What does GuardianAI do?

GuardianAI analyzes technical documentation and detects compliance risks under the EU AI Act, GDPR and ISO 42001.

What documents can I scan?

PDF, DOCX and TXT files up to 25 MB: technical specifications, model cards, risk assessments, privacy policies.

Does GuardianAI replace legal advice?

No. GuardianAI is a RegTech support tool. It does not replace professional legal advice. Human review is recommended for final decisions.

TLS 1.3 + AES-256 encryption. GDPR-compliant European infrastructure. Minimal retention. Your documents are never used to train models.

Evaluación de Conformidad y Marcado CE para Sistemas de IA: Paso a Paso

¿Qué es la evaluación de conformidad para IA?

La evaluación de conformidad es el proceso formal por el que un proveedor verifica que su sistema de IA de alto riesgo cumple todos los requisitos del EU AI Act antes de ponerlo en el mercado o servicio. No es una auditoría voluntaria — es un requisito legal obligatorio.

Al completarla satisfactoriamente, el proveedor puede colocar el marcado CE en el producto y emitir la Declaración UE de Conformidad.

¿Qué sistemas necesitan evaluación de conformidad?

Solo los sistemas de IA de alto riesgo (Artículo 43). Los sistemas de riesgo mínimo, limitado o los modelos GPAI tienen requerimientos diferentes.

Los dos caminos: autoevaluación vs. tercero independiente

El EU AI Act contempla dos rutas distintas:

Ruta A: Autoevaluación del proveedor

La gran mayoría de sistemas de IA de alto riesgo del Anexo III pueden evaluarse por el propio proveedor (evaluación de tercera parte no requerida).

El proveedor evalúa internamente si cumple todos los requisitos y, si concluye que sí, emite la Declaración de Conformidad sin necesidad de un organismo notificado.

Aplica a: sistemas de RRHH, educación, acceso a servicios, scoring crediticio, sistemas de seguridad, etc. (la mayoría de casos del Anexo III).

Ruta B: Evaluación por organismo notificado (tercero)

Obligatoria para:

Sistemas de identificación biométrica remota (excepto verificación 1:1 y con supervisión humana suficiente)
Sistemas de IA incluidos en productos regulados por Anexo I (maquinaria, productos sanitarios, equipos de radio, vehículos, ascensores, etc.) cuando esa legislación sectorial ya requería evaluación por tercero

El proveedor debe contratar un organismo notificado acreditado (Notified Body) que revise la documentación técnica y el sistema y emita el certificado correspondiente.

El proceso de autoevaluación paso a paso

Para los sistemas del Anexo III (la mayoría):

Paso 1: Verificar que el sistema es de alto riesgo

Revisar si el sistema cae en alguna de las 8 categorías del Anexo III o si es un componente de seguridad de un producto del Anexo I.

Si hay duda: documentar el análisis de clasificación. La AESIA (autoridad española) y la Comisión publicarán guías orientativas.

Paso 2: Preparar la documentación técnica (Anexo IV)

Ver el artículo detallado sobre documentación técnica. Incluye:

Descripción del sistema y su propósito previsto
Arquitectura y datos de entrenamiento
Métricas de rendimiento desagregadas
Análisis y gestión de riesgos (Art. 9)
Información sobre supervisión humana
Cifrado, ciberseguridad

Paso 3: Implementar los requisitos de los Artículos 9-15

El sistema debe cumplir todos los requisitos antes de la evaluación:

Artículo	Requisito
---	---
Art. 9	Sistema de gestión de riesgos documentado
Art. 10	Gobernanza de datos (calidad, representatividad, sesgo)
Art. 11-12	Documentación técnica y logs
Art. 13	Transparencia e información a deployers
Art. 14	Supervisión humana — medidas técnicas
Art. 15	Exactitud, robustez y ciberseguridad

Paso 4: Verificación interna (internal audit)

Revisión interna formal antes de la declaración. Recomendable que la realice alguien diferente al equipo de desarrollo (ej. compliance, legal, o auditor interno).

Paso 5: Emitir la Declaración UE de Conformidad (Artículo 47)

Documento firmado por el representante legal del proveedor que declara:

Identificación del sistema (nombre, versión, número de modelo)
Referencia al Reglamento UE 2024/1689
Conformidad con los requisitos aplicables
Referencia a la documentación técnica
Fecha, lugar y firma del representante

Paso 6: Colocar el marcado CE

Tras la Declaración, el sistema puede llevar el marcado CE conforme al Artículo 48. Para productos físicos (hardware), va en el dispositivo o su embalaje. Para software, en la documentación o interfaz del sistema.

Paso 7: Registro en la base de datos EU AI Act (Artículo 49)

El proveedor debe registrar el sistema de IA de alto riesgo en la base de datos EU AI Act antes de ponerlo en el mercado. Esta base de datos es gestionada por la Comisión y será de acceso público en su parte no confidencial.

Validez y revisión de la evaluación

La evaluación de conformidad no tiene una fecha de caducidad fija, pero el proveedor debe repetirla o actualizarla cuando se produzcan cambios sustanciales en el sistema.

¿Qué es un cambio sustancial?

Cambio en el propósito previsto
Cambio en la arquitectura del modelo que afecta al rendimiento
Re-entrenamiento significativo con nuevos datos
Cambio en las condiciones de uso previstas

La Comisión publicará orientaciones sobre qué cambios requieren nueva evaluación vs. simple actualización de documentación.

Coste de la evaluación de conformidad

Autoevaluación: el coste es principalmente interno (tiempo de equipo). Estimas realistas:

Sistema sencillo de RRHH: 40-120 horas de trabajo (.5-3 meses con equipo dedicado a tiempo parcial)
Sistema complejo de scoring financiero: 200-400 horas

Evaluación por organismo notificado (Ruta B):

Certificación inicial: 15.000 - 60.000 €+ según complejidad y notified body
El EU AI Act prevé tarifas reducidas para PYMEs

Solución práctica: automatizar la preparación

GuardianAI acelera significativamente la preparación de la documentación técnica para la autoevaluación, analizando tus documentos existentes e identificando qué requisitos ya están cubiertos y qué falta.

→ Empieza tu evaluación de conformidad con GuardianAI