Sistemas de IA de alto riesgo con arreglo a la Ley de IA de la UE: obligaciones, plazos y las dos vías de entrada

La Ley de IA de la UE no impone las mismas obligaciones a todos los sistemas de IA. Clasifica los sistemas en cuatro niveles de riesgo y vincula una pesada pila de obligaciones únicamente al nivel superior: el de alto riesgo. Si su sistema aterriza ahí, se enfrenta a unos quince requisitos interrelacionados que abarcan la gestión de riesgos, la gobernanza de datos, la documentación técnica, la conservación de registros, la transparencia, la supervisión humana, la exactitud, la gestión de la calidad, la evaluación de la conformidad, el registro y la vigilancia poscomercialización. Si los incumple, el techo sancionador del Artículo 99, apartado 4, es de 15 millones de euros o el 3 % del volumen de negocios mundial, si esta última cifra es mayor.

El plazo solía ser el 2 de agosto de 2026. En virtud del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026; adopción formal prevista antes de esa fecha original), el régimen de alto riesgo se aplica ahora a partir del 2 de diciembre de 2027 para los sistemas autónomos del Anexo III y a partir del 2 de agosto de 2028 para la IA integrada como componente de seguridad en un producto regulado cubierto por la legislación de productos de la UE (Anexo I). Esa prórroga es un respiro, no un indulto: solo la documentación tarda meses en elaborarse.

Las dos vías hacia la condición de alto riesgo

El Artículo 6 del Reglamento (UE) 2024/1689 crea dos vías de clasificación independientes. Basta con una para ser de alto riesgo.

Vía 1 — Artículo 6, apartado 1, + Anexo I: componente de seguridad de un producto regulado. Si su sistema de IA es un componente de seguridad de un producto que ya necesita una evaluación de la conformidad por terceros con arreglo a uno de los regímenes armonizados de seguridad de los productos enumerados en el Anexo I (máquinas, productos sanitarios, productos sanitarios para diagnóstico in vitro, aviación civil, vehículos y otros), es de alto riesgo. La evaluación de la conformidad del componente de IA se integra en la evaluación que el producto ya realiza con arreglo al Derecho de la UE. El plazo para estos sistemas es el 2 de agosto de 2028.

Vía 2 — Artículo 6, apartado 2, + Anexo III: los ocho ámbitos enumerados. Determinadas aplicaciones de IA autónomas son de alto riesgo en virtud del lugar en que se utilizan. El Anexo III enumera ocho ámbitos:

1. Biometría — identificación biométrica remota (cuando esté permitida), categorización biométrica de personas físicas y reconocimiento de emociones.
2. Infraestructuras críticas — componentes de seguridad en la infraestructura digital, el tráfico rodado y el suministro de servicios públicos.
3. Educación y formación profesional — determinación del acceso a las instituciones, evaluación de los resultados del aprendizaje, supervisión de la conducta durante los exámenes.
4. Empleo, gestión de los trabajadores y acceso al autoempleo — cribado en la contratación (Anexo III, punto 4, letra a)), decisiones de promoción y despido, asignación de tareas, supervisión durante el trabajo.
5. Acceso a servicios esenciales privados y públicos — evaluación de la solvencia y calificación crediticia (Anexo III, punto 5, letra b), excluida la detección de fraude); evaluación de riesgos y fijación de precios en los seguros de salud y de vida (5, letra c)); envío de servicios de emergencia; admisibilidad a prestaciones públicas.
6. Garantía del cumplimiento del Derecho — evaluación del riesgo de delinquir o reincidir, sistemas similares a los polígrafos, evaluación de la fiabilidad de las pruebas, elaboración de perfiles en investigaciones.
7. Migración, asilo y control fronterizo — evaluación de riesgos de los solicitantes, examen de las solicitudes, verificación de documentos.
8. Administración de justicia y procesos democráticos — asistencia a las autoridades judiciales en la investigación de los hechos o la aplicación del Derecho; influencia en elecciones o referendos.

El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027.

El filtro del Artículo 6, apartado 3, y la excepción por elaboración de perfiles

No todo sistema que técnicamente entra dentro de un ámbito del Anexo III es automáticamente de alto riesgo. El Artículo 6, apartado 3, permite a los proveedores autoclasificarse a la baja si el sistema no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, si desempeña una tarea procedimental limitada, mejora el resultado de una actividad humana previamente realizada, detecta patrones de decisión sin sustituir ni influir en la evaluación humana, o realiza únicamente un trabajo preparatorio.

El filtro tiene un límite infranqueable: todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, por estrecha o preparatoria que parezca la tarea. No hay forma de eludirlo.

Los proveedores que reclamen la exención del Artículo 6, apartado 3, deben documentar la autoevaluación y registrar el sistema en la base de datos de la UE en virtud del Artículo 49. La exención no es un salvoconducto general: una autoridad competente puede impugnar la evaluación, y la carga de la prueba recae enteramente sobre el proveedor.

La pila de obligaciones

Un sistema de alto riesgo — por cualquiera de las dos vías — hereda un conjunto de requisitos en capas. Estos se aplican íntegramente a los proveedores (Artículo 16); los responsables del despliegue asumen un conjunto más ligero, pero aún sustancial, en virtud del Artículo 26.

Obligaciones del proveedor

Artículo 9 — Sistema de gestión de riesgos. Un proceso continuo que se extiende desde el desarrollo hasta la retirada del servicio. Identificar los riesgos previsibles y los modos de fallo; evaluar la gravedad y la probabilidad; implementar controles; actualizar el sistema cuando cambie el contexto de despliegue o el modelo.

Artículo 10 — Datos y gobernanza de datos. Los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, representativos y estar suficientemente libres de errores. Los sesgos y las limitaciones conocidos deben documentarse. El Artículo 10 abarca los datos, no la competencia del personal — eso corresponde al Artículo 4 (alfabetización en materia de IA).

Artículo 11 — Documentación técnica. Elaborada antes de la introducción en el mercado, actualizada a lo largo de todo el ciclo de vida. El Anexo IV establece el contenido mínimo: descripción del sistema, lógica de diseño, características de los datos de entrenamiento, métricas de rendimiento, limitaciones conocidas y diseño de la supervisión humana.

Artículo 12 — Conservación de registros. El sistema debe generar automáticamente registros de eventos que permitan reconstruir a posteriori su funcionamiento durante el período pertinente. Los proveedores deben conservar los registros que controlen durante al menos seis meses.

Artículo 13 — Transparencia e información a los responsables del despliegue. Los usuarios y los responsables del despliegue deben recibir información clara sobre las capacidades, las limitaciones y la finalidad prevista del sistema, en una forma que les permita tomar decisiones con conocimiento de causa.

Artículo 14 — Supervisión humana. El sistema debe diseñarse de modo que una persona pueda comprender sus resultados, interpretarlos correctamente e intervenir — pausando, anulando o ignorando el sistema — antes de que cualquier resultado cause un perjuicio. Los mecanismos de supervisión deben estar incorporados; no pueden añadirse tras el despliegue.

Artículo 15 — Exactitud, robustez y ciberseguridad. El sistema debe funcionar de forma coherente con sus niveles de exactitud declarados a lo largo de su vida útil prevista, mantenerse estable frente a perturbaciones previsibles y resistir la manipulación adversaria.

Artículo 17 — Sistema de gestión de la calidad (SGC). Los proveedores deben operar un SGC documentado que abarque el diseño y el desarrollo, las pruebas, la gestión de datos, la vigilancia poscomercialización y las medidas correctoras. Es el envoltorio de gobernanza que rodea a todos los requisitos técnicos.

Artículo 43 — Evaluación de la conformidad. Antes de introducir un sistema en el mercado, los proveedores deben demostrar el cumplimiento mediante el procedimiento de evaluación de la conformidad adecuado. Para la mayoría de los sistemas del Anexo III, se trata de la autoevaluación interna del Anexo VI; el punto 1 del Anexo III (biometría) requiere generalmente la vía del organismo notificado del Anexo VII. La obligación de evaluación de la conformidad es el Artículo 43, no el Artículo 27.

Artículos 47 a 49 — Declaración de conformidad, marcado CE y registro. El Artículo 47 exige una declaración UE de conformidad (DdC) que certifique que el sistema cumple los requisitos del Reglamento, redactada con arreglo al Anexo V. El Artículo 48 exige la colocación del marcado CE. El Artículo 49 exige el registro en la base de datos de la UE — la propia base de datos se establece en virtud del Artículo 71.

Artículo 72 — Vigilancia poscomercialización. Los proveedores deben recopilar y analizar activamente datos sobre el rendimiento del sistema en condiciones reales y retroalimentar las conclusiones en el sistema de gestión de riesgos.

Artículo 73 — Notificación de incidentes graves. Si un sistema de alto riesgo causa o contribuye a un incidente grave — muerte, lesiones graves o un perjuicio significativo para los derechos fundamentales —, los proveedores deben notificarlo a la autoridad de vigilancia del mercado pertinente.

Obligaciones del responsable del despliegue — Artículo 26

Los responsables del despliegue no quedan exentos. El Artículo 26 les exige seguir las instrucciones de uso del proveedor, garantizar que personal cualificado supervise el sistema, vigilar su funcionamiento e informar a su plantilla antes de utilizar IA en contextos laborales (Artículo 26). Los responsables del despliegue deben conservar los registros que controlen durante al menos seis meses en virtud del Artículo 26.

EIDF — Artículo 27

Determinados responsables del despliegue deben además realizar una evaluación de impacto relativa a los derechos fundamentales antes del despliegue: los organismos públicos y los responsables del despliegue privados de sistemas de evaluación de la solvencia (Anexo III, punto 5, letra b)) y de sistemas de evaluación de riesgos en seguros de vida o de salud (5, letra c)). La EIDF no es una obligación general del responsable del despliegue — los empleadores privados que despliegan IA de contratación o de RR. HH. no están obligados automáticamente a realizar una.

Qué significan en la práctica los dos plazos

Una herramienta de cribado en la contratación desplegada por una empresa de tecnología de RR. HH. entra en el Anexo III, punto 4, letra a). Las obligaciones se aplican a partir del 2 de diciembre de 2027. El proveedor necesita tener implantados la gestión de riesgos del Artículo 9, la documentación técnica del Artículo 11 y la evaluación de la conformidad del Artículo 43 antes de esa fecha — y todo ello requiere un tiempo considerable para construirse correctamente.

Una IA de diagnóstico que es un componente de seguridad de un producto sanitario regulado por el MDR 2017/745 entra por la vía del Artículo 6, apartado 1, + Anexo I. Las obligaciones se aplican a partir del 2 de agosto de 2028, y la evaluación de la conformidad se integra en el proceso de evaluación del MDR.

Ninguno de los dos plazos está lo bastante cerca como para aplazar la planificación. La documentación técnica del Artículo 11 requiere meses de trabajo estructurado de datos. Un SGC del Artículo 17 requiere procesos documentados en toda la organización de desarrollo. Empezar a finales de 2027 para cumplir un plazo de diciembre de 2027 no es factible.

Cómo ayuda Confir

El motor de clasificación de Confir aplica las reglas del Artículo 6 y la lógica del Anexo III a respuestas en lenguaje sencillo sobre cómo funciona su sistema y dónde se utiliza. El resultado es una conclusión determinista y basada en reglas — la misma admisión produce el mismo resultado — que le dice si es de alto riesgo, qué vía le ha llevado hasta ahí y si podría aplicarse la exención del Artículo 6, apartado 3. Sin inferencia, sin ambigüedad, sin conjeturas.

Para los sistemas confirmados como de alto riesgo, Confir impulsa el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración de conformidad del Artículo 47 / Anexo V, y ejecuta la EIDF del Artículo 27 para los responsables del despliegue que la necesiten. La puntuación de salud del cumplimiento y el registro de auditoría inmutable le proporcionan un historial defendible de qué decisiones se tomaron, cuándo y sobre qué base.

Preguntas frecuentes

¿Cuál es la diferencia entre las vías del Artículo 6, apartado 1, y del Artículo 6, apartado 2, hacia la condición de alto riesgo?

El Artículo 6, apartado 1, se aplica cuando su IA es un componente de seguridad de un producto ya sujeto a la legislación de la UE sobre seguridad de los productos (Anexo I) — por ejemplo, un producto sanitario o una máquina. La clasificación se deriva del perímetro regulatorio que el producto ya tiene, y las obligaciones se aplican a partir del 2 de agosto de 2028. El Artículo 6, apartado 2, se aplica a la IA autónoma en los ocho ámbitos del Anexo III, con independencia de cualquier marco de seguridad de los productos, con obligaciones a partir del 2 de diciembre de 2027. Un mismo sistema puede técnicamente entrar por ambas vías; se aplican las obligaciones más estrictas.

¿Puedo usar la autoevaluación del Artículo 6, apartado 3, para evitar la pila de obligaciones de alto riesgo?

Sí, pero solo si el sistema no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales, y solo si documenta ese análisis y registra el sistema en virtud del Artículo 49. La exención no se aplica a ningún sistema que elabore perfiles de personas físicas — esos son siempre de alto riesgo. Una autoridad competente puede impugnar su evaluación, por lo que la documentación debe ser sustantiva, no un ejercicio de marcar casillas.

¿Qué sistemas del Anexo III requieren un organismo notificado para la evaluación de la conformidad?

El punto 1 del Anexo III (sistemas de identificación y categorización biométrica) requiere generalmente la vía del organismo notificado con arreglo al Anexo VII del Reglamento. La mayoría de los demás sistemas del Anexo III utilizan el procedimiento de autoevaluación interna del Anexo VI. Esto se establece en el Artículo 43.

¿Qué exige la EIDF del Artículo 27 y quién debe realizarla?

La evaluación de impacto relativa a los derechos fundamentales debe completarse antes del despliegue y debe identificar los derechos fundamentales en riesgo, evaluar la probabilidad y la gravedad de los efectos adversos y documentar las medidas de mitigación. Se aplica a los organismos públicos y a los responsables del despliegue privados de sistemas de evaluación de la solvencia (Anexo III, punto 5, letra b)) y de sistemas de evaluación de riesgos en seguros de salud o de vida (5, letra c)). Los empleadores privados que utilizan IA de contratación no entran automáticamente en el ámbito de aplicación.

¿Qué sanciones se aplican por incumplir las obligaciones de alto riesgo?

En virtud del Artículo 99, apartado 4, el incumplimiento de las obligaciones de alto riesgo del proveedor o del responsable del despliegue acarrea una multa máxima de 15 millones de euros o el 3 % del volumen de negocios anual mundial total del ejercicio financiero anterior, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el fijo o el porcentaje — una protección de proporcionalidad digna de mención. Facilitar información incorrecta a un organismo notificado o a una autoridad competente es un nivel independiente e inferior: 7,5 millones de euros o el 1 % en virtud del Artículo 99, apartado 5.

¿Cuándo se aplica realmente el plazo de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026: los sistemas autónomos del Anexo III a partir del 2 de diciembre de 2027; los componentes de seguridad de IA en productos del Anexo I a partir del 2 de agosto de 2028. La fecha original del 2 de agosto de 2026 se ha aplazado. Las sanciones del Artículo 99 se aplican desde el 2 de agosto de 2025 para otras obligaciones, por lo que la infraestructura de ejecución ya está operativa.

¿Cuál es la principal obligación del responsable del despliegue que difiere de la del proveedor?

Los responsables del despliegue no realizan evaluaciones de la conformidad ni elaboran la documentación técnica del Anexo IV — eso corresponde al proveedor. Las obligaciones esenciales del responsable del despliegue en virtud del Artículo 26 son: seguir las instrucciones del proveedor, garantizar la supervisión humana con personal cualificado, conservar los registros operativos durante al menos seis meses (Artículo 26), notificar a los representantes de los trabajadores antes de desplegar IA en el lugar de trabajo (Artículo 26) y notificar los incidentes graves. Algunos responsables del despliegue deben también una EIDF en virtud del Artículo 27.

Guías relacionadas

• identificación biométrica en el Anexo III
• marco de clasificación de riesgos
• designación de alto riesgo del Artículo 6
• ocho categorías obligatorias del Anexo III
• lista de comprobación de cumplimiento de los Artículos 6 a 29
• introducción a la Ley de IA de la UE