Para los sistemas de alto riesgo, el Reglamento (UE) 2024/1689 exige una evaluación de conformidad antes de comercializar o poner en servicio el sistema. La mayoría de sistemas del Anexo III pueden autoevaluarse; los integrados en productos del Anexo I y los sistemas biométricos requieren intervención de un organismo notificado.
El Anexo IV lista nueve bloques. Descripción general del sistema con finalidad, hardware, software y formato de salida. Descripción detallada de elementos del sistema con metodología de desarrollo. Información sobre monitorización, funcionamiento y control. Datos sobre el rendimiento (precisión, robustez, ciberseguridad). Sistema de gestión de riesgos del artículo 9. Cambios pertinentes durante el ciclo de vida. Lista de normas armonizadas aplicadas o solución equivalente. Copia de la declaración UE de conformidad. Plan de monitorización post-mercado.
La documentación se mantiene viva durante toda la vida útil del sistema y diez años más a partir de su retirada del mercado. Cualquier cambio sustancial activa una nueva evaluación. La práctica recomendada: estructurar el repositorio documental desde el inicio con control de versiones, no como anexo final.
El artículo 17 exige once componentes mínimos en el sistema de gestión de calidad: estrategia de cumplimiento regulatorio, procedimientos de diseño y verificación, procedimientos de desarrollo y control de calidad, procedimientos de pruebas y validación, especificaciones técnicas, sistemas de gestión de datos, sistema de gestión de riesgos, sistema de monitorización post-mercado, procedimientos de notificación de incidentes graves, comunicación con autoridades y organismos notificados, registros con responsabilidades.
El mapeo con ISO/IEC 42001 e ISO 9001 es directo: el Anexo SL común a todas las normas de sistemas de gestión cubre la mayor parte de la estructura. Una empresa que ya opera ISO 27001 puede integrar el sistema de IA reutilizando 50% al 70% del marco existente.
El Reglamento ofrece dos procedimientos para sistemas de alto riesgo del Anexo III. Control interno (Anexo VI): autoevaluación basada en el sistema de gestión de calidad y la documentación técnica. Aplica a la mayoría de sistemas del Anexo III. Evaluación con organismo notificado (Anexo VII): obligatoria para sistemas biométricos y para casos donde no existan normas armonizadas pertinentes.
Para productos del Anexo I (médicos, juguetes, vehículos, ascensores, equipos de protección individual), el sistema de IA se evalúa dentro del procedimiento del producto. Esto implica habitualmente intervención del organismo notificado del producto, con la IA integrada como componente.
Una vez completada la evaluación de conformidad, el proveedor emite la declaración UE de conformidad (artículo 47), aplica el marcado CE al sistema y, antes de comercializarlo o ponerlo en servicio, lo registra en la base de datos europea de sistemas de alto riesgo (artículo 49). El registro incluye identificación del sistema, instrucciones de uso, declaración de conformidad y, si aplica, certificado del organismo notificado.
La base de datos es pública en sus campos principales y la gestiona la Comisión. La inscripción es condición previa al despliegue, no posterior. Para sistemas en uso en organismos públicos, los desplegadores asumen obligaciones complementarias de registro.
Ready to scope your project? Submit a short brief and we reply within one business day.
Cuéntanos qué quieres construir. Respondemos en un día hábil.