Autoridad de vigilancia del mercado (Ley de IA de la UE): función, competencias y modelos nacionales

Todo sistema de IA introducido en el mercado de la UE puede, en principio, ser investigado, retirado de la venta u ordenada su corrección por un organismo público nacional. Ese organismo es la autoridad de vigilancia del mercado — el principal brazo ejecutor de la Ley de IA de la UE a nivel de Estado miembro. Comprender quién es, qué puede hacer y en qué se diferencia de otros organismos de supervisión es esencial para cualquier proveedor o responsable del despliegue con exposición en la UE.

La definición de la Ley de IA de la UE

El Artículo 3, punto 26, del Reglamento (UE) 2024/1689 define la «autoridad de vigilancia del mercado» mediante remisión directa: es la autoridad nacional responsable de llevar a cabo las actividades y de adoptar las medidas con arreglo al Reglamento (UE) 2019/1020 — el Reglamento de vigilancia del mercado —, que rige el modo en que los Estados miembros supervisan los productos en el mercado interior de la UE.

Esa remisión importa. El Reglamento (UE) 2019/1020 es una norma autónoma de la UE sobre vigilancia del mercado y conformidad de los productos — no es un artículo ni un anexo de la Ley de IA de la UE. Cuando la Ley de IA lo incorpora por referencia, importa todo el marco procedimental: competencias de investigación, medidas correctoras, órdenes de restricción del mercado y el sistema de alerta rápida RAPEX. La Ley de IA de la UE añade después sobre ese fundamento su propio capítulo de ejecución (Título VIII, Artículos 74 a 101), incluidos procedimientos de investigación específicos y reglas de imposición de multas.

La consecuencia práctica: los Estados miembros no tuvieron que inventar la vigilancia del mercado desde cero. Las autoridades que ya inspeccionan los equipos a presión, los productos sanitarios y la seguridad de los juguetes aplican ahora el mismo conjunto de herramientas de investigación a los sistemas de IA — con competencias específicas de la Ley de IA añadidas.

Qué hace una autoridad de vigilancia del mercado

Designación con arreglo al Artículo 70

Los Estados miembros estaban obligados a designar una o varias autoridades de vigilancia del mercado — y al menos una autoridad notificante — y a notificarlo a la Comisión antes del 2 de agosto de 2025. Ese plazo ya ha vencido; las designaciones son un paso completado, no una obligación futura. Los Estados miembros designan también un punto de contacto único para coordinar entre varias AVM cuando hayan optado por un modelo distribuido.

Cuando un Estado miembro designa varias autoridades, el Derecho nacional debe delimitar con claridad cuál se ocupa de qué categorías de sistema de IA. La ambigüedad en esa delimitación es un riesgo de ejecución para los proveedores: si no está claro qué AVM tiene competencia sobre su sistema, puede afrontar investigaciones paralelas o lagunas en el mecanismo de reclamación.

Competencias de investigación y de documentación

Una AVM puede exigir a un proveedor o a un responsable del despliegue que aporte:

• la documentación técnica exigida con arreglo al Artículo 11 (elaborada conforme al Anexo IV);
• los registros generados y conservados con arreglo al Artículo 12 (conservación de registros) y al Artículo 26 (registros del responsable del despliegue, conservados durante al menos seis meses);
• la declaración UE de conformidad con arreglo al Artículo 47;
• los resultados de cualquier evaluación de la conformidad realizada con arreglo al Artículo 43.

Más allá de los documentos, una AVM puede ordenar la realización de pruebas, acceder al código fuente, entrevistar al personal e inspeccionar las instalaciones. El marco de investigación se apoya en el Reglamento (UE) 2019/1020, que dota de fuerza a estas competencias: la falta de cooperación puede constituir por sí misma una infracción.

Medidas correctoras y retirada con arreglo al Artículo 79

Cuando una AVM tiene motivos suficientes para considerar que un sistema de IA presenta un riesgo — incluido un riesgo que aún no constituye un incidente grave —, el Artículo 79 activa el procedimiento corrector. La autoridad puede:

1. Exigir al proveedor (o al representante autorizado con arreglo al Artículo 22) que adopte medidas correctoras en un plazo determinado: modificar el sistema, retirarlo del mercado o recuperarlo de los usuarios finales.
2. Imponer restricciones provisionales a la comercialización del sistema si el riesgo es grave e inmediato.
3. Coordinarse con las AVM de otros Estados miembros a través del sistema RAPEX cuando el sistema esté presente en el mercado de forma transfronteriza.

Una retirada del mercado se diferencia de una recuperación: la retirada elimina el sistema de su ulterior distribución; la recuperación trae de vuelta sistemas ya desplegados entre los usuarios. La AVM elige en función de la gravedad y el alcance del riesgo. Cualquiera de las dos medidas puede ordenarse antes de imponer multa alguna — son medidas de protección, no punitivas.

Multas administrativas con arreglo al Artículo 99

Las multas de la Ley de IA de la UE no las impone automáticamente la Comisión (salvo en el caso de los proveedores de IA de uso general — véase más adelante). Para los sistemas de IA utilizados por empresas y organismos públicos, es la AVM nacional la que inicia e impone la multa, siguiendo el procedimiento del Artículo 79. Se aplican tres niveles, cada uno expresado como «la cifra mayor» entre un techo fijo y un porcentaje del volumen de negocios anual mundial total:

Una protección que conviene conocer: el Artículo 99, apartado 6, limita las multas para las pymes y las empresas emergentes al importe menor entre el porcentaje y la cantidad fija. Un pequeño proveedor que afronta una multa del 3 % del volumen de negocios que aritméticamente superaría en teoría los 15 millones de euros sigue estando limitado al techo fijo, y a la inversa: se aplica la cifra que sea menor. Para la mayoría de las empresas en fase inicial, esto significa que rige el techo fijo — una diferencia material respecto de la estructura del RGPD.

Las sanciones se aplican desde el 2 de agosto de 2025, fecha en la que las disposiciones sobre sanciones entraron en funcionamiento junto con los capítulos de la Ley relativos a la IA de uso general y a la gobernanza.

Modelos nacionales: único frente a distribuido

Los Estados miembros han adoptado planteamientos estructurales distintos, y la elección tiene consecuencias prácticas sobre con qué ventanilla se trata.

Modelo centralizado — AVM única y específica

España creó la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), un organismo de supervisión de la IA construido a tal efecto y con competencia intersectorial. Una empresa española que despliega una herramienta de cribado de RR. HH. de alto riesgo se enfrenta a un único regulador. La AESIA también tiene competencia sobre las obligaciones de transparencia de riesgo limitado del Artículo 50. La guía de ejecución de España cubre con más detalle la estructura de la AESIA.

La AVM principal designada por Alemania es la Bundesnetzagentur (Agencia Federal de Redes), que ya supervisa los mercados digitales y las telecomunicaciones. El planteamiento de Alemania — confirmado en el borrador de la KI-Marktüberwachungsgesetz (KI-MÜG, aprobación del consejo de ministros en febrero de 2026, aún no promulgada a mediados de 2026) — distribuye parte de la competencia sectorial entre reguladores existentes (la BaFin para la IA financiera, el BfArM para la IA de productos sanitarios), al tiempo que otorga a la Bundesnetzagentur el papel de AVM coordinadora. La guía de ejecución de Alemania hace seguimiento de esto a medida que avanza la legislación nacional de aplicación.

Modelo sectorial distribuido

Algunos Estados miembros están proyectando la competencia de la Ley de IA sobre reguladores sectoriales existentes: la IA financiera al regulador financiero, la IA sanitaria a la agencia del medicamento, la IA de empleo a una inspección de trabajo. Esto hace corresponder la pericia de dominio con el caso de uso, pero genera complejidad para los sistemas de IA intersectoriales (una herramienta de selección de personal utilizada por un banco puede quedar bajo la autoridad sectorial tanto financiera como de empleo).

Para un proveedor o responsable del despliegue con presencia en el mercado de varios Estados miembros, la implicación práctica es que la «AVM» no es una sola organización, sino potencialmente varias, siendo la AVM principal la del Estado miembro en el que se tenga el establecimiento (o, para los proveedores de terceros países, allí donde esté radicado su representante autorizado con arreglo al Artículo 22).

AVM frente a autoridad notificante frente a la Oficina de IA de la UE

Estos tres organismos son distintos. Confundirlos es un error frecuente al cartografiar la arquitectura de gobernanza de la Ley de IA de la UE.

Autoridad de vigilancia del mercado — el organismo nacional de ejecución. Investiga los sistemas de IA presentes en el mercado, verifica la conformidad con la Ley, ordena correcciones o retiradas con arreglo al Artículo 79 e impone las multas del Artículo 99 a proveedores y responsables del despliegue.

Autoridad notificante — un organismo nacional independiente cuya única función es evaluar, designar y supervisar a los organismos notificados (las organizaciones de evaluación de la conformidad por terceros que realizan las auditorías del Anexo VII exigidas para determinados sistemas de IA de alto riesgo, principalmente en biometría). La autoridad notificante no investiga sistemas de IA individuales; supervisa a los organismos que realizan las auditorías. El Artículo 70 exige a los Estados miembros designar la autoridad notificante y garantizar que sea funcionalmente independiente de la AVM, de modo que ningún organismo único autorice a los auditores y, a la vez, ejecute la ley. En la práctica, algunos Estados miembros alojan ambas funciones dentro del mismo ministerio, con una separación operativa exigida por ley.

Oficina de IA de la UE — establecida dentro de la Comisión Europea (Bruselas), la Oficina de IA no tiene jurisdicción directa sobre los mercados nacionales de sistemas de IA. Su competencia es:

• La supervisión de los proveedores de modelos de IA de uso general (GPAI) con arreglo al Capítulo V (Artículos 51 a 56), incluidos los códigos de buenas prácticas, la evaluación de modelos y la designación de riesgo sistémico. Se trata de las empresas que entrenan grandes modelos fundacionales — OpenAI, Mistral, Google, Meta.
• La coordinación transfronteriza entre las AVM nacionales.
• El mantenimiento de la base de datos de la UE para los sistemas de IA de alto riesgo (Artículo 71) en la que los proveedores se registran con arreglo al Artículo 49.

Una empresa que despliega un modelo GPAI de un tercero (por ejemplo, en una herramienta de atención al cliente) está regulada como responsable del despliegue por su AVM nacional. El propio modelo GPAI lo supervisa la Oficina de IA de la UE. Las dos líneas de ejecución corren en paralelo; la jurisdicción de la Oficina de IA sobre el proveedor del modelo no aísla al responsable del despliegue del escrutinio de la AVM sobre cómo se utiliza el sistema.

Preguntas frecuentes

¿Qué autoridad de vigilancia del mercado es responsable de mi sistema de IA?

En general, la AVM del Estado miembro en el que usted, como proveedor, tenga su establecimiento principal en la UE — o, si está establecido fuera de la UE, allí donde esté radicado su representante autorizado del Artículo 22. Si su sistema está disponible en varios Estados miembros, la AVM del lugar donde esté establecido asume el liderazgo, y las AVM de otros Estados miembros pueden actuar si surge un riesgo en su territorio. En un modelo de competencia distribuida (como la estructura en borrador de Alemania), el regulador sectorial con jurisdicción sobre el ámbito en el que opera su sistema puede compartir competencia con la AVM intersectorial.

¿Cuándo obtuvieron las AVM sus competencias de ejecución?

Las disposiciones sobre sanciones del Artículo 99 y el marco de gobernanza y ejecución (Título VIII) se aplicaron desde el 2 de agosto de 2025. Es la fecha a partir de la cual las AVM pudieron iniciar investigaciones e imponer multas con arreglo a la Ley. Las prohibiciones de prácticas prohibidas del Artículo 5 se aplicaron antes, desde el 2 de febrero de 2025, y pudieron ejecutarse a partir de esa fecha. Las obligaciones de alto riesgo de la pila principal de cumplimiento (Artículos 9 a 17, 43, 47 a 49) no se aplican hasta el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III — lo que significa que las AVM no pueden multar a una empresa por no disponer de documentación técnica conforme hasta esa fecha.

¿Puede una AVM multar a una empresa antes de que lance un sistema de IA?

No por incumplimientos previos al lanzamiento — las multas del Artículo 99, apartado 4, se refieren al incumplimiento de obligaciones que se aplican una vez que el sistema está en el mercado o se ha puesto en servicio. No obstante, una AVM puede investigar tan pronto como tenga motivos suficientes para creer que existe un riesgo, y puede solicitar medidas correctoras y restricciones provisionales antes de que se produzca cualquier perjuicio. La competencia de investigación precede a la multa.

¿Cuál es la diferencia entre una retirada y una recuperación con arreglo al Artículo 79?

Una retirada prohíbe toda comercialización ulterior del sistema de IA — se aplica a las existencias en los canales de distribución y a las ventas futuras. Una recuperación obliga al operador a recuperar los sistemas ya entregados a los usuarios finales. Una AVM ordena una retirada cuando el riesgo puede contenerse deteniendo la distribución futura; se ordena una recuperación cuando hay que eliminar sistemas ya desplegados porque el riesgo persiste sobre el terreno. Ambas medidas pueden ordenarse simultáneamente con una multa o en lugar de ella.

¿Los proveedores de modelos GPAI tratan con su AVM nacional o con la Oficina de IA de la UE?

Los proveedores de modelos GPAI — empresas que entrenan y ponen a disposición modelos de IA de uso general (modelos fundacionales por encima de los umbrales pertinentes y modelos con riesgo sistémico) — están supervisados por la Oficina de IA de la UE, no por las AVM nacionales, en lo relativo a sus obligaciones de GPAI con arreglo a los Artículos 51 a 56. Las AVM nacionales conservan la competencia sobre los sistemas construidos sobre esos modelos, clasificados por su uso. Así, si una empresa alemana construye una herramienta de selección de personal sobre un modelo GPAI de un tercero, la AVM alemana examina la herramienta de selección; la Oficina de IA de la UE examina el cumplimiento del Capítulo V por parte del proveedor del modelo GPAI.

¿Qué documentación debe preparar un proveedor para afrontar una investigación de una AVM?

Una investigación de una AVM suele comenzar con una solicitud de la documentación técnica (paquete del Artículo 11 / Anexo IV), la declaración UE de conformidad (Artículo 47 / Anexo V) y la prueba de la evaluación de la conformidad (Artículo 43). Para los sistemas de alto riesgo, se solicitarán los registros del sistema de gestión de riesgos del Artículo 9 y los datos de vigilancia poscomercialización del Artículo 72. Los proveedores también deben prever solicitudes de las instrucciones de uso entregadas a los responsables del despliegue con arreglo al Artículo 13 y de cualquier informe de incidente grave presentado con arreglo al Artículo 73. Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración del Artículo 47 / Anexo V como parte de su flujo de trabajo de cumplimiento basado en reglas — documentación estructurada para responder a exactamente este tipo de indagación regulatoria.

Términos relacionados

• Calendario de ejecución de la Ley de IA de la UE — cuándo entró en vigor cada capítulo de ejecución y las fechas clave que vienen
• Autoridad notificante — el organismo independiente que designa y supervisa a los organismos notificados para la evaluación de la conformidad
• Sanciones de la Ley de IA de la UE (Artículo 99) — los tres niveles de multa, el límite para pymes y cómo los aplican las AVM
• Panorama de las sanciones de la Ley de IA de la UE — guía práctica de la exposición a multas y cómo funciona el cálculo del porcentaje frente al techo fijo
• Alemania — ejecución de la Ley de IA de la UE — designación de la Bundesnetzagentur, el borrador de la KI-MÜG y la distribución sectorial
• España — ejecución de la Ley de IA de la UE — el papel de la AESIA, la competencia intersectorial y lo que los proveedores que operan en España deben saber