El Reglamento de Inteligencia Artificial no considera que el cumplimiento termine cuando un sistema de IA se pone en el mercado o entra en funcionamiento. Al contrario. A partir de ese momento comienza una fase crítica. Ver cómo se comporta el sistema en el mundo real y actuar si aparecen problemas.
La vigilancia postcomercialización, la gestión de incidentes y la documentación de cumplimiento forman un conjunto inseparable. Son los mecanismos que permiten mantener el control del sistema a lo largo del tiempo y demostrar que el cumplimiento del AI Act es real y continuado.
Qué es la vigilancia postcomercialización en el AI Act
La vigilancia postcomercialización es el proceso mediante el cual el proveedor supervisa el funcionamiento de un sistema de IA una vez está en uso.
Su objetivo es detectar desviaciones, riesgos nuevos o impactos no previstos durante el diseño y la evaluación inicial.
El AI Act exige este seguimiento especialmente en sistemas de alto riesgo, porque su comportamiento puede cambiar con el tiempo, con nuevos datos o con nuevos contextos de uso.
La vigilancia no es pasiva. Implica analizar información, revisar resultados y tomar decisiones cuando algo no va como se esperaba.
Qué se observa durante la vigilancia
Durante la vigilancia postcomercialización se presta atención a múltiples aspectos.
El desempeño real del sistema y su estabilidad a lo largo del tiempo.
La aparición de errores sistemáticos o fallos recurrentes.
Cambios en el contexto de uso que puedan aumentar el riesgo.
Feedback de usuarios, personas afectadas o clientes.
El objetivo es identificar señales tempranas de problemas antes de que se conviertan en incidentes graves.
Qué se considera un incidente en el AI Act
Un incidente es un evento relacionado con el sistema de IA que ha causado o puede causar daños a la salud, la seguridad o los derechos fundamentales de las personas.
No todos los errores son incidentes. El AI Act se centra en aquellos que tienen un impacto significativo o potencialmente grave.
Identificar correctamente qué es un incidente es clave para saber cuándo deben activarse los mecanismos de notificación y corrección.
Detección y notificación de incidentes
El reglamento exige que existan procesos para detectar incidentes de forma razonable y para analizarlos cuando ocurren.
En determinados casos, los incidentes deben notificarse a las autoridades competentes dentro de los plazos establecidos.
La notificación no se concibe como un castigo automático, sino como una herramienta para permitir la intervención temprana y evitar daños mayores.
Retrasar o ocultar incidentes puede agravar las responsabilidades.
Medidas correctivas y ajustes del sistema
Cuando se detecta un problema relevante, el proveedor debe adoptar medidas correctivas.
Estas medidas pueden incluir ajustes técnicos, cambios en el modelo, restricciones de uso, mejoras en la supervisión humana o, en casos extremos, la retirada del sistema.
La vigilancia postcomercialización no tiene sentido si no va acompañada de capacidad real de actuación.
Documentación de cumplimiento como evidencia viva
La documentación de cumplimiento no es un expediente que se archiva y se olvida.
Debe mantenerse actualizada a lo largo de la vida del sistema y reflejar los cambios, incidencias y decisiones relevantes.
Esta documentación es la base para demostrar ante autoridades, clientes o socios que el sistema se gestiona de forma responsable y conforme al AI Act.
Responsabilidades en esta fase
El proveedor es el principal responsable de la vigilancia postcomercialización y de la gestión de incidentes.
El usuario también tiene obligaciones. Debe colaborar, comunicar problemas y utilizar el sistema conforme a las instrucciones actualizadas.
La eficacia de esta fase depende de la cooperación entre ambos.
Errores habituales en la fase postcomercialización
Un error común es pensar que el cumplimiento termina tras la evaluación de conformidad.
Otro error es no establecer canales claros para recibir feedback o detectar problemas.
También es habitual tratar la documentación como una carga administrativa en lugar de como una herramienta de control.
Cierre del ciclo de cumplimiento del AI Act
La vigilancia postcomercialización, la gestión de incidentes y la documentación cierran el ciclo del cumplimiento del Reglamento de IA.
Permiten que los sistemas de inteligencia artificial se adapten, se corrijan y evolucionen sin perder el control sobre su impacto.
Para el AI Act, cumplir no es un estado puntual. Es un proceso continuo que acompaña al sistema durante toda su vida útil.