Situación normativa actual del IA Act - Entrada 4 — Obligaciones de los proveedores de sistemas de alto riesgo

 

Situación normativa actual del IA Act

Entrada 4 — Obligaciones de los proveedores de sistemas de alto riesgo

Requisitos esenciales que debe cumplir el sistema (Arts. 9–15)

Estos artículos constituyen el “corazón técnico” del cumplimiento. Todo proveedor debe garantizar que su sistema cumple con:

·       Sistema de gestión de riesgos (Art. 9) — Proceso continuo que identifica, analiza, evalúa y mitiga riesgos para la salud, la seguridad y los derechos fundamentales. Debe actualizarse durante todo el ciclo de vida del sistema.

·       Gobernanza de datos (Art. 10) — Conjuntos de datos adecuados, representativos, libres de errores y sesgos relevantes. Requisitos estrictos sobre calidad, documentación y trazabilidad de los datos.

·       Documentación técnica (Art. 11) — Debe permitir a las autoridades evaluar la conformidad del sistema. Incluye diseño, arquitectura, datos, procesos, métricas, validación y controles.

·       Registro y conservación de logs (Art. 12) — El sistema debe generar registros automáticos suficientes para permitir auditorías, análisis de incidentes y trazabilidad.

·       Transparencia e instrucciones de uso (Art. 13) — El proveedor debe proporcionar información clara al desplegador: finalidad, capacidades, limitaciones, requisitos de datos, supervisión humana necesaria y riesgos residuales.

·       Supervisión humana (Art. 14) — El sistema debe diseñarse para permitir intervención humana eficaz, evitando automatismos no controlados.

·       Precisión, robustez y ciberseguridad (Art. 15) — El sistema debe mantener niveles adecuados de rendimiento, resistencia a ataques y fiabilidad en condiciones normales y previsibles.

Estos requisitos son obligatorios y deben cumplirse antes de la comercialización.

 

Obligaciones específicas del proveedor (Art. 16)

El artículo 16 establece lo que el proveedor debe hacer como organización responsable del sistema. Entre las obligaciones destacan:

·       Garantizar el cumplimiento de todos los requisitos técnicos del sistema.

·       Indicar su identidad y datos de contacto en el sistema, embalaje o documentación.

·       Implantar un sistema de gestión de calidad (Art. 17) — Procedimientos internos para diseño, control, pruebas, documentación y supervisión.

·       Conservar la documentación técnica (Art. 18) — Durante al menos 10 años.

·       Conservar los logs generados por el sistema (Art. 19) — Cuando estén bajo su control.

·       Realizar la evaluación de conformidad (Art. 43) — Interna o con organismo notificado, según el caso.

·       Emitir la declaración UE de conformidad (Art. 47).

·       Aficionar el marcado CE (Art. 48) — Señal de que el sistema cumple el reglamento.

·       Registrar el sistema en la base de datos europea (Art. 49).

·       Adoptar medidas correctoras y notificar incidentes (Art. 20).

·       Cooperar con autoridades competentes (Art. 21) — Incluye demostrar conformidad cuando se solicite.

·       Garantizar accesibilidad conforme a las directivas aplicables.

Estas obligaciones están recogidas de forma explícita en el artículo 16.

 

Qué implica esto en la práctica para una organización

Para cumplir con estas obligaciones, un proveedor debe estructurar su programa de compliance IA en torno a:

·       Un sistema de gestión de calidad robusto que abarque diseño, desarrollo, pruebas, validación y mantenimiento.

·       Procesos documentados para cada fase del ciclo de vida del sistema.

·       Trazabilidad completa de datos, modelos, versiones, decisiones y cambios.

·       Evaluaciones de conformidad preparadas con antelación, incluyendo documentación técnica exhaustiva.

·       Un plan de vigilancia post-mercado que permita detectar incidentes, degradación del rendimiento o riesgos emergentes.

·       Capacidad de respuesta rápida ante solicitudes de autoridades o incidentes graves.

Estas obligaciones no son meramente formales: son auditables y su incumplimiento puede conllevar sanciones significativas.

 

Conexión con la siguiente entrada

Tras entender qué debe hacer un proveedor, el paso natural es analizar las obligaciones de importadores, distribuidores y desplegadores, que completan la cadena de responsabilidad del IA Act.