El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial —conocido como AI Act— marca un punto de inflexión en la gobernanza tecnológica global. Su entrada en vigor en agosto de 2024 ha abierto un nuevo escenario regulatorio en el que la gestión del riesgo, la transparencia y la supervisión postcomercialización se erigen como pilares fundamentales del modelo europeo de IA confiable (trustworthy AI).
Apenas unos meses después, la Comisión Europea ha publicado un borrador de guía interpretativa y una plantilla de reporte para incidentes graves ocurridos en sistemas de IA de alto riesgo, invitando a los operadores y autoridades nacionales a participar en una consulta pública sobre su contenido técnico y jurídico.
Consulta oficial de la Comisión Europea
De conformidad con los artículos 73 a 79 del AI Act, los proveedores de sistemas de IA de alto riesgo están obligados a notificar cualquier incidente grave o mal funcionamiento que haya causado o pueda causar:
- Daños a la salud o seguridad de las personas;
- Vulneraciones graves de los derechos fundamentales;
- Perturbaciones significativas del orden público o el medio ambiente.
Este deber no es una mera formalidad. Supone trasladar al terreno jurídico la ética de la responsabilidad tecnológica que inspira el Derecho de la Unión en la era algorítmica. La Comisión, con esta guía, pretende armonizar los criterios de reporte, evitando la fragmentación regulatoria y garantizando que las autoridades nacionales —como la AESIA en España— puedan actuar de manera coordinada ante fallos sistémicos.
La estructura del formulario de notificación recuerda a la utilizada en el Reglamento (UE) 2017/745 sobre productos sanitarios, lo que evidencia la analogía entre la IA de alto riesgo y los dispositivos críticos para la salud pública.
El modelo propuesto incorpora:
- Identificación del sistema, versión y proveedor;
- Descripción técnica del incidente;
- Evaluación de los daños reales o potenciales;
- Medidas correctoras adoptadas;
- Información sobre otros Estados miembros afectados.
Este enfoque refleja una concepción del riesgo algorítmico como riesgo transnacional, en el que la trazabilidad y la interoperabilidad de la información resultan esenciales para la seguridad colectiva.
Desde el punto de vista del Derecho administrativo y sancionador europeo, el incumplimiento del deber de notificación puede dar lugar a sanciones significativas: hasta 10 millones de euros o el 2% del volumen de negocio global (art. 99 AI Act).
Pero más allá del régimen sancionador, lo relevante es que esta obligación contribuye a construir un ecosistema de responsabilidad ex ante, en el que el Derecho actúa no sólo como correctivo, sino como instrumento de gobernanza anticipatoria.
No obstante, la práctica jurídica plantea interrogantes:
- ¿Qué grado de “probabilidad de daño” activa la obligación de reporte?
- ¿Cómo coordinar el flujo de información entre los operadores privados y las autoridades competentes nacionales y europeas?
- ¿Qué garantías de confidencialidad existen frente a la publicación de datos técnicos sensibles?
Estas cuestiones requerirán respuestas interpretativas de la futura Oficina Europea de Inteligencia Artificial (EU AI Office) y del Comité Europeo de Inteligencia Artificial, que ejercerán funciones de coordinación análogas a las de la Comisión Europea de Protección de Datos (EDPB) en el ámbito del RGPD.
La publicación de esta guía representa un paso decisivo hacia la consolidación de una cultura europea del “AI Compliance”, en la que la rendición de cuentas y la transparencia no son cargas, sino garantías de confianza y competitividad.
En última instancia, el Derecho europeo de la IA no se limita a prevenir daños: busca redefinir la relación entre innovación y tutela de los derechos fundamentales.
