Organismo notificado

Un organismo notificado es una organización independiente designada oficialmente por un Estado miembro de la UE para realizar evaluaciones de conformidad de terceros para ciertos sistemas de IA de alto riesgo. Estos organismos cuentan con la pericia técnica e imparcialidad necesarias para evaluar si los sistemas cumplen los requisitos del EU AI Act, y sus evaluaciones tienen peso legal para demostrar cumplimiento.

El artículo 43 especifica cuándo se requiere evaluación por organismo notificado, frente a la autoevaluación del proveedor. Su participación es obligatoria para sistemas de alto riesgo usados para identificación biométrica de personas físicas (excepto verificación/autenticación), así como para sistemas de alto riesgo usados como componentes de seguridad de productos que ya requieren evaluación de terceros bajo legislación de seguridad de producto. Para la mayoría de otros sistemas del Anexo III, los proveedores pueden realizar autoevaluación mediante el procedimiento de control interno del Anexo VI. Aun así, los proveedores pueden solicitar evaluación voluntaria de un organismo notificado para ganar credibilidad ante clientes, reguladores o el público. El ecosistema de organismos notificados para IA aún está madurando: a diferencia de sectores como dispositivos médicos o maquinaria, donde operan desde hace décadas, las designaciones específicas para IA están emergiendo ahora, lo que implica capacidad limitada y posibles plazos largos.

Las organizaciones deben determinar primero si sus sistemas requieren evaluación de terceros. Sistemas biométricos de identificación remota en espacios accesibles al público requieren organismo notificado. Sistemas como componentes de seguridad de productos regulados deben revisar la legislación aplicable. Para sistemas que lo requieran, conviene identificar organismos adecuados pronto. Criterios: experiencia técnica, capacidad y plazos, cobertura geográfica y estructura de tarifas. Revise la base oficial NANDO cuando se publiquen designaciones específicas para IA.

Prepararse para la revisión requiere estar listo en documentación. Los evaluadores examinarán documentación del Anexo IV, registros de gestión de riesgos, gobernanza de datos, evidencia de pruebas y validación y sistemas de gestión de la calidad. Trate la preparación como una auditoría externa, con paquetes de evidencias completos listos. Incluso en autoevaluación, mantener documentación al nivel que esperaría un organismo notificado mejora la preparación si cambian requisitos, expectativas del mercado o demandas de verificación independiente.