Organismo de evaluación de la conformidad (Ley de IA de la UE): definición y función

Un organismo de evaluación de la conformidad (OEC) es cualquier organización autorizada para llevar a cabo actividades de ensayo, certificación e inspección por terceros que verifican si un sistema de IA cumple los requisitos del Reglamento (UE) 2024/1689. La mayoría de las empresas obligadas a realizar una evaluación de la conformidad en virtud de la Ley de IA de la UE nunca tratarán con uno, pero comprender la distinción entre un OEC, un organismo notificado, una autoridad notificante y una autoridad de vigilancia del mercado importa cuando se delimitan las obligaciones del Artículo 43.

La definición de la Ley de IA de la UE

El Artículo 3, apartado 21, del Reglamento (UE) 2024/1689 define el organismo de evaluación de la conformidad como:

«un organismo que desempeña actividades de evaluación de la conformidad por terceros, como el ensayo, la certificación y la inspección».

Esa definición es deliberadamente amplia. Un OEC es una categoría estructural: la clase de organizaciones independientes capaces de verificar el cumplimiento en nombre de alguien distinto del fabricante o el operador. Si un OEC concreto tiene la autoridad jurídica para emitir una conclusión de organismo notificado en virtud de la Ley de IA de la UE es una cuestión aparte, que responde el proceso de notificación descrito más adelante.

La definición se sitúa junto al Artículo 3, apartado 22, que define un organismo notificado como un organismo de evaluación de la conformidad que ha sido notificado a la Comisión Europea tras una evaluación y designación nacional formal. Los dos términos comparten una relación de padre-hijo: todo organismo notificado es un OEC, pero no todo OEC es un organismo notificado.

De organismo de evaluación de la conformidad a organismo notificado

Un OEC adquiere la condición de organismo notificado a través de un procedimiento estructurado expuesto en el Capítulo III, Sección 4, de la Ley de IA de la UE (Artículos 28 a 39). Los pasos son secuenciales y nada triviales.

Paso 1 — Solicitud a la autoridad notificante (Artículo 28)

Un OEC presenta su solicitud a la autoridad notificante nacional del Estado miembro en el que está establecido. La autoridad notificante es el organismo público designado en virtud del Artículo 28 para evaluar, designar y vigilar a los organismos notificados; es completamente independiente de la autoridad de vigilancia del mercado que hace cumplir la Ley frente a los proveedores y responsables del despliegue.

Paso 2 — Evaluación (Artículos 29 a 33)

La autoridad notificante evalúa al solicitante frente a los requisitos de los Artículos 31 y 32: estructura organizativa, independencia, competencia técnica, imparcialidad, seguro y obligaciones de confidencialidad. Cuando existe una infraestructura nacional de acreditación, la acreditación por parte del organismo nacional de acreditación en virtud del Reglamento (CE) n.º 765/2008 crea una presunción de conformidad con los Artículos 31 y 32: no es obligatoria, pero es la vía habitual.

Paso 3 — Designación y notificación (Artículos 29, 34)

Una vez satisfecha, la autoridad notificante designa al organismo y lo notifica a la Comisión y a todos los demás Estados miembros a través de la base de datos NANDO. A partir de ese momento, el organismo puede llevar a cabo la evaluación por terceros del Anexo VII para la que ha sido designado.

Paso 4 — Supervisión continua (Artículos 36 a 39)

Las autoridades notificantes vigilan a sus organismos notificados de forma continua. Un organismo notificado que deja de cumplir los requisitos de los Artículos 31 y 32, o que ha cometido una infracción grave, puede ver suspendida o retirada su designación en virtud del Artículo 36. La propia Comisión puede investigar cuando tenga dudas sobre la competencia de un organismo notificado (Artículo 37).

Una consecuencia práctica de esta estructura: un OEC con una trayectoria consolidada en la certificación de productos sanitarios en virtud del MDR no está automáticamente autorizado para actuar como organismo notificado a efectos de la Ley de IA. Debe solicitar una designación independiente para las tareas concretas de la Ley de IA que pretenda llevar a cabo.

Cuándo interviene realmente un organismo de evaluación de la conformidad

Aquí la Ley de IA de la UE diverge notablemente de lo que muchos suponen. La evaluación por terceros a través de un organismo notificado es la excepción, no la regla.

Las dos vías del Artículo 43

El Artículo 43 de la Ley de IA de la UE prescribe dos procedimientos de evaluación de la conformidad para los sistemas de IA de alto riesgo:

• Anexo VI — control interno: el proveedor realiza por sí mismo la evaluación de la conformidad, documenta que el sistema cumple los requisitos de los Artículos 9 a 15, elabora la documentación técnica en virtud del Artículo 11 y el Anexo IV, y emite la declaración UE de conformidad en virtud del Artículo 47. No interviene ningún OEC.
• Anexo VII — evaluación de la conformidad con intervención de un organismo notificado: el proveedor somete el sistema a la evaluación por terceros de un organismo notificado designado, que examina la documentación técnica y puede llevar a cabo ensayos antes de emitir un certificado.

Qué sistemas utilizan cada vía

El Artículo 43 hace que la selección de la vía dependa de dos condiciones: si el sistema entra en el Anexo III, punto 1 (biometría), y si el proveedor ha aplicado normas armonizadas que cubran todos los requisitos pertinentes.

La mayoría de los sistemas de IA de alto riesgo —los que cubren el empleo y la gestión de los trabajadores (Anexo III, punto 4), la calificación crediticia (Anexo III, punto 5, letra b)), la educación (Anexo III, punto 3) o el apoyo a la garantía del cumplimiento del Derecho (Anexo III, punto 6)— utilizan la vía de autoevaluación interna del Anexo VI. Ningún OEC interviene en su evaluación de la conformidad.

La vía de organismo notificado del Anexo VII se requiere principalmente para los sistemas de IA de alto riesgo de la categoría de biometría (Anexo III, punto 1 — identificación biométrica remota, categorización biométrica y reconocimiento de emociones cuando no estén prohibidos en virtud del Artículo 5). Incluso dentro de esa categoría, la vía del Anexo VII solo se activa cuando el proveedor no ha aplicado normas armonizadas que cubran todos los requisitos aplicables. Si existen normas armonizadas pertinentes y se han aplicado en su totalidad, el proveedor puede utilizar la vía de control interno incluso para un sistema biométrico.

Esto significa que un sistema de IA biométrico bien documentado, construido enteramente conforme a las normas armonizadas aplicables, tiene una vía de autoevaluación. Esa vía permanece abierta solo si la documentación técnica demuestra la cobertura completa de esas normas.

IA de alto riesgo integrada en productos regulados

Una vía separada se aplica a los sistemas de IA de alto riesgo que son componentes de seguridad de productos ya sujetos a la legislación de productos de la UE enumerada en el Anexo I de la Ley de IA de la UE (productos sanitarios, máquinas, equipos de aviación y similares). Para esos sistemas, el Artículo 43, apartado 3, integra la evaluación de la conformidad de la Ley de IA en el procedimiento de conformidad del producto existente, de modo que el organismo notificado que ya revisa el producto en virtud de, por ejemplo, el Reglamento sobre los productos sanitarios revisa también el componente de IA. Estos sistemas afrontan el plazo posterior del 2 de agosto de 2028 en lugar del 2 de diciembre de 2027.

Las tres autoridades: no intercambiables

Una fuente persistente de confusión es mezclar tres organismos distintos que desempeñan funciones diferentes en el marco de la Ley de IA de la UE.

El organismo de evaluación de la conformidad / organismo notificado es el evaluador independiente: lleva a cabo o revisa la comprobación técnica de conformidad cuando se requiere la evaluación por terceros.

La autoridad notificante (Artículo 28) es el organismo público nacional que evalúa, designa y supervisa a los organismos notificados. No evalúa por sí misma los sistemas de IA en cuanto a su cumplimiento.

La autoridad de vigilancia del mercado (Artículos 70, 74 a 83) es la autoridad nacional que hace cumplir la Ley una vez que un producto está en el mercado: investiga el incumplimiento, ordena medidas correctoras y puede exigir la retirada de un producto. No interviene en la evaluación de la conformidad previa a la comercialización.

Un proveedor que afronta una evaluación de la conformidad del Artículo 43 interactúa con el organismo notificado (si se aplica la vía del Anexo VII) y con la autoridad notificante solo de forma indirecta. Las autoridades de vigilancia del mercado adquieren relevancia tras el lanzamiento, en particular en virtud de las obligaciones de notificación de incidentes del Artículo 73.

Cómo ayuda Confir

Para la mayoría de las empresas que despliegan o construyen sistemas de IA de alto riesgo en virtud del Anexo III, la evaluación de la conformidad es un ejercicio de autoevaluación interna, no una relación con un tercero. Lo que ese ejercicio requiere es una documentación técnica rigurosa (Artículo 11 / Anexo IV), un sistema de gestión de riesgos en funcionamiento (Artículo 9) y registros que demuestren que se ha cumplido cada uno de los requisitos de los Artículos 9 a 15.

La herramienta de cumplimiento basada en reglas de Confir guía a su equipo por la clasificación del Artículo 43 —determinando si su sistema necesita la vía del Anexo VI o del Anexo VII— y genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración UE de conformidad del Artículo 47 como salidas estructuradas. El motor es determinista: las mismas entradas producen las mismas conclusiones, con la regla que se activó identificada para cada resultado.

Preguntas frecuentes

¿Requiere todo sistema de IA de alto riesgo un organismo de evaluación de la conformidad?

No. La mayoría de los sistemas de IA de alto riesgo del Anexo III —los del empleo, la educación, el crédito, la garantía del cumplimiento del Derecho, la migración y la justicia— utilizan la vía de autoevaluación interna del Anexo VI. El proveedor realiza la evaluación sin involucrar a ningún OEC. Un organismo notificado (un OEC designado) se requiere principalmente para los sistemas de IA biométricos del Anexo III, punto 1, y solo cuando no se han aplicado normas armonizadas que cubran todos los requisitos.

¿Cuál es la diferencia entre un organismo de evaluación de la conformidad y un organismo notificado?

Un organismo de evaluación de la conformidad es la categoría general: cualquier organización independiente que lleva a cabo ensayos, certificación o inspección por terceros. Un organismo notificado es un OEC que ha sido evaluado formalmente por una autoridad notificante nacional y designado para realizar las evaluaciones de la conformidad de la Ley de IA de la UE, y después notificado a la Comisión Europea y a los demás Estados miembros. La designación es específica: un organismo notificado para sistemas de IA biométricos no está automáticamente autorizado para certificar otras categorías de alto riesgo.

¿Qué autoridad designa a los organismos notificados?

La autoridad notificante nacional del Estado miembro donde está establecido el OEC: un organismo público designado en virtud del Artículo 28 de la Ley de IA de la UE. Es estructuralmente independiente de la autoridad de vigilancia del mercado y de la Oficina de IA a nivel de la UE. La designación requiere que el OEC cumpla los requisitos de los Artículos 31 y 32, que cubren la independencia, la competencia técnica y la imparcialidad.

¿Puede un OEC acreditado para productos sanitarios actuar como organismo notificado en virtud de la Ley de IA de la UE?

No automáticamente. Un organismo ya notificado en virtud de, por ejemplo, el Reglamento sobre los productos sanitarios debe solicitar una designación independiente en virtud de la Ley de IA de la UE para las tareas concretas de la Ley de IA que pretenda realizar. La acreditación por parte del organismo nacional de acreditación en virtud del Reglamento (CE) n.º 765/2008 respalda la solicitud (crea una presunción de conformidad con los Artículos 31 y 32), pero la designación en sí debe pasar por la autoridad notificante del Artículo 28.

¿Cuándo se aplica la vía de organismo notificado del Anexo VII a los sistemas biométricos?

El Artículo 43, apartado 1, exige la vía del Anexo VII para los sistemas del Anexo III, punto 1 (biometría), cuando el proveedor no ha aplicado normas armonizadas que cubran todos los requisitos aplicables. Cuando existen normas armonizadas pertinentes y se han aplicado en su totalidad, el proveedor puede utilizar la vía de control interno del Anexo VI incluso para un sistema biométrico.

¿Qué ocurre si un organismo notificado pierde su designación?

En virtud del Artículo 36, una autoridad notificante puede suspender, restringir o retirar la designación de un organismo notificado si este deja de cumplir los requisitos de los Artículos 31 y 32, o si ha cometido una infracción grave. La Comisión también puede investigar y, si está justificado, solicitar a la autoridad notificante que adopte medidas correctoras (Artículo 37). Los proveedores que posean certificados de ese organismo tendrían que obtener una nueva evaluación de un organismo notificado alternativo.

Términos relacionados

• Organismo notificado — un OEC que ha sido designado y notificado a la Comisión; la entidad que lleva a cabo la evaluación del Anexo VII
• Evaluación de la conformidad (Artículo 43) — el procedimiento previo a la comercialización que establece si un sistema de IA de alto riesgo cumple los requisitos de la Ley de IA de la UE
• Artículo 43 de la Ley de IA de la UE — el artículo que prescribe qué procedimiento de evaluación (Anexo VI o Anexo VII) se aplica a qué sistemas de alto riesgo
• Autoridad notificante — el organismo público nacional que evalúa, designa y supervisa a los organismos notificados; distinto del propio OEC
• Autoridad de vigilancia del mercado — la autoridad nacional de ejecución que vigila los sistemas de IA tras el lanzamiento; no interviene en la evaluación de la conformidad previa a la comercialización
• Documentación técnica del Anexo IV — el requisito de contenido documental de nueve áreas que los proveedores deben ensamblar para cualquier sistema de IA de alto riesgo antes de la evaluación del Artículo 43