Anexo IV

El Anexo IV del EU AI Act define la documentación técnica exhaustiva que los proveedores de sistemas de IA de alto riesgo deben crear y mantener. Esta documentación sirve como base probatoria para la evaluación de la conformidad, demostrando a autoridades y organismos notificados que un sistema cumple todos los requisitos aplicables. El Anexo IV no es una simple lista de documentos: exige evidencia de que procesos, controles y salvaguardas concretas se han implementado realmente en el desarrollo y la operación del sistema.

La documentación técnica debe incluir varias secciones principales. Descripción general: visión completa del propósito previsto, interacción con hardware y software, versiones relevantes de software, formas en que el sistema se pone en el mercado y usuarios previstos. Información detallada del desarrollo: arquitectura del sistema, recursos computacionales usados, especificaciones de diseño, metodologías de desarrollo y decisiones clave con la justificación de técnicas y soluciones adoptadas. Documentación de gestión de riesgos: evidencia de la implementación del sistema de gestión de riesgos, incluyendo identificación, análisis, evaluación y medidas de mitigación durante todo el ciclo de vida. Gobernanza de datos: información sobre conjuntos de datos de entrenamiento, validación y prueba, incluidos procesos de recopilación, preparación, supuestos sobre lo que miden los datos, evaluación de disponibilidad y adecuación y medidas para detectar y abordar sesgos. Pruebas y validación: métricas para precisión, robustez y cumplimiento, procedimientos y resultados de prueba, medidas de ciberseguridad y soluciones adoptadas. Monitorización y registro: capacidades de registro (requisitos del artículo 12), planes de vigilancia posterior a la comercialización y mecanismos para capturar comportamiento del sistema e intervenciones humanas.

El reto del Anexo IV no es solo el volumen de documentación, sino su calidad. Auditores y organismos notificados buscan pruebas de que los controles existen y funcionan, no simples afirmaciones. Eso implica vincular la documentación técnica a artefactos verificables: resultados reales de pruebas, registros de auditoría auténticos y evaluaciones de riesgos que hayan influido en decisiones de diseño. Las organizaciones que tratan el Anexo IV como un ejercicio documental separado de la ingeniería suelen tener dificultades en la evaluación de la conformidad, cuando los revisores exigen conexión entre lo declarado y la realidad.

Empiece con un análisis de brechas entre sus prácticas actuales de documentación y los requisitos del Anexo IV. La mayoría de organizaciones ya tiene cierta documentación técnica, pero rara vez está estructurada para cumplir un marco regulatorio. Las brechas típicas incluyen: documentación insuficiente de la procedencia de los datos de entrenamiento y del preprocesado, evidencia limitada de pruebas y mitigación de sesgos, falta de trazabilidad entre decisiones de gestión de riesgos y la implementación técnica, y registros insuficientes que no capturan la información que necesitan los auditores. Construir documentación del Anexo IV de forma retroactiva es extremadamente difícil; el mejor enfoque es integrar la captura de evidencia en los flujos de desarrollo y despliegue desde el inicio.