Guía de la Comisión Europea sobre la Notificación de Incidentes Serios de IAh2>
El 26 de septiembre de 2025, la Comisión Europea publicó un b>borrador de guíab> sobre la notificación de incidentes serios bajo el b>Artículo 73b> del Reglamento (UE) 2024/1689 sobre inteligencia artificial (IA) conocido como la b>Ley de IA de la UEb>. Este artículo exige a los proveedores de sistemas de IA de alto riesgo que notifiquen a las autoridades nacionales de vigilancia del mercado sobre incidentes serios que surjan del uso de dichos sistemas.p>
Definición de Incidentes Seriosh3>
El b>Artículo 3(49)b> de la Ley de IA de la UE define un “incidente serio” como un mal funcionamiento de un sistema de IA que resulta, directa o indirectamente, en un resultado grave. Estos resultados pueden incluir:p>
-
li>b>Muertesb> o b>daños gravesb> a la salud de una persona.li>
li>Interrupciones serias e irreversibles en la gestión de infraestructura crítica.li>
li>Infracciones de obligaciones bajo la legislación de la UE que protegen derechos fundamentales.li>
li>Daños graves a la propiedad o al medio ambiente.li>
ul>
Obligaciones de Notificaciónh3>
Las obligaciones de notificación solo se aplican a los proveedores de sistemas de IA de alto riesgo, considerados como aquellos que representan un riesgo significativo para la salud, la seguridad o los derechos fundamentales. Los b>proveedoresb> son entidades que desarrollan un sistema de IA de alto riesgo y lo ponen en el mercado bajo su propio nombre.p>
Además, el b>Artículo 55(1)(c)b> de la Ley de IA de la UE exige a los proveedores de modelos de IA de uso general (GPAI) con riesgos sistémicos notificar sobre incidentes serios, aunque esta guía no aborde actualmente esa obligación similar.p>
Nuevas Definiciones y Alcanceh3>
La guía refina el alcance del b>Artículo 73b> y clarifica las circunstancias que activan la obligación de notificación. La Comisión considera que un vínculo causal indirecto entre el sistema de IA y el daño es suficiente para establecer un deber de notificación. Por ejemplo, un análisis médico incorrecto proporcionado por un sistema de IA que resulta en daño tras una decisión clínica posterior califica como un incidente reportable.p>
Plazos de Notificación y Deberes de Investigaciónh3>
Los plazos de notificación son ajustados. Las empresas deben notificar sin demora y, en cualquier caso, dentro de los b>15 díasb> de tomar conocimiento de un incidente serio. Si se puede haber causado una muerte, el plazo se reduce a b>10 díasb>, y a b>dos díasb> para infracciones generalizadas o interrupciones graves en infraestructura crítica.p>
La b>Artículo 73(5)b> permite a los proveedores presentar un informe inicial incompleto con información adicional posterior. Tras la notificación, el proveedor debe investigar el incidente de inmediato, siguiendo las pautas de investigación especificadas en el b>Artículo 73(6)b>.p>
Riesgos de Cumplimiento y Acciones Recomendadash3>
Los informes de incidentes serios a menudo activan medidas de vigilancia del mercado y acciones regulatorias adicionales. La Comisión advierte que la no conformidad con las obligaciones de notificación puede acarrear b>multas administrativasb> de hasta b>15 millones de eurosb> o el b>3%b> de la facturación anual mundial, lo que sea más alto.p>
Por lo tanto, las empresas deben revisar sus procesos de notificación y asegurarse de que estén alineados con otras obligaciones regulatorias, como el b>RGPDb>, y basados en las mejores prácticas de regulación de seguridad de productos.p>
Conclusiones y Perspectivash3>
La guía y el formulario de notificación están actualmente en forma de borrador. Con la consulta abierta hasta el b>7 de noviembre de 2025b>, las empresas afectadas pueden presentar sus comentarios. Se espera que la versión final de la guía entre en vigor el b>2 de agosto de 2026b>.p>
