Situación normativa
actual del IA Act
Entrada 9 — Gobernanza
y supervisión del IA Act
Arquitectura institucional
El IA Act crea un sistema
multinivel de supervisión:
·
AI Office de la Comisión Europea:
coordina la aplicación del reglamento, supervisa los modelos GPAI
(especialmente los de riesgo sistémico) y emite guías técnicas.
·
Autoridades nacionales de supervisión: cada
Estado miembro designa una autoridad responsable de vigilar el cumplimiento,
investigar incidentes y aplicar sanciones.
·
Junta Europea de IA:
órgano de coordinación entre autoridades nacionales y la Comisión, encargado de
asegurar una aplicación coherente en toda la UE.
·
Organismos notificados:
entidades acreditadas para realizar evaluaciones de conformidad de sistemas de
alto riesgo.
Este entramado garantiza que
la vigilancia del mercado sea homogénea y que los riesgos se detecten de forma
temprana.
Vigilancia post‑mercado y reporting de
incidentes (Art. 73)
Qué es un “incidente grave”
Las guías de la Comisión
aclaran que un incidente grave es cualquier fallo o mal funcionamiento de un
sistema de IA de alto riesgo que cause o pueda causar:
·
muerte o daño grave a la salud,
·
interrupción grave e irreversible de
infraestructuras críticas,
·
infracciones graves de derechos fundamentales,
·
daños significativos a la propiedad o al medio
ambiente.
Estas definiciones han sido
desarrolladas en la guía oficial publicada en 2025, que aporta ejemplos
prácticos y criterios interpretativos .
Obligación de notificar
El Artículo 73 exige que los proveedores
de sistemas de alto riesgo reporten incidentes graves a la autoridad de
vigilancia del mercado del Estado miembro donde ocurrieron. La guía oficial
confirma:
·
Plazo general:
máximo 15 días desde que se conoce el incidente.
·
Incidentes muy graves o infracciones
generalizadas: notificación en 2 días.
·
Incidentes con fallecimiento:
notificación en 10 días.
·
Se permite un informe inicial incompleto,
seguido de uno completo.
·
Tras la notificación, el proveedor debe investigar
sin demora y cooperar con las autoridades, que deben actuar en un plazo de
siete días .
La Comisión ha publicado una plantilla
oficial de notificación, junto con una guía detallada para ayudar a las
empresas a preparar sus procesos internos de detección, escalado y reporte .
Cómo deben prepararse las
organizaciones
Procesos internos
imprescindibles
·
Sistema de detección y registro de
incidentes integrado en el ciclo de vida del sistema.
·
Procedimiento de escalado que
permita evaluar si un incidente es grave según los criterios del Art. 73.
·
Equipo responsable
(compliance, legal, técnico) con funciones definidas para análisis y
notificación.
·
Plantillas internas
alineadas con la plantilla oficial de la Comisión.
·
Mapeo de obligaciones cruzadas:
producto, ciberseguridad, protección de datos, servicios financieros, etc.
Coordinación con autoridades
Las autoridades nacionales
pueden solicitar documentación técnica, logs, evaluaciones de riesgos o
resultados de auditorías. El proveedor debe:
·
cooperar plenamente,
·
facilitar acceso a información relevante,
·
implementar medidas correctoras cuando se
requiera.
Qué aporta este sistema al
cumplimiento
El régimen de gobernanza y
reporting cumple cuatro funciones clave:
·
Detección temprana de riesgos a
escala europea.
·
Responsabilidad clara para
proveedores y desplegadores.
·
Capacidad de reacción rápida ante
incidentes graves.
·
Refuerzo de la confianza pública en el
uso de IA en sectores sensibles.
La última entrada de la serie
se centrará en cómo construir un programa completo de compliance IA,
integrando todo lo anterior en un marco operativo coherente.
Comentarios
Publicar un comentario