Skip to content
Confir.
Prueba gratuita
Blog

Clasificación de riesgos de la Ley de IA de la UE: árbol de decisión paso a paso

Template14 May 2026· 17 min de lectura

Árbol de decisión de seis nodos para clasificar cualquier sistema de IA con arreglo al Artículo 6 de la Ley de IA de la UE. Prohibido, alto riesgo, limitado o mínimo — con plazos y sanciones.

Todo sistema de IA desplegado o introducido en el mercado de la UE con arreglo al Reglamento (UE) 2024/1689 acaba en uno de cuatro niveles de riesgo. El nivel determina sus obligaciones, sus plazos y — si se equivoca — su exposición sancionadora. Este árbol de decisión le guía por los seis nodos en orden, con el artículo, la prueba en una línea y ejemplos concretos en cada paso.

Recorra los nodos de arriba abajo. Deténgase en el primer nodo en el que obtenga un resultado definitivo.

El árbol de decisión de seis nodos

Nodo 1 — ¿Práctica prohibida? (Artículo 5)

Prueba: ¿Entra el sistema en alguna de las ocho categorías prohibidas enumeradas en el Artículo 5?

El Artículo 5 está en vigor desde el 2 de febrero de 2025. Un sistema que lo active no puede introducirse en el mercado ni ponerse en servicio — no hay exención, no hay escapatoria por autoevaluación y no hay período de gracia.

Las ocho prohibiciones del Artículo 5 son:

  • Técnicas subliminales que distorsionan el comportamiento por debajo de la conciencia (Art. 5, apdo. 1, letra a))
  • Explotación de vulnerabilidades — niños, personas mayores, personas con discapacidad — para mermar la toma racional de decisiones (Art. 5, apdo. 1, letra b))
  • Puntuación social por parte de las autoridades públicas basada en el comportamiento social o las características personales (Art. 5, apdo. 1, letra c))
  • Predecir el riesgo de que una persona cometa un delito únicamente sobre la base de la elaboración de perfiles o de rasgos de la personalidad (Art. 5, apdo. 1, letra d))
  • Extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión para crear bases de datos biométricas (Art. 5, apdo. 1, letra e))
  • Reconocimiento de emociones en el lugar de trabajo o en los centros educativos (Art. 5, apdo. 1, letra f))
  • Categorización biométrica de personas físicas para inferir atributos sensibles — raza, opiniones políticas, afiliación sindical, creencias religiosas, orientación sexual (Art. 5, apdo. 1, letra g))
  • Identificación biométrica remota en tiempo real en espacios de acceso público por parte de las fuerzas de orden público, salvo las tres excepciones estrictas (delito grave, menor desaparecido, amenaza terrorista inminente) con arreglo al Art. 5, apdo. 1, letra h)

Ejemplos: Una herramienta de productividad en el lugar de trabajo que lee las expresiones faciales de los empleados para señalar la desconexión — prohibida con arreglo al Art. 5, apdo. 1, letra f). Una herramienta de puntuación de reincidencia que deriva su predicción únicamente de un perfil demográfico — prohibida con arreglo al Art. 5, apdo. 1, letra d).

→ SÍ: el resultado es RIESGO INACEPTABLE — ALTO. El sistema no debe desplegarse. Techo sancionador: 35 000 000 EUR o el 7 % del volumen de negocios anual mundial (Art. 99, apdo. 3), si esta última cifra es mayor.

→ NO: pase al Nodo 2.

Nodo 2 — ¿Componente de seguridad de un producto del Anexo I que requiere conformidad por terceros? (Artículo 6, apartado 1)

Prueba: ¿Es el sistema un componente de seguridad de un producto cubierto por la legislación de armonización de la UE enumerada en el Anexo I y requiere ese producto una evaluación de la conformidad por terceros con arreglo a su legislación sectorial?

El Anexo I cubre productos como las máquinas (Reglamento sobre máquinas 2023/1230), los productos sanitarios (MDR 2017/745), los productos sanitarios para diagnóstico in vitro (IVDR 2017/746), los vehículos de motor (Reglamento 2018/858), los productos de aviación civil y el material rodante ferroviario. Las tres condiciones deben cumplirse simultáneamente: (1) función de componente de seguridad, (2) producto del Anexo I, (3) evaluación de la conformidad por terceros exigida.

Esta vía se aplica de forma mecánica — no hay discrecionalidad de autoevaluación ni filtro del Artículo 6, apartado 3.

Ejemplos: Software de análisis de imágenes de IA integrado en un producto de diagnóstico in vitro de clase IIb con arreglo al IVDR; un módulo de decisión de frenado de emergencia basado en IA en un vehículo de motor homologado.

→ SÍ: el resultado es ALTO RIESGO (Artículo 6, apartado 1). Plazo: 2 de agosto de 2028 (según el Ómnibus Digital acordado en mayo de 2026; la fecha original del 2 de agosto de 2026 se ha aplazado). Obligaciones completas: Artículos 9, 11, 13, 14, 15, 16-17, 43, 47-49, 72-73.

→ NO: pase al Nodo 3.

Nodo 3 — ¿Entra el sistema en un ámbito del Anexo III? (Artículo 6, apartado 2)

Prueba: ¿Sitúa la finalidad prevista del sistema dentro de una de las ocho categorías de alto riesgo del Anexo III?

Las ocho categorías del Anexo III son:

  1. Biometría — identificación biométrica remota; categorización biométrica; reconocimiento de emociones cuando no esté prohibido por el Art. 5 (Anexo III, punto 1)
  2. Infraestructuras críticas — componentes de seguridad en infraestructuras digitales, tráfico rodado, suministro de servicios públicos (punto 2)
  3. Educación y formación profesional — sistemas de acceso y admisión, evaluación, detección de fraude en los exámenes (punto 3)
  4. Empleo, gestión de los trabajadores, acceso al autoempleo — contratación y cribado, decisiones de rendimiento y promoción, asignación de tareas, supervisión (punto 4)
  5. Acceso a servicios privados y públicos esenciales — evaluación de la solvencia / calificación crediticia (excluyendo la detección de fraude), riesgo y fijación de precios de los seguros de salud y de vida, envío de servicios de emergencia, admisibilidad a prestaciones públicas (punto 5)
  6. Garantía del cumplimiento del Derecho — riesgo de delinquir o reincidir, polígrafos, fiabilidad de las pruebas, elaboración de perfiles (punto 6)
  7. Migración, asilo, control fronterizo — evaluación de riesgos, examen de solicitudes, verificación de documentos (punto 7)
  8. Administración de justicia y procesos democráticos — asistencia a las autoridades judiciales, influencia en elecciones o referendos (punto 8)

Ejemplos: Una herramienta de clasificación de currículos que filtra a los candidatos a un empleo (punto 4, letra a)); un modelo de calificación crediticia utilizado por un prestamista regional (punto 5, letra b)); un sistema de supervisión de exámenes de estudiantes (punto 3, letra b)).

→ NO: salte al Nodo 5 — el sistema no puede ser de alto riesgo con arreglo al Art. 6, apdo. 2, pero aún puede conllevar deberes de transparencia de riesgo limitado.

→ SÍ: pase al Nodo 4.

Nodo 4 — ¿Se aplica la exención del Artículo 6, apartado 3, y no se trata de un sistema de elaboración de perfiles?

Prueba: ¿Puede el proveedor documentar que el sistema cumple al menos una condición del Artículo 6, apartado 3, y no elabora perfiles de personas físicas?

El Artículo 6, apartado 3, permite a un proveedor refutar la presunción de alto riesgo del Anexo III. La exención se aplica cuando el sistema cumple al menos una de las siguientes condiciones:

  1. Desempeña una tarea procedimental limitada — no toma ni influye sustancialmente en una decisión sustantiva que afecte a los derechos o intereses de una persona
  2. Mejora el resultado de una actividad humana previamente realizada — asiste después de la decisión humana central, no antes ni en su lugar
  3. Detecta patrones de decisión sin sustituir ni influir en la evaluación humana — saca información a la luz pero deja la evaluación enteramente a un humano
  4. Realiza únicamente trabajo preparatorio — análisis, redacción o tratamiento de datos que un humano revisará y sobre los que actuará de forma independiente

Cumplir cualquiera de estas condiciones es suficiente, pero el proveedor debe documentar el razonamiento y registrar el sistema en la base de datos de la UE con arreglo al Artículo 49, aun cuando se reclame la exención.

Regla infranqueable: todo sistema que elabore perfiles de personas físicas es automáticamente de alto riesgo con independencia de que se cumplan las cuatro condiciones anteriores. La elaboración de perfiles se define en el artículo 4, apartado 4, del RGPD (aplicable por remisión) como todo tratamiento automatizado de datos personales para evaluar aspectos personales, incluida la predicción de comportamientos.

Ejemplos de sistemas que pueden reunir los requisitos para la exención: un panel de análisis de RR. HH. que presenta estadísticas agregadas de rotación para su revisión por la dirección (trabajo preparatorio, sin decisiones individuales); una herramienta de formato de currículos que estandariza el diseño antes de que los seleccionadores humanos lean las solicitudes (tarea procedimental limitada).

Ejemplos que NO reúnen los requisitos: cualquier herramienta que clasifique, puntúe o filtre a candidatos individuales — aun como primera pasada — porque influye en la evaluación humana de personas concretas.

→ La exención se aplica (al menos una condición cumplida Y no hay elaboración de perfiles): el resultado es EXENTO DE ALTO RIESGO. Clasifique como riesgo limitado o riesgo mínimo (según el Nodo 5/6 más abajo). El proveedor debe aun así documentar la evaluación del Artículo 6, apartado 3, y registrar el sistema con arreglo al Artículo 49.

→ La exención no se aplica (una o más condiciones no se cumplen, O el sistema elabora perfiles de personas): el resultado es ALTO RIESGO (Artículo 6, apartado 2). Plazo: 2 de diciembre de 2027 para los sistemas autónomos (según el Ómnibus Digital); obligaciones completas como en el Nodo 2 anterior.

Nodo 5 — ¿Desencadenante de transparencia del Artículo 50? (chatbot, medios sintéticos, salida de reconocimiento de emociones, ultrafalsificación)

Prueba: ¿Entra el sistema en alguna de las cuatro categorías del Artículo 50 que requieren divulgación a los usuarios?

El Artículo 50 se aplica con independencia de la vía del Artículo 6 — capta sistemas que no son de alto riesgo pero que aun así crean un riesgo de transparencia. Los cuatro desencadenantes son:

  1. Chatbots e IA conversacional — los sistemas diseñados para interactuar con personas físicas deben divulgar que la persona está interactuando con una IA, salvo que sea evidente (Art. 50, apdo. 1)
  2. Sistemas de reconocimiento de emociones — cuando no estén ya prohibidos por el Art. 5, los sistemas que detectan o infieren emociones deben informar a la persona física (Art. 50, apdo. 3)
  3. Generación de ultrafalsificaciones / medios sintéticos — los sistemas que generan contenido sintético de audio, imagen, vídeo o texto que podría parecer falsamente real deben etiquetar la salida como generada o manipulada artificialmente (Art. 50, apdo. 4)
  4. Texto generado por IA sobre asuntos de interés público — los proveedores de IA de uso general que publiquen texto para informar al público sobre asuntos de interés público deben marcarlo como generado por IA (Art. 50, apdo. 4)

Plazo de cumplimiento del Artículo 50: 2 de agosto de 2026 (la fecha de aplicación general; el Ómnibus Digital no lo aplazó).

Ejemplos: Un chatbot de atención al cliente que parece humano — debe identificarse como IA. Una herramienta de marketing que genera vídeos de productos con ultrafalsificación — debe etiquetar las salidas. Un quiosco de detección de emociones en un entorno minorista (cuando no se aplique el Art. 5) — debe notificar a los usuarios.

→ SÍ: el resultado es RIESGO LIMITADO. Obligación: deberes de divulgación y etiquetado con arreglo al Artículo 50. Techo sancionador en caso de incumplimiento: 15 000 000 EUR o el 3 % del volumen de negocios anual mundial (Art. 99, apdo. 4).

→ NO: pase al Nodo 6.

Nodo 6 — Riesgo mínimo

Prueba: ¿Ha superado el sistema los Nodos 1 a 5 sin activar ningún resultado?

En caso afirmativo, el sistema es de RIESGO MÍNIMO con arreglo a la Ley de IA de la UE. No se aplica ninguna obligación obligatoria más allá de la seguridad general de los productos y la legislación sectorial específica (RGPD, protección de los consumidores, etc.). Se fomenta la adhesión voluntaria a códigos de conducta, pero no es obligatoria.

Ejemplos: Un filtro de correo basura; un algoritmo de recomendación de contenidos en una plataforma de entretenimiento; una herramienta de traducción automática; una aplicación de edición de fotos.

Tabla resumen: niveles, obligaciones, plazos, sanciones

NivelDesencadenanteObligaciones clavePlazoTecho sancionador
Riesgo inaceptableArtículo 5Prohibición total — sin introducción en el mercado ni despliegueYa en vigor (2 feb 2025)35 M EUR o 7 % (Art. 99, apdo. 3)
Alto riesgo — producto del Anexo IArt. 6, apdo. 1 + Anexo IArt. 9 (gestión de riesgos), Art. 11 (documentación técnica / Anexo IV), Art. 13 (transparencia hacia el responsable del despliegue), Art. 14 (supervisión humana), Art. 15 (exactitud/robustez), Art. 17 (SGC), Art. 43 (evaluación de la conformidad), Art. 47 (declaración de conformidad), Art. 49 (registro), Art. 72 (vigilancia poscomercialización), Art. 73 (notificación de incidentes)2 de agosto de 202815 M EUR o 3 % (Art. 99, apdo. 4)
Alto riesgo — Anexo III autónomoArt. 6, apdo. 2, Art. 6, apdo. 3, no cumplidoEl mismo conjunto que el anterior2 de diciembre de 202715 M EUR o 3 % (Art. 99, apdo. 4)
Exento del Art. 6, apdo. 3Ámbito del Anexo III, pero exención documentada + sin elaboración de perfilesDocumentar la evaluación; registrar con arreglo al Art. 49Registrar antes del 2 dic 202715 M EUR o 3 % si se omite el registro (Art. 99, apdo. 4)
Riesgo limitadoArtículo 50Divulgación a los usuarios; etiquetar el contenido sintético2 de agosto de 202615 M EUR o 3 % (Art. 99, apdo. 4)
Riesgo mínimoNinguno de los anterioresNinguna obligatoriaReglas generales de productos/RGPD

Nota sobre la proporcionalidad para pymes / empresas emergentes: para las pymes y las empresas emergentes, las sanciones con arreglo al Artículo 99, apartado 6, se limitan al menor de los dos importes, el porcentaje o la cantidad fija — una protección significativa cuando el volumen de negocios es modesto.

Recorriendo el árbol: tres ejemplos prácticos

Ejemplo A — SaaS de cribado para la contratación. Una empresa de tecnología de RR. HH. de 30 personas construye una herramienta que clasifica a los candidatos a un empleo según la idoneidad prevista. Nodo 1: ninguna prohibición del Art. 5. Nodo 2: no es un componente de seguridad de un producto. Nodo 3: Anexo III, punto 4, letra a) — acceso al empleo, sí. Nodo 4: la herramienta clasifica y filtra a personas, por lo que elabora perfiles de ellas — la exención del Art. 6, apdo. 3, no está disponible. Resultado: alto riesgo (Art. 6, apdo. 2), plazo 2 de diciembre de 2027.

Ejemplo B — Chatbot interno de consultas. Una empresa financiera despliega un asistente conversacional que los empleados utilizan para consultar documentos internos de políticas. Nodo 1: no. Nodo 2: no. Nodo 3: no se aplica ninguna categoría del Anexo III. Nodo 5: es un chatbot — se aplica el deber de divulgación del Art. 50, apdo. 1. Resultado: riesgo limitado, plazo 2 de agosto de 2026. Debe divulgar la identidad de IA al inicio de la sesión.

Ejemplo C — Herramienta de formato de documentos. Un bufete de abogados utiliza una herramienta de IA para formatear automáticamente los escritos judiciales antes de que un abogado los revise y los presente. Nodo 1: no. Nodo 2: no. Nodo 3: posiblemente una tarea preparatoria en la administración de justicia (Anexo III, punto 8), pero Nodo 4: solo realiza el formato — tarea procedimental limitada, mejora una actividad humana ya realizada, no hace ninguna evaluación sustantiva ni elaboración de perfiles. Resultado: exento con arreglo al Art. 6, apdo. 3, clasificar como riesgo mínimo. El proveedor debe documentar la evaluación de la exención y registrar con arreglo al Art. 49.

Qué determina el alto riesgo: dos trampas que evitar

Trampa 1 — «Solo asistimos, no decidimos». La exención del Artículo 6, apartado 3, es más estrecha de lo que parece. Un sistema que filtra, clasifica o puntúa a personas influye en la decisión humana aunque el humano conserve la autoridad formal. Las autoridades reguladoras examinarán el flujo de trabajo real, no la etiqueta que usted le ponga.

Trampa 2 — Confiar en la frontera Art. 5 / Art. 6 sin comprobar el Art. 50. Un sistema que no es de alto riesgo aún puede conllevar deberes de divulgación con arreglo al Artículo 50. Las dos preguntas — «¿cómo de arriesgado es este sistema?» y «¿interactúa este sistema directamente con los usuarios de un modo que requiere transparencia?» — son independientes. Un chatbot de riesgo mínimo sigue estando sujeto al Art. 50, apdo. 1.

Cómo ayuda Confir

El motor de clasificación de Confir ejecuta exactamente este árbol de seis nodos para cada sistema de IA que registre. Usted responde preguntas de admisión en lenguaje sencillo; el motor aplica la lógica de los Artículos 5 y 6, comprueba las condiciones del Art. 6, apdo. 3, señala los desencadenantes del Art. 50 y devuelve un nivel con la regla que se activó. Como la lógica es determinista y basada en reglas — la misma admisión, la misma salida siempre — la clasificación es reproducible y defendible ante una auditoría. El resultado alimenta directamente su paquete de documentación técnica del Artículo 11 y su entrada de registro del Artículo 49.

Preguntas frecuentes

¿Quién ejecuta la clasificación del Artículo 6 — el proveedor o el responsable del despliegue? El proveedor soporta la responsabilidad principal: el Artículo 6 y la obligación de documentación técnica (Artículo 11) recaen en la entidad que introduce el sistema en el mercado o lo pone en servicio bajo su propio nombre. Los responsables del despliegue deben evaluar si su caso de uso concreto cambia la clasificación — el Artículo 25 convierte a un responsable del despliegue en proveedor si modifica sustancialmente el sistema o le pone su nombre.

Si mi sistema reúne los requisitos para la exención del Art. 6, apdo. 3, ¿sigo teniendo que registrarlo? Sí. El Artículo 49 exige a los proveedores que reclaman la exención del Art. 6, apdo. 3, registrar el sistema en la base de datos de la UE antes del despliegue. La entrada de registro deja constancia de que se reclamó la exención y de su fundamento.

¿Qué significa «elaboración de perfiles» en el contexto del Art. 6, apdo. 3? La Ley remite a la definición del RGPD: todo tratamiento automatizado de datos personales para evaluar, analizar o predecir aspectos de una persona física — incluidos el rendimiento profesional, la situación económica, la salud, las preferencias personales o el comportamiento. Toda herramienta que genere una puntuación o una clasificación a nivel individual implica elaboración de perfiles y queda fuera de la exención del Art. 6, apdo. 3.

¿Puede un único sistema de IA ser a la vez de alto riesgo y estar sujeto al Art. 50? Sí. Un sistema de identificación biométrica utilizado en las fronteras es de alto riesgo con arreglo al Art. 6, apdo. 1, y también puede activar el Art. 50, apdo. 1, si interactúa de forma conversacional con los viajeros. Los niveles no son mutuamente excluyentes — clasifique primero con arreglo al Art. 6 y luego superponga el Art. 50 por separado.

¿Cuál es la sanción por desplegar un sistema prohibido? Hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial (Art. 99, apdo. 3), si esta última cifra es mayor. Para las pymes y las empresas emergentes, la multa es el menor de los dos importes (Art. 99, apdo. 6). La prohibición del Artículo 5 se aplica desde el 2 de febrero de 2025.

¿Con qué frecuencia debo volver a ejecutar la clasificación? Vuelva a ejecutarla siempre que la finalidad prevista, los datos de entrenamiento, el contexto de despliegue o la población de usuarios del sistema cambien de forma material. Como mínimo, revísela como parte de su ciclo de vigilancia poscomercialización del Artículo 72. Documente cada revisión en su expediente técnico.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.