01 Qué es el Technical File y por qué importa
El Anexo IV del EU AI Act establece el contenido mínimo del expediente técnico que cualquier proveedor de un sistema de IA de alto riesgo debe preparar antes de comercializarlo. No es documentación interna opcional — es el documento que acredita el cumplimiento y que las autoridades de supervisión pueden solicitar en cualquier momento.
Dos datos que definen la urgencia:
| Requisito | Detalle | Estado |
|---|---|---|
| Disponibilidad | Debe estar listo antes del despliegue, no después. No hay plazo de gracia una vez el sistema está en producción. | Obligatorio pre-despliegue |
| Retención | Mínimo 10 años desde la comercialización del sistema, actualizado con cada modificación sustancial. | 10 años mínimo |
| Idioma | En el idioma del Estado miembro donde se comercializa, o en inglés si se acepta expresamente. | Flexible |
| Acceso | Las autoridades de supervisión pueden solicitarlo en cualquier momento. El plazo de entrega puede ser de horas, no días. | Acceso inmediato |
02 La estructura completa — Anexo IV
Haz clic en cada sección para ver los campos requeridos:
1. Descripción general del sistema
Obligatorio
Propósito previsto — Descripción clara de para qué está diseñado el sistema, quiénes son los usuarios previstos y en qué contextos se desplegará.
Versión del software — Identificador único de la versión del sistema con fecha de lanzamiento.
Descripción del hardware — Especificaciones del hardware sobre el que opera el sistema si son relevantes para el rendimiento.
Instrucciones de uso — Manual dirigido a los operadores que describe cómo usar el sistema correctamente y sus limitaciones conocidas.
2. Descripción de los elementos del sistema
Obligatorio
Arquitectura del sistema — Descripción de los componentes del sistema y sus interacciones. Diagramas de arquitectura si existen.
Algoritmos y modelos — Descripción de los modelos de IA utilizados, incluyendo tipo de modelo, capacidades y limitaciones conocidas.
Decisiones de diseño clave — Justificación de las elecciones de diseño relevantes para el cumplimiento y la seguridad.
Componentes de terceros — Lista de modelos de IA, librerías o sistemas externos integrados, con sus proveedores y versiones.
3. Datos de entrenamiento, validación y prueba
Obligatorio
Origen de los datos — De dónde provienen los datos de entrenamiento: fuentes propias, datasets públicos, datos sintéticos.
Proceso de recopilación — Cómo se recopilaron y etiquetaron los datos, incluyendo criterios de selección y exclusión.
Análisis de sesgos — Evaluación de posibles sesgos en los datos y medidas tomadas para mitigarlos.
Métricas de calidad — Indicadores de calidad del dataset: completitud, representatividad, balance de clases.
Conjuntos de validación y test — Descripción de los datasets usados para validación y prueba, distintos de los de entrenamiento.
4. Registro de auditoría y logs
Obligatorio
Capacidades de logging — Descripción de qué información registra automáticamente el sistema: inputs, outputs, decisiones, timestamps.
Período de retención — Durante cuánto tiempo se conservan los logs y en qué formato.
Acceso a los registros — Quién puede acceder a los logs y bajo qué condiciones, incluyendo las autoridades de supervisión.
Integridad de los registros — Mecanismos para garantizar que los logs no han sido manipulados.
5. Métricas de rendimiento y precisión
Obligatorio
Métricas de precisión — Resultados de las pruebas de precisión, incluyendo tasa de error en diferentes subgrupos de población.
Robustez y fiabilidad — Rendimiento del sistema bajo condiciones adversas o datos fuera de distribución.
Pruebas de sesgo — Resultados de las pruebas de equidad y ausencia de discriminación discriminatoria.
Umbrales de decisión — Justificación de los umbrales utilizados para tomar decisiones automáticas.
6. Sistema de gestión de riesgos
Obligatorio
Registro de riesgos — Documento completo según el Art. 9 con todos los riesgos identificados, evaluados y las medidas de mitigación.
Riesgos residuales — Descripción de los riesgos que permanecen tras las medidas de mitigación y justificación de su aceptabilidad.
Historial de actualizaciones — Registro de las revisiones del sistema de gestión de riesgos con fechas y responsables.
7. Supervisión humana
Obligatorio
Medidas técnicas de supervisión — Cómo está diseñado el sistema para permitir que los humanos comprendan, supervisen y corrijan sus outputs.
Protocolo de intervención — Proceso documentado para que los operadores puedan anular, corregir o detener el sistema.
Formación de operadores — Documentación de la formación proporcionada a los operadores humanos del sistema.
8. Declaración de conformidad
Obligatorio
Declaración EU — Documento firmado declarando que el sistema cumple los requisitos del EU AI Act, con referencia a la norma.
Identificación del firmante — Nombre, cargo y firma del representante autorizado del proveedor.
Certificados de terceros — Certificados emitidos por organismos independientes como TrustLayer, adjuntos como evidencia de soporte.
03 Lo que TrustLayer genera automáticamente
La mayor parte de este expediente técnico requiere documentación de comportamiento real en producción — no puede generarse solo con plantillas. TrustLayer conecta con tu agente y produce automáticamente:
Secciones 4, 5 y 6 completas de forma automática — logs de auditoría estructurados, métricas de rendimiento reales sobre datos de producción, y el registro de riesgos actualizado basado en el comportamiento observado. Las secciones 1, 2, 3, 7 y 8 requieren tu input, pero las plantillas están precargadas en el dashboard.
También te puede interesar
TrustLayer genera el Anexo IV por ti.
Conecta tu agente y generamos automáticamente las secciones 4, 5 y 6 del expediente técnico con datos reales de producción. Los primeros 5 slots son gratis.
Certificar mi agente →
5 slots gratuitos. Datos en Europa. Sin tarjeta.
⚠ Este artículo ha sido elaborado con asistencia de IA. El Anexo IV corresponde al Reglamento (UE) 2024/1689. No constituye asesoramiento jurídico.