¿Es mi sistema de IA de alto riesgo con arreglo a la Ley de IA de la UE?

La respuesta breve: aplica cinco preguntas en secuencia. Si tu sistema topa con una señal de «alto» antes del final, ya conoces tu nivel y tus obligaciones. Si supera las cinco, tiene riesgo mínimo: ningún requisito obligatorio más allá de las buenas prácticas.

Este recorrido sigue la lógica exacta del Reglamento (UE) 2024/1689. El plazo de cumplimiento para el nivel de alto riesgo es el 2 de diciembre de 2027 para los sistemas autónomos, aplazado respecto de la fecha original del 2 de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026. Eso no es motivo para retrasar la clasificación. Solo la documentación tarda meses en reunirse, y el registro en la base de datos de la UE en virtud del Artículo 49 debe producirse antes del despliegue.

---

La prueba de clasificación de cinco pasos

Paso 1: ¿Es una práctica prohibida con arreglo al Artículo 5?

El Artículo 5 enumera prácticas prohibidas de plano, con independencia de cómo esté diseñado el sistema o de quién lo despliegue. Las prácticas prohibidas son ilícitas desde el 2 de febrero de 2025.

Te detienes aquí —riesgo inaceptable— si tu sistema:

• Despliega técnicas subliminales o explota deliberadamente vulnerabilidades (edad, discapacidad, circunstancias sociales) para distorsionar el comportamiento de modo que cause perjuicios (Artículo 5, apartado 1, letras a) y b))
• Realiza puntuación social por parte de autoridades públicas que da lugar a un trato perjudicial en contextos no relacionados (Artículo 5, apartado 1, letra c))
• Predice el riesgo de que una persona cometa una infracción penal únicamente sobre la base de la elaboración de perfiles o de rasgos de personalidad, sin referencia a un comportamiento real observado por humanos (Artículo 5, apartado 1, letra d))
• Extrae imágenes faciales de internet o de CCTV para crear o ampliar una base de datos biométrica (Artículo 5, apartado 1, letra e))
• Infiere emociones en el lugar de trabajo o en entornos educativos, con excepciones acotadas por motivos médicos o de seguridad (Artículo 5, apartado 1, letra f))
• Realiza categorización biométrica que deduce atributos sensibles como la opinión política, las creencias religiosas, la orientación sexual o la raza (Artículo 5, apartado 1, letra g))
• Utiliza identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo en las condiciones acotadas del Artículo 5, apartado 2 (Artículo 5, apartado 1, letra h))

Ejemplos concretos sí/no:

• Una herramienta de productividad laboral que infiere la frustración del empleado a partir de los patrones de pulsación de teclas → Prohibida (inferencia de emociones en el lugar de trabajo, art. 5, apdo. 1, letra f))
• Una herramienta de garantía del cumplimiento del Derecho que predice la reincidencia únicamente a partir de datos demográficos y de redes sociales → Prohibida (predicción del riesgo de delinquir basada en la elaboración de perfiles, art. 5, apdo. 1, letra d))
• Un chatbot de RR. HH. que coteja las candidaturas con los requisitos del puesto → No prohibido; pasa al Paso 2

Si tu sistema está prohibido, detente. No hay vía de cumplimiento: descontinúa o rediseña el sistema antes del 2 de febrero de 2025 (esa fecha ya ha pasado).

---

Paso 2: ¿Es un componente de seguridad de un producto del Anexo I que requiere evaluación de la conformidad por terceros?

El Artículo 6, apartado 1, crea una vía independiente hacia el alto riesgo para los sistemas de IA que son un componente de seguridad de un producto regulado por la legislación de armonización de la Unión enumerada en el Anexo I, y en los que ese producto está sujeto a su vez a una evaluación de la conformidad por terceros.

El Anexo I comprende, entre otros: máquinas (Reglamento (UE) 2023/1230), productos sanitarios (MDR 2017/745), productos sanitarios para diagnóstico in vitro (IVDR 2017/746), equipos radioeléctricos (RED 2014/53/UE), aeronaves (Reglamento de la AESA (UE) 2018/1139) y vehículos de motor. Si tu sistema de IA forma parte de la función de seguridad de uno de esos productos —en lugar de ser una herramienta autónoma—, es de alto riesgo con arreglo al Artículo 6, apartado 1.

El plazo de cumplimiento para esta vía es el 2 de agosto de 2028 (no diciembre de 2027: el Ómnibus Digital fijó una fecha posterior distinta para los productos del Anexo I).

Ejemplos concretos sí/no:

• Un algoritmo de IA integrado en un producto sanitario de diagnóstico por imagen (clasificado como clase IIa o superior con arreglo al MDR) que marca posibles tumores para que los revise un radiólogo → Alto riesgo por el art. 6, apdo. 1. La evaluación de la conformidad se integra con el proceso de marcado CE del MDR; las obligaciones de la Ley de IA se superponen a ello.
• Un panel de análisis general vendido como producto SaaS independiente que un hospital adquiere por su cuenta → No integrado en el producto; no activa el art. 6, apdo. 1. Pasa al Paso 3.

---

Paso 3: ¿Entra en un ámbito del Anexo III?

El Artículo 6, apartado 2, dispone que los sistemas de IA enumerados en el Anexo III son de alto riesgo. El Anexo III contiene ocho ámbitos:

1. Biometría — identificación biométrica remota; categorización biométrica; reconocimiento de emociones (cuando no esté prohibido)
2. Infraestructuras críticas — componentes de seguridad en la infraestructura digital, el tráfico rodado, el suministro de agua y de energía
3. Educación y formación profesional — sistemas que determinan el acceso, evalúan a los estudiantes, supervisan la conducta en los exámenes
4. Empleo y gestión de los trabajadores — contratación, cribado, promoción, despido, asignación de tareas, supervisión del rendimiento y la conducta (Anexo III, punto 4)
5. Acceso a servicios privados y públicos esenciales — solvencia y calificación crediticia (no la detección de fraude); evaluación de riesgos y fijación de precios en los seguros de salud y de vida; priorización del envío de servicios de emergencia; admisibilidad a prestaciones públicas (Anexo III, punto 5)
6. Garantía del cumplimiento del Derecho — riesgo de delinquir o reincidir, polígrafos, evaluación de la fiabilidad de las pruebas, análisis de delitos
7. Migración, asilo y control fronterizo — evaluación de riesgos, examen de las solicitudes, verificación de documentos
8. Administración de justicia y procesos democráticos — asistencia a las autoridades judiciales en la aplicación del Derecho; influencia en elecciones o referendos

Ejemplos concretos sí/no:

• Una herramienta de clasificación de currículos que puntúa a los candidatos para la preselección → Anexo III, punto 4, letra a) — empleo, contratación. Alto riesgo.
• Un modelo de calificación crediticia que fija el precio de un préstamo al consumo → Anexo III, punto 5, letra b) — evaluación de la solvencia. Alto riesgo.
• Un sistema de detección de fraude que marca transacciones sospechosas (sin puntuar la solvencia de una persona) → Excluido explícitamente del Anexo III, punto 5, letra b). No es de alto riesgo por esta vía.
• Un chatbot que atiende consultas generales de clientes → No entra en ningún ámbito del Anexo III. Pasa al Paso 4.

Si tu sistema no figura en el Anexo III, salta al Paso 4 (la comprobación de riesgo limitado).

---

Paso 4: ¿Se aplica la exención del Artículo 6, apartado 3?

No todo sistema que entra nominalmente en el Anexo III es automáticamente de alto riesgo. El Artículo 6, apartado 3, dispone que un sistema del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales de las personas físicas, incluido el caso de que no influya materialmente en el resultado de la toma de decisiones. La exención se aplica cuando el sistema:

• Desempeña una tarea procedimental limitada (p. ej., convertir el formato de un documento, encaminar un mensaje);
• Mejora el resultado de una actividad humana previamente realizada (p. ej., corregir la ortografía de un texto que un humano ya ha redactado);
• Detecta patrones de toma de decisiones sin sustituir ni influir en la evaluación humana (p. ej., un informe de análisis que muestra tendencias para su interpretación humana, sin recomendaciones a nivel individual); o
• Realiza un trabajo preparatorio para una decisión que un humano toma con independencia del resultado del sistema.

El límite infranqueable: todo sistema que elabore perfiles de personas físicas —aunque por lo demás encaje en una de las cuatro condiciones de la exención— sigue siendo de alto riesgo. No existe vía de exención para la elaboración de perfiles.

Si reclamas la exención del Artículo 6, apartado 3, subsisten dos obligaciones:

1. Debes documentar la evaluación: un registro por escrito que explique qué condición de exención se aplica y por qué el sistema no plantea un riesgo significativo de perjuicio.
2. Aun así debes registrar el sistema en la base de datos de la UE en virtud del Artículo 49.

Ejemplos concretos sí/no:

• Una herramienta de análisis de RR. HH. que genera estadísticas agregadas de rotación por departamento, sin puntuar a empleados individuales → Podría cumplir los requisitos como «trabajo preparatorio / detección de patrones sin influir en la evaluación individual». Documéntalo con cuidado.
• Una herramienta que clasifica automáticamente a los candidatos a un empleo y filtra a quienes quedan por debajo de una puntuación de corte antes de que un humano revise la preselección → El sistema sí influye en el resultado de las decisiones individuales. La exención no se aplica. Alto riesgo.
• Un sistema de buró de crédito que recopila datos financieros en bruto para un analista humano que después toma su propia decisión de puntuación → Potencialmente procedimental acotado / preparatorio. La exención es defendible, pero solo con una documentación rigurosa que demuestre que el resultado del sistema no se utiliza como dato de entrada en la decisión crediticia.

Si la exención se aplica: documenta, registra, y habrás terminado con las obligaciones de alto riesgo.

Si la exención no se aplica (o estás en el Anexo III sin una reclamación de exención válida): alto riesgo. Heredas el conjunto completo de obligaciones: sistema de gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica con arreglo al Anexo IV (Artículo 11), conservación de registros (Artículo 12), transparencia hacia los responsables del despliegue (Artículo 13), supervisión humana (Artículo 14), exactitud y robustez (Artículo 15), evaluación de la conformidad (Artículo 43), declaración UE de conformidad (Artículo 47), marcado CE (Artículo 48) y registro (Artículo 49). Los proveedores soportan la carga principal; los responsables del despliegue deben verificar el cumplimiento y mantener sus propias obligaciones con arreglo al Artículo 26 antes del despliegue.

---

Paso 5: ¿Activa las obligaciones de transparencia del Artículo 50?

Si tu sistema superó los Pasos 1 a 4 sin caer en una categoría prohibida o de alto riesgo, la última pregunta es si interactúa con personas físicas de un modo que active las obligaciones de transparencia de riesgo limitado del Artículo 50.

El Artículo 50 se aplica desde el 2 de agosto de 2026 —la fecha general de aplicación, que el Ómnibus Digital no aplazó.

Los deberes de divulgación se aplican a:

• Chatbots y resultados conversacionales generados por IA: hay que informar a los usuarios de que están interactuando con un sistema de IA (Artículo 50, apartado 1), salvo que el contexto lo haga evidente.
• Sistemas de reconocimiento de emociones y de categorización biométrica: los operadores deben informar a las personas expuestas a ellos (Artículo 50, apartado 3).
• Ultrafalsificaciones y contenido sintético: los proveedores deben marcar el contenido de audio, imagen o audiovisual generado o manipulado por IA como generado o manipulado artificialmente (Artículo 50, apartado 4).
• Texto generado por IA sobre asuntos de interés público: los editores deben etiquetarlo como generado por IA (Artículo 50, apartado 4).

Si tu sistema no hace nada de esto, te sitúas en el nivel de riesgo mínimo. No se aplica ninguna obligación obligatoria de la Ley de IA de la UE, aunque se fomentan los códigos de conducta voluntarios.

Ejemplos concretos sí/no:

• Un chatbot de atención al cliente que responde a consultas de facturación → Riesgo limitado. Debe divulgar a los usuarios la interacción con IA (Artículo 50, apartado 1).
• Una herramienta interna de redacción de documentos utilizada exclusivamente por personal formado que sabe que es una herramienta de IA → Probablemente riesgo mínimo; la excepción de «evidente por el contexto» del Artículo 50, apartado 1, puede aplicarse, pero documenta tu razonamiento.
• Una herramienta de marketing que genera textos de descripción de productos publicados en un sitio web comercial → El etiquetado del Artículo 50, apartado 4, puede aplicarse si abarca asuntos de interés público; los textos estándar de comercio electrónico probablemente queden fuera de ese alcance.

---

Resumen de los niveles de riesgo

---

Qué exige realmente el «alto riesgo»

Una vez que un sistema se clasifica como de alto riesgo, el conjunto de obligaciones no es trivial. Estas se aplican a los proveedores (empresas que desarrollan o introducen el sistema en el mercado con su propio nombre) con arreglo al Artículo 16; los responsables del despliegue (empresas que utilizan el sistema en un contexto profesional bajo su autoridad) cargan con sus propias obligaciones con arreglo al Artículo 26.

Para los proveedores, los requisitos esenciales son:

• Artículo 9 — Sistema de gestión de riesgos: un proceso continuo, actualizado de forma permanente a lo largo de todo el ciclo de vida del sistema.
• Artículo 10 — Gobernanza de datos: controles documentados sobre los datos de entrenamiento, validación y prueba, incluido el examen de sesgos.
• Artículo 11 — Documentación técnica (con arreglo al Anexo IV): todo lo que un organismo notificado o una autoridad de vigilancia del mercado necesitaría para evaluar el cumplimiento.
• Artículo 13 — Transparencia hacia los responsables del despliegue: instrucciones de uso que permitan a los responsables del despliegue comprender qué hace el sistema, sus limitaciones y cómo implementar la supervisión humana.
• Artículo 14 — Supervisión humana: diseñar el sistema de modo que un humano pueda comprender, vigilar, intervenir y anular sus resultados.
• Artículo 15 — Exactitud, robustez, ciberseguridad: niveles de rendimiento documentados; resiliencia frente a errores y entradas adversarias.
• Artículo 43 — Evaluación de la conformidad: autoevaluación interna (Anexo VI) para la mayoría de las categorías del Anexo III; evaluación por organismo notificado (Anexo VII) para la biometría (Anexo III, punto 1) y algunos otros casos.
• Artículo 47 — Declaración UE de conformidad: documento formal firmado antes de introducir el sistema en el mercado.
• Artículo 49 — Registro: inscripción en la base de datos de la UE antes del despliegue.
• Artículo 72 — Vigilancia poscomercialización: un plan para recopilar y revisar datos sobre el rendimiento del sistema tras el despliegue.
• Artículo 73 — Notificación de incidentes graves: notificar los incidentes a las autoridades de vigilancia del mercado.

Para los responsables del despliegue en concreto, el Artículo 27 exige una Evaluación de Impacto en los Derechos Fundamentales (EIDF) antes de desplegar determinados sistemas de alto riesgo —en concreto, los utilizados por organismos públicos o en su nombre, y los relativos a la evaluación de la solvencia (Anexo III, punto 5, letra b)) o a la fijación de precios de los seguros de vida/salud (Anexo III, punto 5, letra c)).

La multa por incumplir estas obligaciones asciende a 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). Para las empresas que cumplen los requisitos de pyme o empresa emergente, la multa se limita al menor de los dos importes, el porcentaje o la cantidad fija: una protección de proporcionalidad recogida en el Artículo 99, apartado 6.

---

Cómo ayuda Confir

Confir ejecuta exactamente esta clasificación de cinco pasos en su flujo de admisión, codificada como lógica determinista y basada en reglas. Respondes a escenarios en lenguaje sencillo sobre la función, el caso de uso y el contexto de despliegue de tu sistema; Confir deriva el nivel de riesgo y tu rol (proveedor con arreglo al Artículo 16, responsable del despliegue con arreglo al Artículo 26, o ambos) mediante reglas explícitas, con la regla que se activó visible y auditable. La misma admisión produce siempre el mismo resultado: sin variabilidad, sin alucinaciones.

Una vez confirmada la clasificación, Confir impulsa la evaluación completa: gestión de riesgos del Artículo 9, documentación técnica del Artículo 11, controles de supervisión del Artículo 14, EIDF del Artículo 27 para los responsables del despliegue que cumplan los requisitos, evaluación de la conformidad con arreglo al Artículo 43 y registro del Artículo 49. El resultado es un paquete de cumplimiento listo para imprimir.

---

Preguntas frecuentes

¿El uso interno exime a mi sistema de la Ley de IA de la UE?

No. La Ley se aplica a los sistemas de IA introducidos en el mercado o puestos en servicio en la UE, con independencia de que el despliegue sea interno o comercial. Un sistema que evalúa el rendimiento de los empleados (Anexo III, punto 4) es de alto riesgo tanto si se vende externamente como si se utiliza únicamente dentro de tu propia organización. Los responsables del despliegue internos cargan con las obligaciones del Artículo 26: verificar el cumplimiento del proveedor, garantizar la supervisión humana y conservar los registros durante al menos seis meses con arreglo al Artículo 26.

Mi sistema formula recomendaciones, pero un humano toma la decisión final. ¿Cambia eso mi clasificación?

La clasificación con arreglo a los Artículos 5 y 6 se basa en la función y el uso previsto del sistema, no en si un humano aprueba el resultado. Una herramienta de contratación que clasifica a los candidatos es de alto riesgo (Anexo III, punto 4, letra a)) aunque un responsable revise la preselección antes de cualquier contratación. El requisito de supervisión humana del Artículo 14 es una obligación que se activa por la clasificación de alto riesgo, no un mecanismo para evitarla.

La exención del Artículo 6, apartado 3, parece atractiva. ¿Cómo de estrecha es realmente?

Muy estrecha. Un sistema que produce cualquier resultado a nivel individual —una puntuación, una recomendación, una clasificación— que alimente una decisión sobre una persona física tendrá dificultades para superar la prueba de «no influir en el resultado de la toma de decisiones». La exención está pensada para utilidades genuinas: conversión de formatos, estadísticas agregadas, procesamiento documental preparatorio. Si existe una duda razonable, trata el sistema como de alto riesgo y documéntalo; el coste de una clasificación errónea (art. 99, apdo. 4: hasta 15 M€/3 %) supera el coste de una evaluación de la conformidad.

¿Cuál es la diferencia entre un proveedor y un responsable del despliegue?

Un proveedor (Artículo 16) desarrolla o introduce el sistema de IA en el mercado con su propio nombre. Un responsable del despliegue (Artículo 26) utiliza el sistema bajo su autoridad en un contexto profesional. Una empresa SaaS que vende una herramienta de contratación con IA es un proveedor; una empresa que utiliza esa herramienta para cribar candidatos es un responsable del despliegue. Con arreglo al Artículo 25, un responsable del despliegue se convierte en proveedor —con todas las obligaciones que ello conlleva— si pone su propio nombre en el sistema, lo modifica sustancialmente o cambia su finalidad prevista.

¿Cuándo es el plazo para el cumplimiento de alto riesgo?

Para los sistemas de IA de alto riesgo autónomos cubiertos por el Anexo III: 2 de diciembre de 2027, en virtud del acuerdo político del Ómnibus Digital de mayo de 2026 (anteriormente, 2 de agosto de 2026). Para la IA de alto riesgo integrada en productos regulados con arreglo al Anexo I: 2 de agosto de 2028. Las prácticas prohibidas del Artículo 5 están prohibidas desde el 2 de febrero de 2025. La transparencia de riesgo limitado del Artículo 50 se aplica desde el 2 de agosto de 2026.

¿Qué sanciones se aplican si clasifico erróneamente un sistema de alto riesgo como de riesgo mínimo?

Hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor — Artículo 99, apartado 4. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. La documentación que elabores durante la clasificación es tu principal defensa en una auditoría de vigilancia del mercado; sin ella, los reguladores tratarán la clasificación errónea como negligente.

¿Sigo teniendo obligaciones si se aplica la exención del Artículo 6, apartado 3?

Sí. Debes documentar por escrito la evaluación de la exención (explicando cuál de las cuatro condiciones se aplica y por qué el sistema no plantea un riesgo significativo de perjuicio) y registrar el sistema en la base de datos de la UE en virtud del Artículo 49. El conjunto completo de obligaciones —gestión de riesgos, evaluación de la conformidad, etc.— no se aplica, pero el registro no es renunciable.

---

Guías relacionadas

• vía de designación del Artículo 6
• guía de los niveles de clasificación de riesgo
• casos de uso de identificación biométrica
• árbol de decisión de clasificación del Artículo 6
• casos de uso de alto riesgo del Anexo III
• requisitos de cumplimiento del Artículo 8