Artículo 18 del Reglamento (UE) 2024/1689 — Conservación de la documentación. Texto oficial, interpretación práctica, obligaciones clave e implicaciones para el cumplimiento.
Resumen del texto oficial
El artículo 18 del Reglamento (UE) 2024/1689 establece obligaciones de conservación de documentación de carácter obligatorio para los proveedores de sistemas de IA de alto riesgo clasificados en virtud del Anexo III o desarrollados conforme a las disposiciones del Título III, Capítulo 2. El artículo exige a los proveedores que conserven, durante un período de diez años a partir de la fecha en que el sistema de IA de alto riesgo se comercialice o se ponga en servicio, un conjunto específico de documentos y registros que acrediten el cumplimiento del Reglamento.
La documentación que debe conservarse incluye: la documentación técnica elaborada conforme al artículo 11 y al Anexo IV; la documentación del sistema de gestión de calidad exigida por el artículo 17; la declaración UE de conformidad emitida en virtud del artículo 47; en su caso, la documentación y los certificados emitidos por organismos notificados tras las evaluaciones de conformidad realizadas en virtud del artículo 43; y los planes de supervisión poscomercialización y los datos resultantes recopilados en virtud del artículo 72.
Cuando un proveedor esté establecido fuera de la Unión Europea, la obligación de mantener documentación accesible recae conjuntamente sobre el proveedor y sobre el representante autorizado establecido en la UE designado en virtud del artículo 22. El artículo aclara asimismo que cuando la legislación sectorial de la Unión — como el Reglamento sobre productos sanitarios (UE) 2017/745 o el Reglamento sobre máquinas (UE) 2023/1230 — prescriba un período de conservación más largo para registros técnicos equivalentes, se aplicará el requisito sectorial más estricto, garantizando la coherencia entre los marcos regulatorios.
Lo que esto significa en la práctica
Para los equipos de cumplimiento y los responsables de producto, el artículo 18 se traduce en un programa concreto de gestión de registros que debe diseñarse antes de que un sistema de IA de alto riesgo llegue al mercado, no adaptarse a posteriori.
Quiénes están afectados. Toda entidad jurídica que se califique como «proveedor» en virtud del artículo 3(3) — típicamente la organización que desarrolla o encarga el desarrollo de un sistema de IA de alto riesgo y lo comercializa bajo su propio nombre o marca registrada — asume la obligación primaria. Los distribuidores e importadores de terceros no están directamente sujetos al artículo 18, pero pueden activar obligaciones equivalentes si modifican sustancialmente un sistema en virtud del artículo 25.
Qué conservar. La obligación abarca el ciclo de vida documental completo: documentación técnica de la fase de diseño (arquitectura, conjuntos de datos de entrenamiento, evaluación de riesgos), los registros del sistema de gestión de calidad, incluidas las pistas de auditoría internas, la declaración de conformidad firmada, los certificados de organismos notificados que procedan, y el registro de supervisión poscomercialización en permanente evolución. El control de versiones se exige implícitamente, puesto que las actualizaciones que constituyan una modificación sustancial reinician las obligaciones de conformidad y, por ende, el ciclo documental.
Ejemplos prácticos. Una empresa fintech que despliega un modelo de calificación crediticia clasificado como de alto riesgo debe archivar la ficha del modelo, los informes de pruebas de sesgo, la declaración de conformidad y todos los registros de incidentes posdespliegue durante diez años. Un fabricante de productos sanitarios que integre una herramienta de diagnóstico impulsada por IA que ya esté sujeta al Reglamento sobre productos sanitarios (MDR) debe verificar si se aplica la regla de conservación de 15 años del MDR; de ser así, ese período más largo prevalece.
Recomendación operativa. Los proveedores deben implantar un sistema de gestión documental (SGD) con acceso basado en roles, calendarios de conservación automatizados vinculados a las fechas de comercialización y una pista de auditoría sobre quién ha accedido o modificado los registros — todo lo cual también favorece la preparación para las inspecciones de vigilancia del mercado en virtud del artículo 74.
Obligaciones clave
- Conservar la documentación técnica compilada conforme al artículo 11 y el Anexo IV durante un mínimo de 10 años a partir de la fecha de comercialización o puesta en servicio del sistema de IA de alto riesgo.
- Conservar la documentación del sistema de gestión de calidad exigida por el artículo 17, incluidos los registros de controles internos, resultados de pruebas y medidas correctivas, durante el mismo período de 10 años.
- Preservar la declaración UE de conformidad emitida en virtud del artículo 47 y, cuando una evaluación de conformidad haya sido realizada por un organismo notificado en virtud del artículo 43, todos los certificados y correspondencia relacionada emitidos por dicho organismo.
- Mantener los registros de supervisión poscomercialización recopilados en virtud del plan exigido por el artículo 72, incluidos los informes de incidentes y cualquier notificación de incidente grave presentada en virtud del artículo 73.
- Garantizar que la documentación se almacena de forma que permita su presentación inmediata a las autoridades nacionales de vigilancia del mercado a petición durante todo el período de conservación.
- Cuando se haya designado un representante autorizado en virtud del artículo 22, dicho representante deberá poseer una copia de la documentación y estar facultado para presentarla ante las autoridades competentes en nombre del proveedor.
Relación con otros artículos
El artículo 18 actúa como columna vertebral archivística del marco de cumplimiento para la IA de alto riesgo y no puede entenderse de forma aislada.
Es posterior a artículo 11 (documentación técnica) y Anexo IV, que definen lo que debe crearse; el artículo 18 regula entonces durante cuánto tiempo debe conservarse. Depende del artículo 17 (sistema de gestión de calidad), dado que los registros del SGC que este exige deben preservarse. Remite al artículo 47 (declaración UE de conformidad) y al artículo 43 (evaluación de conformidad), cuyos resultados forman parte del expediente conservado.
Las obligaciones poscomercialización derivadas del artículo 72 (plan de supervisión poscomercialización) y del artículo 73 (notificación de incidentes graves) nutren continuamente el archivo documental durante toda la vida operativa del sistema. El artículo 74 (vigilancia del mercado) y el artículo 75 (acceso a datos y documentación) son los homólogos en materia de aplicación: los inspectores que ejerzan competencias en virtud de esos artículos requerirán acceso precisamente a los registros cuya conservación impone el artículo 18.
Para los proveedores establecidos fuera de la UE, el artículo 22 sobre representantes autorizados debe leerse conjuntamente con el artículo 18 para determinar qué entidad conserva los registros físicos o electrónicos dentro de la Unión.
Calendario de cumplimiento
El Reglamento de IA de la UE entró en vigor el 1 de agosto de 2024, dando inicio al calendario de aplicación gradual.
El artículo 18 se encuadra en el Título III, Capítulo 3, que regula las obligaciones de los proveedores y responsables del despliegue de sistemas de IA de alto riesgo enumerados en el Anexo III. Estas disposiciones son aplicables a partir del 2 de agosto de 2026 — la fecha general de aplicación para la IA de alto riesgo, 24 meses después de la entrada en vigor.
Para los sistemas de IA de alto riesgo amparados por la legislación sectorial enumerada en el Anexo I (por ejemplo, maquinaria, productos sanitarios, aviación civil), el plazo se amplía hasta el 2 de agosto de 2027, 36 meses después de la entrada en vigor, en reconocimiento de la necesidad de armonización con los marcos sectoriales de conformidad existentes.
Los proveedores deben tener en cuenta que el plazo de conservación de 10 años comienza a computarse desde el momento en que un sistema se comercializa o se pone en servicio — lo que puede ocurrir en la fecha de aplicación aplicable o poco después de ella. Las obligaciones documentales comienzan, por tanto, efectivamente en la misma fecha en que las obligaciones para la IA de alto riesgo en su conjunto se vuelven exigibles. Las organizaciones que prevean comercializar sistemas en torno a la fecha de agosto de 2026 deben tener su infraestructura de gestión de registros operativa con suficiente antelación, dado que la documentación técnica en virtud del artículo 11 debe existir antes de que se complete la evaluación de conformidad.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Los proveedores deben conservar la documentación técnica elaborada conforme al artículo 11, la declaración UE de conformidad, la documentación del sistema de gestión de calidad exigida por el artículo 17, cualquier decisión y documento emitidos por organismos notificados, y los informes de supervisión poscomercialización. Estos registros deben conservarse durante un período de 10 años tras la comercialización o puesta en servicio del sistema de IA de alto riesgo.
El artículo 18 impone obligaciones de conservación de documentación principalmente a los proveedores. No obstante, los responsables del despliegue tienen obligaciones separadas en virtud del artículo 26, que incluyen conservar los registros generados automáticamente por los sistemas de IA de alto riesgo en la medida en que dichos registros estén bajo su control. Ambas obligaciones son complementarias y deben leerse conjuntamente.
El período de conservación general es de 10 años a partir de la fecha en que el sistema de IA de alto riesgo se comercializa o se pone en servicio. Cuando la legislación sectorial de la Unión imponga un período de conservación más largo, prevalecerá el requisito sectorial más estricto.
La documentación debe conservarse de modo que pueda ponerse a disposición de las autoridades nacionales competentes a petición durante todo el período de conservación. No existe un requisito expreso de que los registros se conserven en un país concreto, pero los proveedores deben ser capaces de presentarlos prontamente a la autoridad de vigilancia del mercado de cualquier Estado miembro en el que el sistema esté desplegado.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.