28 días hasta la entrada en vigor del Reglamento de la IA de la UE
Más información →

Artículo 17 de la Ley de IA de la UE: Sistema de Gestión de la Calidad (SGC)

El Artículo 17 requiere que los proveedores de sistemas de IA de alto riesgo establezcan un sistema de gestión de la calidad y lo documenten en políticas, procedimientos y instrucciones escritas. Es la columna vertebral organizativa que une todas las demás obligaciones de alto riesgo. Esta página enumera los elementos del SGC que deben documentarse y señala el estándar armonizado que aún se está elaborando para respaldarlo.

Inmersión en el Artículo 17

Artículo 17 de la Ley de IA de la UE: Sistema de Gestión de la Calidad (SGC)

El Artículo 17 requiere que los proveedores de sistemas de IA de alto riesgo establezcan un sistema de gestión de la calidad y lo documenten en políticas, procedimientos y instrucciones escritas. Es la columna vertebral organizativa que une todas las demás obligaciones de alto riesgo. Esta página enumera los elementos del SGC que deben documentarse y señala el estándar armonizado que aún se está elaborando para respaldarlo.

Última actualización: 4 de julio de 2026

¿Qué es el Requisito del SGC?

Los proveedores de sistemas de IA de alto riesgo deben establecer un sistema de gestión de la calidad que garantice el cumplimiento de la Ley de IA, documentado de manera sistemática y ordenada como políticas, procedimientos e instrucciones escritas.

El SGC es proporcional al tamaño de la organización del proveedor, y para los proveedores que ya están sujetos a obligaciones de gestión de la calidad sectorial bajo otras leyes de la Unión, los requisitos de la Ley de IA pueden integrarse en el sistema existente en lugar de duplicarse. El punto no es la burocracia por sí misma: el SGC es cómo un proveedor demuestra que el cumplimiento es un proceso repetible y gobernado en lugar de un esfuerzo único.

Elementos que el SGC Debe Documentar

El Artículo 17(1) enumera los aspectos que el sistema de gestión de la calidad debe cubrir, al menos:

  • Estrategia de cumplimiento normativo — incluyendo la evaluación de la conformidad y la gestión de las modificaciones del sistema de alto riesgo
  • Procedimientos de diseño y desarrollo — técnicas, procedimientos y acciones sistemáticas para el diseño, el control del diseño y la verificación del diseño
  • Desarrollo y control de la calidad — procedimientos para el desarrollo, el control de la calidad y la garantía de la calidad del sistema
  • Examen, prueba y validación — procedimientos que se deben realizar antes, durante y después del desarrollo, y con qué frecuencia se realizan
  • Especificaciones técnicas y estándares — los estándares aplicados, y donde los estándares armonizados no se aplican en su totalidad, los medios utilizados para cumplir con los requisitos
  • Gestión de datos — sistemas y procedimientos para la adquisición, recopilación, análisis, etiquetado, almacenamiento, filtrado, minería, agregación y retención de datos
  • Gestión de riesgos — el sistema de gestión de riesgos del Artículo 9
  • Monitoreo posterior al mercado — establecimiento, implementación y mantenimiento de un sistema de monitoreo posterior al mercado según el Artículo 72
  • Informes de incidentes — procedimientos para informar incidentes graves de acuerdo con el Artículo 73
  • Comunicación y responsabilidad — manejo de la comunicación con las autoridades y otras partes, mantenimiento de registros, gestión de recursos y un marco de responsabilidad que define las responsabilidades de la gestión y el personal

El Estándar Armonizado Todavía Está Emergiendo

Para respaldar el Artículo 17, se está elaborando un estándar armonizado dedicado al sistema de gestión de la calidad de la IA bajo la solicitud de estandarización de la Comisión a CEN-CENELEC.

Ese trabajo está en progreso bajo la referencia prEN 18286 (un estándar de sistema de gestión de la calidad de la IA). Todavía es un borrador: el prefijo 'pr' marca un estándar europeo en curso que no ha sido publicado ni citado en el Diario Oficial, por lo que no confiere una presunción de conformidad. Los proveedores deben diseñar su SGC según el texto del Artículo 17 ahora y seguir el estándar a medida que madura — construir sobre el borrador puede reducir la reconfiguración, pero no es un sustituto del requisito legal y no debe confiarse en él como si ya estuviera en vigor.

Las referencias de los estándares y el estado de publicación cambian con el tiempo; siempre verifique el estado actual de prEN 18286 y cualquier estándar armonizado relacionado contra el Diario Oficial antes de confiar en ellos.

Cómo AIAgentree Ayuda

Un sistema de gestión de la calidad tiene que retener evidencia de que sus procedimientos se siguieron realmente. AIAgentree suministra el registro de decisión y supervisión trazable que los elementos de gestión de datos, mantenimiento de registros y responsabilidad del SGC deben retener:

  • Registros de decisión a prueba de manipulación dan al marco de mantenimiento de registros y responsabilidad del SGC una fuente de verdad defendible sobre cómo se tomaron las decisiones y quién fue responsable
  • Flujos de trabajo de supervisión humana y aprobación documentan los pasos de examen, revisión y firma que los procedimientos del SGC requieren, con quién aprobó qué capturado automáticamente
  • Retención apta para auditoría, búsqueda de precedentes y exportaciones a través de REST, MCP, A2A y OpenTelemetry (con SDK de Python y TypeScript y residencia de datos de la UE en Alemania) permiten que el SGC produzca registros a pedido — puede probarlo en el nivel de 25 trazas gratuito

Preguntas Frecuentes

¿Quién tiene que mantener un sistema de gestión de la calidad según el artículo 17?

Los proveedores de sistemas de inteligencia artificial de alto riesgo. El sistema de gestión de la calidad es una obligación del proveedor y debe estar en lugar para respaldar la evaluación de la conformidad y la conformidad continua del sistema durante todo su ciclo de vida.

¿Tiene que ser el sistema de gestión de la calidad un sistema separado?

No. Cuando un proveedor ya esté sujeto a obligaciones de gestión de la calidad según otras leyes de la Unión (por ejemplo, en sectores regulados), los elementos del artículo 17 pueden integrarse en ese sistema de gestión de la calidad existente en lugar de funcionar en paralelo.

¿Es obligatorio el prEN 18286?

No. El prEN 18286 es un borrador de norma europea para sistemas de gestión de la calidad de inteligencia artificial que se está desarrollando para respaldar el artículo 17. Como borrador, no está publicado ni citado en la Diario Oficial y no confiere una presunción de conformidad. El requisito vinculante es el texto del artículo 17 en sí.

¿Cómo se diferencia el sistema de gestión de la calidad de la documentación técnica?

La documentación técnica del anexo IV describe un sistema de alto riesgo específico y su conformidad; el sistema de gestión de la calidad es el conjunto de políticas y procedimientos de toda la organización que rige cómo el proveedor diseña, prueba, supervisa e informa sobre sus sistemas. El sistema de gestión de la calidad produce y mantiene la documentación.

¿Se ajusta el sistema de gestión de la calidad al tamaño de la empresa?

Sí. El artículo 17 establece que el sistema de gestión de la calidad debe ser proporcional al tamaño de la organización del proveedor, por lo que los proveedores más pequeños pueden implementarlo de una manera que se adapte a su escala mientras cubren todos los elementos requeridos.

Continúa explorando la guía de la Ley de IA de la UE

Guía de cumplimiento de la Ley de IA de la UE

La guía completa para el cumplimiento de la Ley de IA de la UE para agentes de IA — comienza aquí.

Artículo 12 — Registro y registro de eventos

Qué debe registrar cada sistema de IA de alto riesgo y cómo capturar la información.

Artículo 14 — Supervisión humana

Diseñar controles efectivos de supervisión humana para decisiones de IA.

Anexo III — Sistemas de IA de alto riesgo

Qué casos de uso de IA clasifica la Ley como de alto riesgo.

Lista de verificación de cumplimiento de la Ley de IA de la UE

Una lista de verificación paso a paso para alcanzar y documentar el cumplimiento.

Calculadora de costos de cumplimiento

Estima el esfuerzo y el costo de cumplimiento de la Ley de IA de la UE.

Plazos y cronograma

Fechas clave de aplicación, incluido el plazo del 2 de agosto de 2026.

Multas y sanciones

Niveles de sanciones de hasta 35 millones de euros o el 7% del volumen de negocios anual global.

Obligaciones de transparencia (Art. 13 y 50)

Deberes de divulgación para sistemas de IA y sus resultados.

Gestión de riesgos y evaluación de conformidad

Construya un sistema de gestión de riesgos y evalúe la conformidad.

Obligaciones de GPAI

Reglas para proveedores de modelos de IA de propósito general.

Ley de IA de la UE para empresas estadounidenses

Alcance extraterritorial y qué deben hacer los proveedores estadounidenses.

Actualización omnibus

Los últimos cambios en el cronograma y las reglas de la Ley de IA de la UE.

Calculadora de Penalizaciones

Estima tu multa máxima bajo los niveles del Artículo 99.

Artículo 11 + Anexo IV

Qué documentación técnica requiere la Ley de IA de la UE.

Artículo 26: Obligaciones del Desplegado

Qué deben hacer los desplegadores de IA de alto riesgo, incluyendo la retención de registros.

Artículo 10: Gobernanza de Datos

Calidad de los datos, mitigación de sesgos y deberes de gobernanza.

Artículo 4: Alfabetización en IA

El deber de alfabetización en IA del personal en vigor desde febrero de 2025.

Desplegado vs Proveedor

Quién asume qué obligación — y cuándo un desplegado se convierte en un proveedor.

FRIA (Artículo 27)

Quién debe realizar una Evaluación de Impacto en los Derechos Fundamentales, y cómo.

¿A quién se aplica?

Alcance, operadores y alcance extraterritorial de la Ley de IA de la UE.

Monitoreo Post-Mercado

Artículos 72–73: monitoreo continuo y notificación de incidentes.

ISO 42001 vs Ley de IA de la UE

Cómo se relaciona el estándar voluntario con la ley vinculante.

NIST AI RMF vs Ley de IA de la UE

Un cruce práctico entre el marco y la ley.

Ley de IA de la UE para la Atención Médica

IA médica de alto riesgo, interacción con MDR/IVDR y supervisión clínica.

Ley de IA de la UE para Servicios Financieros

Puntuación crediticia, precios de seguros y regulación financiera existente.

Ley de IA de la UE para Recursos Humanos y Empleo

Contratación de IA como alto riesgo, más la superposición de NYC LL144 y EEOC.