Cuando el Reglamento de IA de la UE se publicó en el Diario Oficial de la Unión Europea el 12 de julio de 2024, trajo consigo una de las preguntas más decisivas a las que puede enfrentarse una empresa: ¿es nuestro sistema de IA de alto riesgo? La respuesta lo determina todo: tus obligaciones jurídicas, tus plazos y tus posibles sanciones.
Entender qué se considera un sistema de IA de alto riesgo según el Reglamento de IA de la UE no es solo un ejercicio jurídico. Es una decisión crítica para el negocio. Equivocarse —ya sea por no advertir que tu sistema es de alto riesgo o por sobrecumplir innecesariamente— supone costes reales. El enfoque basado en el riesgo del Reglamento sitúa la mayor carga de cumplimiento sobre los sistemas que pueden causar un daño significativo a la seguridad o a los derechos fundamentales de las personas.
Plazo clave: Las obligaciones para los sistemas de IA de alto riesgo del Anexo III se aplican a partir del 2 de agosto de 2026. Las prácticas de IA prohibidas entraron en vigor el 2 de febrero de 2025. Las empresas españolas deben empezar a planificar su cumplimiento ya.
Esta guía recoge exactamente lo que dice la norma, lo que significa en la práctica y —lo más importante— lo que las empresas que operan en España y la UE deberían estar haciendo al respecto. Recorreremos el Artículo 6, el Anexo III, las obligaciones clave y las sanciones, y te facilitaremos una lista de comprobación práctica que puedes usar hoy mismo.
¿Qué es un sistema de IA de alto riesgo según el Reglamento de IA de la UE?
El Reglamento de IA de la UE utiliza un modelo escalonado y basado en el riesgo para regular la IA. En la cúspide de ese modelo —solo por debajo de las prácticas de IA prohibidas— se sitúan los sistemas de IA de alto riesgo. Se trata de aplicaciones de IA que plantean un riesgo significativo para la salud, la seguridad o los derechos fundamentales de las personas.
La definición formal y las reglas de clasificación se establecen en el Artículo 6 del Reglamento de IA de la UE. Según la norma, un sistema de IA es de alto riesgo si encaja en una de estas dos categorías:
- Es un componente de seguridad de un producto cubierto por la legislación de armonización de la UE enumerada en el Anexo I (como productos sanitarios, aviación o IA en automoción) Y dicho producto requiere una evaluación de la conformidad por un tercero.
- Está incluido en el Anexo III, una lista independiente de ocho casos de uso de alto riesgo definidos directamente en el propio Reglamento.
Si tu sistema de IA encaja en cualquiera de esas categorías, es de alto riesgo. Esto activa un conjunto de obligaciones obligatorias que deben cumplirse antes de poder desplegar el sistema o introducirlo en el mercado de la UE.
«Los sistemas de IA de alto riesgo cumplirán los requisitos establecidos en el presente capítulo.» — Reglamento de IA de la UE, Capítulo III, Sección 2.
La razón es clara: cuanto mayor sea el impacto potencial sobre la vida, los medios de subsistencia o los derechos de las personas, más sólidas deben ser las salvaguardas regulatorias. Un chatbot que te ayuda a redactar correos electrónicos no está en la misma categoría de riesgo que una IA que decide si una persona candidata pasa a una entrevista, o si un paciente recibe tratamiento.
Aunque los sistemas de alto riesgo exigen una gestión estricta, se sitúan un nivel por debajo de las prácticas de IA prohibidas, que están vetadas por completo en la UE desde febrero de 2025. Para asegurarte de que tu sistema no entra en la categoría prohibida antes de iniciar la clasificación de alto riesgo, consulta nuestro análisis de los 8 ejemplos reales de prácticas de IA prohibidas.
El Artículo 6 explicado: las dos vías de clasificación como alto riesgo
El Artículo 6 es la puerta jurídica a la condición de alto riesgo. Conviene entender ambas vías con claridad, porque funcionan de forma distinta y afectan a distintos tipos de empresas.
Vía 1 — Sistemas que son componentes de seguridad (productos del Anexo I)
La primera vía se aplica cuando un sistema de IA es un componente de seguridad de un producto que ya se rige por la legislación de seguridad de productos de la UE. Si dicho producto debe someterse a una evaluación de la conformidad por un tercero conforme a las normas vigentes de la UE, y la IA forma parte de lo que lo hace seguro, entonces la IA es de alto riesgo.
Entre los sectores cubiertos por el Anexo I se incluyen:
- Productos sanitarios — diagnóstico asistido por IA, robots quirúrgicos, análisis de imágenes médicas con IA
- Aviación — sistemas de navegación con IA, componentes de control de vuelo autónomo
- Automoción — IA integrada en vehículos certificados según la normativa de homologación de tipo de la UE
- Maquinaria — IA en equipamiento industrial sujeto a marcado CE
Para las empresas de estos sectores, el Reglamento de IA de la UE se integra con las normas de seguridad de productos vigentes. No pueden tratarse como ejercicios de cumplimiento separados.
Vía 2 — Casos de uso del Anexo III
La segunda vía —y posiblemente la de mayor impacto— es el Anexo III. Es una lista de ocho categorías de aplicaciones de IA que la UE ha considerado de alto riesgo por su capacidad para afectar a los derechos fundamentales, al acceso a servicios esenciales y a la seguridad pública.
A diferencia de la Vía 1, los sistemas del Anexo III no necesitan formar parte de un producto regulado. Son de alto riesgo por lo que hacen, no por aquello en lo que están integrados.
Determinar si tu sistema entra en el ámbito del Artículo 6 o del Anexo III requiere una auditoría técnica detallada. Para un recorrido estructurado por este proceso de clasificación, puedes consultar la Certificación en Cumplimiento del Reglamento de IA de la UE y Ética de la IA.
Anexo III: las ocho categorías de IA de alto riesgo
A continuación se presenta un desglose completo de las ocho categorías de IA de alto riesgo del Anexo III, con ejemplos prácticos relevantes para empresas en España y en toda la UE.
|
Categoría del Anexo III |
Ejemplos reales |
Relevancia para España |
|
1. Biometría — Reconocimiento facial, sistemas de identificación a distancia |
Reconocimiento facial en el lugar de trabajo, detección de emociones en centros de llamadas |
Alta — Empleadores y comercios españoles que usan biometría |
|
2. Infraestructuras críticas — Energía, agua, transporte, ámbito digital |
IA que gestiona redes eléctricas, distribución de agua, sistemas de tráfico |
Alta — Servicios públicos y proyectos de ciudades inteligentes |
|
3. Educación y formación profesional |
IA que califica trabajos del alumnado, selecciona candidatos universitarios |
Alta — EdTech en universidades y colegios españoles |
|
4. Empleo y gestión de personas trabajadoras |
Cribado de CV, monitorización del desempeño, recomendaciones de promoción |
Alta — IA en RR. HH. en empresas españolas de todos los tamaños |
|
5. Servicios privados y públicos esenciales |
Calificación crediticia, riesgo de seguros, IA de elegibilidad de prestaciones |
Alta — Bancos, fintechs y administraciones públicas españolas |
|
6. Aplicación de la ley |
Vigilancia policial predictiva, analítica criminal, IA de evaluación de pruebas |
Alta — Cuerpos policiales y agencias de seguridad pública españolas |
|
7. Migración, asilo y control fronterizo |
Sistemas de decisión sobre visados, evaluación de solicitudes de asilo, control en frontera |
Alta — Relevante para las fronteras españolas y la administración pública |
|
8. Administración de justicia y procesos democráticos |
IA de apoyo a decisiones judiciales, investigación jurídica, herramientas de determinación de penas |
Alta — Cualquier IA utilizada por tribunales o juzgados españoles |
Nota: el Anexo III no es estático. La Comisión Europea puede actualizarlo mediante actos delegados a medida que evolucione la tecnología de IA.
¿Qué sistemas de IA NO son de alto riesgo?
Una de las partes más prácticas —y a menudo pasada por alto— del Artículo 6 es su cláusula de excepción. El Artículo 6, apartado 3 establece que, aun cuando un sistema de IA esté técnicamente dentro de una categoría del Anexo III, no se clasificará como de alto riesgo si plantea un riesgo limitado para los derechos fundamentales.
En concreto, un sistema no es de alto riesgo si:
- Realiza una tarea preparatoria limitada (no la decisión sustantiva en sí)
- Mejora el resultado de una actividad humana ya completada
- Detecta patrones o desviaciones sin influir en una decisión con consecuencias
Ejemplos comunes de IA que normalmente no son de alto riesgo:
|
Tipo de sistema de IA |
Por qué no suele ser de alto riesgo |
|
Filtros antispam |
Sin impacto significativo en derechos fundamentales |
|
Asistentes de redacción con IA |
Tarea limitada; el ser humano mantiene el control total |
|
Motores de recomendación de productos |
Sugerencias comerciales, no decisiones con consecuencias |
|
Paneles de analítica básica |
Solo información; sin toma de decisiones autónoma |
|
Detección de fraude (con marcado, no con decisión) |
Se requiere revisión humana antes de actuar |
|
Herramientas de IA para programar reuniones |
Conveniencia operativa; no afecta a derechos |
Importante: esta evaluación depende del contexto. Una IA que parece inofensiva por sí sola puede convertirse en de alto riesgo si se integra en un proceso de toma de decisiones que afecte a los derechos, al empleo o al acceso a servicios de una persona. En caso de duda, busca asesoramiento jurídico antes de dar por hecho que tu sistema está exento.
Obligaciones para los sistemas de IA de alto riesgo
Si tu sistema de IA es de alto riesgo, debes cumplir un amplio conjunto de requisitos previstos en los Artículos 9 a 17 del Reglamento de IA de la UE. Estas obligaciones se aplican tanto a los proveedores (empresas que desarrollan o introducen IA de alto riesgo en el mercado) como a los responsables del despliegue (empresas que utilizan IA de alto riesgo en sus operaciones).
|
Obligación |
Qué exige |
|
Sistema de gestión de riesgos (Artículo 9) |
Un proceso continuo y documentado para identificar, evaluar y mitigar riesgos a lo largo del ciclo de vida de la IA. No es una evaluación puntual: debe ser permanente. |
|
Gobernanza de los datos (Artículo 10) |
Los datos de entrenamiento, validación y prueba deben cumplir estándares de calidad. Hay que documentar las fuentes de datos, gestionar sesgos y tratar los datos personales conforme a la legalidad. |
|
Documentación técnica (Artículo 11) |
Documentación exhaustiva del diseño, desarrollo y capacidades del sistema, preparada antes de su introducción en el mercado y mantenida actualizada. |
|
Registro automático (Artículo 12) |
Los sistemas de alto riesgo deben registrar automáticamente eventos durante su funcionamiento. Los registros deben conservarse al menos seis meses. |
|
Transparencia (Artículo 13) |
Los responsables del despliegue deben proporcionar a los usuarios información clara sobre las capacidades, limitaciones y nivel de supervisión humana del sistema. |
|
Supervisión humana (Artículo 14) |
Los sistemas deben diseñarse para permitir que las personas intervengan, anulen o detengan el sistema. Es obligatoria la capacidad de monitorizar y corregir la salida de la IA en tiempo real. |
|
Evaluación de la conformidad (Artículo 43) |
Antes del despliegue, los proveedores deben realizar una evaluación de la conformidad para demostrar el cumplimiento. Para algunas categorías, exige la intervención de un organismo notificado independiente. |
|
Vigilancia poscomercialización (Artículo 72) |
Una vez desplegado, los proveedores deben supervisar el rendimiento real, notificar incidentes graves a las autoridades nacionales y adoptar medidas correctoras cuando sea necesario. |
Los responsables del despliegue también tienen deberes específicos, entre ellos llevar a cabo una evaluación de impacto relativa a los derechos fundamentales (para organismos públicos y determinados actores privados), registrar el uso en la base de datos de la UE y garantizar la supervisión humana en sus operaciones.
Lista de comprobación de cumplimiento para sistemas de IA de alto riesgo
Utiliza esta lista para evaluar la situación de tu organización:
- Clasifica tus sistemas de IA — Determina si alguna IA que desarrollas o utilizas entra en las categorías del Anexo I o del Anexo III
- ¿La IA influye en decisiones de empleo? — Las herramientas de cribado de CV, evaluación del desempeño y promociones activan la condición de alto riesgo
- ¿Afecta al acceso a la educación o a servicios esenciales? — Es necesario evaluar la IA en crédito, prestaciones, salud o educación
- ¿Trata datos biométricos o realiza identificación en tiempo real? — Estas son algunas de las categorías más estrictamente reguladas
- ¿Es crítica para la seguridad dentro de un producto del Anexo I? — Productos sanitarios, aviación, maquinaria con componentes de seguridad basados en IA
- ¿Has implantado un sistema de gestión de riesgos? — Debe estar documentado, ser continuo y proporcional al riesgo
- ¿Está completa tu documentación técnica? — Las autoridades pueden requerirla en cualquier momento
- ¿Está activado el registro automático? — Obligatorio para todos los sistemas de alto riesgo
- ¿Cuentas con supervisión humana? — Las personas deben poder monitorizar, intervenir y anular
- ¿Se ha completado una evaluación de la conformidad? — Obligatoria antes del despliegue en el mercado
- ¿Está el sistema registrado en la base de datos de IA de la UE? — Obligatorio antes de su introducción en el mercado
Aunque esta lista identifica qué exigen los Artículos 9 a 17, la Certificación en Cumplimiento del Reglamento de IA de la UE ofrece las plantillas y los flujos de gobernanza de datos necesarios para ejecutar estos pasos en empresas españolas y de la UE.
Sanciones por incumplimiento del Reglamento de IA de la UE
El Reglamento de IA de la UE no es un marco de directrices blandas. Conlleva sanciones económicas sustanciales, entre las más altas de cualquier regulación tecnológica a nivel mundial, comparables en estructura a las multas del RGPD.
|
Sanción máxima |
Tope sobre el volumen de negocios |
Se aplica a |
|
35 000 000 € |
7 % del volumen de negocios anual mundial |
Introducir un sistema de IA prohibido en el mercado |
|
15 000 000 € |
3 % del volumen de negocios anual mundial |
Incumplimiento de las obligaciones de los sistemas de alto riesgo |
|
7 500 000 € |
1,5 % del volumen de negocios anual mundial |
Facilitar información incorrecta a las autoridades |
Estas cifras proceden directamente del Artículo 99 del Reglamento de IA de la UE. Se aplica la cifra mayor en cada caso. Para las pymes se tiene en cuenta la proporcionalidad, pero las sanciones siguen siendo cuantiosas.
La aplicación se llevará a cabo a nivel nacional. En España, la responsabilidad recae principalmente en la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), en colaboración con la Agencia Española de Protección de Datos (AEPD) en los casos que afecten a datos personales.
Lo que las empresas españolas deben hacer ahora
España se encuentra en una posición regulatoria especialmente activa en materia de IA. Fue uno de los primeros Estados miembros de la UE en crear una agencia supervisora dedicada a la IA —la AESIA— y en empezar a transponer el Reglamento de IA de la UE al marco nacional. El Gobierno ha señalado que la aplicación se tomará en serio desde el primer día.
Esto es lo que distintos sectores en España deberían tener presente:
- Departamentos de RR. HH. en España: cualquier IA utilizada para cribar CV, clasificar candidaturas o evaluar el desempeño es de alto riesgo. Esta es una de las áreas más comunes en las que las empresas incumplen sin saberlo.
- Proveedores sanitarios y hospitales: la IA médica —ya sea diagnóstica, administrativa o orientada al paciente— debe evaluarse tanto conforme al Reglamento de IA de la UE como al Reglamento de productos sanitarios de la UE (MDR).
- Empresas fintech y bancos: la calificación crediticia, la detección de fraude que toma decisiones y la IA de riesgo en seguros entran en el ámbito del Anexo III. La coordinación con la AEPD en materia de gobernanza de datos es esencial.
- IA en el sector público: los organismos locales y nacionales españoles que utilicen IA para asignar prestaciones, dar acceso a servicios públicos o tomar decisiones administrativas afrontan algunos de los requisitos más estrictos, incluidas evaluaciones de impacto obligatorias relativas a los derechos fundamentales.
- EdTech: la IA utilizada en universidades o programas formativos españoles para calificar al alumnado o seleccionar a quienes accedan a la formación entra en el ámbito del Anexo III. Estos sistemas necesitan mecanismos de supervisión humana antes del despliegue.
La AESIA tendrá facultades para solicitar documentación técnica, realizar auditorías e imponer medidas correctoras. Las empresas españolas que aún no hayan iniciado una auditoría de cumplimiento de sus sistemas de IA deberían tratarlo como urgente, no como opcional.
Preguntas frecuentes
¿Cuáles son ejemplos de sistemas de IA de alto riesgo?
Algunos ejemplos son: herramientas de cribado de CV y selección de personal, sistemas de reconocimiento facial, IA de calificación crediticia, software de diagnóstico médico, herramientas de vigilancia policial predictiva, sistemas de evaluación de visados y solicitudes de asilo, IA de corrección de exámenes en centros educativos e IA empleada en procesos penales. El hilo conductor es que todos toman, o influyen de manera significativa, en decisiones que afectan considerablemente a los medios de vida, los derechos o la seguridad de las personas.
¿Se considera ChatGPT de alto riesgo según el Reglamento de IA de la UE?
ChatGPT está clasificado como un modelo de IA de uso general (GPAI): no es automáticamente de alto riesgo. No obstante, si una empresa integra ChatGPT en una aplicación que realiza una función de alto riesgo (por ejemplo, una herramienta automatizada de RR. HH. que lo utiliza para clasificar candidaturas), esa aplicación en su conjunto puede considerarse de alto riesgo. El propio modelo GPAI y la aplicación derivada se evalúan por separado conforme al Reglamento.
¿La IA en RR. HH. es de alto riesgo según el Reglamento de IA de la UE?
Sí. Los sistemas de IA utilizados para selección de personal, cribado de CV, evaluación del desempeño, gestión de la relación laboral o decisiones de promoción figuran expresamente en el Anexo III, categoría 4 como de alto riesgo. Es una de las categorías de alto riesgo más extendidas comercialmente y afecta a empresas de todos los tamaños en España y en la UE.
¿Los sistemas biométricos son siempre de alto riesgo?
No siempre. Los sistemas de categorización biométrica y de reconocimiento de emociones figuran en el Anexo III. Sin embargo, si un sistema biométrico se utiliza únicamente para autenticación personal —como desbloquear tu propio teléfono móvil—, puede quedar fuera del umbral de alto riesgo. La identificación biométrica remota en tiempo real en espacios públicos está, en gran medida, prohibida de plano, con excepciones muy limitadas para la aplicación de la ley. Si despliegas IA biométrica, necesitas una evaluación jurídica cuidadosa de tu caso de uso concreto.
¿Qué es el Anexo III del Reglamento de IA de la UE?
El Anexo III es la lista de ocho categorías de aplicaciones de IA que el Reglamento de IA de la UE clasifica por defecto como de alto riesgo. Estas categorías son: (1) biometría, (2) infraestructuras críticas, (3) educación, (4) empleo, (5) servicios esenciales, (6) aplicación de la ley, (7) migración y control fronterizo, y (8) administración de justicia. Si tu IA encaja en cualquiera de ellas, es de alto riesgo, salvo que se aplique una excepción específica del Artículo 6, apartado 3.
¿Qué ocurre si una empresa infringe el Reglamento de IA de la UE?
Las multas por introducir en el mercado un sistema de IA prohibido pueden alcanzar los 35 millones de euros o el 7 % del volumen de negocios anual mundial, lo que sea mayor. El incumplimiento de las obligaciones de los sistemas de IA de alto riesgo conlleva multas de hasta 15 millones de euros o el 3 % del volumen de negocios mundial. En España, la AESIA será el principal organismo encargado de la aplicación. Las autoridades también pueden ordenar la retirada del mercado de un sistema no conforme.
Conclusión
El marco basado en el riesgo del Reglamento de IA de la UE es, en esencia, una herramienta de proporcionalidad. Cuanto más pueda afectar un sistema de IA a la vida de las personas —su empleo, su salud, su libertad o sus derechos—, más estrictas serán las normas. La clasificación como de alto riesgo en virtud del Artículo 6 no es un castigo: es una señal de que lo que está en juego es lo bastante importante como para exigir salvaguardas sólidas.
Para las empresas en España, la urgencia es real. La AESIA ya está operativa. Los plazos de aplicación están fijados. El coste del incumplimiento —económico y reputacional— es considerable. Pero el camino del cumplimiento es transitable con la orientación adecuada.
El primer paso es siempre la clasificación: ¿están tus sistemas de IA dentro del ámbito del Anexo III o del Anexo I? Una vez que lo sepas, las obligaciones, los plazos y las acciones quedan claros.
Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento jurídico. Para asesoramiento específico sobre tu organización, consulta a un profesional jurídico cualificado.
