Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE para aseguradoras: cómo construir un programa de gobernanza de la IA

Industry Guide23 April 2026· 19 min de lectura

La Ley de IA de la UE para aseguradoras: la IA de seguros de vida y de salud es de alto riesgo (Anexo III, 5(c)). EIDF obligatoria. Deberes del responsable del despliegue, solapamiento con el RGPD, plazo 2 de diciembre de 2027.

La mayoría de las aseguradoras ya son responsables del despliegue, no proveedores. Esa distinción lo condiciona todo. Cuando una aseguradora de vida licencia un modelo de suscripción de un tercero para fijar el precio de pólizas individuales, se sitúa en el lado del responsable del despliegue del Artículo 26 —con obligaciones más ligeras que las del proveedor que construyó el modelo, pero igualmente trascendentes—: supervisión humana en virtud del Artículo 14, una evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27, conservación de registros durante al menos seis meses en virtud del Artículo 26, y vigilancia continua de cómo se comporta el sistema en uso real.

Esta página cubre el ángulo del programa de gobernanza —inventario, clasificación, EIDF, supervisión, documentación y vigilancia— para las aseguradoras que construyen o despliegan IA. Si desea el análisis de clasificación específico para la evaluación de riesgos y la fijación de precios en los seguros de vida y de salud (Anexo III, punto 5, letra c)), ese desglose por caso de uso tiene su propia página en la Ley de IA de la UE y la fijación de precios de riesgo en seguros.

¿Qué sistemas de IA en seguros son de alto riesgo?

La Ley de IA de la UE no trata los seguros como un sector uniformemente de alto riesgo. La clasificación es sistema por sistema, caso de uso por caso de uso, aplicando las reglas del Artículo 6.

El punto de entrada que abarca a la mayoría de las aseguradoras es el Anexo III, punto 5, letra c): sistemas de IA utilizados para la evaluación de riesgos y la fijación de primas para personas físicas en los seguros de vida y los seguros de salud. Ese es el ámbito específico. Los seguros de automóvil, de hogar, de carga marítima y de responsabilidad civil comercial no entran en el punto 5, letra c) por la sola conexión con los seguros —aunque afronten sus propias obligaciones en virtud del RGPD y la regulación sectorial, y casos de uso concretos puedan activar igualmente otros puntos del Anexo III—.

Los demás puntos del Anexo III relevantes para las operaciones de seguros:

  • Punto 5, letra b): evaluación de la solvencia y calificación crediticia de personas físicas, que abarca algunas decisiones de seguros de protección de pagos o vinculados al crédito.
  • Punto 4, letra a): IA utilizada en la contratación, la selección y la promoción, que abarca los sistemas de RR. HH. de cualquier gran aseguradora.
  • Punto 1: sistemas de categorización biométrica o de reconocimiento de emociones, que abarcan determinadas herramientas de detección de fraude o de interacción con clientes (y algunos usos están prohibidos de plano en virtud del Artículo 5 en lugar de ser meramente de alto riesgo: véase más adelante).

El filtro del art. 6, apartado 3

Un sistema que entra dentro de un punto del Anexo III no es automáticamente de alto riesgo. El Artículo 6, apartado 3, dispone que un sistema queda excluido si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales —por ejemplo, si desempeña una tarea procedimental limitada o realiza un trabajo preparatorio sin influir en un resultado individual—. La exclusión no puede reclamarse a la ligera: todo sistema que elabore perfiles de personas físicas sigue siendo de alto riesgo, sea cual sea el caso. Y los proveedores que reclamen la exclusión deben documentar la evaluación y registrarla. En la práctica, un modelo que determina o influye materialmente en si una persona física recibe cobertura de seguro de vida o de salud rara vez cumplirá el Artículo 6, apartado 3.

Prácticas prohibidas (Artículo 5): ningún programa de gobernanza las soluciona

Tres categorías están prohibidas de plano, sin vía de cumplimiento posible:

  • Reconocimiento de emociones en contextos laborales o de interacción con clientes (Artículo 5, apdo. 1, letra f)): las herramientas de puntuación de emociones en centros de llamadas están prohibidas.
  • Identificación biométrica remota en tiempo real en espacios públicos con fines de garantía del cumplimiento del Derecho (Artículo 5, apdo. 1, letra h)): las aseguradoras que realizan investigaciones de fraude no pueden desplegarla sobre esta base.
  • Puntuación social que califica a las personas en función de su comportamiento social o de características personales inferidas, con un trato perjudicial en contextos no relacionados (Artículo 5, apdo. 1, letra c)): agregar datos de redes sociales o de patrones de pago para inferir el riesgo de formas que puntúan a la «persona completa» cruza esta línea.

Estas prácticas están prohibidas desde el 2 de febrero de 2025. El trabajo de inventario debe señalarlas para su retirada inmediata.

El papel de la aseguradora: normalmente, responsable del despliegue

La mayoría de las aseguradoras adquieren y despliegan sistemas de IA construidos por proveedores especializados —herramientas de modelización actuarial, motores de triaje de siniestros, servicios de detección de fraude—. Eso las convierte en responsables del despliegue en virtud del Artículo 26. El proveedor que entrenó e introdujo el modelo en el mercado es el proveedor en virtud del Artículo 16, con el conjunto de obligaciones más pesado.

Los deberes fundamentales del responsable del despliegue en virtud del Artículo 26:

  • Seguir las instrucciones de uso del proveedor.
  • Garantizar la supervisión humana según exige el Artículo 14 (véase más adelante).
  • Vigilar el sistema en producción e informar al proveedor (y, cuando proceda, a la autoridad competente) de incidentes graves o fallos de funcionamiento (Artículo 26, con remisión al Artículo 73).
  • Conservar los registros del funcionamiento del sistema durante al menos seis meses (Artículo 26).
  • Antes de desplegar en el lugar de trabajo, informar a los representantes de los trabajadores (Artículo 26).

Una aseguradora que toma un modelo de un proveedor y lo modifica sustancialmente —lo reentrena con datos propios, cambia su finalidad prevista o lo comercializa bajo su propio nombre— pasa de responsable del despliegue a proveedor en virtud del Artículo 25. Eso supone una escalada significativa de obligaciones. Documente qué sistemas ha adaptado materialmente.

Cuándo se aplica la EIDF (Artículo 27)

La evaluación de impacto relativa a los derechos fundamentales no es una obligación universal del responsable del despliegue. El Artículo 27 se aplica a los responsables del despliegue que son organismos públicos y a los responsables del despliegue de sistemas cubiertos por el Anexo III, punto 5, letra b) (solvencia) o punto 5, letra c) (riesgo y precios de seguros de vida o de salud). Si es una aseguradora privada que despliega un modelo de fijación de precios de seguros de vida o de salud, el Artículo 27 se le aplica. La EIDF debe realizarse antes del despliegue, registrarse en la base de datos de la UE en virtud del Artículo 49 y actualizarse siempre que el sistema cambie materialmente.

Qué abarca el programa de gobernanza de la IA

El programa de gobernanza de la IA de una aseguradora en virtud de la Ley de IA de la UE no es un proyecto puntual. Es un conjunto permanente de procesos documentados.

1. Inventario de sistemas de IA

Antes de poder clasificar nada, hay que saber qué se tiene. Cartografíe cada sistema de IA en suscripción, siniestros, detección de fraude, fijación de precios, RR. HH. y atención al cliente. Para cada sistema, registre: el proveedor y la versión, el uso previsto, los datos de entrada, los resultados y cómo afectan a las personas, y el papel que desempeña su organización (responsable del despliegue o proveedor).

Un inventario que vive en una hoja de cálculo y se actualiza anualmente no es suficiente. La Ley exige un registro mantenido: el módulo de evaluación de Confir lo construye y almacena como un inventario de IA estructurado, clasificando cada entrada y señalando las lagunas.

2. Clasificación en virtud de los Artículos 5 y 6

Para cada sistema del inventario, determine el nivel de riesgo:

  • Riesgo inaceptable (Artículo 5): retirar de inmediato.
  • Alto riesgo (Artículo 6 + Anexo III): se aplica el conjunto completo de obligaciones.
  • Riesgo limitado (Artículo 50): deberes de divulgación por transparencia —los chatbots deben revelar que son IA; los resultados de reconocimiento de emociones en contextos permitidos requieren notificación—.
  • Riesgo mínimo: sin obligaciones obligatorias.

Para cada sistema potencialmente comprendido en el Anexo III, documente o bien la base de la clasificación de alto riesgo, o bien la evaluación de exclusión del Artículo 6, apartado 3.

3. Evaluación de impacto relativa a los derechos fundamentales (Artículo 27)

Para la IA de fijación de precios y evaluación de riesgos de seguros de vida y de salud, la EIDF debe cubrir:

  • La finalidad, el alcance del sistema y la población de personas físicas afectadas.
  • Cómo se probó el sistema en busca de resultados dispares entre características protegidas —edad, sexo, situación de discapacidad, origen étnico—.
  • La interacción con el artículo 9 del RGPD (los datos de salud son datos de categorías especiales) y el artículo 22 del RGPD (decisiones automatizadas con efectos jurídicos o significativos).
  • La interacción con la Directiva de igualdad de género de la UE (2004/113/CE), que prohíbe utilizar el género como factor actuarial en los seguros minoristas —un modelo de fijación de precios que aprende el género como variable indirecta a través de variables correlacionadas sigue planteando cuestiones de cumplimiento aunque la variable no figure explícitamente en el conjunto de características—.
  • Medidas de mitigación: umbrales para la revisión humana, anulaciones, mecanismos de recurso.

La EIDF es un documento vivo. Debe actualizarse cuando el modelo cambie, cuando surjan nuevos indicadores de sesgo en la vigilancia o cuando evolucionen las orientaciones reguladoras.

4. Supervisión humana (Artículo 14)

El Artículo 14 exige que los responsables del despliegue puedan:

  • Comprender el resultado del sistema y su razonamiento en la medida necesaria para detectar y corregir errores.
  • Anular o detener el sistema antes de que una decisión surta efecto.
  • Vigilar si el sistema funciona según lo previsto.

En la práctica, para un sistema de suscripción de seguros de vida o de salud, esto significa que ninguna decisión de suscripción individual puede finalizarse solo por el modelo. Un profesional cualificado —un actuario, un suscriptor con conocimiento del dominio— debe revisar el resultado del sistema, tener acceso al razonamiento (pesos de las características, puntuaciones de confianza, marcas de anomalía) y conservar la autoridad para rechazar o modificar la recomendación. Los registros de formación deben documentar que el personal de supervisión comprende qué hace y qué no hace el modelo.

El requisito de supervisión no se satisface con una revisión de casilla. Un revisor que aprueba todos los resultados del modelo sin implicarse con el razonamiento no ejerce una supervisión significativa. Construya flujos de trabajo de revisión que afloren la incertidumbre del modelo y los datos de rendimiento demográfico.

5. Documentación técnica y el paquete del proveedor (Artículo 11)

Si su aseguradora es el proveedor (construyó el sistema internamente o lo adaptó lo suficiente como para cambiar de papel en virtud del Artículo 25), debe recopilar y mantener la documentación técnica del Anexo IV: características de los datos de entrenamiento, arquitectura del modelo, métricas de rendimiento desglosadas por subgrupo, protocolos de validación, limitaciones conocidas. Esa documentación debe estar disponible para las autoridades competentes que lo soliciten.

Si es un responsable del despliegue, no produce la documentación técnica: lo hace el proveedor. Pero debe revisarla antes del despliegue. El Artículo 13 exige que los proveedores faciliten a los responsables del despliegue información suficiente para utilizar el sistema correctamente, incluidos la finalidad prevista del sistema y sus limitaciones. Solicitar y revisar ese paquete forma parte de la diligencia debida del responsable del despliegue.

6. Vigilancia poscomercialización (Artículo 72 para proveedores; Artículo 26 para responsables del despliegue)

El cumplimiento no termina con el despliegue. Los proveedores deben mantener un sistema de vigilancia poscomercialización en virtud del Artículo 72. Los responsables del despliegue deben vigilar los incidentes graves y los fallos de funcionamiento y notificarlos al proveedor —y, cuando proceda, a la autoridad competente— en virtud del Artículo 26 y los plazos del Artículo 73.

Plazos clave del Artículo 73 para los proveedores: 15 días desde el conocimiento de un incidente grave (Artículo 73, apartado 2); 2 días cuando haya una infracción generalizada o una perturbación grave de una infraestructura crítica (Artículo 73, apartado 3); 10 días cuando se haya producido un fallecimiento (Artículo 73, apartado 4). Los responsables del despliegue son responsables de informar al proveedor sin demora cuando tengan conocimiento de tales sucesos.

Para las aseguradoras, un «incidente grave» en el contexto de un modelo de suscripción podría incluir un error sistemático que provocara que una clase de tomadores fuera erróneamente rechazada o materialmente sobrevalorada: vigile los valores atípicos demográficos en los resultados, no solo la exactitud global.

Interacción con el RGPD y las normas sectoriales

La Ley de IA de la UE se sitúa junto al RGPD, no en su lugar. Las intersecciones más significativas para las aseguradoras:

El artículo 9 del RGPD prohíbe tratar datos de salud (datos de categorías especiales) sin una base jurídica explícita. Los modelos de seguros de vida y de salud consumen datos de salud. Su base jurídica, su lógica de minimización de datos y sus límites de conservación deben documentarse por separado de la EIDF de la Ley de IA, pero ambos ejercicios deben realizarse conjuntamente.

El artículo 22 del RGPD restringe las decisiones exclusivamente automatizadas que producen efectos jurídicos o significativos en las personas. Una aseguradora que rechaza una solicitud de póliza de vida basándose únicamente en el resultado de un modelo, sin revisión humana, puede infringir el artículo 22 con independencia de la Ley de IA. El Artículo 14 de la Ley de IA plantea un requisito de supervisión humana paralelo (y a menudo más estricto). Cumplir el estándar de supervisión humana de la Ley de IA suele satisfacer el artículo 22, apartado 3, del RGPD, que exige el derecho a la revisión humana, pero cartografíe ambas obligaciones de forma explícita.

La Directiva de igualdad de género de la UE (Directiva 2004/113/CE del Consejo) prohíbe el género como factor de riesgo en los seguros minoristas. Esto se aplica a nivel de característica, pero la discriminación indirecta a través de variables correlacionadas es un riesgo real que el proceso de la EIDF debe aflorar. Un modelo actuarial que no nombra el género pero lo aprende a través del código postal, el tipo de vehículo o el comportamiento de navegación sigue presentando una exposición de cumplimiento.

El plazo: 2 de diciembre de 2027

En virtud del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026), los sistemas de IA de alto riesgo autónomos del Anexo III —incluida la IA de evaluación de riesgos y fijación de precios de seguros de vida y de salud— deben cumplir antes del 2 de diciembre de 2027. La fecha original del 2 de agosto de 2026 se ha aplazado. La adopción formal del Ómnibus se espera antes del 2 de agosto de 2026.

No es una ventana amplia para las aseguradoras que necesitan ejecutar un inventario, clasificar docenas de sistemas, realizar EIDF, construir o verificar mecanismos de supervisión y producir u obtener documentación técnica. Solo la documentación —incluso para un responsable del despliegue que revisa el paquete de un proveedor— lleva tiempo ensamblarla correctamente. Los programas de gobernanza que empiezan en 2026 no van adelantados; los que empiezan en 2027 van tarde.

El incumplimiento de las obligaciones de alto riesgo (Artículo 99, apartado 4): hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, la multa se limita al menor de los dos importes (Artículo 99, apartado 6).

Cómo ayuda Confir

Confir es una herramienta de cumplimiento autoservicio de la Ley de IA de la UE para equipos de cumplimiento, jurídicos y de TI. Su motor basado en reglas y determinista —la misma admisión produce la misma conclusión, con la lógica legible por humanos y defendible en una auditoría— se ajusta directamente a las necesidades del programa de gobernanza de una aseguradora.

El módulo de clasificación le guía por el análisis de los Artículos 5 y 6 para cada sistema de su inventario, aplicando la lógica del Anexo III, punto 5, letra c) (seguros de vida o de salud), punto 4, letra a) (empleo) y punto 1 (biometría) mediante listas de comprobación en lenguaje sencillo. Deriva su papel —responsable del despliegue, proveedor o una posición mixta— y fija el alcance de las obligaciones en consecuencia.

El flujo de trabajo de la EIDF cubre los requisitos del Artículo 27 para los responsables del despliegue de seguros de vida y de salud: alcance de la finalidad, población afectada, pruebas de características protegidas, cotejo con el artículo 9 y el artículo 22 del RGPD, y documentación de la mitigación.

La evaluación cubre las cuatro áreas de cumplimiento —AIRC (clasificación y conformidad), AITR (datos y robustez técnica), AITO (transparencia y supervisión humana), AIGM (gobernanza y vigilancia)— y genera una puntuación de salud de cumplimiento y un registro de riesgos que puede presentar a un regulador o a un consejo de administración.

Sin consultores, sin proyecto de implantación.

Preguntas frecuentes

¿Es toda la IA de seguros de alto riesgo en virtud de la Ley de IA de la UE?

No. La clasificación de alto riesgo es específica del caso de uso. En virtud del Anexo III, punto 5, letra c), los sistemas de IA utilizados para la evaluación de riesgos y la fijación de primas para personas físicas en los seguros de vida y de salud son de alto riesgo. Los ramos de automóvil, hogar, comercial y otros no entran en el punto 5, letra c) por la sola conexión con los seguros —aunque herramientas concretas puedan activar otros puntos del Anexo III (IA de empleo en virtud del punto 4, letra a); herramientas biométricas en virtud del punto 1) o afrontar obligaciones del RGPD de todos modos—.

La mayoría de las aseguradoras compran modelos de suscripción a proveedores. ¿Siguen siendo responsables?

Sí, como responsables del despliegue en virtud del Artículo 26. El proveedor (vendedor) carga con el conjunto de obligaciones más pesado, pero el responsable del despliegue debe seguir las instrucciones del proveedor, garantizar la supervisión humana en virtud del Artículo 14, conservar los registros durante al menos seis meses (Artículo 26), vigilar el rendimiento y realizar una EIDF en virtud del Artículo 27 para los sistemas de fijación de precios de seguros de vida y de salud. El responsable del despliegue no puede externalizar la responsabilidad señalando al proveedor: debe verificar el paquete de cumplimiento del proveedor antes del despliegue.

¿Qué es la EIDF del Artículo 27 y la necesita toda aseguradora?

La evaluación de impacto relativa a los derechos fundamentales (Artículo 27) es obligatoria para los responsables del despliegue de sistemas cubiertos por el Anexo III, punto 5, letra b) (solvencia) y punto 5, letra c) (riesgo y precios de seguros de vida y de salud), y para los responsables del despliegue que son organismos públicos. Una aseguradora de automóvil privada que solo despliega IA de triaje de siniestros no debe una EIDF por ese sistema. Una aseguradora de vida que despliega un modelo de tarificación de primas, sí. La EIDF debe realizarse antes del despliegue y registrarse en la base de datos de la UE en virtud del Artículo 49.

¿Cómo interactúa el artículo 22 del RGPD con el requisito de supervisión humana de la Ley de IA?

Se solapan, pero no son idénticos. El artículo 22 del RGPD restringe las decisiones puramente automatizadas con efectos jurídicos o significativos en las personas —exige una base jurídica, transparencia y el derecho a la revisión humana—. El Artículo 14 de la Ley de IA de la UE exige una supervisión humana significativa de los resultados de la IA de alto riesgo antes de que las decisiones surtan efecto. Una aseguradora que implementa una supervisión genuina del Artículo 14 —un actuario formado revisa la recomendación del modelo con acceso al razonamiento y conserva la autoridad para anular— suele satisfacer al mismo tiempo el derecho a la revisión humana del artículo 22, apartado 3. Documente ambas obligaciones, pero realice la comprobación de cumplimiento de cada una.

¿Afecta la Directiva de igualdad de género de la UE a cómo utilizamos la IA en la fijación de precios de seguros?

Sí, indirectamente. La Directiva 2004/113/CE del Consejo prohíbe utilizar el género como factor actuarial en los contratos de seguros minoristas. Un modelo que no contiene el género como variable explícita puede aprenderlo igualmente a través de variables indirectas —código postal, tipo de vehículo, estado civil, comportamiento digital—. El proceso de la EIDF exigido en virtud del Artículo 27 debe incluir pruebas de discriminación indirecta por género y por otras características protegidas. Detectar un efecto de género indirecto no crea automáticamente una infracción de la Directiva, pero crea la obligación de investigar y documentar.

¿Cuál es el plazo de cumplimiento para la IA de seguros?

En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo para los sistemas de IA de alto riesgo autónomos —incluida la IA de fijación de precios de seguros de vida y de salud en virtud del Anexo III, punto 5, letra c)— es el 2 de diciembre de 2027. Esto aplaza la fecha original del 2 de agosto de 2026. La IA integrada en productos regulados del Anexo I sigue un plazo posterior del 2 de agosto de 2028. El techo sancionador por incumplimiento de las obligaciones de alto riesgo es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor (Artículo 99, apartado 4).

¿Qué registros debe conservar una aseguradora responsable del despliegue?

Los registros del funcionamiento del sistema deben conservarse durante al menos seis meses (Artículo 26). La documentación técnica —producida por el proveedor— debe conservarse y estar disponible para los reguladores durante la vida del sistema más el período de conservación legal. La documentación de la EIDF debe registrarse y mantenerse actualizada. Las decisiones de supervisión humana, incluidas las anulaciones de resultados del modelo, deben registrarse con marcas de tiempo y razonamiento a efectos de auditoría. Si es proveedor, la documentación técnica y los registros de vigilancia poscomercialización deben conservarse durante diez años (Artículo 18).

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

Industry Guide

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

Industry Guide

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.