Evaluación de conformidad de un sistema de IA: guía práctica

Antes de poner un sistema de IA de alto riesgo en el mercado europeo, su empresa debe demostrar que cumple los requisitos del Reglamento (UE) 2024/1689 (el «EU AI Act»). Ese acto de demostración tiene un nombre y un procedimiento reglado: la evaluación de conformidad. No es un trámite final ni una formalidad; es el mecanismo que la norma exige para acreditar, antes de la comercialización, que el sistema es conforme. Desde el 2 de agosto de 2026, cuando se aplican las obligaciones para sistemas de alto riesgo, será un paso ineludible.

En esta guía explicamos, con base en el articulado, qué es la evaluación de conformidad, qué rutas existen, qué sistema sigue cada una y qué ocurre después. Al final abordamos el reto de fondo: la diferencia entre estimar que un sistema cumple y demostrarlo.

Qué es la evaluación de conformidad en el AI Act

La evaluación de conformidad es el procedimiento por el que el proveedor de un sistema de IA de alto riesgo verifica y acredita que su sistema satisface los requisitos de la Sección 2 del Capítulo III del Reglamento: sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registros, transparencia, supervisión humana y precisión, robustez y ciberseguridad. El artículo 43 es el que fija cómo debe realizarse.

La lógica del Reglamento es de seguridad de producto: igual que otros bienes regulados en la UE, un sistema de IA de alto riesgo debe pasar por una comprobación de conformidad antes de entrar al mercado, culminar en una declaración UE de conformidad y llevar el marcado CE. La evaluación de conformidad es el corazón de ese recorrido.

Las dos rutas del artículo 43

El artículo 43 contempla dos procedimientos:

Ruta A — Control interno (Anexo VI). El propio proveedor evalúa la conformidad de su sistema, sin intervención de un tercero. Es una autoevaluación reglada: exige que el proveedor compruebe que su sistema de gestión de la calidad y su documentación técnica cumplen la norma, y asuma la responsabilidad de esa comprobación.

Ruta B — Evaluación con organismo notificado (Anexo VII). Un tercero acreditado (un «organismo notificado») evalúa el sistema de gestión de la calidad y la documentación técnica del proveedor. Es una comprobación externa e independiente.

Cuál corresponde no lo decide el proveedor libremente: depende del tipo de sistema y de si existen y se han aplicado normas armonizadas.

Qué sistema sigue cada ruta

  • Biometría (Anexo III, punto 1): si el proveedor ha aplicado las normas armonizadas correspondientes, puede optar entre el control interno (Anexo VI) o la evaluación con organismo notificado (Anexo VII). Si no existen tales normas, no se han aplicado o solo en parte, la evaluación debe seguir la ruta con organismo notificado.
  • Resto de sistemas de alto riesgo del Anexo III (puntos 2 a 8): infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración y justicia siguen la ruta de control interno (Anexo VI), sin intervención de organismo notificado.
  • Sistemas cubiertos por legislación de producto (Anexo I): siguen el procedimiento de evaluación de conformidad de esa legislación sectorial, integrando además los requisitos del AI Act.

Un matiz relevante para el sector público: cuando el sistema de alto riesgo vaya a ser utilizado por autoridades policiales, de inmigración o de asilo, es la autoridad de vigilancia del mercado la que actúa como organismo notificado.

Normas armonizadas y presunción de conformidad

Las normas armonizadas (artículo 40) son la palanca que simplifica todo el proceso. Cuando un sistema se ajusta a ellas, disfruta de presunción de conformidad (artículo 42): se presume que cumple los requisitos cubiertos por esa norma. Aplicarlas reduce la carga probatoria y, en biometría, es lo que abre la puerta a la autoevaluación en lugar de exigir un organismo notificado. Por eso conviene seguir de cerca la publicación de estas normas (a cargo de los organismos europeos de normalización) y documentar con precisión cuáles se han aplicado.

Después de la evaluación: declaración, marcado CE y registro

Superada la evaluación de conformidad, el recorrido continúa:

  1. Declaración UE de conformidad (artículo 47): el proveedor emite y firma una declaración por la que asume la conformidad del sistema, conservándola a disposición de las autoridades.
  2. Marcado CE (artículo 48): el sistema (o su documentación) incorpora el marcado CE que acredita la conformidad.
  3. Registro en la base de datos de la UE (artículo 49): los sistemas de alto riesgo del Anexo III se registran en la base de datos pública de la Unión antes de su puesta en servicio o comercialización.

Modificaciones sustanciales y aprendizaje continuo

La conformidad no es un sello permanente. El artículo 43 establece que una modificación sustancial obliga a una nueva evaluación de conformidad, aunque el sistema siga en manos del mismo responsable del despliegue. Ahora bien, en sistemas que siguen aprendiendo tras su comercialización, los cambios predeterminados por el proveedor y ya recogidos en la documentación técnica no se consideran modificación sustancial. La consecuencia práctica es clara: la conformidad debe mantenerse y volver a demostrarse a lo largo del ciclo de vida, no solo el día del lanzamiento.

Qué implica según el tamaño de su empresa

  • Pyme: lo primero es determinar si su sistema es realmente de alto riesgo y qué ruta le corresponde; en la mayoría de casos del Anexo III (puntos 2-8) será control interno, sin el coste de un organismo notificado. Aproveche las normas armonizadas para simplificar y planifique con el calendario en la mano.
  • Mediana empresa: el reto es sistematizar la evaluación: un sistema de gestión de la calidad sólido y una documentación técnica completa que soporten el control interno y resistan una inspección posterior.
  • Gran empresa: con múltiples sistemas, sectores y jurisdicciones, la evaluación de conformidad se convierte en un proceso recurrente y auditable que debe integrarse en su gobierno del riesgo, incluyendo la reevaluación ante cada modificación sustancial.

El reto de fondo: demostrar la conformidad, no estimarla

Aquí está el punto que muchos equipos descubren tarde. La evaluación de conformidad exige demostrar que el sistema cumple; sin embargo, los enfoques habituales para comprobar un sistema de IA —baterías de pruebas, evaluaciones adversarias, revisiones por muestreo— producen, por su naturaleza, una estimación: reducen la incertidumbre, pero no la eliminan. Ante una autoridad de vigilancia del mercado, la diferencia entre «hemos probado mucho y parece conforme» y «es conforme, y aquí está la prueba» es la diferencia entre un expediente defendible y uno frágil.

Deflank aborda precisamente esa brecha. Mediante una metodología de verificación propia, convierte los requisitos aplicables en una prueba demostrable, reproducible y auditable de conformidad, en lugar de una estimación probabilística. El resultado es evidencia que su equipo puede presentar con confianza y que un tercero puede volver a verificar. Nuestra promesa es deliberadamente sobria: la prueba, no la estimación.

(Cómo se construye esa prueba forma parte de nuestra metodología; el detalle técnico lo compartimos con clientes y evaluadores bajo el marco adecuado.)


¿Su sistema es de alto riesgo y necesita preparar la evaluación de conformidad? Descargue nuestro checklist de conformidad del AI Act o solicite un diagnóstico preliminar sin compromiso.

Enlaces internos: [guía completa de obligaciones del AI Act (pilar)] · [documentación técnica: qué incluir] · [sistema de gestión de riesgos] · [declaración UE de conformidad y marcado CE] · [registro en la base de datos de la UE].

Este contenido es informativo y no constituye asesoramiento jurídico. Fuentes: Reglamento (UE) 2024/1689, artículos 40-43 y 47-49, y anexos VI y VII.

Preguntas frecuentes

¿Qué es la evaluación de conformidad de un sistema de IA?

Es el procedimiento reglado por el que el proveedor demuestra, antes de comercializar, que su sistema de IA de alto riesgo cumple los requisitos del EU AI Act. Lo regula el artículo 43 del Reglamento (UE) 2024/1689.

¿Desde cuándo es obligatoria?

Desde el 2 de agosto de 2026, fecha en que se aplican las obligaciones para los sistemas de IA de alto riesgo.

¿Necesito un organismo notificado?

Depende del sistema. Los sistemas de alto riesgo del Anexo III (puntos 2 a 8) siguen el control interno del Anexo VI, sin organismo notificado. Los de biometría (punto 1) pueden requerirlo si no se han aplicado las normas armonizadas.

¿Qué diferencia hay entre control interno y organismo notificado?

En el control interno (Anexo VI), el propio proveedor evalúa y asume la conformidad. En la ruta del Anexo VII, un tercero acreditado evalúa el sistema de gestión de la calidad y la documentación técnica.

¿Qué ocurre si modifico el sistema después de la evaluación?

Una modificación sustancial obliga a una nueva evaluación de conformidad. Los cambios predeterminados por el proveedor y ya recogidos en la documentación técnica no se consideran modificación sustancial.

¿Qué debo hacer tras superar la evaluación?

Emitir la declaración UE de conformidad (art. 47), colocar el marcado CE (art. 48) y registrar el sistema en la base de datos de la UE (art. 49).

Volver a la guía de AI-ACT