La notificación de incidentes graves en sistemas de IA de alto riesgo: análisis jurídico del artículo 73 del AI Act

 



La notificación de incidentes graves en sistemas de IA de alto riesgo: análisis jurídico del artículo 73 del AI Act

Santiago Carretero, Profesor Titular URJC

La guía sobre notificación y gestión de incidentes graves se integra en el marco del Reglamento (UE) 2024/1689 de Inteligencia Artificial, particularmente en su artículo 73, relativo al control posterior a la comercialización de los sistemas de IA de alto riesgo. Su finalidad es proporcionar un modelo interpretativo y operativo que permita a los proveedores y responsables del despliegue cumplir de manera efectiva las obligaciones jurídicas derivadas del Reglamento, anticipando la futura aprobación de normas armonizadas y directrices de la Comisión Europea. No tiene carácter vinculante, pero constituye un instrumento técnico de aplicación práctica del Derecho europeo de la inteligencia artificial.

El concepto de “incidente grave” se define de manera material en el artículo 3.49 del Reglamento, comprendiendo aquellos acontecimientos en los que un sistema de IA produce o puede producir consecuencias jurídicamente relevantes para bienes especialmente protegidos por el Derecho de la Unión. Se incluyen, entre otros supuestos, la muerte o los daños graves a la salud de las personas, la alteración grave e irreversible de infraestructuras críticas, el incumplimiento de obligaciones destinadas a proteger los derechos fundamentales y los daños graves al medio ambiente o a la propiedad. La noción de incidente no se limita a un fallo técnico, sino que se configura como un hecho jurídico generador de deberes administrativos inmediatos y de mecanismos de supervisión pública.

La obligación principal de notificación corresponde al proveedor del sistema de IA de alto riesgo introducido en el mercado de la Unión. Este debe comunicar cualquier incidente grave a las autoridades de vigilancia del mercado del Estado miembro en el que se haya producido el hecho. No obstante, el Reglamento prevé que, si el responsable del despliegue detecta el incidente y no logra contactar con el proveedor, la obligación se traslada a aquel de forma mutatis mutandis, garantizando que no se produzcan vacíos de responsabilidad. De este modo, la guía subraya la necesidad de que ambos sujetos integren el procedimiento de notificación en sus propios sistemas internos de gobernanza y cumplimiento normativo.

El régimen temporal de la notificación se estructura de manera escalonada en función de la gravedad del incidente. En los supuestos de afectación a infraestructuras críticas o de infracciones generalizadas, la notificación debe realizarse como máximo en dos días; cuando exista fallecimiento de una persona, el plazo se extiende hasta diez días; y para el resto de incidentes graves el límite general es de quince días. El momento determinante para el inicio del cómputo no es el del suceso en sí, sino aquel en que el proveedor o el responsable del despliegue establece o sospecha razonablemente la relación causal entre el sistema de IA y el incidente. El Reglamento admite la posibilidad de una notificación inicial incompleta, seguida de una comunicación definitiva, atendiendo a la complejidad técnica que conlleva la identificación de las causas.

Una vez notificado el incidente, el proveedor asume un deber inmediato de investigación, que comprende el análisis del suceso, la evaluación de riesgos y la adopción de medidas correctoras. Este deber se acompaña de una obligación de cooperación con las autoridades competentes y, en su caso, con los organismos notificados. Asimismo, el proveedor no puede modificar el sistema de IA de forma que interfiera en la determinación de las causas del incidente sin haber informado previamente a la autoridad competente, lo que configura una suerte de deber de preservación probatoria del estado del sistema.

Las autoridades de vigilancia del mercado, tras recibir la notificación, deben informar de inmediato a la Comisión Europea conforme al Reglamento (UE) 2019/1020 sobre vigilancia del mercado. En un plazo máximo de siete días deben adoptar las medidas adecuadas, que pueden incluir la retirada temporal o la prohibición del sistema. Cuando el incidente esté vinculado al incumplimiento de obligaciones dirigidas a la protección de los derechos fundamentales, la autoridad debe informar a los organismos nacionales competentes en esta materia, especialmente a aquellos encargados de garantizar la no discriminación y la tutela efectiva de tales derechos. De este modo, el régimen de notificación articula una gobernanza multinivel que integra a proveedores, autoridades nacionales y Comisión Europea.

La guía insiste en que la gestión de incidentes graves debe incorporarse al sistema de gestión de la calidad exigido por el artículo 17 del Reglamento. Ello implica la formalización de procedimientos internos, la asignación de responsabilidades, la existencia de canales de comunicación con proveedores y autoridades, y la definición de protocolos claros de actuación. La notificación de incidentes deja de ser una reacción improvisada para convertirse en un elemento estructural del modelo de cumplimiento normativo en materia de inteligencia artificial.

Un aspecto central del modelo es el conocimiento de la categorización jurídica del sistema de IA y de los derechos fundamentales potencialmente afectados. Existen determinados supuestos —como los productos sanitarios o los sistemas sujetos a regímenes sectoriales equivalentes— en los que la obligación de notificación se limita a los incidentes que afecten directamente a los derechos fundamentales. Por ello, la correcta clasificación normativa del sistema no es un aspecto técnico secundario, sino una condición para determinar el alcance de la obligación jurídica. Del mismo modo, la identificación material de los derechos fundamentales implicados, tales como la igualdad, la no discriminación, la vida o la integridad física, constituye un presupuesto imprescindible para valorar la relevancia jurídica del incidente.

Todo este entramado debe quedar reflejado en la documentación técnica exigida por el artículo 11 del Reglamento y por el Anexo IV. La guía concreta que deben documentarse, entre otros extremos, los procedimientos internos de gestión de incidentes, los contactos con las autoridades de vigilancia del mercado, los canales de comunicación con el proveedor, la clasificación del sistema de IA y la acreditación del conocimiento en materia de derechos fundamentales. Esta documentación cumple una función preventiva y probatoria, permitiendo demostrar ante las autoridades que el sistema se ajusta a las exigencias legales.

Desde una perspectiva jurídica general, la guía pone de manifiesto que el Reglamento de IA no se limita a imponer obligaciones técnicas, sino que introduce un nuevo modelo de responsabilidad basado en procesos continuos de supervisión y corrección. El incidente grave se configura como un hecho jurídico relevante que activa deberes administrativos inmediatos y conecta directamente la regulación de la inteligencia artificial con la protección efectiva de los derechos fundamentales. La notificación de incidentes se convierte así en una pieza esencial del nuevo Derecho europeo de la inteligencia artificial, orientado no solo a la innovación, sino también a la seguridad jurídica y a la tutela de los valores fundamentales de la Unión.

Comentarios

Publicar un comentario

Entradas populares de este blog

ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS)

  🧷 ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS) Por Santiago Carretero Sánchez, Profesor Titular de Filosofía del Derecho, Abogado       1. Encabezamiento Órgano judicial : Ilmo./a. Sr./Sra. Letrado/a de la Administración de Justicia del Juzgado de [Primera Instancia] nº ___ de [localidad]. Parte compareciente : D./D.ª [Nombre del letrado/a del solicitante], en nombre y representación de [cliente], conforme a poder/apoderamiento (notarial o apud acta) que se acompaña/se encuentra ya incorporado. Procedimiento : Indicar si es escrito autónomo previo a demanda o subsanación de requerimiento judicial (art. 438.1 LEC). 2. Exposición de antecedentes y hechos relevantes Breve reseña del conflicto : Detallar la controversia con hechos jurídicamente relevantes. Indicación de la voluntad de acudir a MASC : Expresar que, antes de iniciar/reanudar el procedimiento jud...
Leer más

EL MODELO DE INTENTO DE CONCILIACIÓN QUE IMPONE LA LEY DE EFICIENCIA PROCESAL, PROPUESTA DEL ICAM

  MODELO PARA LA ACREDITACIÓN DEL INTENTO DE NEGOCIACIÓN Y TERMINACIÓN DEL PROCESO SIN ACUERDO Artículo 10º.1 de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia     Artículo 10. Acreditación del intento de negociación y terminación del proceso sin acuerdo.   1. A los efectos de acreditar que se ha intentado una actividad negociadora previa y cumplir el requisito de procedibilidad, dicha actividad negociadora o el intento de la misma deberá ser recogida documentalmente .   2. Si no hubiera intervenido una tercera persona neutral, la acreditación se cumplirá mediante cualquier documento firmado por ambas partes en el que se deje constancia de la identidad de las mismas y, en su caso, de las personas profesionales o expertas que hayan participado asesorándolas , la fecha, el objeto de la controversia, la fecha de la reunión o reuniones mantenidas, en su caso, y la declaración responsable d...
Leer más

La justicia frente a las “alucinaciones jurídicas”: una advertencia global desde la Corte Suprema de Colombia

Imagen
  La justicia frente a las “alucinaciones jurídicas”: una advertencia global desde la Corte Suprema de Colombia Por el Profesor Santiago Carretero, Profesor Titular de Filosofía del Derecho de la Universidad Rey Juan Carlos La sentencia  STC 17832-2025 , dictada por la Corte Suprema de Justicia de Colombia el 5 de noviembre de 2025, constituye uno de los pronunciamientos más relevantes en materia de motivación judicial y uso de tecnologías generativas en la función jurisdiccional. Su impacto trasciende el caso concreto: introduce en el lenguaje jurídico el riesgo de las  alucinaciones jurídicas  y marca un estándar de diligencia para cualquier tribunal que utilice herramientas tecnológicas en la elaboración de sus decisiones. 1. El caso: cuando una decisión se funda en citas inexistentes La Corte conoció una acción de tutela contra una sentencia del Tribunal Superior de Sincelejo cuya motivación incluía citas jurisprudenciales atribuidas a decisiones previas —entre e...
Leer más