La Comisión Europea Publica Directrices Borrador para Incidentes Graves de IA Bajo la Ley de IA de la UE
El 26 de septiembre de 2025, la Comisión Europea publicó la ‘Directrices Borrador Artículo 73 Ley de IA – Informe de Incidentes’ (las Directrices Borrador). Estas directrices están destinadas a ayudar a los proveedores y despliegue de Sistemas de IA de Alto Riesgo (según lo definido en la Ley de Inteligencia Artificial de la UE) a cumplir con sus obligaciones de monitoreo posterior al mercado para informar sobre incidentes graves y violaciones generalizadas de los Sistemas de IA de Alto Riesgo a las autoridades nacionales.
Objetivos de las Directrices Borrador
Las Directrices Borrador tienen como objetivo aclarar definiciones y obligaciones de informes proporcionando explicaciones sobre la naturaleza de las obligaciones y lo que, cuándo y cómo informar, junto con ejemplos prácticos.
Definiciones Clave y Obligatoriedad de Reporte
Entre otras cosas, las Directrices desglosan los componentes de definiciones clave como un incidente grave (respecto al cual se aplican las obligaciones de informes) y consideran el significado de, y las circunstancias en las que, un incidente o mal funcionamiento del sistema de IA causa directa o indirectamente (ya sea utilizado de acuerdo con sus propósitos previstos o a través de un uso razonablemente previsible) muerte o daños graves.
Por ejemplo, las Directrices aclaran que el daño grave de la infracción de derechos fundamentales incluye los derechos protegidos por la Carta de Derechos Fundamentales de la UE. Sin embargo, hay un enfoque en incidentes graves y, por lo tanto, solo aquellas infracciones que interfieren significativamente con los derechos protegidos por la Carta de la UE a gran escala son reportables. Ejemplos incluyen IA discriminatoria en procesos de contratación, puntuación de crédito que excluye ciertas categorías de personas, o identificación biométrica que frecuentemente identifica incorrectamente a individuos de ciertos antecedentes.
Obligaciones de Reporte y Superposición de Legislación
Las Directrices también aclaran que el mismo evento puede activar obligaciones de informes bajo diferentes legislaciones de la UE, pero detalla cómo se prevé en la Ley de IA mitigar el riesgo de superposición de obligaciones y fatiga de informes, proporcionando ejemplos de escenarios donde se puede requerir informes bajo la Ley de IA. Por ejemplo, bajo la Directiva de Resiliencia de Entidades Críticas, las entidades en sectores esenciales (incluyendo energía, agua, infraestructura digital) deben informar incidentes que interrumpan servicios esenciales dentro de las 24 horas posteriores al incidente. Bajo la Ley de IA, para estos sectores, solo los incidentes que involucran violaciones de derechos fundamentales requieren informes adicionales.
Separadamente, bajo la Ley de Resiliencia Operativa Digital, las entidades financieras deben informar incidentes importantes de TIC y amenazas cibernéticas utilizando plantillas estandarizadas. Para los sistemas de IA en servicios financieros, solo los incidentes que involucran derechos fundamentales desencadenan informes adicionales bajo la Ley de IA.
Alineación con Normas Internacionales
Las Directrices enfatizan la intención de la UE de alinear el monitoreo de incidentes de IA con estándares internacionales, incluyendo el Monitor de Incidentes de IA de la Organización para la Cooperación y el Desarrollo Económicos y el Marco Común de Reporte.
Exclusiones y Materiales Adicionales
Las Directrices Borrador no tratan modelos de IA de propósito general con riesgo sistémico y deberes de reporte asociados (estas obligaciones caen bajo el Artículo 55 de la Ley de IA).
La Comisión Europea también publicó una plantilla de ‘Informe de Incidentes para Incidentes Graves Bajo la Ley de IA (Sistemas de IA de Alto Riesgo)’ junto con las Directrices Borrador.
Las Directrices Borrador y la Plantilla de Reporte están disponibles para consulta, y se puede enviar retroalimentación hasta el 7 de noviembre de 2025.
