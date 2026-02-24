Tras nuestras publicaciones sobre el bloque introductorio (Guías 1 y 2) de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA)...

Tras nuestras publicaciones sobre el bloque introductorio (Guías 1 y 2) de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) para el cumplimiento del Reglamento Europeo de Inteligencia Artificial (RIA), iniciamos hoy el análisis del segundo bloque: las Guías Técnicas Especializadas (Guías 3 a 15).

En concreto, hoy resumimos los principales aspectos a tener en cuenta en relación con las Guías núm. 3 y 4 de la AESIA:

1. La Guía 3, titulada "Evaluación de la conformidad", ofrece una visión detallada y orientativa sobre el proceso obligatorio de evaluación de conformidad al que deben someterse los sistemas de Inteligencia Artificial (IA) de alto riesgo bajo el RIA (artículo 43) antes de su comercialización o puesta en servicio en la Unión Europea. Su objetivo es proporcionar un itinerario práctico para que el proveedor (el responsable legal del proceso) demuestre que su sistema cumple con los requisitos esenciales de seguridad, transparencia y gobernanza de datos exigidos por el RIA.

La Guía 3 da luz sobre los dos procedimientos principales para realizar la evaluación de conformidad:

Control interno (autoevaluación): Es la vía general para la mayoría de los sistemas de alto riesgo (puntos 2 a 8 del Anexo III), como los destinados al empleo, educación, y servicios financieros. Bajo este esquema, el proveedor verifica internamente que su Sistema de Gestión de la Calidad (SGC) y su documentación técnica cumplen con el RIA; o

Es la vía general para la mayoría de los sistemas de alto riesgo (puntos 2 a 8 del Anexo III), como los destinados al empleo, educación, y servicios financieros. Bajo este esquema, el proveedor verifica internamente que su Sistema de Gestión de la Calidad (SGC) y su documentación técnica cumplen con el RIA; o Intervención de un tercero (organismo notificado): Es obligatorio para los sistemas de identificación biométrica (Anexo III, punto 1) cuando el proveedor no ha aplicado, o solo ha aplicado parcialmente, las normas armonizadas o especificaciones comunes disponibles. En estos casos, una entidad independiente debe auditar y certificar el sistema.

Esta Guía 3 detalla los requisitos técnicos y documentales que deben cumplirse para demostrar la conformidad con el RIA, integrando aspectos como la implantación de un SGC, la elaboración de la documentación técnica, y el desarrollo de planes de vigilancia poscomercialización. También proporciona ejemplos y metodologías que facilitan la aplicación de estos requisitos a través de instrumentos como las normas armonizadas y las especificaciones comunes (respectivamente, estándares técnicos creados por organismos de normalización a petición de la Comisión, y reglas técnicas dictadas directamente por la propia Comisión cuando las primeras no existen o resultan insuficientes).

El éxito de este proceso culmina con la elaboración de la Declaración UE de conformidad y la colocación del marcado CE (indicador clave, pero no una prueba absoluta por sí mismo, de la conformidad de un producto con la legislación de la UE).

2. La Guía 4, titulada "Sistema de gestión de calidad", es la pieza que articula todas las obligaciones operativas del RIA dentro de una organización. Tiene como objetivo analizar las medidas organizativas y técnicas que servirán a los proveedores (y, en casos específicos de desarrollo conjunto, a los responsables del despliegue) para cumplir con el artículo 17 del RIA. La finalidad del SGC es garantizar que los sistemas de IA de alto riesgo sean seguros, fiables, auditables durante todo su ciclo de vida.

La Guía 4 detalla los elementos esenciales que una entidad debe integrar para cumplir adecuadamente con el RIA mediante políticas, procedimientos e instrucciones. Entre los 13 apartados obligatorios establecidos en el artículo 17 destacan: la elaboración de un marco de rendición de cuentas y gobernanza clara que defina las responsabilidades del personal directivo y técnico, procesos documentados para el diseño, desarrollo, pruebas y validación de los sistemas, y medidas de ciberseguridad y precisión integradas desde el diseño.

Un aspecto fundamental es que la implementación del SGC debe ser proporcional al tamaño de la organización del proveedor. Este principio busca equilibrar la carga administrativa con la capacidad de la empresa.

