La documentación técnica: el pilar del cumplimiento
Si tu empresa desarrolla o pone en el mercado sistemas de IA de alto riesgo (Anexo III del EU AI Act), la documentación técnica del Artículo 11 no es opcional — es un requisito de obligado cumplimiento antes de comercializar el sistema.
Su propósito es doble: demostrar conformidad ante las autoridades nacionales y servir como base para la evaluación de conformidad (con o sin organismo notificado).
¿Quién debe prepararla?
El proveedor del sistema de IA (quien lo desarrolla y pone en el mercado). Si eres una empresa que compra un sistema de IA de alto riesgo y lo pone en el mercado con modificaciones sustanciales, también te conviertes en proveedor de facto con las mismas obligaciones.
Contenido obligatorio según el Anexo IV
El Anexo IV del Reglamento establece el contenido mínimo de la documentación técnica:
1. Descripción general del sistema
- Propósito previsto: para qué tareas está diseñado y en qué contextos
- Nombre del sistema y versión
- Destinatarios previstos: deployers, usuarios finales, grupos afectados
- Nivel de autonomía del sistema (totalmente autónomo, semi-autónomo, etc.)
- Hardware y software de referencia sobre el que opera
2. Descripción de los elementos del sistema
- Arquitectura del modelo: tipo de modelo, capas, mecanismos técnicos
- Datos de entrenamiento: fuentes de datos, cualificación, etiquetado, preprocesado
- Datos de validación y prueba: metodología de evaluación, métricas clave
- Versiones previas del sistema (si aplica)
3. Descripción del proceso de desarrollo
- Metodología de diseño y decisiones de arquitectural
- Técnicas de entrenamiento utilizadas
- Supuestos y limitaciones del modelo
4. Métricas de rendimiento y exactitud
- Resultados de rendimiento para los casos de uso previstos
- Métricas por grupos demográficos relevantes (para detectar sesgos)
- Niveles de precisión, recall, F1 o las métricas apropiadas al dominio
- Resultados contra benchmarks estándar del sector
5. Gestión de riesgos (Art. 9)
- Descripción de los riesgos conocidos y razonablemente previsibles
- Medidas de mitigación adoptadas
- Evaluación de riesgos residuales
- Consideración de riesgos para grupos vulnerables
6. Cambios al sistema a lo largo del ciclo de vida
- Procedimientos para actualizar la documentación ante cambios sustanciales
- Registro de versiones con descripción de cambios y nueva evaluación de riesgos
7. Normas armonizadas aplicadas
- Lista de normas europeas armonizadas (EN/ISO) aplicadas
- O descripción de las soluciones adoptadas para cumplir los requisitos esenciales
8. Declaración de conformidad UE
Referencia a la declaración firmada por el representante autorizado del proveedor.
Trazados de log y registros automáticos (Art. 12)
Además de la documentación técnica estática, los sistemas de alto riesgo deben generar registros de eventos (logs) automáticamente durante su operación:
- Identificación de cada operación realizada por el sistema
- Período de operación y referencia a la base de datos utilizada
- Datos de entrada que desencadenaron el resultado
- Identificación de las personas físicas involucradas en la verificación de resultados
Errores comunes que hay que evitar
❌ Documentación escrita una sola vez y nunca actualizada — el reglamento exige actualizarla ante cambios sustanciales
❌ Métricas solo globales sin desagregación por grupos — la autoridad supervisora exigirá datos disagregados
❌ Gestión de riesgos genérica sin específica referencia al sistema — debe describir riesgos concretos del caso de uso real
❌ Sin referencia a las normas armonizadas — incluso si decides no seguir las normas, debes documentar cómo cumples los requisitos esenciales por otra vía
❌ Confundir la documentación técnica con el manual de usuario — son documentos distintos con finalidades diferentes
Plantilla de índice de documentación técnica
DOCUMENTACIÓN TÉCNICA — [Nombre del Sistema] v[X.Y]
Fecha de preparación: DD/MM/AAAA
Clasificación: CONFIDENCIAL
- DESCRIPCIÓN GENERAL
1.1 Nombre y versión del sistema
1.2 Propósito previsto y casos de uso
1.3 Destinatarios y usuarios
1.4 Nivel de autonomía
- ARQUITECTURA Y COMPONENTES
2.1 Diagrama de arquitectura
2.2 Descripción de componentes
2.3 Dependencias externas y APIs
- DATOS
3.1 Fuentes de datos de entrenamiento
3.2 Proceso de etiquetado y control de calidad
3.3 Datos de validación y prueba
3.4 Limitaciones conocidas en los datos
- RENDIMIENTO Y EXACTITUD
4.1 Métricas de rendimiento globales
4.2 Métricas desagregadas por grupo demográfico
4.3 Comparación con benchmarks
4.4 Casos de uso en los que la exactitud disminuye
- GESTIÓN DE RIESGOS
5.1 Identificación de riesgos
5.2 Medidas de mitigación
5.3 Riesgos residuales aceptados
5.4 Plan de monitorización post-despliegue
- CONTROL DE VERSIONES
6.1 Registro de cambios
6.2 Procedimiento de re-evaluación ante cambios sustanciales
- NORMAS Y ESTÁNDARES APLICADOS
- DECLARACIÓN DE CONFORMIDAD (referencia)
Cómo automatizar la generación de documentación técnica
Preparar y mantener actualizada la documentación técnica es un proceso intensivo. GuardianAI puede:
- Analizar tus documentos internos existentes y detectar vacíos vs. los requisitos del Anexo IV
- Generar informes de cumplimiento basados en las secciones del Artículo 11
- Alertarte cuando un cambio al sistema requiere actualización de documentación