La mayoría de los programas de cumplimiento fracasan porque permanecen en el plano conceptual demasiado tiempo. Este checklist traduce las obligaciones del Artículo 17 en flujos de trabajo de implementación que los equipos de producto, ingeniería y cumplimiento pueden ejecutar. Utilícelo como línea base del programa y adáptelo según el sector y el perfil de riesgo.
Fase 1: Delimitar el alcance y clasificar
Comience determinando con exactitud qué sistemas y versiones entran en el ámbito de las obligaciones de alto riesgo. No construya controles para un alcance indefinido.
La claridad de roles es esencial. Las obligaciones del proveedor difieren de las del responsable del despliegue, y la confusión de roles sigue siendo una de las fuentes de retrabajo más costosas.
- Inventariar los sistemas de IA y clasificar su condición de alto riesgo según la finalidad prevista
- Confirmar los límites entre proveedor y responsable del despliegue por producto y escenario de cliente
- Controlar el tratamiento transitorio de los sistemas ya comercializados y sus modificaciones
Fase 2: Construir el mapeo de requisitos a controles
Elabore una matriz de requisitos que cubra los Artículos 9 a 15 junto con las familias de controles del Artículo 17. Cada requisito necesita un responsable, un procedimiento operativo y una definición de artefacto de evidencia.
Cuando las normas armonizadas no estén disponibles o no cubran completamente los requisitos, documente de forma explícita las medidas técnicas alternativas y su justificación.
- Gestión de riesgos (Artículo 9) integrada con los controles de lanzamiento y gestión de cambios
- Gobernanza de datos (Artículo 10) con lógica de representatividad y gestión de sesgos
- Documentación técnica y preparación para el registro de operaciones (Artículos 11-12)
- Transparencia, supervisión humana y umbrales de calidad (Artículos 13-15)
Fase 3: Operativizar los controles del ciclo de vida
Los procedimientos documentados son necesarios, pero insuficientes. Los controles deben estar activos en las etapas de diseño, pruebas, despliegue, vigilancia poscomercialización e incidentes.
Un punto débil habitual es la gobernanza de cambios: los equipos rastrean los cambios de versión, pero no evalúan el impacto en la conformidad aplicando la lógica de modificación sustancial del Artículo 3(23).
- Verificación previa al despliegue con evidencia de pruebas reproducible
- Gobernanza de proveedores y componentes externos con controles proporcionados al riesgo
- Puntos de control en la gestión de cambios que activen la reevaluación cuando sea necesario
- Trazabilidad que vincule las versiones en producción con la documentación y la evidencia
Fase 4: Desarrollar la capacidad de vigilancia poscomercialización y gestión de incidentes
La vigilancia poscomercialización y la preparación ante incidentes graves son los puntos donde los programas teóricos fallan en condiciones reales. Construya los flujos de trabajo ahora, no después del lanzamiento.
Los equipos operativos deben realizar simulacros al menos trimestralmente para que las vías de escalamiento y las responsabilidades de notificación no sean meramente teóricas.
- Definir indicadores de rendimiento y riesgo monitorizados por cada sistema de IA
- Establecer umbrales, responsables y SLA de respuesta para eventos adversos
- Implementar triaje de incidentes, notificación regulatoria y ciclos de acciones correctivas
- Conservar la evidencia en un formato utilizable para auditorías y solicitudes de las autoridades
Fase 5: Gobernanza, formación y calidad de la evidencia
La eficacia del sistema de gestión de la calidad depende de la competencia y la rendición de cuentas, no solo de plantillas. Asegúrese de que los equipos responsables reciban formación sobre las obligaciones específicas de su rol y su autoridad de decisión.
Para acelerar la preparación, utilice la guía de documentación del Anexo IV y la línea base de requisitos del Reglamento de IA de la UE junto con este checklist.
- Designar responsables con rendición de cuentas y gobernanza de escalamiento a nivel directivo
- Impartir formación basada en roles para ingeniería, producto, jurídico y operaciones
- Realizar auditorías internas periódicas con acciones correctivas y evidencia de cierre
- Mantener actualizado y revisable un índice de evidencia orientado al regulador
Preguntas frecuentes
¿Qué es lo primero que se debe hacer para cumplir con el Artículo 17?
Establecer el alcance y los límites de roles. Sin un ámbito claro de sistemas de alto riesgo y de la responsabilidad del proveedor, cualquier plan de controles posterior se vuelve inestable.
¿Es necesario que todas las normas armonizadas estén finalizadas para ser conforme?
No. Se necesita una implementación conforme de las obligaciones legales. Las normas armonizadas facilitan las vías de presunción de conformidad, pero el trabajo de cumplimiento no puede esperar a que se publiquen en su totalidad.
¿Qué evidencia solicitan primero los auditores?
Normalmente, la asignación de responsabilidad sobre los controles, los procedimientos operativos, los artefactos de evidencia vinculados a versiones, los registros de vigilancia poscomercialización, los registros de gestión de incidentes y la prueba de que las decisiones de gobernanza se ejecutan efectivamente.
Conclusiones clave
El cumplimiento del Artículo 17 es una disciplina de sistema de gestión, no un hito de proyecto puntual. Los equipos que traten este checklist como un modelo operativo vivo estarán mejor preparados tanto para la fecha de aplicabilidad de agosto de 2026 como para la supervisión regulatoria continua.