Documentación técnica AI Act: la guía completa del Artículo 11 y el Anexo IV

¿Cuánto tiempo se necesita para elaborar un expediente técnico conforme al AI Act? Las estimaciones varían entre 40 y 80 horas para un sistema IA complejo, y eso suponiendo que el equipo documentó sus decisiones de diseño desde el principio. El Artículo 11 del Reglamento (UE) 2024/1689 exige a cada proveedor de un sistema IA de alto riesgo elaborar una documentación técnica completa antes de su comercialización. Su contenido mínimo está definido por el Anexo IV, que enumera 9 secciones que cubren la totalidad del ciclo de vida del sistema.

Qué establece el Artículo 11

El Artículo 11 establece tres principios fundamentales que enmarcan la documentación técnica de los sistemas IA de alto riesgo.

Un expediente obligatorio antes de la comercialización

La documentación técnica debe elaborarse antes de que el sistema IA se comercialice o se ponga en servicio, y mantenerse actualizada a lo largo de su ciclo de vida. No se trata de un documento retrospectivo: acompaña el desarrollo del sistema desde su concepción.

Una doble finalidad: demostrar y permitir la evaluación

El expediente técnico cumple dos funciones. Primero, debe demostrar que el sistema cumple los requisitos de los Artículos 8 a 15 (gestión de riesgos, gobernanza de datos, registro de operaciones, transparencia, supervisión humana, exactitud y ciberseguridad). Además, debe proporcionar a las autoridades nacionales y organismos notificados la información necesaria para evaluar la conformidad, de forma clara e inteligible.

«La documentación técnica se elaborará de manera que demuestre que el sistema de IA de alto riesgo cumple los requisitos [...] y que proporcione a las autoridades nacionales competentes y a los organismos notificados la información necesaria de forma clara y comprensible para evaluar la conformidad.» — Artículo 11, apartado 1, Reglamento (UE) 2024/1689

Un formulario simplificado para las pymes

El Artículo 11 prevé que las pymes y las startups pueden proporcionar los elementos del Anexo IV de manera simplificada. La Comisión debe establecer un formulario adaptado a las necesidades de las pequeñas y microempresas. Los organismos notificados están obligados a aceptar este formulario en la evaluación de conformidad, lo que supone un alivio significativo para los operadores de menor tamaño.

Un expediente único para productos regulados

Cuando un sistema IA de alto riesgo está vinculado a un producto cubierto por la legislación de armonización de la Unión (Anexo I, sección A — productos sanitarios, juguetes, vehículos), se elabora un único conjunto de documentación que integra los requisitos del AI Act y los de la legislación sectorial. Esta disposición evita la duplicación para productos ya sujetos a un régimen de documentación técnica.

Las 9 secciones del Anexo IV

El Anexo IV define el contenido mínimo de la documentación técnica. Cada sección corresponde a un aspecto del sistema que el proveedor debe documentar de manera exhaustiva. A continuación se detalla cada una, con los puntos de atención para los redactores.

Sección 1 — Descripción general del sistema IA

Esta sección ofrece una visión de conjunto del sistema. Debe incluir:

• Finalidad prevista — La finalidad del sistema, el nombre del proveedor, la versión y su relación con versiones anteriores
• Interacciones — Cómo interactúa el sistema con el hardware, el software u otros sistemas IA que no forman parte del propio sistema
• Versiones del software — Las versiones del software pertinente y los requisitos de actualización
• Formas de comercialización — Las diferentes configuraciones en las que se comercializa el sistema (SaaS, integrado, API)
• Hardware — El equipo informático en el que está previsto que funcione el sistema
• Instrucciones de uso — Las instrucciones destinadas a los responsables del despliegue conforme al Artículo 13

El objetivo es que un evaluador externo pueda comprender qué hace el sistema, en qué contexto opera y cómo se distribuye, sin necesitar conocimientos técnicos profundos.

Sección 2 — Desarrollo del sistema y proceso de diseño

Es la sección más extensa. Cubre todo el proceso de desarrollo:

• Especificaciones de diseño — La lógica general del sistema y de los algoritmos utilizados
• Decisiones de diseño clave — Las decisiones estructurales y su justificación, incluidas las hipótesis relativas a las personas o grupos de personas a las que se destina el sistema
• Decisiones de clasificación — Las principales decisiones de categorización, para qué está diseñado el sistema y la pertinencia de los distintos parámetros
• Resultados esperados — La descripción de la salida esperada y la calidad prevista
• Arbitrajes técnicos — Los compromisos adoptados entre las distintas soluciones técnicas para cumplir los requisitos del Capítulo III, Sección 2
• Arquitectura del sistema — El funcionamiento de los distintos componentes y los recursos de cálculo utilizados
• Datos — Los conjuntos de datos de entrenamiento, validación y prueba: procedencia, características, proceso de recopilación, preparación, etiquetado, limpieza y medidas de gobernanza (Artículo 10)
• Supervisión humana — Las medidas previstas conforme al Artículo 14, incluidos los medios técnicos para facilitar la interpretación de los resultados por los responsables del despliegue
• Cambios predeterminados — En su caso, los cambios previstos del sistema y su rendimiento, con las soluciones técnicas que garanticen la conformidad continua

Un punto crítico: el reglamento exige documentar el porqué de las decisiones, no solo el qué. Los arbitrajes, las hipótesis y los compromisos deben ser explicitados y justificados.

Sección 3 — Vigilancia, funcionamiento y control

Esta sección describe los mecanismos de supervisión y control integrados en el sistema. Cubre la trazabilidad, el registro de eventos (Artículo 12), las capacidades de supervisión humana y los mecanismos de alerta. El proveedor debe demostrar que el sistema produce información suficiente para que los responsables del despliegue puedan ejercer una supervisión efectiva.

Sección 4 — Métricas de rendimiento

El proveedor debe describir la idoneidad de las métricas de rendimiento elegidas para su sistema IA específico. No basta con reportar puntuaciones: hay que justificar por qué las métricas seleccionadas (precisión, recall, F1, AUC, tasa de error) son pertinentes para la finalidad prevista y el contexto de uso del sistema.

Esta sección incluye los resultados de las pruebas y evaluaciones realizadas para verificar el cumplimiento de los requisitos de exactitud, robustez y ciberseguridad (Artículo 15), incluidas las pruebas de sesgo y las evaluaciones de rendimiento en diferentes subgrupos de población.

Sección 5 — Sistema de gestión de riesgos

Una descripción detallada del sistema de gestión de riesgos conforme al Artículo 9. Esto incluye:

• Identificación de riesgos — Los riesgos conocidos y razonablemente previsibles para la salud, la seguridad y los derechos fundamentales
• Análisis y evaluación — La estimación de la probabilidad y gravedad de cada riesgo identificado
• Medidas de mitigación — Las medidas adoptadas para eliminar o reducir cada riesgo, incluidos los riesgos residuales aceptados
• Pruebas y validación — Los procedimientos de prueba utilizados para evaluar la eficacia de las medidas de mitigación

El sistema de gestión de riesgos debe ser iterativo y continuo, cubriendo todo el ciclo de vida del sistema IA, no solo la fase de desarrollo.

Sección 6 — Modificaciones a lo largo del ciclo de vida

Una descripción de las modificaciones pertinentes realizadas por el proveedor en el sistema a lo largo de su ciclo de vida. Cada cambio significativo debe documentarse: actualizaciones de algoritmos, reentrenamientos, modificaciones de la arquitectura, cambios en los datos de entrenamiento. La trazabilidad de las versiones es esencial.

Sección 7 — Normas armonizadas aplicables

La lista de normas armonizadas aplicadas total o parcialmente, cuyas referencias hayan sido publicadas en el Diario Oficial de la Unión Europea. A falta de normas armonizadas (lo que sigue siendo el caso en febrero de 2026 — CEN y CENELEC prevén su publicación a finales de 2026), el proveedor debe facilitar una descripción detallada de las soluciones adoptadas para cumplir los requisitos del Capítulo III, Sección 2, incluyendo una lista de otras normas y especificaciones técnicas utilizadas.

Sección 8 — Declaración UE de conformidad

Una copia de la declaración UE de conformidad a que se refiere el Artículo 47. Este documento formal compromete la responsabilidad del proveedor en cuanto al cumplimiento de todos los requisitos aplicables. Es inseparable del marcado CE.

Sección 9 — Vigilancia poscomercialización

Una descripción detallada del sistema de evaluación del rendimiento en la fase de poscomercialización, conforme al Artículo 72. Esta sección incluye el plan de vigilancia poscomercialización, que define cómo el proveedor seguirá supervisando el sistema, recogiendo las observaciones de los responsables del despliegue, detectando desviaciones del rendimiento y notificando incidentes graves.

Errores frecuentes que evitar

La elaboración de la documentación técnica es la obligación más infravalorada del AI Act. Estos son los errores más frecuentes.

Documentar a posteriori

Elaborar el expediente técnico después del desarrollo es extremadamente difícil. Las decisiones de diseño, las hipótesis sobre los datos de entrenamiento y los arbitrajes técnicos suelen quedar sin documentar si el proceso no se integra desde el principio. El mejor enfoque consiste en capturar las pruebas de conformidad dentro de los flujos de trabajo de desarrollo a lo largo del proyecto.

Confundir descripción y demostración

El Anexo IV no solo pide describir el sistema. Exige demostrar que los procesos, controles y salvaguardas se han implementado efectivamente. Un evaluador buscará pruebas verificables: resultados reales de pruebas, registros de auditoría, análisis de riesgos que hayan influido de forma efectiva en las decisiones de diseño.

Descuidar la trazabilidad de los datos

La sección sobre datos de entrenamiento (incluida en la Sección 2) es una de las más examinadas. Las carencias típicas incluyen una procedencia insuficientemente documentada de los conjuntos de datos, escasas pruebas de tests de sesgo y una trazabilidad ausente entre las decisiones de gobernanza de datos y la implementación técnica.

Producir un documento estático

La documentación técnica es un documento vivo. Debe actualizarse con cada modificación significativa del sistema, con cada reentrenamiento, ante nuevas vulnerabilidades descubiertas o ante cambios en el contexto de uso. Un expediente fechado en el momento de la comercialización y nunca actualizado no cumple el requisito de mantenimiento al día.

Relación con otras obligaciones del proveedor

La documentación técnica no funciona de forma aislada. Se articula con el conjunto de obligaciones del proveedor previstas en los Artículos 8 a 21.

Sistema de gestión de calidad (Artículo 17)

El Artículo 17 exige al proveedor un sistema de gestión de calidad documentado, que cubra la estrategia de conformidad, las técnicas de diseño, los procedimientos de examen, la gestión de datos y el mantenimiento de la documentación técnica. El SGC y la documentación del Anexo IV se refuerzan mutuamente: el SGC define los procesos, la documentación técnica produce las pruebas.

Conservación de la documentación (Artículo 18)

El proveedor debe conservar la documentación técnica durante 10 años desde la comercialización del sistema IA. Las autoridades pueden solicitar acceso a ella en cualquier momento durante ese período. Esta obligación de conservación se aplica también a los registros generados automáticamente (Artículo 19), que deben conservarse al menos 6 meses.

Evaluación de conformidad (Artículo 43)

La documentación técnica es la base de la evaluación de conformidad. Según el caso, esta evaluación adopta la forma de un control interno (Anexo VI) o de una evaluación por un organismo notificado (Anexo VII). En ambos casos, el evaluador se apoya en el expediente del Anexo IV para verificar el cumplimiento de los requisitos.

Registro en la base de datos de la UE (Artículo 49)

Antes del despliegue, los sistemas IA de alto riesgo del Anexo III deben registrarse en la base de datos europea (Artículo 71). La información requerida para el registro (Anexo VIII) se solapa parcialmente con la de la documentación técnica.

Estructurar su documentación en 7 pasos

A continuación se presenta un enfoque pragmático para elaborar un expediente técnico conforme, incluso sin normas armonizadas disponibles aún.

1. Clasificar su sistema — Confirme que su sistema está clasificado como de alto riesgo según el Artículo 6. La clasificación determina si el Anexo IV es aplicable
2. Realizar un análisis de brechas — Compare su documentación existente (especificaciones, READMEs, model cards, informes de pruebas) con las 9 secciones del Anexo IV. Identifique las carencias
3. Estructurar el expediente — Cree una plantilla alineada con las 9 secciones. Cada sección corresponde a un entregable distinto, con responsables identificados en el equipo
4. Integrar la captura en los flujos de trabajo — Conecte la documentación con las herramientas existentes (MLflow, Weights & Biases, sistemas de versionado). Las pruebas deben generarse automáticamente durante el desarrollo, no reconstruirse después
5. Documentar las decisiones y arbitrajes — Para cada decisión de diseño significativa, registre el contexto, las opciones consideradas, la decisión adoptada y su justificación. Es lo que los evaluadores buscan en primer lugar
6. Validar con una auditoría interna — Antes de la evaluación de conformidad formal, simule una auditoría verificando que cada sección responde a las preguntas que formularía un organismo notificado
7. Planificar la actualización continua — Defina los desencadenantes de actualización (reentrenamiento, cambio de datos, incidentes, actualizaciones de software) y las responsabilidades asociadas

La redacción de esta documentación representa un esfuerzo considerable, especialmente para los equipos que no han documentado sus procesos de desarrollo de IA desde el principio. Plataformas como AiActo permiten estructurar y acelerar este proceso mediante formularios guiados que cubren cada sección del Anexo IV, con generación asistida por IA sección a sección y un editor de revisión para ajustar cada frase antes de la exportación en PDF.

Calendario y contexto regulatorio

La obligación de documentación técnica entra en vigor según el calendario del AI Act:

• 2 de agosto de 2026 — Fecha límite para los sistemas IA de alto riesgo del Anexo III (biometría, empleo, educación, servicios esenciales, etc.)
• 2 de agosto de 2027 — Fecha límite para los sistemas integrados en productos regulados (Anexo I — productos sanitarios, juguetes, vehículos)

El Digital Omnibus, propuesto por la Comisión en noviembre de 2025, prevé una prórroga máxima de 16 meses para los sistemas del Anexo III (fecha tope del 2 de diciembre de 2027), condicionada a la disponibilidad de normas armonizadas. Este texto se encuentra en debate en el Parlamento y el Consejo, y su aprobación no está garantizada antes de agosto de 2026.

En ausencia de normas armonizadas (CEN/CENELEC prevén su publicación a finales de 2026), los proveedores deben basarse en el propio texto del reglamento y en las especificaciones comunes que la Comisión pueda adoptar. Esta situación hace aún más importante comenzar la documentación técnica sin demora.

Sanciones por incumplimiento

Un proveedor que comercialice un sistema IA de alto riesgo sin documentación técnica conforme se expone a multas de hasta 15 millones de euros o el 3 % de la facturación anual mundial (Artículo 99). Para las pymes y startups, los importes se limitan al menor de los dos umbrales, pero siguen siendo significativos.

Preguntas frecuentes

¿Cuándo es obligatoria la documentación técnica del AI Act?

La documentación técnica conforme al Anexo IV es obligatoria desde el momento en que un sistema IA de alto riesgo se comercializa o se pone en servicio. Para los sistemas del Anexo III, la fecha límite es el 2 de agosto de 2026. Para los integrados en productos regulados (Anexo I), es el 2 de agosto de 2027. El Digital Omnibus propone una prórroga máxima hasta el 2 de diciembre de 2027 para el Anexo III.

¿Cuántas secciones contiene la documentación técnica del Anexo IV?

El Anexo IV comprende 9 secciones obligatorias: descripción general, desarrollo y diseño, vigilancia y control, métricas de rendimiento, gestión de riesgos, modificaciones en el ciclo de vida, normas aplicadas, declaración UE de conformidad y plan de vigilancia poscomercialización.

¿Las pymes se benefician de un régimen simplificado para la documentación técnica?

Sí. El Artículo 11 prevé que las pymes y startups pueden proporcionar los elementos del Anexo IV de manera simplificada, mediante un formulario que la Comisión debe establecer. Los organismos notificados están obligados a aceptar este formulario para la evaluación de conformidad. El contenido exigido es el mismo, pero el formato y el nivel de detalle se adaptan.

¿Durante cuánto tiempo debe conservarse la documentación técnica?

El Artículo 18 impone una conservación de 10 años a partir de la comercialización del sistema IA de alto riesgo. Las autoridades nacionales competentes pueden solicitar acceso a esta documentación en cualquier momento durante ese período.

¿Cuál es la diferencia entre el Anexo IV y el Anexo XI para la documentación técnica?

El Anexo IV se aplica a los proveedores de sistemas IA de alto riesgo (Artículo 11). El Anexo XI se aplica a los proveedores de modelos IA de uso general (GPAI) (Artículo 53). El contenido difiere: el Anexo IV se centra en el sistema completo y su contexto de uso, mientras que el Anexo XI cubre el modelo subyacente, sus datos de entrenamiento y su consumo energético.

¿Qué hacer si las normas armonizadas aún no están disponibles?

En ausencia de normas armonizadas, la Sección 7 del Anexo IV exige una descripción detallada de las soluciones adoptadas para cumplir los requisitos del Capítulo III, Sección 2. El proveedor debe enumerar las normas alternativas y especificaciones técnicas utilizadas (ISO 42001, ISO/IEC 23894, normas sectoriales) y explicar cómo cubren los requisitos del reglamento.

La documentación técnica es el pilar central de la conformidad con el AI Act para los proveedores de sistemas de alto riesgo. Materializa el conjunto de requisitos regulatorios en un expediente verificable. Las organizaciones que integren este proceso documental desde las primeras fases de desarrollo obtendrán una ventaja decisiva, no solo en términos de conformidad, sino también de calidad y trazabilidad de sus sistemas IA.