Qué se considera un sistema de IA de alto riesgo según el AI Act

El AI Act establece una clasificación de sistemas de IA en función del riesgo que presentan para las personas. Los sistemas considerados de alto riesgo son aquellos que afectan directamente a ámbitos sensibles como la educación, el empleo, la migración, el acceso a servicios públicos, la justicia o la seguridad.

Por ejemplo, una IA que puntúa a candidatos en procesos de selección, valida identidades mediante biometría o toma decisiones financieras automatizadas se encuadra habitualmente en esta categoría. Estos sistemas no están prohibidos, pero sí deben superar estrictas evaluaciones antes de poder comercializarse o usarse legalmente.

Si tu organización está desarrollando o implantando soluciones de IA que puedan estar clasificadas como de alto riesgo, esta información te será clave para evitar errores, reducir plazos y asegurar el cumplimiento legal desde el diseño.

Importancia de la certificación para cumplir con el AI Act

La certificación actúa como garantía de que el sistema de IA cumple con los requisitos del AI Act en materia de transparencia, gestión del riesgo, gobernanza de datos, intervención humana y supervisión posterior al despliegue.

Obtener esta certificación no solo es obligatorio para operar legalmente dentro de la UE, sino que también refuerza la confianza de clientes, usuarios y reguladores en el producto. Además, anticiparse a este proceso puede convertirse en una ventaja competitiva y en un factor clave de madurez organizativa.

Marco normativo y definición de organismos notificados

Para certificar un sistema de inteligencia artificial como “alto riesgo” bajo el AI Act, las organizaciones deben someterse a un proceso de evaluación técnica y documental supervisado por un tercero independiente. Este tercero recibe el nombre de organismo notificado y debe estar designado oficialmente por un Estado miembro de la Unión Europea.

Estos organismos son los encargados de validar si un sistema de IA cumple con todos los requisitos esenciales que establece el AI Act europeo, incluyendo transparencia, trazabilidad, gobernanza de datos, supervisión humana, ciberseguridad y documentación técnica.

Consulta la lista oficial de organismos notificados en la base de datos NANDO de la Comisión Europea.

Breve repaso al AI Act y sus requisitos de certificación

El AI Act impone distintos niveles de exigencia según el riesgo del sistema, pero en el caso de los sistemas de alto riesgo, el cumplimiento debe demostrarse mediante un procedimiento formal de evaluación de conformidad. Este proceso puede incluir la revisión del expediente técnico, auditorías del sistema, pruebas funcionales y verificación de controles internos.

La participación de un organismo notificado es obligatoria en determinados supuestos (por ejemplo, cuando el proveedor no aplica un sistema de gestión de calidad completo), y opcional en otros si se cumplen requisitos específicos. La intervención de este tipo de entidades permite garantizar que la evaluación sea objetiva, documentada y trazable.

Definición legal de “organismo notificado”

Un organismo notificado es una entidad independiente autorizada por un Estado miembro de la UE para evaluar la conformidad de determinados productos —en este caso, sistemas de IA— con los requisitos legales establecidos en el AI Act.

Estos organismos deben ser imparciales, técnicamente competentes y cumplir con criterios de calidad y control establecidos en el propio reglamento. Su función no es desarrollar sistemas ni ofrecer asesoramiento técnico, sino verificar objetivamente que los sistemas evaluados cumplen las condiciones exigidas.

El artículo 30 del AI Act establece cómo se notifican y designan estos organismos, así como los procedimientos que deben seguir las autoridades nacionales competentes para validar su idoneidad.

Criterios de designación y acreditación de estos organismos

Para ser reconocido como organismo notificado, una entidad debe demostrar:

• Experiencia técnica en evaluación de sistemas tecnológicos complejos.
• Imparcialidad estructural y ausencia de conflictos de interés.
• Capacidad de análisis documental y realización de auditorías técnicas.
• Aplicación de normas internacionales de evaluación (como ISO/IEC 17065).

La acreditación la otorgan organismos nacionales de evaluación de la conformidad, como ENAC en España, bajo supervisión estatal. Solo tras completar este proceso pueden ser inscritos oficialmente en el registro europeo de organismos notificados.

Conocer estos criterios ayuda a las empresas a identificar interlocutores válidos y evaluar la solvencia de cada entidad antes de iniciar el proceso de certificación.

Funciones clave de los organismos notificados en IA

Una vez designado, el organismo notificado actúa como verificador independiente del cumplimiento del sistema de IA con los requisitos técnicos y legales establecidos por el AI Act. Su función no es solo formal, sino central para asegurar que el sistema puede ser utilizado sin comprometer los derechos fundamentales ni la seguridad de las personas.

En esta sección desglosamos sus principales tareas, desde la revisión documental hasta las pruebas técnicas necesarias para emitir el certificado de conformidad.

Evaluación de conformidad técnica de sistemas de IA

La tarea principal del organismo notificado es realizar una evaluación técnica del sistema. Esta evaluación puede variar en profundidad dependiendo del procedimiento aplicable (control interno, sistema de gestión de calidad, etc.), pero suele incluir:

• Verificación del diseño técnico del sistema y sus especificaciones funcionales.
• Revisión de las medidas de mitigación de riesgos implementadas.
• Comprobación de la trazabilidad de los datos y de los algoritmos empleados.

Esta evaluación garantiza que el sistema cumple con los principios de seguridad, explicabilidad y supervisión humana requeridos por el reglamento.

Verificación de documentación y expediente técnico

El organismo notificado revisa en profundidad el expediente técnico aportado por la empresa, que debe contener toda la información relevante sobre el diseño, los datos utilizados, los mecanismos de control, las pruebas funcionales y las medidas de mitigación de riesgos.

Esta revisión permite identificar posibles incumplimientos, lagunas documentales o riesgos no tratados adecuadamente. En caso de dudas, el organismo puede solicitar aclaraciones o pruebas adicionales antes de continuar con la certificación.

De acuerdo con el artículo 45 del AI Act, los organismos notificados también tienen la obligación de compartir determinada información con las autoridades competentes, garantizando la trazabilidad y supervisión pública del proceso.

Pruebas prácticas y auditorías de seguridad

En algunos casos, el organismo notificado puede llevar a cabo pruebas prácticas o auditorías in situ para verificar el comportamiento del sistema en entornos controlados. Esto es especialmente relevante cuando se trata de aplicaciones críticas, como el reconocimiento biométrico o la gestión automatizada de decisiones legales o financieras.

Estas pruebas permiten validar el rendimiento real del sistema, identificar posibles fallos y contrastar los resultados con los declarados por la empresa. También ayudan a garantizar que el sistema se ha entrenado y validado con datos adecuados, representativos y libres de sesgos indebidos.

El objetivo final de estas funciones es emitir una evaluación objetiva y justificada sobre la conformidad del sistema, base para la posterior certificación.

Proceso paso a paso de certificación con un organismo notificado

Para las organizaciones que desarrollan o implantan sistemas de IA de alto riesgo, conocer el procedimiento de certificación es clave para planificar tiempos, recursos y responsabilidades. Aunque puede haber variaciones según el tipo de sistema y el organismo notificado seleccionado, el proceso suele seguir una estructura común.

A continuación, desglosamos las etapas principales para conseguir la certificación conforme al AI Act.

Solicitud y presentación del expediente de IA

El primer paso consiste en elegir un organismo notificado autorizado para el ámbito correspondiente y enviar una solicitud formal de evaluación. Junto a esta solicitud, la empresa debe presentar el expediente técnico completo del sistema de IA, incluyendo:

• Descripción del uso previsto del sistema.
• Diseño técnico, arquitectura funcional y flujos de datos.
• Evaluación de riesgos llevada a cabo previamente.
• Evidencias de cumplimiento de los requisitos del AI Act.

Este expediente es la base sobre la que se desarrollará todo el proceso de análisis técnico.

Fase de evaluación documental y técnica

Una vez recibido el expediente, el organismo notificado inicia una evaluación documental detallada y, si procede, una validación técnica adicional. Esta fase puede incluir:

• Revisión estructurada de cada uno de los requisitos aplicables.
• Análisis de las pruebas internas realizadas por la empresa.
• Revisión de controles sobre gobernanza de datos, supervisión humana y gestión de incidencias.

En paralelo, el organismo puede solicitar entrevistas con el equipo técnico, realizar inspecciones en las instalaciones o pedir demostraciones funcionales del sistema.

Emisión de informe de conformidad y resolución final

Si el sistema cumple con todos los criterios exigidos, el organismo notificado elabora un informe de conformidad que certifica que el sistema puede ser comercializado o utilizado en la UE de forma legal. Este informe puede acompañarse de recomendaciones o condiciones específicas.

En caso contrario, se emite una notificación de no conformidad con los puntos que deben corregirse. La empresa podrá entonces realizar los ajustes pertinentes y volver a someter el sistema a evaluación. Una vez aprobada la certificación, se registra el sistema como conforme y puede incorporarse el marcado CE correspondiente si aplica.

Conocer estas fases permite a las empresas anticiparse, preparar los entregables con mayor precisión y evitar demoras innecesarias en la obtención del certificado.

Requisitos y responsabilidades para las empresas

El proceso de certificación no termina con la emisión del informe de conformidad. Las empresas deben asumir responsabilidades claras, tanto durante la evaluación como después de haber obtenido la aprobación. Esto implica preparar documentación sólida, cumplir con los plazos exigidos y mantener la conformidad de forma continuada.

Comprender estas responsabilidades es esencial para evitar errores administrativos o técnicos que puedan invalidar la certificación o provocar sanciones.

Información y documentos que debe aportar la organización

Durante el proceso de evaluación, las empresas deben proporcionar una serie de documentos clave que respalden el diseño y funcionamiento del sistema de IA. Estos documentos incluyen:

• Descripción funcional detallada del sistema.
• Evidencias de calidad, representatividad y adecuación de los datos utilizados.
• Protocolos de validación, auditoría y supervisión humana.
• Evaluaciones internas de impacto sobre los derechos fundamentales.

Toda la documentación debe ser clara, coherente, actualizada y estar disponible en un formato que facilite su revisión por parte del organismo notificado.

Además, en algunos casos puede exigirse documentación adicional, como manuales de usuario, instrucciones de seguridad o resultados de pruebas independientes.

Plazos, costes y seguimiento post-certificación

El tiempo necesario para obtener la certificación varía en función del tipo de sistema, la calidad del expediente entregado y la carga de trabajo del organismo notificado. En general, el proceso puede extenderse entre 2 y 6 meses, aunque ciertos proyectos complejos podrían requerir más tiempo.

En cuanto a los costes, estos dependerán de la entidad certificadora y del alcance del análisis requerido. Las tarifas suelen calcularse en función de las horas técnicas estimadas, el número de componentes evaluados y la necesidad de auditorías presenciales.

Una vez obtenida la certificación, las empresas deben mantener la conformidad durante toda la vida útil del sistema, informando al organismo notificado de cualquier modificación sustancial que pudiera afectar al cumplimiento normativo.

Obligaciones de mantenimiento y recertificación periódica

El AI Act establece que los proveedores de sistemas de alto riesgo deben aplicar un modelo de gobernanza continua sobre sus productos certificados. Esto implica:

• Vigilar el comportamiento del sistema en producción.
• Registrar y notificar incidentes graves a las autoridades.
• Mantener actualizada la documentación técnica.
• Renovar la certificación en caso de cambios significativos.

En muchos casos, será necesario pasar por procesos de recertificación periódica, especialmente si se actualiza el modelo, se amplían los usos previstos o se modifican las fuentes de datos. No atender estas obligaciones puede suponer la pérdida del marcado CE o la imposición de sanciones.

Asumir una estrategia de cumplimiento proactiva desde el diseño facilitará el mantenimiento de la certificación y reforzará la confianza de clientes y reguladores.

Casos prácticos y lecciones aprendidas

La teoría sobre certificación es importante, pero las experiencias reales aportan un valor adicional para anticiparse a problemas, entender qué funciona y qué errores conviene evitar. A continuación, presentamos ejemplos ilustrativos y buenas prácticas recogidas de proyectos que han enfrentado con éxito (o dificultades) la certificación de sistemas de IA de alto riesgo en contextos europeos.

Ejemplo de proyecto IA de alto riesgo certificado exitosamente

Una empresa del sector fintech desarrolló un sistema de scoring automatizado para conceder microcréditos. Dado que se trataba de un sistema que influía directamente en decisiones financieras, fue clasificado como de alto riesgo según el AI Act.

Desde fases tempranas del desarrollo, el equipo integró requisitos legales en el diseño técnico: trazabilidad algorítmica, revisión humana obligatoria antes de cada decisión crítica, y mecanismos transparentes de explicación del resultado al usuario.

Gracias a esta anticipación, el proceso de certificación se completó en menos de cuatro meses, sin requerimientos adicionales del organismo notificado. La clave del éxito fue integrar el cumplimiento desde el principio y no tratarlo como un añadido posterior.

Errores comunes evitables en la auditoría de un organismo notificado

En otros casos, los errores más frecuentes que retrasan o complican la certificación suelen ser:

• Presentar un expediente técnico incompleto o con inconsistencias internas.
• No justificar adecuadamente la elección de datos de entrenamiento.
• Omitir la documentación sobre controles de supervisión humana.
• Subestimar el impacto del sistema sobre derechos fundamentales.

Estos fallos obligan a rehacer parte del proceso y pueden generar costes adicionales. Una preparación deficiente no solo ralentiza el trámite, sino que puede hacer que el sistema sea considerado no conforme, aunque su funcionamiento técnico no presente fallos aparentes.

Consejos para agilizar el proceso y reducir tiempos

Para que el proceso de certificación avance sin tropiezos, se recomienda:

• Iniciar cuanto antes el contacto con organismos notificados para conocer sus requisitos específicos.
• Preparar el expediente técnico con asesoramiento jurídico y técnico especializado.
• Validar los mecanismos de gobernanza y gestión de incidencias desde etapas tempranas.
• Documentar de forma exhaustiva las pruebas funcionales, decisiones de diseño y criterios éticos aplicados.

Además, mantener una actitud proactiva durante la auditoría —respondiendo con agilidad a los requerimientos del organismo notificado— suele marcar una gran diferencia en la duración y éxito del proceso.

Estas lecciones permiten transformar la certificación en una oportunidad para reforzar la calidad y fiabilidad del sistema de IA, en lugar de verla como una simple obligación legal.

Criterios clave para elegir el organismo notificado adecuado

La elección del organismo notificado no debe tomarse a la ligera. Aunque todos los organismos reconocidos cumplen los requisitos legales para operar, existen diferencias importantes en su experiencia, alcance geográfico, capacidad técnica y nivel de acompañamiento. Una selección acertada puede marcar la diferencia entre una certificación ágil y un proceso prolongado o problemático.

Factores a evaluar: experiencia, acreditaciones y alcance geográfico

Antes de elegir, conviene analizar el perfil del organismo notificado en función de:

• Su experiencia específica en sistemas de IA o sectores afines (fintech, salud, movilidad…).
• Las áreas en las que está acreditado oficialmente según el ámbito del AI Act.
• Su capacidad para operar en el país o región donde se desplegará el sistema.
• Su historial en certificaciones tecnológicas complejas.

Este análisis debe basarse en datos públicos disponibles (como la base de datos NANDO de la UE) y, si es posible, en referencias de otras empresas del sector que hayan trabajado con la entidad.

Comparación de características y servicios disponibles

No todos los organismos notificados ofrecen el mismo nivel de detalle, soporte o recursos. Algunas diferencias que conviene contrastar incluyen:

• Tiempo medio de respuesta y duración estimada del proceso.
• Acceso a herramientas digitales para el seguimiento del expediente.
• Posibilidad de comunicación directa con personal técnico durante la evaluación.
• Existencia de guías, plantillas u orientación adicional.

Algunos organismos también ofrecen servicios complementarios como preevaluaciones voluntarias o consultoría técnica, aunque estas actividades deben estar claramente diferenciadas de la certificación formal para evitar conflictos de interés.

Recomendaciones para la negociación contractual

Una vez elegido el organismo, la empresa deberá firmar un contrato de evaluación de conformidad. Para este paso es recomendable:

• Definir con precisión el alcance técnico del sistema que se va a evaluar.
• Establecer plazos máximos y canales de comunicación claros.
• Solicitar una estimación cerrada de costes, incluyendo posibles revisiones o reinspecciones.
• Acordar cómo se gestionarán las modificaciones del sistema durante el proceso.

Una negociación bien planteada reduce la incertidumbre y previene malentendidos posteriores. Además, permite a ambas partes comprometerse con un calendario realista y con criterios claros de evaluación.

Elegir un organismo alineado con el perfil del sistema y con capacidad de acompañamiento técnico facilita un proceso más fluido, transparente y eficaz.

Impacto de la certificación en la organización

Obtener la certificación de conformidad bajo el AI Act no es solo un trámite legal: también representa una oportunidad para fortalecer la posición de la empresa en términos de reputación, competitividad y gobernanza tecnológica. A medida que la regulación se consolide, contar con esta certificación será un factor diferenciador en muchos mercados.

Veamos algunos de los impactos más relevantes que genera esta certificación.

Ventajas competitivas y reputacionales de contar con sello oficial

Una organización que certifica sus sistemas de IA de alto riesgo envía una señal clara al mercado: está comprometida con el cumplimiento normativo, la transparencia y la ética tecnológica. Este posicionamiento puede traducirse en ventajas como:

• Mayor facilidad para acceder a contratos públicos o licitaciones reguladas.
• Mejores condiciones en acuerdos con clientes corporativos o internacionales.
• Credibilidad reforzada ante inversores, medios y entornos regulatorios.

Además, el sello oficial puede utilizarse como argumento comercial, reforzando campañas de marketing o documentación técnica en procesos de venta.

Mejora de la confianza de clientes y reguladores

Los usuarios y las autoridades exigen cada vez más garantías sobre el uso seguro, justo y explicable de los sistemas automatizados. Un sistema certificado proporciona:

• Confianza en que los riesgos han sido evaluados y mitigados.
• Transparencia sobre el funcionamiento y gobernanza del sistema.
• Mayor predisposición de los reguladores a colaborar con la empresa.

Este efecto se multiplica en sectores sensibles como el sanitario, financiero, educativo o público, donde la confianza es un activo esencial.

Cómo integrar la certificación en la estrategia de gobernanza de IA

La certificación no debe entenderse como un hito aislado, sino como parte de una estrategia de gobernanza de la IA alineada con los valores y objetivos de la organización. Para ello, conviene:

• Incluir la certificación como un componente del ciclo de vida del producto.
• Designar responsables internos de cumplimiento y actualización normativa.
• Revisar periódicamente los sistemas certificados para garantizar su vigencia.

Esta visión estratégica permite que la empresa evolucione hacia un modelo de innovación regulada, en el que los beneficios de la inteligencia artificial convivan con el respeto a los derechos fundamentales y la seguridad de los usuarios.

Conclusiones

La certificación de sistemas de inteligencia artificial de alto riesgo bajo el AI Act representa un desafío regulatorio importante, pero también una oportunidad estratégica para las empresas que apuestan por una innovación responsable.

Comprender el papel de los organismos notificados, los pasos del proceso de evaluación y las responsabilidades que conlleva esta certificación permite a las organizaciones prepararse con antelación, minimizar riesgos y optimizar recursos. Además, elegir adecuadamente al organismo certificador y mantener una actitud proactiva en todo el procedimiento puede marcar una diferencia sustancial en términos de tiempo, costes y calidad del resultado.

Más allá del cumplimiento normativo, contar con un sistema de IA certificado aporta valor reputacional, fortalece la confianza de los usuarios y refuerza la posición competitiva de la organización en un entorno cada vez más regulado.

Avanzar hacia una gobernanza sólida de la IA, con la certificación como pilar, es un paso clave para desarrollar tecnologías útiles, seguras y alineadas con los derechos fundamentales.