Revista AJA 1023-articulos

Notificación de incidentes graves de sistemas de IA de alto riesgo: el borrador de guía de la Comisión Europea

Miguel Recio

Abogado del departamento de TMC de CMS Albiñana & Suárez de Lezo

La obligación de notificación de incidentes graves causados por sistemas de IA de alto riesgo será aplicable a partir del día 2 de agosto de 2026

Es importante tener en cuenta que no se trata de sistemas de IA de alto riesgo, sino de sistemas de IA que provoquen incidentes graves

La Comisión Europea (en adelante, la «Comisión») ha llevado a cabo una consulta pública de su borrador de guía sobre la notificación de incidentes graves a las autoridades competentes por los proveedores de sistemas de IA de alto riesgo, quedando al margen de ésta la notificación de incidentes graves de modelos de IA de uso general con riesgo sistémico. La consulta pública se realizó entre el 26 de septiembre de 2025 y el 7 de noviembre de 2025 y tuvo por objeto recibir comentarios por las partes interesadas sobre la propuesta de guía y la interacción con otros regímenes de notificación de incidentes.

Con esta consulta pública la Comisión buscaba obtener aportaciones de los interesados que le permitirán adoptar una guía y un formulario de notificación a las autoridades nacionales de vigilancia del mercado. Con su guía, la Comisión quiere aclarar algunos conceptos, facilitar ejemplos prácticos, explicar cómo esta obligación se interrelaciona con otras obligaciones legales de notificación, así como lograr la alineación con iniciativas internacionales que han ido surgiendo en la materia, tales como el marco común de la OCDE para la identificación y notificación de incidentes de IA.

La obligación de notificación de incidentes graves causados por sistemas de IA de alto riesgo será aplicable a partir del día 2 de agosto de 2026. Con la publicación de este borrador ahora, la Comisión quiere ayudar a los proveedores de sistemas de IA de alto riesgo a estar preparados para cumplir con su obligación de notificación.

La obligación de notificar incidentes graves de sistemas de IA de alto riesgo

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial o RIA) establece la obligación de los proveedores de sistemas de IA de alto riesgo introducidos en el mercado de la Unión Europea (UE) de notificar cualquier incidente grave a las autoridades de vigilancia del mercado de los Estados miembros en los que se haya producido dicho incidente.

El concepto de incidente grave es definido en el punto 49 del artículo 3 del RIA de la siguiente manera: «un incidente o defecto de funcionamiento de un sistema de IA que, directa o indirectamente, tenga alguna de las siguientes consecuencias:

a) El fallecimiento de una persona o un perjuicio grave para su salud.

b) Una alteración grave e irreversible de la gestión o el funcionamiento de infraestructuras críticas.

c) El incumplimiento de obligaciones en virtud del Derecho de la Unión destinadas a proteger los derechos fundamentales.

d) Daños graves a la propiedad o al medio ambiente.

La notificación de los incidentes graves de sistemas de IA de alto riesgo se tendrá que llevar a cabo por su proveedor, si bien también su representante autorizado o el responsable del despliegue pueden efectuarla. En el caso del responsable del despliegue, cuando tengan conocimiento de un incidente grave tendrá que informar inmediatamente al proveedor, debiendo entender, según la guía, que inmediatamente significa un plazo de 24 horas. Y si el responsable del despliegue no puede contactar con el proveedor, por ejemplo, porque no reciba respuesta del proveedor en el plazo de 24 horas mencionado, las obligaciones exigibles a este último aplicarán mutatis mutandis a aquél.

Entre otros conceptos, la guía de la Comisión presta especial atención a los de incidente grave, quedando excluida la obligación de notificación de cualquier otro incidente, término este último que no es definido en el RIA. También aclara otros conceptos, tales como los de «defecto de funcionamiento», «directa o indirectamente» causado, «alteración grave e irreversible de la gestión o el funcionamiento de infraestructuras críticas» o «daños graves» a la propiedad.

En España, la autoridad de vigilancia del mercado a la que habrá que notificar los incidentes graves de sistemas de IA de alto riesgo es la Agencia Española de Supervisión de Inteligencia Artificial (AESIA). A su vez, la AESIA tendrá que notificar inmediatamente a la Comisión Europea con independencia de si ha adoptado o no alguna medida.

Es necesario tener en cuenta que la notificación deberá hacerse a la autoridad de vigilancia del mercado del Estado miembro, o de cada uno de los Estados miembros, donde haya ocurrido el incidente y si la ubicación exacta del proveedor se desconoce, se atenderá al lugar de ubicación comercial del responsable del despliegue.

El futuro derecho digital de desconexión o retirada del mercado de sistemas de IA que provoquen incidentes graves

En el caso de que se denuncie un sistema de IA que ha provocado un incidente grave cabe destacar el hecho de que el Anteproyecto de Ley de IA en España prevé introducir, de manera novedosa en el ámbito de la UE, un nuevo derecho digital garante de los derechos básicos de la ciudadanía. Es del derecho de desconexión o retirada del mercado de sistemas de IA que hayan provocado incidentes graves. Dos ejemplos de incidente grave que puede originar este derecho de desconexión o retirada podrían ser el fallecimiento de un familiar provocado por un sistema de IA que regula el tráfico en una ciudad mediante la adaptación del estado de los semáforos en función del tráfico y de los peatones o por el mal funcionamiento de un sistema de IA que analiza de forma constante y autónoma la calidad y potabilidad del agua de una ciudad, de manera que no se hicieron las correcciones necesarias para alcanzar su potabilidad.

Es importante tener en cuenta que no se trata de sistemas de IA de alto riesgo, sino de sistemas de IA que provoquen incidentes graves.

El derecho a la desconexión o retirada del sistema de IA que haya provocado un incidente grave se articula, según lo previsto en el Anteproyecto de Ley de IA, a través de la denuncia que, en virtud del artículo 85 del RIA, se puede presentar ante la autoridad de vigilancia del mercado competente. La desconexión o retirada del sistema de IA se llevará a cabo en virtud de los poderes que tienen atribuidas las autoridades de vigilancia del mercado por el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos. ■

«Quedan al margen de esta obligación la notificación de incidentes graves de modelos de IA de uso general con riesgo sistémico».

«El Anteproyecto de Ley de IA en España prevé introducir, de manera novedosa en el ámbito de la UE, el derecho de desconexión o retirada del mercado de sistemas de IA que hayan provocado incidentes graves».