Artículo 17 del Reglamento (UE) 2024/1689 — Sistema de gestión de calidad. Texto oficial, interpretación práctica, obligaciones clave e implicaciones para el cumplimiento.
Resumen del texto oficial
El Artículo 17 del Reglamento (UE) 2024/1689 exige a los proveedores de sistemas de IA de alto riesgo que establezcan un sistema de gestión de calidad (SGC) antes de la comercialización o puesta en servicio de dichos sistemas. El SGC debe estar documentado de manera sistemática y ordenada y debe cubrir todas las etapas del ciclo de vida del sistema de IA.
El Reglamento especifica que el SGC debe abordar, como mínimo: la estrategia del proveedor para el cumplimiento normativo, incluyendo los procedimientos de evaluación de conformidad; las técnicas, procedimientos y acciones sistemáticas utilizadas para el diseño, el control del diseño y la verificación del sistema de IA; los procedimientos de gestión de datos que abarcan la adquisición, recopilación, análisis, etiquetado, almacenamiento, filtrado, minería, agregación y retención de datos; el sistema de gestión de riesgos previsto en el Artículo 9; el establecimiento y la aplicación del sistema de supervisión poscomercialización de conformidad con el Artículo 72; los procedimientos de notificación de incidentes de acuerdo con el Artículo 73; la gestión de la comunicación con las autoridades competentes, los organismos notificados y otros operadores pertinentes; los sistemas y procedimientos de mantenimiento de registros; la gestión de recursos, incluidas las medidas relacionadas con la cadena de suministro; y un marco de responsabilidad que documente las responsabilidades en toda la organización.
Cuando los proveedores sean personas físicas o microempresas tal como se definen en la Recomendación 2003/361/CE de la Comisión, la Comisión está facultada para adoptar actos de ejecución que permitan disposiciones simplificadas del SGC, reconociendo el principio de proporcionalidad que atraviesa el Reglamento.
Lo que esto significa en la práctica
Para cualquier organización que desarrolle o comercialice en el mercado de la UE un sistema de IA de alto riesgo, el Artículo 17 implica que el cumplimiento no puede ser un ejercicio puntual realizado en el momento del lanzamiento. Debe estar integrado en un sistema organizativo vivo que rija todo el ciclo de vida del producto — desde las decisiones iniciales de diseño hasta el despliegue, la supervisión y la eventual retirada del servicio.
En términos concretos, un proveedor debe poder demostrar que existen procedimientos documentados y que se siguen en cada etapa. Un proveedor de IA sanitaria, por ejemplo, no puede simplemente entrenar un modelo y presentarlo para la evaluación de conformidad. La organización debe demostrar que la obtención de datos siguió normas de gobernanza documentadas, que las decisiones de diseño se revisaron con arreglo a criterios de riesgo, que las responsabilidades de supervisión están asignadas y registradas, y que existe un mecanismo para detectar y notificar incidentes posteriores al despliegue.
El requisito del SGC significa que el cumplimiento es tanto un reto organizativo y procedimental como técnico. Las empresas que ya operan bajo ISO 9001 o marcos de gestión sectoriales — como ISO 13485 en dispositivos médicos — encontrarán una superposición significativa, pero aun así necesitarán mapear explícitamente sus sistemas existentes frente a los requisitos de la Ley de IA en lugar de asumir equivalencia.
Los proveedores más pequeños se benefician de la disposición de proporcionalidad: las microempresas pueden acogerse a disposiciones simplificadas en virtud de los actos de ejecución emitidos por la Comisión. Sin embargo, esto no las exime de las obligaciones sustantivas subyacentes; puede afectar únicamente a la forma en que dichas obligaciones se documentan y gestionan.
En la práctica, los proveedores deben tratar el SGC como la columna vertebral central a partir de la cual se generan y gobiernan todos los demás artefactos de cumplimiento — documentación técnica, registros de riesgos, planes de supervisión poscomercialización, registros de incidentes.
Obligaciones clave
- Establecer un sistema de gestión de calidad documentado antes de la comercialización o puesta en servicio de un sistema de IA de alto riesgo, que abarque todas las fases del ciclo de vida.
- Integrar los procedimientos de gestión de riesgos exigidos por el Artículo 9 en el SGC, garantizando que la identificación, evaluación y mitigación de riesgos sean sistemáticas y trazables.
- Documentar las prácticas de gestión de datos que abarcan la adquisición, el etiquetado, el procesamiento, el almacenamiento y la retención, en coherencia con los requisitos de gobernanza de datos del Artículo 10.
- Mantener la documentación técnica especificada en el Artículo 11 y el Anexo IV como resultado del SGC, manteniéndola actualizada y accesible para fines de evaluación de conformidad y vigilancia del mercado.
- Implementar procedimientos de supervisión poscomercialización y notificación de incidentes dentro del marco del SGC, en línea con los Artículos 72 y 73 respectivamente.
- Definir y documentar las estructuras de responsabilidad, roles y responsabilidades en toda la organización, incluyendo la supervisión de la cadena de suministro cuando componentes de terceros contribuyen al sistema de IA.
Relación con otros artículos
El Artículo 17 actúa como la columna vertebral organizativa del régimen de cumplimiento para sistemas de IA de alto riesgo establecido en el Título III, Capítulo 3. Extrae su contenido sustantivo de múltiples obligaciones interrelacionadas: el sistema de gestión de riesgos del Artículo 9, los requisitos de datos y gobernanza de datos del Artículo 10 y el régimen de documentación técnica del Artículo 11 contribuyen directamente a lo que el SGC debe cubrir y producir.
El SGC también debe apoyar los procedimientos de evaluación de conformidad de los Artículos 43 y 44, ya que la documentación que genera constituye la prueba principal revisada por los organismos notificados o los procesos de autoevaluación. Las obligaciones posteriores al despliegue en virtud del Artículo 72 (supervisión poscomercialización) y del Artículo 73 (notificación de incidentes graves) deben estar integradas en los procedimientos del SGC y no gestionarse como actividades ad hoc separadas.
El Artículo 26 impone obligaciones a los responsables del despliegue que son distintas de las obligaciones del SGC para los proveedores, pero complementarias a ellas. Cuando los proveedores y los responsables del despliegue coinciden — por ejemplo, cuando una organización desarrolla y despliega internamente un sistema de IA de alto riesgo — el SGC del Artículo 17 debe leerse junto con las obligaciones del responsable del despliegue del Artículo 26 para garantizar una cobertura completa.
Calendario de cumplimiento
El Reglamento UE sobre IA entró en vigor el 1 de agosto de 2024, tras su publicación en el Diario Oficial de la Unión Europea. La aplicación de sus disposiciones es escalonada:
- Febrero de 2025 — Las prohibiciones sobre prácticas de IA de riesgo inaceptable (Artículo 5) se hicieron aplicables.
- Agosto de 2025 — Las obligaciones relativas a los modelos de IA de uso general (Título VIII) se hicieron aplicables.
- 2 de agosto de 2026 — El Artículo 17 se aplica a los proveedores de sistemas de IA de alto riesgo enumerados en el Anexo III (sistemas en ámbitos como la biometría, las infraestructuras críticas, la educación, el empleo, los servicios esenciales, la aplicación de la ley, la migración y la administración de justicia).
- 2 de agosto de 2027 — El Artículo 17 se aplica a los proveedores de sistemas de IA de alto riesgo regulados por el Anexo I (componentes de IA en productos ya sujetos a legislación de armonización de la Unión, como dispositivos médicos, maquinaria y equipos de aviación).
Los proveedores cuyos sistemas ya están en el mercado antes de estas fechas se benefician de disposiciones transitorias en virtud del Artículo 111, que pueden diferir las obligaciones de cumplimiento pleno del SGC, sujeto a condiciones relacionadas con modificaciones significativas y ciclos de evaluación de conformidad en curso. Las organizaciones deben iniciar el diseño del SGC y las evaluaciones de brechas con suficiente antelación respecto al plazo aplicable para permitir la validación interna, el contacto con el organismo notificado cuando sea necesario, y el perfeccionamiento iterativo antes de que la obligación sea de aplicación.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
El Artículo 17 impone la obligación del sistema de gestión de calidad exclusivamente a los proveedores de sistemas de IA de alto riesgo definidos en el Artículo 6 y el Anexo III del Reglamento (UE) 2024/1689. Los responsables del despliegue no están sujetos a esta obligación específica, aunque sí tienen deberes separados en virtud del Artículo 26.
El SGC debe cubrir como mínimo: una estrategia de cumplimiento normativo, metodologías de diseño y desarrollo, procedimientos de gestión de datos, gestión de riesgos según lo exigido por el Artículo 9, documentación técnica conforme al Artículo 11, registro y mantenimiento de registros, supervisión poscomercialización según el Artículo 72, obligaciones de notificación de incidentes y disposiciones de supervisión humana.
El Artículo 17 no exige ningún estándar de certificación específico. No obstante, el cumplimiento de estándares reconocidos como ISO 9001 o equivalentes sectoriales puede apoyar la demostración de conformidad, especialmente cuando las normas armonizadas en virtud del Artículo 40 incorporan requisitos del SGC.
El SGC y la documentación técnica están estrechamente vinculados. El SGC debe generar y mantener la documentación técnica exigida por el Artículo 11 y el Anexo IV, y la propia documentación sirve como prueba principal de que el SGC funciona correctamente durante la evaluación de conformidad.
El Artículo 17 se aplica a los proveedores de sistemas de IA de alto riesgo del Anexo III a partir del 2 de agosto de 2026, y a los proveedores de sistemas de IA de alto riesgo cubiertos por el Anexo I (legislación de armonización sectorial de la Unión) a partir del 2 de agosto de 2027, con sujeción a las disposiciones transitorias del Artículo 111.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.