Artículo 43: Evaluación de la conformidad
Los proveedores de sistemas de IA de alto riesgo enumerados en el punto 1 del anexo III (ámbito de la biometría) deberán elegir entre el control interno o la participación de un organismo notificado para la evaluación de la conformidad, sobre la base de la aplicación de normas armonizadas o especificaciones comunes. Si estas normas no se aplican plenamente o están restringidas, o si no se dispone de especificaciones comunes o el proveedor no lo ha aplicado, se requiere una evaluación con un organismo notificado.
En el caso de los sistemas de IA de alto riesgo enumerados en los puntos 2 a 8 del anexo III, los proveedores deberán seguir una evaluación de la conformidad de control interno sin la participación de un organismo notificado.
En el caso de los sistemas de IA de alto riesgo cubiertos por la legislación vigente de la Unión enumerada en la sección A del anexo I, el proveedor debe seguir los procedimientos de evaluación de la conformidad pertinentes, con organismos notificados que garanticen el cumplimiento de los requisitos específicos de IA. Las modificaciones sustanciales de los sistemas de IA requieren nuevas evaluaciones de la conformidad, excepto en el caso de cambios predeterminados en los sistemas que siguen aprendiendo.
Los sistemas de IA de alto riesgo deben someterse a una nueva evaluación de la conformidad si se modifican sustancialmente, a menos que los cambios estén predeterminados y documentados. La Comisión puede actualizar los anexos y los procedimientos de evaluación de la conformidad mediante actos delegados, teniendo en cuenta la eficacia del control interno y la capacidad de los organismos notificados.
Los certificados expedidos por los organismos notificados estarán redactados en una lengua que entiendan las autoridades competentes y tendrán una validez máxima de cinco años para los sistemas del anexo I y de cuatro años para los sistemas del anexo III, con posibles prórrogas. Si un sistema de IA deja de cumplir los requisitos, el organismo notificado puede suspender, retirar o restringir el certificado, a menos que el proveedor adopte medidas correctoras. Existirá un procedimiento de recurso frente a las decisiones de los organismos notificados.
Los resúmenes tienen como objetivo proporcionar una explicación útil, pero no son legalmente vinculantes.
1. En el caso de los sistemas de IA de alto riesgo enumerados en el anexo III, punto 1, cuando, al demostrar el cumplimiento de los requisitos establecidos en la sección 2 por parte de un sistema de IA de alto riesgo, el proveedor haya aplicado las normas armonizadas a que se refiere el artículo 40, o bien, en su caso, las especificaciones comunes a que se refiere el artículo 41, el proveedor optará por uno de los procedimientos de evaluación de la conformidad siguientes:
Al demostrar el cumplimiento de los requisitos establecidos en la sección 2 por parte de un sistema de IA de alto riesgo, el proveedor se atendrá al procedimiento de evaluación de la conformidad establecido en el anexo VII cuando:
A efectos del procedimiento de evaluación de la conformidad mencionado en el anexo VII, el proveedor podrá escoger cualquiera de los organismos notificados. No obstante, cuando se prevea la puesta en servicio del sistema de IA de alto riesgo por parte de las autoridades garantes del cumplimiento del Derecho, las autoridades de inmigración o las autoridades de asilo, o por las instituciones, órganos u organismos de la Unión, la autoridad de vigilancia del mercado mencionada en el artículo 74, apartado 8 o 9, según proceda, actuará como organismo notificado.
2. En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, puntos 2 a 8, los proveedores se atendrán al procedimiento de evaluación de la conformidad fundamentado en un control interno a que se refiere el anexo VI, que no contempla la participación de un organismo notificado.
3. En el caso de los sistemas de IA de alto riesgo regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, el proveedor se atendrá al procedimiento de evaluación de la conformidad pertinente exigida por dichos actos legislativos. Los requisitos establecidos en la sección 2 del presente capítulo se aplicarán a dichos sistemas de IA de alto riesgo y formarán parte de dicha evaluación. Asimismo, se aplicarán los puntos 4.3, 4.4 y 4.5 del anexo VII, así como el punto 4.6, párrafo quinto, de dicho anexo.
A efectos de dicha evaluación, los organismos notificados que hayan sido notificados con arreglo a dichos actos legislativos dispondrán de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo con los requisitos establecidos en la sección 2, a condición de que se haya evaluado el cumplimiento por parte de dichos organismos notificados de los requisitos establecidos en el artículo 31, apartados 4, 5, 10 y 11, en el contexto del procedimiento de notificación con arreglo a dichos actos legislativos.
Cuando un acto legislativo enumerado en el anexo I, sección A, permita al fabricante del producto prescindir de una evaluación de la conformidad de terceros, a condición de que el fabricante haya aplicado todas las normas armonizadas que contemplan todos los requisitos pertinentes, dicho fabricante solamente podrá recurrir a esta opción si también ha aplicado las normas armonizadas o, en su caso, las especificaciones comunes a que se refiere el artículo 41 que contemplan todos los requisitos establecidos en la sección 2 del presente capítulo.
4. Los sistemas de IA de alto riesgo que ya hayan sido objeto de un procedimiento de evaluación de la conformidad se someterán a un nuevo procedimiento de evaluación de la conformidad en caso de modificación sustancial, con independencia de si está prevista una distribución posterior del sistema modificado o de si este continúa siendo utilizado por el responsable del despliegue actual.
En el caso de los sistemas de IA de alto riesgo que continúen aprendiendo tras su introducción en el mercado o su puesta en servicio, los cambios en el sistema de IA de alto riesgo y su funcionamiento que hayan sido predeterminados por el proveedor en el momento de la evaluación inicial de la conformidad y figuren en la información recogida en la documentación técnica mencionada en el anexo IV, punto 2, letra f), no constituirán modificaciones sustanciales.
5. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar los anexos VI y VII actualizándolos a la luz del progreso técnico.
6. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 97 al objeto de modificar los apartados 1 y 2 del presente artículo a fin de someter a los sistemas de IA de alto riesgo mencionados en el anexo III, puntos 2 a 8, al procedimiento de evaluación de la conformidad a que se refiere el anexo VII o a partes de este. La Comisión adoptará dichos actos delegados teniendo en cuenta la eficacia del procedimiento de evaluación de la conformidad fundamentado en un control interno mencionado en el anexo VI para prevenir o reducir al mínimo los riesgos para la salud, la seguridad y la protección de los derechos fundamentales que plantean estos sistemas, así como la disponibilidad de capacidades y recursos adecuados por parte de los organismos notificados.