Skip to content
Confir.
Prueba gratuita
Blog

IA de riesgo mínimo en la Ley de IA de la UE: qué significa y qué sigue debiendo

Guide29 April 2026· 14 min de lectura

La IA de riesgo mínimo no conlleva obligaciones de sistema obligatorias en la Ley de IA de la UE, pero la alfabetización en IA del artículo 4 sigue aplicándose. Conozca qué cumple los requisitos y qué documentar.

La mayor parte de la IA de uso comercial es de riesgo mínimo. Filtros de spam, recomendadores de productos, herramientas de previsión de inventario, asistentes de redacción de documentos, chatbots de atención al cliente: ninguno de ellos entra en el nivel prohibido (artículo 5) ni en la lista de alto riesgo (artículo 6 + Anexo III), y la mayoría tampoco activa las obligaciones de transparencia de riesgo limitado del artículo 50. La Ley de IA de la UE los deja en gran medida sin regular por diseño: el legislador optó por no imponer evaluaciones de la conformidad, documentación técnica ni sistemas de gestión de riesgos a los sistemas que plantean un riesgo bajo o nulo para la salud, la seguridad o los derechos fundamentales.

Eso es realmente una buena noticia para la mayoría de las empresas que despliegan IA hoy. Pero «ninguna obligación obligatoria para el sistema» no es lo mismo que «ninguna obligación en absoluto». Dos salvedades se aplican con independencia del nivel de riesgo, y clasificar erróneamente como de riesgo mínimo un sistema que en realidad pertenece al Anexo III es un incumplimiento con exposición real.

Qué significa realmente «riesgo mínimo» en la Ley

El Reglamento (UE) 2024/1689 no emplea la expresión «riesgo mínimo» como término jurídico definido. El marco de los cuatro niveles —riesgo inadmisible, alto riesgo, riesgo limitado/de transparencia, riesgo mínimo— es la abreviatura que utiliza la comunidad del cumplimiento para describir la estructura de la Ley, y la Comisión la utilizó en materiales explicativos. La propia Ley crea obligaciones para tres grupos de sistemas y no dice nada más sobre el resto:

  • Artículo 5 — determinadas prácticas están totalmente prohibidas (riesgo inadmisible). Prohibidas desde el 2 de febrero de 2025.
  • Artículo 6 + Anexo III — los sistemas de ocho categorías de casos de uso son de alto riesgo y conllevan la pila completa de obligaciones.
  • Artículo 50 — tipos de sistema específicos (chatbots, generadores de ultrafalsos, sistemas de reconocimiento de emociones, etiquetado de contenidos generados por IA) deben cumplir obligaciones de transparencia con independencia de su condición de Anexo III.

Todo lo no captado por los artículos 5, 6 o 50 se sitúa en el nivel residual. Sin evaluación de la conformidad. Sin documentación técnica del Anexo IV. Sin sistema de gestión de riesgos del artículo 9. Sin expediente técnico del artículo 11. Sin obligaciones de supervisión humana del artículo 14. Sin procedimiento de conformidad del artículo 43. Sin marcado CE. Sin registro del artículo 49 en la base de datos de la UE.

El nivel de riesgo mínimo no es un programa de cumplimiento de menor categoría: es una ausencia de obligaciones a nivel de sistema en virtud de la Ley de IA.

Las dos salvedades que sí se aplican

Alfabetización en IA del artículo 4 — en vigor desde el 2 de febrero de 2025

El artículo 4 exige a los proveedores y responsables del despliegue de sistemas de IA —cualesquiera sistemas de IA, con independencia del nivel de riesgo— que adopten medidas para garantizar que su personal y cualquier persona que opere IA en su nombre tenga una alfabetización en IA suficiente. La obligación es proporcionada al papel, al contexto técnico y al grado de automatización implicado. No impone un programa de formación concreto, pero sí exige que se haya reflexionado sobre la competencia, que se haya establecido algo y que se pueda demostrar.

Para una empresa que despliega IA de riesgo mínimo, el artículo 4 es la principal obligación viva. Ignorarlo por completo es una laguna de cumplimiento, aunque el sistema en sí no deba nada más en virtud de la Ley.

Otras normativas siguen aplicándose

Clasificar un sistema como de riesgo mínimo en virtud de la Ley de IA no lo sanea para cualquier otra finalidad. Un recomendador de productos que trata el historial de compras y los datos de navegación está sujeto al RGPD. Una herramienta de productividad en el lugar de trabajo que supervisa las pulsaciones de teclas o las comunicaciones debe satisfacer lo que exija la normativa nacional de empleo y de protección de datos. Una empresa de servicios financieros que ejecuta modelos de predicción de abandono de clientes puede tener obligaciones sectoriales específicas con arreglo a la MiFID II o a las directrices de la ABE. La Ley de IA no desplaza estos marcos: se superpone a ellos.

La implicación práctica: la clasificación de riesgo mínimo reduce su exposición a la Ley de IA de la UE, pero no concluye su análisis jurídico. Recorra el mapa regulatorio completo de su jurisdicción y sector.

Por qué la clasificación errónea es el verdadero riesgo

El mayor error de cumplimiento con los sistemas que parecen de riesgo mínimo es dar por supuesto que lo son sin comprobarlo. La lista del Anexo III es más amplia de lo que parece en una primera lectura, y el filtro del artículo 6, apartado 3 —que permite a un proveedor documentar por qué un sistema del Anexo III no plantea, de hecho, un riesgo significativo— funciona en una sola dirección: retira un sistema del alto riesgo, no crea un nivel inferior.

Las ocho categorías del Anexo III abarcan: biometría (identificación remota, categorización, reconocimiento de emociones cuando esté permitido); componentes de seguridad de infraestructuras críticas; educación y formación profesional (decisiones de admisión, evaluación continua, supervisión de exámenes); empleo y gestión de los trabajadores (cribado para selección de personal, promoción, despido, asignación de tareas, supervisión); acceso a servicios privados y públicos esenciales (evaluación de la solvencia, fijación de precios de riesgo en seguros de salud y de vida, priorización del envío de servicios de emergencia, admisibilidad a prestaciones públicas); garantía del cumplimiento del Derecho (evaluación del riesgo de delinquir, fiabilidad de las pruebas, elaboración de perfiles); migración, asilo y control fronterizo; y administración de justicia y procesos democráticos.

Algunos ejemplos de sistemas que parecen rutinarios pero necesitan comprobación:

  • Una herramienta que puntúa el rendimiento de los empleados para fundamentar decisiones de promoción o despido se sitúa en el Anexo III, punto 4, letra b).
  • Un modelo de riesgo crediticio o de capacidad de pago utilizado por un prestamista, una aseguradora o un intermediario hipotecario es el Anexo III, punto 5, letra b): la detección de fraude queda excluida, la calificación crediticia pura no.
  • Una herramienta de análisis de entrevistas que clasifica candidatos o filtra currículos es el Anexo III, punto 4, letra a).
  • Un motor de admisibilidad a prestaciones utilizado por un organismo público que tramita solicitudes de ayudas sociales o de vivienda social es el Anexo III, punto 5, letra d).

Ninguno de estos es un caso límite exótico. Son despliegues comerciales habituales que aterrizan de pleno en territorio de alto riesgo.

El filtro del artículo 6, apartado 3, sí ofrece una vía de escape genuina: si su sistema desempeña una tarea procedimental limitada, mejora el resultado de una actividad humana previamente realizada sin influir en el resultado, detecta patrones de decisión sin sustituir la evaluación humana o realiza un trabajo preparatorio, puede documentar que no plantea un riesgo significativo y tratarlo como fuera del alto riesgo, aun cuando entre dentro de una categoría del Anexo III. Pero todo sistema que elabore perfiles de personas físicas es de alto riesgo en cualquier caso, y los proveedores que utilicen la exención deben documentar la evaluación y registrar el sistema en virtud del artículo 49. El filtro es una defensa razonada, no una presunción.

Cómo son en la práctica los sistemas de riesgo mínimo

Estos sistemas quedan sistemáticamente fuera de los artículos 5, 6 y 50, y representan la gran mayoría del despliegue comercial de IA:

Filtros de spam y de phishing. Plataformas de correo electrónico y mensajería que ejecutan clasificadores de aprendizaje automático sobre el contenido de los mensajes. No determinan el acceso a servicios, ni evalúan la solvencia, ni toman decisiones de empleo. Se aplican al enrutamiento de contenidos, no a los derechos u oportunidades de las personas físicas.

Motores de recomendación de productos. Un minorista de moda o de electrónica que utiliza filtrado colaborativo para mostrar productos relevantes. La decisión (comprar o no) sigue recayendo por completo en el usuario. No se aplica ninguna categoría del Anexo III.

Previsión de la demanda y optimización del inventario. Modelos de series temporales que predicen las necesidades de existencias para un fabricante u operador logístico. Los resultados son datos operativos internos; no hay ninguna decisión externa sobre los derechos u oportunidades de ninguna persona.

Herramientas de redacción y resumen de documentos. Software de productividad que genera borradores de contratos, resúmenes de reuniones o comunicaciones con clientes. Asisten a una persona que revisa y aprueba; no determinan ningún resultado para un individuo.

Mantenimiento predictivo. Modelos que marcan equipos para su inspección en la industria o en los servicios públicos. Los componentes de seguridad de productos regulados son una cuestión distinta (vía del Anexo I, artículo 6, apartado 1); una herramienta de programación del mantenimiento situada por encima de esa capa no lo es.

Asistentes de moderación de contenidos. Una herramienta que marca publicaciones para su revisión humana —no las elimina automáticamente— no determina por sí misma un resultado relativo a derechos. La decisión humana se mantiene.

Lo que comparten: sus resultados fundamentan o asisten una decisión humana, o operan exclusivamente sobre las operaciones internas del propio proveedor, sin determinar el acceso, la admisibilidad, el empleo o la seguridad de las personas físicas.

Códigos de conducta voluntarios — artículo 95

La Ley anima activamente a los proveedores y responsables del despliegue de IA de riesgo mínimo a adoptar códigos de conducta voluntarios (artículo 95). Se trata de marcos desarrollados por la industria —que abarcan la gestión de riesgos, la transparencia, la supervisión humana y las prácticas de rendición de cuentas— que aplican el espíritu de la Ley a sistemas que jurídicamente no lo requieren. La Oficina Europea de IA apoya el desarrollo de tales códigos.

La adhesión voluntaria transmite madurez a clientes, reguladores y auditores. Para las empresas que operan en sectores donde coexisten en una misma cartera de productos sistemas de alto riesgo y sistemas de riesgo mínimo, un único marco de gobernanza aplicado a toda la IA —en lugar de un enfoque de dos velocidades— es operativamente más sencillo y defendiblemente coherente.

Cómo ayuda Confir

Lo más práctico que hace Confir para un sistema de riesgo mínimo es confirmar la clasificación y registrar el razonamiento. La admisión de Confir somete su sistema a los artículos 5 y 6 y a la lista de comprobación del Anexo III mediante un motor determinista y basado en reglas: la misma admisión produce la misma conclusión cada vez, con la regla que se activó expresada en lenguaje sencillo. Si el sistema es de riesgo mínimo, obtiene un registro documentado de la clasificación: qué se evaluó, qué se comprobó y por qué no cumplía ningún criterio de alto riesgo o prohibido.

Ese registro importa por dos razones. Primero, demuestra la diligencia debida si un regulador o un cliente lo solicita algún día. Segundo, si la finalidad prevista de su sistema cambia —una herramienta de productividad reutilizada para puntuar el rendimiento, un motor de recomendación ampliado a los servicios financieros—, la lógica de clasificación ya está documentada y la diferencia es inmediatamente visible.

Confir también realiza el seguimiento de su obligación de alfabetización en IA del artículo 4, que se aplica con independencia del nivel de riesgo.

Preguntas frecuentes

¿Impone la Ley de IA de la UE alguna obligación a los sistemas de IA de riesgo mínimo?

No al sistema en sí. Sin evaluación de la conformidad, sin documentación técnica con arreglo al Anexo IV, sin sistema de gestión de riesgos del artículo 9, sin marcado CE, sin registro del artículo 49. La única obligación que se aplica con independencia del nivel de riesgo es la alfabetización en IA del artículo 4: los proveedores y responsables del despliegue deben garantizar que el personal tenga una alfabetización en IA suficiente, proporcionada al contexto. Otras normativas —el RGPD, la regulación sectorial— se aplican con independencia de la clasificación de la Ley de IA.

Mi herramienta de IA no figura en el Anexo III. ¿Puedo dar por supuesto que es de riesgo mínimo?

No sin comprobar el artículo 5 (prácticas prohibidas) y el artículo 50 (transparencia de riesgo limitado). Un chatbot que supera una prueba de semejanza humana debe cumplir la obligación de información de transparencia del artículo 50 aunque no sea de alto riesgo. Un sistema que utiliza técnicas subliminales para manipular el comportamiento está prohibido en virtud del artículo 5, apartado 1, letra a), con independencia de cómo se comercialice. Compruebe los tres antes de concluir que es de riesgo mínimo.

¿Qué es el filtro del artículo 6, apartado 3, y me sirve de ayuda?

El artículo 6, apartado 3, permite a un proveedor documentar que un sistema que entra en una categoría del Anexo III no plantea, de hecho, un riesgo significativo de perjuicio, porque desempeña una tarea procedimental limitada, mejora una actividad humana previamente realizada, detecta patrones sin sustituir la evaluación humana o realiza un trabajo preparatorio. Si la evaluación se sostiene, el sistema no es de alto riesgo. Pero la elaboración de perfiles de personas físicas es siempre de alto riesgo; el filtro no se aplica. Los proveedores que utilicen la exención deben documentar la evaluación y aun así registrar el sistema en virtud del artículo 49.

¿Qué sanciones pueden aplicarse a los sistemas de riesgo mínimo?

Si un sistema está correctamente clasificado como de riesgo mínimo, la Ley de IA no impone obligaciones a nivel de sistema que incumplir. La exposición es indirecta: clasificar erróneamente un sistema de alto riesgo como de riesgo mínimo, o incumplir las obligaciones de transparencia del artículo 50 en un sistema de riesgo limitado. El incumplimiento de la mayoría de las obligaciones de la Ley conlleva una multa máxima de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (artículo 99, apartado 4). Para las empresas (no solo las empresas emergentes), el artículo 99, apartado 6, limita las multas a las pymes y empresas emergentes al menor de los dos importes, el porcentaje o la cantidad fija.

¿Se aplica el artículo 50 a todos los chatbots y a todos los contenidos generados por IA?

El artículo 50 se aplica desde el 2 de agosto de 2026. Abarca: chatbots y sistemas de IA que interactúan con personas de un modo diseñado para asemejarse a la interacción humana (se exige información de transparencia); ultrafalsos y contenidos audiovisuales sintéticos (se exige etiquetado); sistemas de reconocimiento de emociones y de categorización biométrica (información a las personas sometidas a ellos); y textos generados por IA sobre asuntos de interés público publicados por proveedores. Un chatbot básico de atención al cliente que se identifica como un bot y no finge ser humano puede aun así necesitar evaluar cuidadosamente sus obligaciones del artículo 50.

¿Puede un sistema pasar de riesgo mínimo a alto riesgo?

Sí. El artículo 3, apartado 23, define la «modificación sustancial» como un cambio que afecta al cumplimiento o al rendimiento del sistema de un modo que no estaba previsto en la evaluación de la conformidad original. Si la finalidad prevista de un sistema de riesgo mínimo se modifica sustancialmente —por ejemplo, una herramienta de productividad se amplía para puntuar el rendimiento de los empleados y fundamentar decisiones de despido—, la nueva versión debe reclasificarse. El proveedor del sistema modificado pasa a ser responsable de la nueva clasificación y de cualquier obligación de alto riesgo resultante.

¿Qué exige realmente la alfabetización en IA del artículo 4?

El artículo 4 es deliberadamente abierto. Exige a los proveedores y responsables del despliegue adoptar medidas para garantizar que el personal y cualquier persona que despliegue IA en su nombre tenga una alfabetización en IA acorde con su papel, la complejidad de los sistemas implicados y los riesgos y oportunidades que presentan. En la práctica, esto significa identificar qué personal interactúa con los sistemas de IA, evaluar si sus conocimientos actuales son adecuados y establecer medidas proporcionadas, que pueden ir desde una breve sesión informativa interna para despliegues de bajo riesgo hasta programas de formación estructurados para el personal que gestiona sistemas más próximos al límite del alto riesgo. No hay un formato prescrito, pero la obligación está viva desde el 2 de febrero de 2025.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.