Artículo 43 del Reglamento de IA de la UE: vías de evaluación de la conformidad para la IA de alto riesgo
El artículo 43 del Reglamento de IA de la UE establece las vías de evaluación de la conformidad para los sistemas de IA de alto riesgo. Para la mayoría de los SaaS de alto riesgo, la autoevaluación mediante control interno es suficiente. En casos específicos (principalmente IA biométrica), debe intervenir un organismo notificado. Comprender qué vía resulta aplicable es fundamental para la planificación del cumplimiento, especialmente teniendo en cuenta las limitaciones de capacidad de los organismos notificados.
Las dos vías de evaluación de la conformidad
El artículo 43, apartado 1, ofrece la elección entre dos vías para la IA de alto riesgo: (a) control interno conforme al Anexo VI, en el que el proveedor se autoevalúa con respecto a las normas; o (b) evaluación de la conformidad conforme al Anexo VII, con la participación de un organismo notificado. El Anexo VI está disponible para la mayoría de las categorías del Anexo III. El Anexo VII es obligatorio para los sistemas de alto riesgo contemplados en el punto 1 del Anexo III (identificación biométrica y categorización) cuando las normas armonizadas aún no existen o no se han aplicado en su totalidad.
Autoevaluación mediante control interno conforme al Anexo VI
Vía del Anexo VI: el proveedor evalúa su propio cumplimiento con respecto a las normas armonizadas pertinentes, las especificaciones comunes u otras especificaciones técnicas. Documentación requerida: documentación técnica conforme al artículo 11, evidencia del sistema de gestión de riesgos conforme al artículo 9, evidencia del sistema de gestión de la calidad conforme al artículo 17, evidencia del seguimiento poscomercialización conforme al artículo 72. El proveedor emite una declaración UE de conformidad con arreglo al artículo 47 y apone el marcado CE conforme al artículo 48. No interviene ninguna parte externa.
Evaluación por organismo notificado conforme al Anexo VII
La vía del Anexo VII exige que un organismo notificado (designado conforme al artículo 31) evalúe el sistema de gestión de la calidad y la documentación técnica. El organismo notificado expide un certificado. Para los SaaS, esta vía es actualmente obligatoria principalmente para los sistemas biométricos de alto riesgo en los que las normas armonizadas están aún en fase de elaboración. Las listas de espera de los organismos notificados son de 9 a 18 meses en 2026 debido a limitaciones de capacidad; planifique en consecuencia.
Qué vía se aplica a cada categoría del Anexo III
Punto 1 del Anexo III (biometría): se requiere organismo notificado conforme al Anexo VII cuando las normas armonizadas aún no están disponibles. Para la mayoría de los demás puntos: se permite la autoevaluación conforme al Anexo VI. El estado actual de las normas armonizadas (en fase de elaboración por el JTC 21 de CEN-CENELEC) implica que la mayoría de los SaaS de alto riesgo no biométricos pueden utilizar la vía de autoevaluación. La Comisión Europea puede modificar esto mediante actos delegados a medida que las normas maduren.
Enfoque práctico para el cumplimiento
Para la autoevaluación conforme al Anexo VI, elabore el paquete de documentación técnica con antelación. Elementos requeridos: descripción del sistema, especificaciones de diseño, documentación de gestión de riesgos, documentación sobre datos de entrenamiento, resultados de pruebas de exactitud y solidez, especificaciones de supervisión humana, plan de seguimiento poscomercialización. Colabore con un asesor de cumplimiento (como Disclos) para verificar que su documentación cumple los requisitos del Anexo VI antes de firmar la declaración UE de conformidad. Para el Anexo VII, inicie el contacto con el organismo notificado con 9 a 18 meses de antelación respecto a cualquier lanzamiento de producto en la UE.
Frequently asked questions
¿Cuándo entra en vigor el artículo 43?
El 2 de agosto de 2026 para la mayoría de los sistemas de alto riesgo del Anexo III. La IA como componente de seguridad del Anexo II sigue el calendario de la legislación armonizada subyacente.
¿Puedo utilizar siempre la autoevaluación?
No: los sistemas biométricos de alto riesgo contemplados en el punto 1 del Anexo III pueden requerir el organismo notificado conforme al Anexo VII. Las demás categorías del Anexo III permiten generalmente la autoevaluación conforme al Anexo VI.
¿Cuánto tiempo duran las evaluaciones de los organismos notificados?
Actualmente entre 9 y 18 meses debido a limitaciones de capacidad. Inicie el proceso con suficiente antelación.
¿Qué es el marcado CE?
Es el marcado obligatorio conforme al artículo 48 para la IA de alto riesgo tras la evaluación de la conformidad. Indica que el sistema cumple los requisitos del Reglamento de IA de la UE.
¿Puede una sola auditoría abarcar varios sistemas de IA de alto riesgo?
Sí, siempre que compartan una infraestructura sustancial de diseño y de sistema de gestión de la calidad. Cada sistema necesita su propia documentación técnica, pero el SGC y los procesos pueden ser compartidos.
Sources
Last updated: 2026-05-28