Autoridad notificante: definición y función en la Ley de IA de la UE

Una autoridad notificante es el organismo nacional responsable de examinar, designar y supervisar a los organismos de evaluación de la conformidad que pueden certificar legalmente los sistemas de IA de alto riesgo con arreglo al Reglamento (UE) 2024/1689. Sin una autoridad notificante que cumpla su cometido, no hay organismos notificados; y sin organismos notificados, determinados sistemas de alto riesgo (principalmente la IA biométrica que entra en el Anexo III, punto 1) no pueden llegar lícitamente al mercado.

La mayoría de las empresas sujetas a la Ley de IA de la UE nunca tratarán directamente con una autoridad notificante. Tratarán con un organismo notificado: la entidad que la autoridad notificante ha examinado e inscrito en el registro NANDO de la UE. Comprender la distinción importa cuando se traza la vía de cumplimiento, porque indica exactamente con qué organismo hay que tratar y para qué.

La definición de la Ley de IA de la UE

El artículo 3, punto 19, del Reglamento (UE) 2024/1689 define una autoridad notificante como:

«la autoridad nacional responsable de establecer y aplicar los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad y de su supervisión.»

Tres verbos sostienen todo el peso: evaluar, designar y supervisar. La autoridad notificante es el guardián que convierte un organismo de evaluación de la conformidad en un organismo notificado, y que puede retirar esa designación si el rendimiento decae.

Qué hace una autoridad notificante

El marco de la autoridad notificante se sitúa en el capítulo III, sección 4, de la Ley de IA de la UE, que abarca los Artículos 28 a 39. El régimen sigue la misma arquitectura empleada en la legislación de productos de la UE (el Nuevo Marco Legislativo), por lo que los Estados miembros y los organismos con experiencia en el Reglamento sobre máquinas o el Reglamento sobre los productos sanitarios reconocerán la estructura.

Evaluación. Antes de que un organismo de evaluación de la conformidad pueda designarse, la autoridad notificante debe evaluarlo conforme a los criterios del Artículo 31: independencia, competencia, imparcialidad, obligaciones de confidencialidad, cobertura de responsabilidad y la capacidad técnica para evaluar los sistemas de IA con arreglo a los requisitos de los Artículos 9 a 15. La evaluación puede basarse en pruebas de acreditación de un organismo nacional de acreditación que opere con arreglo al Reglamento (CE) n.º 765/2008.

Designación. Una evaluación satisfactoria da lugar a la designación formal. La autoridad notificante notifica entonces a la Comisión y a los demás Estados miembros, y el organismo se incorpora a la base de datos de la UE de organismos notificados. A partir de ese momento, el organismo está autorizado a llevar a cabo el procedimiento de evaluación de la conformidad por terceros previsto en el Anexo VII de la Ley de IA de la UE: la vía del organismo notificado disponible para los sistemas de alto riesgo de la categoría de biometría (Anexo III, punto 1) cuando no se han aplicado normas armonizadas o estas no cubren plenamente los requisitos.

Supervisión continua. La designación no es un acto único. La autoridad notificante es responsable de supervisar de forma continua a los organismos notificados con arreglo al marco de los Artículos 28 a 39, de investigar las reclamaciones y —cuando un organismo deja de cumplir los criterios de designación— de restringir, suspender o retirar la notificación con arreglo al Artículo 36. Si retira o suspende, debe notificarlo de inmediato a la Comisión, y las evaluaciones en curso deben transferirse o cancelarse.

Notificación a la Comisión. Con arreglo al Artículo 30, la autoridad notificante notifica cada organismo de evaluación de la conformidad que ha aprobado a la Comisión y a los demás Estados miembros, con los detalles de las actividades de evaluación de la conformidad y los sistemas de IA de que se trate. Mantiene informada a la Comisión de cualquier cambio pertinente.

La labor de la autoridad notificante es, por tanto, estructural: conforma el conjunto de organismos notificados legítimos. Una autoridad notificante débil o con recursos insuficientes crea cuellos de botella: si los procedimientos de designación son lentos, las empresas de ese Estado miembro se enfrentan a demoras para que se realicen las evaluaciones por terceros.

Autoridad notificante frente a autoridad de vigilancia del mercado frente a organismo notificado

Estos tres organismos aparecen a lo largo de la Ley de IA de la UE y se confunden con frecuencia. Tienen funciones distintas y bases jurídicas diferentes.

La autoridad notificante se centra en una perspectiva prospectiva e institucional: decide qué organismos son aptos para certificar sistemas de IA antes de que ningún producto concreto llegue a la fase de evaluación. La autoridad de vigilancia del mercado se centra en una perspectiva retrospectiva y específica del producto: actúa una vez que un sistema está en el mercado y surge un problema. El organismo notificado se sitúa entre ambas: realiza el trabajo técnico de evaluación.

Un mismo Estado miembro puede asignar la función de autoridad notificante y la función de vigilancia del mercado a la misma organización o a organizaciones diferentes. El Artículo 70 exige a cada Estado miembro que designe al menos una autoridad nacional competente para supervisar la aplicación de la Ley, y esa autoridad debe incluir la función de vigilancia del mercado o trabajar junto a ella. La elección de fusionar o separar la función de autoridad notificante es una decisión estructural nacional; la Ley de IA de la UE no impone ninguno de los dos modelos.

Una cosa sí prohíbe la Ley: que un organismo notificado evalúe su propio trabajo, o que una autoridad notificante evalúe un organismo en el que tenga un interés financiero. Los requisitos de independencia del Artículo 31 y las reglas sobre conflictos de intereses del Artículo 38 cierran esas brechas.

La vía de evaluación de la conformidad en la que interviene un organismo notificado

Comprender la autoridad notificante importa sobre todo a los proveedores cuyos sistemas deben utilizar la vía del Anexo VII con arreglo al Artículo 43.

El Artículo 43 establece dos opciones de evaluación de la conformidad para los sistemas de IA de alto riesgo:

• Anexo VI (autoevaluación interna): el proveedor realiza su propia evaluación de la conformidad y elabora la documentación técnica con arreglo al Artículo 11 / Anexo IV. Esta vía está disponible para la mayoría de las categorías del Anexo III (puntos 2 a 8: infraestructuras críticas, educación, empleo, servicios, garantía del cumplimiento del Derecho, migración, administración de justicia).
• Anexo VII (evaluación por organismo notificado): un organismo notificado designado audita de forma independiente la documentación técnica del sistema y el sistema de gestión de la calidad, y expide un certificado. Esta vía es obligatoria para los sistemas de IA biométricos que entran en el Anexo III, punto 1, salvo que el proveedor haya aplicado normas armonizadas que cubran plenamente los requisitos pertinentes.

Solo la vía del Anexo VII implica a un organismo notificado y, por tanto, solo esa vía crea un vínculo práctico con la autoridad notificante. Si su sistema no entra en el Anexo III, punto 1, utilizará la vía de autoevaluación del Anexo VI y el marco de la autoridad notificante no afectará directamente a su proceso.

Para los proveedores de IA biométrica, la secuencia práctica es: comprobar si las normas armonizadas cubren su sistema → si no, identificar un organismo notificado designado con arreglo al Anexo VII para su tipo de sistema → contratar a ese organismo para la evaluación → recibir el certificado → colocar el marcado CE con arreglo al Artículo 48 → registrar con arreglo al Artículo 49.

Cómo respalda Confir su vía de evaluación de la conformidad

Antes de decidir qué vía se aplica, hay que saber si su sistema es de alto riesgo y en qué punto del Anexo III encaja. El motor de clasificación basado en reglas de Confir aplica el Artículo 6 y la lógica del Anexo III al uso descrito de su sistema —las mismas entradas, la misma salida siempre, con la regla activada mostrada para que pueda auditarla—. Si la clasificación señala el Anexo III, punto 1 (biometría), la salida le indicará que la vía por defecto es la del organismo notificado del Anexo VII. A partir de ahí, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV que un organismo notificado necesitará auditar.

Confir no selecciona ni interactúa con los organismos notificados: esa relación corresponde gestionarla a usted. Lo que sí hace es producir la documentación que el organismo examinará. Empezar esa documentación antes de buscar un organismo notificado acorta el plazo global de evaluación y reduce el riesgo de retrabajo durante la auditoría.

Preguntas frecuentes

¿Qué países han designado una autoridad notificante para la Ley de IA de la UE?

La Ley de IA de la UE exige a cada Estado miembro que designe su autoridad nacional competente con arreglo al Artículo 70 y que establezca sus procedimientos de autoridad notificante con arreglo al capítulo III, sección 4. A mediados de 2026, las designaciones formales aún se están estableciendo en los distintos Estados miembros: los procedimientos de notificación de organismos notificados están operativos, pero el panorama completo de designaciones sigue desarrollándose. Consulte la base de datos NANDO de la Comisión para conocer el estado actual.

¿Interactúa alguna vez una empresa directamente con la autoridad notificante?

Casi nunca. La autoridad notificante opera a nivel institucional: examina organismos, no sistemas de IA individuales. Su contacto es el organismo notificado que la autoridad notificante ha designado. El único supuesto en el que una empresa podría aparecer en un procedimiento de la autoridad notificante es si presenta una reclamación sobre la conducta de un organismo notificado, que se dirige a la autoridad notificante con arreglo al Artículo 33.

¿Puede un mismo organismo actuar a la vez como autoridad notificante y como autoridad de vigilancia del mercado?

Sí. La Ley de IA de la UE permite a un Estado miembro asignar ambas funciones a la misma organización. El Artículo 70 exige a cada Estado miembro que designe una autoridad competente; esa autoridad puede abarcar tanto la función notificante como la de vigilancia del mercado, siempre que se cumplan los requisitos de independencia y de conflicto de intereses de los Artículos 31 y 38. Varios Estados miembros que operan con arreglo al Nuevo Marco Legislativo en la legislación de productos ya gestionan autoridades fusionadas.

¿Qué ocurre si un organismo notificado pierde su designación?

La autoridad notificante debe notificarlo de inmediato a la Comisión y a los demás Estados miembros. Las evaluaciones en curso se suspenden: el proveedor afectado debe o bien transferir el trabajo a un organismo notificado distinto, o bien iniciar una nueva evaluación. Los certificados ya expedidos siguen siendo válidos, salvo que los errores del organismo notificado hayan afectado a las evaluaciones que los produjeron, en cuyo caso la autoridad notificante puede exigir una revisión. El Artículo 36 regula las modificaciones de las notificaciones, incluidos los pasos exigidos cuando un organismo notificado cesa su actividad.

¿El marco de la autoridad notificante es nuevo o toma prestado del Derecho de la UE existente?

El marco refleja la arquitectura del Nuevo Marco Legislativo utilizada en toda la legislación de productos de la UE: el mismo modelo se aplica con arreglo al Reglamento sobre máquinas, la Directiva sobre equipos radioeléctricos y el Reglamento sobre los productos sanitarios, entre otros. Los organismos de acreditación que ya operan con arreglo al Reglamento (CE) n.º 765/2008 y las autoridades notificantes que ya aplican procedimientos de designación en esos ámbitos reconocerán el proceso. Para la Ley de IA de la UE en concreto, el marco es nuevo en su aplicación a los sistemas de IA, pero estructuralmente familiar.

¿Por qué importa todo esto para el plazo de evaluación de la conformidad?

Los sistemas de IA de alto riesgo del Anexo III deben completar su evaluación de la conformidad antes de ser introducidos en el mercado. Para los sistemas autónomos del Anexo III, esa obligación se aplica a partir del 2 de diciembre de 2027 (plazo aplazado respecto de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026). Para los sistemas que son componentes de seguridad de productos regulados del Anexo I, la fecha es el 2 de agosto de 2028. El conjunto de organismos notificados —que crea la autoridad notificante— debe ser lo bastante amplio y estar disponible con la suficiente antelación para tramitar las evaluaciones antes de esos plazos. Los proveedores cuyos sistemas requieran la evaluación del Anexo VII deben identificar y contratar a un organismo notificado con bastante antelación; la capacidad de los organismos es finita.

Términos relacionados

• Organismo notificado: el organismo de evaluación de la conformidad que una autoridad notificante ha designado con arreglo al Anexo VII; la entidad que realiza las evaluaciones de IA por terceros
• Organismo de evaluación de la conformidad: la categoría más amplia de organismos que evalúan la conformidad; un organismo notificado es un organismo de evaluación de la conformidad que ha sido designado y notificado
• Autoridad de vigilancia del mercado: el organismo nacional que hace cumplir la Ley de IA de la UE frente a los sistemas no conformes presentes en el mercado; distinto de la autoridad notificante
• Evaluación de la conformidad: el proceso, con arreglo al Artículo 43, mediante el cual un proveedor demuestra que un sistema de IA de alto riesgo cumple los requisitos de la Ley antes de introducirlo en el mercado
• Artículo 43 de la Ley de IA de la UE: el artículo que establece las vías de evaluación de la conformidad (control interno del Anexo VI; organismo notificado del Anexo VII) y cuándo se aplica cada una
• Documentación técnica del Anexo IV: los requisitos de contenido de la documentación técnica que los proveedores deben compilar y que los organismos notificados auditan con arreglo a la vía del Anexo VII