Organismo notificado: definición y función en virtud de la Ley de IA de la UE

Un organismo notificado es un organismo de evaluación de la conformidad que una autoridad notificante nacional ha notificado formalmente a la Comisión Europea y a los demás Estados miembros como competente para llevar a cabo evaluaciones por terceros de sistemas de IA. En virtud del Reglamento (UE) 2024/1689, el término es un término técnico definido: el artículo 3, punto 22, define el organismo notificado como un organismo de evaluación de la conformidad notificado de conformidad con la Ley de IA de la UE y, cuando proceda, con otra legislación de armonización de la Unión. La notificación es lo que transforma a un evaluador acreditado en un «organismo notificado» — la acreditación por sí sola no es suficiente.

La definición de la Ley de IA de la UE

La definición legal se encuentra en el artículo 3, punto 22, y es deliberadamente breve: un organismo de evaluación de la conformidad notificado de conformidad con el presente Reglamento. La sustancia está en lo que la rodea.

El marco que regula a las autoridades notificantes y a los organismos notificados se extiende por el Capítulo III, Sección 4 — los Artículos 28 a 39. Estas disposiciones crean una estructura de dos niveles. Primero, cada Estado miembro designa una autoridad notificante: un organismo público responsable de establecer y aplicar los procedimientos necesarios para evaluar, designar y supervisar a los organismos de evaluación de la conformidad. Segundo, una vez que un organismo de evaluación de la conformidad satisface los requisitos de los Artículos 31 a 33 — que abarcan la independencia, la competencia técnica, la imparcialidad, la confidencialidad y la responsabilidad — solicita ser notificado. Si la autoridad notificante queda satisfecha, notifica dicho organismo a la Comisión y a los demás Estados miembros, momento en el cual el organismo adquiere su condición de organismo notificado y puede figurar en la base de datos NANDO (New Approach Notified and Designated Organisations, Organizaciones Notificadas y Designadas del Nuevo Enfoque) que mantiene la Comisión.

La distinción entre ambas funciones importa. La autoridad notificante es el designador nacional y supervisor continuo — vigila el desempeño, investiga las reclamaciones y puede suspender o retirar la notificación. El organismo notificado es el evaluador independiente por terceros. Confundir ambos es una fuente habitual de equívocos en la planificación de la implantación.

El Artículo 35 exige a la Comisión mantener una lista de acceso público de los organismos notificados. El Artículo 36 especifica la información que cada organismo notificado debe publicar. El Artículo 38 prevé la coordinación operativa entre organismos notificados. El Artículo 39 aborda el caso específico de los organismos notificados que operan con arreglo a otra legislación de armonización de la Unión, lo cual importa para los sistemas de IA integrados en productos regulados — si bien la integración de la evaluación de la conformidad para esos sistemas se rige por el Artículo 43, apartado 3, y el plazo de la legislación de productos del 2 de agosto de 2028.

Cuándo se necesita realmente un organismo notificado

El punto de partida es el Artículo 43, que establece el procedimiento de evaluación de la conformidad para los sistemas de IA de alto riesgo. El Artículo 43 crea dos vías, cada una con su propio Anexo.

La vía del Anexo VI es el control interno: el proveedor lleva a cabo la propia evaluación de la conformidad, documenta el proceso y emite la declaración UE de conformidad con arreglo al Artículo 47. No interviene ningún tercero. Esta vía está disponible para la gran mayoría de los sistemas de IA de alto riesgo — los cubiertos por los apartados 2 a 8 del Anexo III (infraestructuras críticas, educación, empleo, acceso a servicios esenciales, garantía del cumplimiento del Derecho, migración y control fronterizo, administración de justicia y procesos democráticos).

La vía del Anexo VII implica a un organismo notificado. Un organismo notificado realiza una evaluación por terceros del sistema de gestión de la calidad y, cuando proceda, una evaluación de la documentación técnica. Esta vía se aplica principalmente al Anexo III, punto 1 — los sistemas biométricos, es decir, los sistemas de identificación biométrica remota, los sistemas de categorización biométrica y los sistemas de reconocimiento de emociones (cuando estos siguen siendo lícitos en lugar de estar prohibidos en virtud del Artículo 5). Hay un matiz importante: la vía del organismo notificado se activa cuando el proveedor de un sistema del Anexo III, punto 1, no ha aplicado normas armonizadas que cubran todos los requisitos pertinentes. Si un proveedor ha aplicado normas armonizadas publicadas en el Diario Oficial, la vía interna del Anexo VI sigue abierta. En la práctica, las normas armonizadas en virtud de la Ley de IA de la UE aún se están elaborando, lo que significa que para la mayoría de los sistemas del Anexo III, punto 1, en la actualidad, la vía del Anexo VII es el camino operativo.

Para cualquier otra categoría del Anexo III — herramientas de selección de personal, modelos de calificación crediticia, sistemas de admisibilidad a prestaciones públicas, software de supervisión de exámenes, herramientas de asistencia judicial — no se requiere un organismo notificado. El proveedor realiza su propia evaluación interna con arreglo al Anexo VI. Esto se malinterpreta a menudo: la suposición de que siempre se necesita un auditor independiente para un sistema de IA de alto riesgo es errónea. La Ley de IA de la UE reserva la intervención de terceros para la categoría en la que los riesgos para los derechos fundamentales son más elevados — la identificación y categorización biométrica — y para los componentes de seguridad de productos en los que el marco vigente de la legislación de productos ya exige un organismo notificado.

Conviene ser preciso sobre el alcance. El Artículo 43, apartado 4, permite a la Comisión, mediante acto delegado, extender la vía del organismo notificado a otros sistemas del Anexo III si el perfil de riesgo lo justifica. Esa facultad aún no se ha ejercido, pero es un punto de vigilancia para los proveedores ajenos a la categoría de la biometría. A la inversa, el Artículo 43, apartado 5, ofrece a los proveedores de sistemas de alto riesgo que son componentes de seguridad de productos ya cubiertos por la legislación de armonización de la Unión enumerada en el Anexo I — máquinas, productos sanitarios, equipos de aviación civil y otros — una vía de integración específica: la evaluación de la conformidad de la IA se integra en el procedimiento existente del producto, que normalmente implica al organismo notificado ya contratado para el producto.

Por qué importa para su planificación

La evaluación de la conformidad por terceros realizada por un organismo notificado lleva más tiempo y cuesta más que la evaluación interna. Los plazos de contratación varían, pero son habituales plazos de espera de tres a seis meses para el alcance inicial — antes de que el trabajo de evaluación comience en serio — en organismos con prácticas consolidadas. Para los proveedores de biometría, esto significa identificar un organismo notificado adecuado mucho antes del plazo de aplicación del 2 de diciembre de 2027 para los sistemas de alto riesgo autónomos del Anexo III (en virtud del Ómnibus Digital acordado en mayo de 2026, que aplazó la fecha original del 2 de agosto de 2026).

La capacidad es una limitación real. El número de organismos de evaluación de la conformidad con la competencia técnica específica para evaluar sistemas de IA con arreglo al Anexo VII es limitado. Los organismos nacionales de acreditación aún están construyendo la infraestructura de evaluación, y muchos organismos consolidados que operan en ámbitos adyacentes de la legislación de productos aún no han sido notificados específicamente en virtud de la Ley de IA de la UE. Para los proveedores de biometría, esto no es un riesgo hipotético — es una limitación operativa concreta que convierte la contratación temprana en una necesidad estratégica.

Incluso para los proveedores que utilizarán la vía interna del Anexo VI y nunca tratarán directamente con un organismo notificado, comprender el marco del organismo notificado importa por una razón distinta: los responsables del despliegue que realizan diligencia debida, y los procesos de contratación pública, piden cada vez más pruebas del proceso de evaluación de la conformidad de un proveedor. Poder explicar con claridad si su sistema requirió el Anexo VI o el Anexo VII, y por qué, forma parte de la documentación técnica que está obligado a mantener con arreglo al Artículo 11 y al Anexo IV.

Los proveedores de sistemas de la categoría de biometría también deben asegurarse de que su sistema de gestión de la calidad del Artículo 17 esté lo bastante maduro para resistir el escrutinio de terceros. Un organismo notificado que evalúe con arreglo al Anexo VII examinará el SGC, la documentación técnica, el sistema de gestión de riesgos (Artículo 9) y el plan de vigilancia poscomercialización (Artículo 72). Las carencias descubiertas durante esa evaluación añaden coste y demora. Preparar la documentación del SGC como si fuera para una auditoría externa — incluso antes de contratar a un organismo — es una práctica acertada.

Preguntas frecuentes

¿Es un organismo notificado lo mismo que una autoridad nacional competente?

No. Una autoridad nacional competente (designada en virtud del Artículo 70) lleva a cabo la vigilancia del mercado y la ejecución sobre los sistemas de IA ya introducidos en el mercado. Un organismo notificado es un organismo acreditado del sector privado o semipúblico que realiza evaluaciones de la conformidad antes de la introducción en el mercado — o como condición de ella. La autoridad notificante (que designa y supervisa a los organismos notificados) también es distinta de la autoridad de vigilancia del mercado, aunque algunos Estados miembros pueden combinar funciones en el mismo ministerio. El Artículo 28 aborda específicamente los requisitos de la autoridad notificante.

Mi sistema de IA gestiona el cribado en la selección de personal, ¿necesito un organismo notificado?

No. Los sistemas de selección de personal y de gestión de los trabajadores entran en el Anexo III, punto 4. Los sistemas de alto riesgo de esa categoría utilizan la vía de control interno del Anexo VI; no se requiere ningún organismo notificado. Usted realizará la evaluación de la conformidad por sí mismo, emitirá la declaración UE de conformidad con arreglo al Artículo 47 y registrará el sistema en virtud del Artículo 49. El requisito del organismo notificado se aplica principalmente al Anexo III, punto 1 (biometría) cuando no se han aplicado normas armonizadas.

¿Cómo encuentro un organismo notificado de la Ley de IA de la UE?

La Comisión mantiene la base de datos NANDO, que enumera todos los organismos notificados con arreglo a la legislación de armonización de la Unión. Las notificaciones específicas en virtud del Reglamento (UE) 2024/1689 se van añadiendo a medida que se completan los procedimientos nacionales de acreditación. A mediados de 2026, la lista de organismos notificados de la Ley de IA es corta — la infraestructura de acreditación aún se está construyendo. Póngase en contacto con su organismo nacional de acreditación (el organismo designado en virtud del Reglamento (CE) n.º 765/2008) para conocer qué organismos de evaluación están en trámite de notificación en su jurisdicción.

¿Qué ocurre si un organismo notificado detecta una no conformidad durante la evaluación?

El organismo puede negarse a emitir el certificado de evaluación, emitirlo con condiciones o — para los sistemas ya en el mercado en virtud de un régimen provisional — notificar a la autoridad nacional pertinente. El Artículo 39 de la Ley de IA de la UE y las disposiciones pertinentes del Capítulo VI (vigilancia del mercado) rigen el seguimiento. Un proveedor cuyo sistema no supere la evaluación debe subsanar las no conformidades antes de la introducción en el mercado. Facilitar información incorrecta o engañosa a un organismo notificado conlleva un techo sancionador independiente de 7 500 000 EUR o el 1 % del volumen de negocios anual mundial, si esta última cifra es mayor (Artículo 99, apartado 5).

¿Puede un organismo notificado negarse a evaluar mi sistema?

Sí. Un organismo notificado puede declinar un encargo — por ejemplo, si carece de la competencia técnica específica para el tipo de sistema, o si aceptar el trabajo crearía un conflicto de intereses. El Artículo 38 establece mecanismos de coordinación entre organismos, pero no existe obligación alguna para que un organismo concreto acepte todas las solicitudes. Esto refuerza el argumento a favor de un contacto temprano: si su organismo de primera elección declina o tiene la agenda completa, encontrar una alternativa lleva tiempo.

¿Se aplica el requisito del organismo notificado a los proveedores de modelos de IA de uso general (GPAI)?

No. El marco de evaluación de la conformidad del Capítulo III, Sección 4, y del Artículo 43 cubre los sistemas de IA de alto riesgo con arreglo al Artículo 6. Los modelos de IA de uso general (GPAI) se rigen por el Capítulo V (Artículos 51 a 56). Los proveedores de GPAI tienen obligaciones distintas — documentación técnica, información para los agentes posteriores, política de derechos de autor y (para los modelos con riesgo sistémico en virtud del Artículo 55) evaluaciones del modelo y notificación de incidentes — pero estas no implican a organismos notificados. Si un modelo de GPAI se despliega como componente de un sistema de IA de alto riesgo, el proveedor de ese sistema posterior soporta la obligación de evaluación de la conformidad del Artículo 43, no el proveedor del modelo de GPAI.

Términos relacionados

• Evaluación de la conformidad (Artículo 43)
• Artículo 43: Procedimientos de evaluación de la conformidad de alto riesgo
• Anexo III: Categorías de sistemas de IA de alto riesgo
• Anexo IV: Requisitos de documentación técnica
• Obligaciones del proveedor en virtud de la Ley de IA de la UE
• Norma armonizada