE, ese es un riesgo más inmediato que el techo de la multa.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

Industry Guide

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

Industry Guide

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.