Norma armonizada

Una norma armonizada es una norma europea adoptada a petición de la Comisión Europea para la aplicación de la legislación de armonización de la Unión. Con arreglo a la Ley de IA de la UE, la conformidad con una norma armonizada cuya referencia se haya publicado en el Diario Oficial de la UE crea una presunción legal de que el sistema de IA de alto riesgo cubierto cumple los requisitos correspondientes del Reglamento — la denominada presunción de conformidad con arreglo al artículo 40 del Reglamento (UE) 2024/1689.

Para los proveedores de sistemas de IA de alto riesgo, esta presunción es la vía más directa para demostrar el cumplimiento. En lugar de elaborar desde cero un expediente probatorio a medida, un proveedor que aplica una norma armonizada publicada puede ampararse en la presunción para satisfacer los requisitos pertinentes de la sección 2 del capítulo III sin volver a demostrar cada uno de ellos de forma independiente.

Qué es una norma armonizada

El término tiene un significado jurídico preciso, tomado en bloque del Derecho de normalización de la UE. La Ley de IA recurre a la definición del Reglamento (UE) n.º 1025/2012, el Reglamento de normalización de la UE: una norma armonizada es una norma europea (EN) elaborada por un organismo europeo de normalización reconocido — CEN, CENELEC o ETSI — sobre la base de una petición de la Comisión publicada en el Diario Oficial de la UE. Una vez ultimada la norma y publicada su referencia en el Diario Oficial, adquiere efecto jurídico en el ámbito de la legislación de armonización de la Unión.

La norma en sí sigue siendo voluntaria. Ningún proveedor está obligado a aplicarla. Pero esa voluntariedad es casi irrelevante en la práctica, porque el beneficio que desbloquea — la presunción de conformidad — es sustancial. Un proveedor que opte por no aplicar una norma armonizada debe aun así demostrar el cumplimiento de los requisitos subyacentes; la norma simplemente ofrece la vía más prevalidada para hacerlo.

Merece la pena distinguir dos cuestiones. En primer lugar, la existencia de una norma no crea por sí sola la presunción: la Comisión debe publicar la referencia en el Diario Oficial. Hasta esa publicación, la norma puede seguir siendo útil como orientación técnica, pero no conlleva ninguna presunción legal. En segundo lugar, la presunción se limita a los requisitos cubiertos por la norma. Si una norma aborda la gobernanza de datos y la transparencia, pero no dice nada sobre la ciberseguridad, la presunción de conformidad no se extiende a los requisitos de ciberseguridad del artículo 15.

La presunción de conformidad (artículo 40)

El artículo 40 del Reglamento (UE) 2024/1689 establece el mecanismo central. Cuando un sistema de IA de alto riesgo es conforme con una norma armonizada — o con partes pertinentes de ella — cuya referencia se haya publicado en el Diario Oficial, se presume que el sistema es conforme con los requisitos de la Ley de IA cubiertos por dicha norma. La misma presunción se aplica, en determinadas condiciones, a los modelos de IA de uso general (GPAI).

En términos prácticos, esto reduce de forma notable el riesgo de la evaluación de la conformidad con arreglo al artículo 43. La evaluación de la conformidad del artículo 43 es el filtro procedimental que un sistema de IA de alto riesgo debe superar antes de poder introducirse en el mercado o ponerse en servicio. Para la mayoría de las categorías del Anexo III (puntos 2 a 8: infraestructuras críticas, educación, empleo, servicios esenciales, garantía del cumplimiento del Derecho, migración, justicia), esto adopta la forma de una autoevaluación interna con arreglo al Anexo VI — en esencia, el proveedor documenta que su sistema cumple cada requisito aplicable. Demostrar que el sistema es conforme con una norma armonizada publicada convierte buena parte de esa tarea probatoria en una verificación norma por norma, en la que la propia norma aporta la metodología técnica.

Para los sistemas biométricos (Anexo III, punto 1), la evaluación de la conformidad exige por lo general la intervención de un organismo notificado por la vía del Anexo VII. Incluso allí, una norma armonizada reduce el alcance de lo que el organismo notificado debe verificar de forma independiente.

La presunción es rebatible, no absoluta. Una autoridad de vigilancia del mercado que constate un incumplimiento real puede impugnarla. Pero el punto de partida jurídico es la conformidad, y eso importa: la carga de acreditar la infracción se desplaza a la autoridad.

Un matiz adicional sobre el alcance: el artículo 40 establece que la presunción se aplica a los requisitos cubiertos por la norma. Por tanto, los proveedores deben comprobar qué requisitos de la Ley de IA aborda una norma determinada y si subsiste alguna laguna. Un sistema conforme con una norma que cubre los artículos 9 (gestión de riesgos), 10 (gobernanza de datos) y 13 (transparencia) sigue necesitando pruebas separadas para los artículos 14 (supervisión humana) y 15 (exactitud, robustez, ciberseguridad) si estos no están dentro del alcance de la norma.

Cuando las normas no están listas: especificaciones comunes (artículo 41)

El panorama de normalización de la Ley de IA de la UE aún se está configurando. CEN y CENELEC están elaborando las normas armonizadas de la Ley de IA — designadas en virtud de la petición de normalización M/606 —, pero el calendario de publicación de las referencias en el Diario Oficial aún no está confirmado. Hasta que aparezcan esas referencias, los proveedores no pueden ampararse en la presunción del artículo 40.

El artículo 41 ofrece una alternativa. Cuando las normas armonizadas aún no existen, no bastan para cubrir los requisitos o existen preocupaciones urgentes de seguridad, la Comisión puede adoptar especificaciones comunes mediante un acto de ejecución. Las especificaciones comunes no son elaboradas por los organismos de normalización — son normas técnicas redactadas por la Comisión que conllevan su propia presunción de conformidad una vez publicadas. Funcionan como un sustituto legislativo de una norma armonizada ausente o inadecuada.

En la práctica, lo más probable es que las especificaciones comunes aparezcan en los primeros años de aplicación de la Ley, cubriendo los ámbitos de mayor riesgo en los que el proceso de normalización aún no ha producido referencias publicadas. Una vez que se publique una norma armonizada para los mismos requisitos, esta prevalece sobre la especificación común para los proveedores que opten por aplicarla.

La distinción importa desde el punto de vista operativo. Las normas armonizadas se elaboran mediante un proceso de normalización abierto y multilateral (industria, sociedad civil, organismos nacionales de normalización) y tienden a ser más detalladas en su orientación de implementación técnica. Las especificaciones comunes las redactan directamente los servicios de la Comisión. Los proveedores que quieran influir en cómo se concreta la «conformidad» en la práctica técnica tienen mucho más margen en el proceso de normalización de CEN/CENELEC.

Por ahora, los proveedores que elaboren documentación de cumplimiento para los sistemas de alto riesgo que se aplican a partir del 2 de diciembre de 2027 (sistemas autónomos del Anexo III; el plazo de alto riesgo en virtud del Ómnibus Digital acordado en mayo de 2026) deben vigilar ambas vías: los avances de CEN/CENELEC en las normas de la Ley de IA y cualquier movimiento de la Comisión hacia especificaciones comunes. Ninguna de las dos tiene un calendario de publicación confirmado a mediados de 2026.

Por qué importa para los proveedores

Los argumentos comerciales para aplicar una norma armonizada, una vez que exista, son claros. Un proveedor que construye su sistema con arreglo a los requisitos de la norma, lo somete a pruebas frente a sus parámetros de referencia y documenta esa conformidad en la documentación técnica se está procurando la forma de prueba de cumplimiento más barata y jurídicamente más defendible disponible.

«Más barata» porque la alternativa — elaborar un marco probatorio propio para demostrar la conformidad con cada uno de los artículos 9 a 15 — exige al proveedor sostener el argumento de que su propia metodología es adecuada. Un regulador o un organismo notificado puede coincidir o no. Un argumento basado en una norma armonizada publicada es mucho más difícil de rechazar sin señalar deficiencias técnicas concretas.

«Más defendible» porque la presunción está incorporada en la Ley. Si una autoridad de vigilancia del mercado impugna una conclusión, la posición de partida del proveedor es la conformidad legal. La autoridad debe rebatirla.

Mientras las normas están pendientes, los proveedores tienen tres opciones realistas. En primer lugar, pueden participar en el proceso de CEN/CENELEC — los comités de normalización están abiertos a la participación de la industria, y un proveedor con verdadera profundidad técnica en un caso de uso de alto riesgo tiene material que aportar. En segundo lugar, pueden estar atentos a las especificaciones comunes y aplicarlas una vez publicadas. En tercer lugar, pueden elaborar su marco probatorio directamente frente a los requisitos de la Ley, remitiéndose a normas técnicas pertinentes de ámbitos adyacentes (ISO/IEC 42001 para los sistemas de gestión de la IA, ISO/IEC 27001 para la seguridad de la información) ya disponibles y que pueden solaparse parcialmente con los requisitos de la Ley de IA — aceptando al mismo tiempo que este enfoque no conlleva la presunción del artículo 40.

En la práctica, la mayoría de los proveedores combinarán la segunda y la tercera opción hasta que lleguen las normas armonizadas. El paquete de documentación técnica del artículo 11 / Anexo IV — el núcleo del expediente de conformidad — debe elaborarse en todo caso. La cuestión es qué pruebas rellenan cada apartado. Hasta que una norma armonizada le diga con precisión qué significa «adecuado» para la documentación de gestión de riesgos del artículo 9, usted está realizando un juicio. Documentar ese juicio de forma transparente es el único enfoque defendible.

La evaluación estructurada de Confir asigna sus cuatro áreas de cumplimiento — AIRC, AITR, AITO, AIGM — directamente a los artículos concretos que las normas armonizadas acabarán cubriendo (en particular los artículos 9, 10, 11, 13, 14 y 15). El resultado es un paquete de documentación técnica conforme con el Anexo IV y una declaración de conformidad generada con arreglo al artículo 47 / Anexo V. A medida que se publiquen las normas armonizadas, la asignación se actualiza; la estructura de la documentación se mantiene estable.

Preguntas frecuentes

¿Es obligatorio aplicar una norma armonizada para los sistemas de IA de alto riesgo?

No. Las normas armonizadas son voluntarias. Un proveedor de un sistema de IA de alto riesgo puede cumplir los requisitos de la Ley por cualquier medio técnicamente adecuado — la norma armonizada es simplemente la vía que conlleva una presunción legal de conformidad con arreglo al artículo 40. Los proveedores que no apliquen una norma armonizada publicada deben demostrar el cumplimiento mediante sus propias pruebas, lo que es más difícil de defender si se impugna y no puede ampararse en la presunción.

¿Cuál es la diferencia entre una norma armonizada y una especificación común?

Ambas pueden dar lugar a una presunción de conformidad con los requisitos de la Ley de IA, pero su origen difiere. Una norma armonizada la elabora CEN, CENELEC o ETSI mediante un proceso de normalización multilateral, sobre la base de una petición de la Comisión; su referencia debe publicarse en el Diario Oficial de la UE antes de que se aplique la presunción. Una especificación común la redacta directamente la Comisión Europea como acto de ejecución, y entra en juego en virtud del artículo 41 cuando las normas armonizadas no existen o son insuficientes. La Comisión también puede recurrir a especificaciones comunes cuando existan preocupaciones urgentes de seguridad o de derechos fundamentales.

¿Cuándo estarán disponibles las normas armonizadas de la Ley de IA?

CEN y CENELEC están trabajando en las normas en virtud de la petición de la Comisión M/606, pero a mediados de 2026 no se ha facilitado ninguna fecha confirmada de publicación de las referencias en el Diario Oficial. Las obligaciones de alto riesgo para los sistemas autónomos del Anexo III se aplican a partir del 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026, de modo que existe un margen — pero los proveedores no deberían contar con que las referencias aparezcan al principio de ese período. La Comisión puede recurrir a las especificaciones comunes con arreglo al artículo 41 para cubrir las lagunas antes de que se ultimen las normas armonizadas.

¿Significa la conformidad con una norma armonizada que ya no se requiere un organismo notificado?

No necesariamente. Para la mayoría de las categorías del Anexo III (puntos 2 a 8), la evaluación de la conformidad es una autoevaluación interna con arreglo al Anexo VI — no se requiere un organismo notificado, se aplique o no una norma armonizada. Para los sistemas biométricos (Anexo III, punto 1), se aplica por lo general la vía del organismo notificado del Anexo VII. Aplicar una norma armonizada reduce lo que el organismo notificado debe verificar de forma independiente, pero no elimina el requisito de un organismo notificado cuando este sea por otra parte obligatorio con arreglo al artículo 43.

¿Puede un proveedor aplicar solo una parte de una norma armonizada?

Sí. El artículo 40 establece que la presunción de conformidad se aplica cuando un sistema «es conforme con normas armonizadas o partes pertinentes de estas». Un proveedor puede aplicar solo aquellas secciones de una norma que sean pertinentes para su sistema y reclamar la presunción para los requisitos que dichas secciones cubren. Cualquier requisito no cubierto por las partes aplicadas debe abordarse mediante pruebas separadas en la documentación técnica.

¿Cómo interactúa una norma armonizada con la evaluación de la conformidad del artículo 43?

La evaluación de la conformidad del artículo 43 es el procedimiento por el cual un proveedor demuestra que un sistema de IA de alto riesgo cumple los requisitos de la Ley antes de introducirlo en el mercado. La conformidad con una norma armonizada publicada se incorpora directamente a ese procedimiento: el proveedor consigna en su documentación técnica del Anexo IV que el sistema se sometió a pruebas frente a la norma y se constató su conformidad con ella, y se ampara en la presunción del artículo 40 para satisfacer los requisitos subyacentes. La evaluación no se suprime — se completa de forma más eficiente porque la norma ha realizado el trabajo técnico de especificar qué aspecto tiene una conformidad adecuada.

Términos relacionados

• Evaluación de la conformidad (artículo 43)
• Documentación técnica (artículo 11 / Anexo IV)
• Anexo IV — Contenido de la documentación técnica
• Artículo 43 — Procedimientos de evaluación de la conformidad
• Organismo notificado
• Modificación sustancial