Skip to content
Confir.
Prueba gratuita
Blog

La IA en la tramitación de asilo y migración: alto riesgo con arreglo al punto 7 del Anexo III

High-Risk Use Case19 January 2026· 17 min de lectura

La IA de asilo entra en el punto 7 del Anexo III — alto riesgo. Los responsables del despliegue necesitan las obligaciones del Artículo 26, la EIDF del Artículo 27 y el registro del Artículo 49 antes del 2 de diciembre de 2027.

Un sistema de IA que ayuda a una autoridad pública a evaluar una solicitud de asilo, a valorar el riesgo que plantea una persona que cruza la frontera o a examinar una solicitud de permiso de residencia es de alto riesgo con arreglo al Reglamento (UE) 2024/1689 de la Ley de IA de la UE. Esa clasificación se deriva directamente del Anexo III, punto 7 — Migración, asilo y control fronterizo — y no es un caso límite. Los derechos fundamentales en juego hacen de este uno de los segmentos más trascendentales de la lista de alto riesgo.

Los responsables del despliegue en este ámbito son casi siempre organismos públicos: oficinas nacionales de asilo, autoridades de control fronterizo, ministerios de inmigración o contratistas que actúan en su nombre. Eso cambia varias cosas. Pone en juego la Evaluación de Impacto relativa a los Derechos Fundamentales (EIDF) del Artículo 27. Encauza el registro en la base de datos de la UE hacia la sección no pública con arreglo al Artículo 49. Y añade una dimensión que el cumplimiento puramente comercial rara vez conlleva: las personas afectadas suelen ser vulnerables, carecen de representación legal y se enfrentan a consecuencias — deportación, internamiento, separación familiar — que no pueden deshacerse.

Lo que el punto 7 del Anexo III comprende realmente

El Anexo III, punto 7, designa como de alto riesgo cualquier sistema de IA destinado a ser utilizado por las autoridades públicas competentes, o en su nombre, para:

  • Evaluar los riesgos que plantean las personas físicas en materia de migración, asilo o control fronterizo — incluidos los riesgos para la seguridad, los riesgos de migración irregular y los riesgos para la salud
  • Asistir en el examen de las solicitudes de asilo, visado o permiso de residencia, y de las reclamaciones asociadas
  • Detectar, reconocer o identificar a personas en el contexto de la migración, el asilo y el control fronterizo

El tercer elemento — detectar o identificar personas — excluye explícitamente la verificación de documentos. Un sistema que comprueba si un pasaporte es auténtico no entra automáticamente en el punto 7. Un sistema que identifica quién es una persona, o que la señala como un riesgo, sí.

La expresión «destinado a ser utilizado» es importante. Si una herramienta de análisis de uso general se configura y se despliega para la evaluación de expedientes de asilo, ese uso previsto determina la clasificación — no el diseño original del proveedor.

Dónde se sitúa el límite de la prohibición

No todo en este ámbito es de alto riesgo. Algunas cosas están directamente prohibidas con arreglo al Artículo 5.

La categorización biométrica de personas utilizando atributos sensibles — raza, etnia, opiniones políticas, creencias religiosas, nacionalidad inferida a partir de la apariencia física — está prohibida con arreglo al Artículo 5, apartado 1, letra g). Un sistema que criba a las personas que cruzan la frontera asignándoles perfiles de riesgo por nacionalidad derivados de rasgos biométricos cruza esa línea. La prohibición está en vigor desde el 2 de febrero de 2025; no hay período de gracia.

El reconocimiento de emociones en un contexto no médico y no relacionado con la seguridad plantea su propia cuestión con arreglo al Artículo 5, apartado 1, letra f). Los sistemas comercializados como detectores de engaño o del estado emocional durante las entrevistas de asilo merecen un escrutinio serio antes de su despliegue.

La distinción importa: las prácticas prohibidas conllevan un techo sancionador de 35 000 000 EUR o el 7 % del volumen de negocios mundial con arreglo al Artículo 99, apartado 3, frente a los 15 000 000 EUR o el 3 % por los fallos de cumplimiento de alto riesgo del Artículo 99, apartado 4. Antes de clasificar un sistema de IA de migración como de alto riesgo, confirme que no cae del lado prohibido de la línea.

La exención del Artículo 6, apartado 3, no es realista aquí

El Artículo 6, apartado 3, permite a un proveedor concluir que un sistema del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, porque desempeña una tarea procedimental acotada, mejora una actividad humana previamente realizada o detecta patrones de decisión sin influir en las evaluaciones individuales.

Para la IA de asilo y migración, esta exención casi nunca está disponible en la práctica. Los sistemas que justifican la cobertura del punto 7 son precisamente los que configuran los resultados de los expedientes de las personas. Una herramienta de puntuación de la admisibilidad que alimenta el enfoque del entrevistador sobre una solicitud; un modelo de evaluación de riesgos que señala a alguien para una inspección secundaria; un sistema que clasifica las solicitudes por credibilidad aparente — cada uno de ellos influye en una determinación individual. Esa es la definición de lo que el reglamento trata de regular.

Cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo con arreglo a los propios términos del Artículo 6, apartado 3. La mayoría de la IA de migración hace exactamente eso.

Un proveedor que sí invoque el Artículo 6, apartado 3, debe documentar la autoevaluación y, aun así, registrar el sistema en la base de datos de la UE con arreglo al Artículo 49.

Quién despliega estos sistemas y qué significa eso

El rol dominante en la IA de migración y asilo es el del responsable del despliegue — la autoridad pública que pone en funcionamiento un sistema existente. Las agencias nacionales de inmigración rara vez desarrollan su propia IA desde cero; adquieren o encargan sistemas y los ejecutan dentro de sus procesos.

Los responsables del despliegue soportan una sustancial pila de obligaciones con arreglo al Artículo 26. Deben:

  • Utilizar el sistema conforme a las instrucciones de uso del proveedor
  • Garantizar que la supervisión humana esté operativa — no solo documentada, sino genuinamente ejercida
  • Supervisar el rendimiento del sistema frente a sus capacidades documentadas y señalar riesgos o incidentes al proveedor
  • Conservar los registros generados por el sistema durante al menos seis meses (Artículo 26 — cite el artículo, no un subapartado, ya que la numeración exacta se discute en las fuentes secundarias)
  • Informar a las personas afectadas de que se está utilizando un sistema de IA en una decisión que les concierne

Cuando el responsable del despliegue es un organismo público que utiliza un sistema de alto riesgo que afecta a los derechos de las personas físicas, el Artículo 27 exige también una Evaluación de Impacto relativa a los Derechos Fundamentales antes de que comience el despliegue.

Si una agencia nacional modifica sustancialmente un sistema adquirido — adaptando sus modelos, ampliando su finalidad prevista, reentrenándolo con datos nacionales —, puede pasar a ser el proveedor con arreglo al Artículo 25. Eso desplaza toda la pila del proveedor sobre la agencia, incluida la evaluación de la conformidad del Artículo 43 y la documentación técnica del Artículo 11.

La obligación de EIDF para los responsables del despliegue que son organismos públicos

El Artículo 27 es uno de los requisitos operativamente más significativos para este caso de uso. Las autoridades públicas que despliegan IA de alto riesgo que afecta a los derechos de las personas físicas deben completar una Evaluación de Impacto relativa a los Derechos Fundamentales antes de que el sistema entre en funcionamiento.

En el contexto del asilo, esa evaluación debe abordar con seriedad:

La no devolución y el derecho de asilo (Artículos 18 y 19 de la Carta de la UE). Una recomendación de denegación incorrecta que no es impugnada por un tramitador fatigado puede poner en marcha una deportación a un país donde la persona se enfrenta a persecución. La EIDF debe abordar cómo interactúa el perfil de error del sistema con la supervisión humana en la práctica — no solo en el diseño.

La igualdad de trato entre motivos protegidos. Los datos de entrenamiento de los sistemas de evaluación de asilo reflejan habitualmente patrones de decisión históricos. Los patrones históricos en los sistemas de asilo se han impugnado en múltiples jurisdicciones de la UE por disparidades basadas en la nacionalidad. La EIDF debe examinar si el sistema perpetúa esos patrones y qué pruebas de rendimiento desagregadas se han realizado.

Los derechos procesales. Los solicitantes tienen derecho a saber que un sistema de IA interviene en la evaluación de su expediente, y a comprender el fundamento de una decisión. Esto se conecta con los requisitos de transparencia del Artículo 13 (información a los responsables del despliegue, que la trasladan a las personas afectadas) y los requisitos de supervisión humana del Artículo 14.

La propia EIDF. El Artículo 27 permite que la evaluación se base en una evaluación de impacto relativa a la protección de datos (EIPD) existente con arreglo al Artículo 35 del RGPD, si se ha realizado una. Son ejercicios relacionados pero distintos: la EIPD se centra en el riesgo del tratamiento de datos; la EIDF aborda el espectro más amplio de los derechos fundamentales. La EIDF subsume y amplía la EIPD, no la sustituye.

La EIDF completada alimenta el registro en la base de datos de la UE. Con arreglo al Artículo 49, los organismos públicos que despliegan se registran en la sección no pública de la base de datos de la UE mantenida con arreglo al Artículo 71. Esto no es opcional, y es un acto separado de cualquier registro que el proveedor haya podido realizar.

Evaluación de la conformidad: autoevaluación interna del Anexo VI

El punto 7 del Anexo III queda fuera del punto 1 (biometría). Eso significa que la evaluación de la conformidad sigue la vía de autoevaluación interna del Anexo VI con arreglo al Artículo 43 — los proveedores realizan la evaluación ellos mismos sin un organismo notificado. Esta es una distinción práctica significativa respecto de la IA biométrica (que puede requerir un organismo notificado con arreglo al Anexo VII), pero no reduce la carga de documentación.

El proveedor debe completar la evaluación del Anexo VI antes de que el sistema se introduzca en el mercado o se ponga en servicio. Para un sistema diseñado a medida para una agencia gubernamental, la «puesta en servicio» es el desencadenante operativo. La evaluación abarca el cumplimiento de los Artículos 9 a 15 — sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registro de eventos, transparencia, supervisión humana, y exactitud y robustez.

Tras la evaluación, el proveedor emite una declaración UE de conformidad con arreglo al Artículo 47 y registra el sistema en la base de datos de la UE con arreglo al Artículo 49. El organismo público que despliega realiza entonces su propia verificación de que el sistema funciona conforme a lo documentado dentro del entorno institucional concreto, y lleva a cabo la EIDF.

Qué exigen las obligaciones en la práctica

Una oficina nacional de asilo que despliega una herramienta de clasificación de expedientes que puntúa las solicitudes entrantes por admisibilidad aparente y señala los casos complejos para revisión por especialistas debe abordar estos requisitos antes del 2 de diciembre de 2027:

Por parte del proveedor (el desarrollador del sistema o el proveedor):

  • Un sistema de gestión de riesgos con arreglo al Artículo 9, que identifique los escenarios previsibles de uso indebido y los riesgos de representación de los datos para las poblaciones de solicitantes concretas que el sistema procesará
  • Documentación técnica con arreglo al Artículo 11 / Anexo IV, incluidas métricas de rendimiento desagregadas por nacionalidad, edad, sexo y otras características pertinentes
  • Un sistema de registro de eventos con arreglo al Artículo 12 que capte los resultados del sistema y los datos de entrada que los generaron
  • Instrucciones de uso con arreglo al Artículo 13 que permitan al responsable del despliegue operar el sistema dentro de su alcance documentado
  • Funciones de diseño que permitan la supervisión humana con arreglo al Artículo 14 — los tramitadores deben poder comprender el razonamiento del sistema y anular sus resultados sin barreras técnicas
  • Vigilancia poscomercialización con arreglo al Artículo 72, con un mecanismo para retroalimentar los datos de incidentes del responsable del despliegue al proveedor

Por parte de la autoridad pública que despliega:

  • Verificación de que el proveedor ha completado la evaluación de la conformidad del Anexo VI
  • Implementación operativa de la supervisión humana: personal formado, protocolos claros para anular el sistema, seguimiento documentado de las anulaciones
  • Conservación de los registros durante al menos seis meses con arreglo al Artículo 26
  • Una EIDF del Artículo 27 completada antes del despliegue, que aborde la no devolución, la igualdad de trato, los derechos procesales y el entorno concreto de toma de decisiones
  • Registro en la sección no pública de la base de datos de la UE con arreglo al Artículo 49
  • Notificación a los solicitantes de que un sistema de IA contribuye a la evaluación de su expediente

El plazo

En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones para los sistemas autónomos de alto riesgo del Anexo III se aplican a partir del 2 de diciembre de 2027 — aplazadas respecto de la fecha original del 2 de agosto de 2026. Para los sistemas que son componentes de seguridad de productos regulados del Anexo I, la fecha es el 2 de agosto de 2028, pero la IA de asilo y migración no entra en esa categoría.

La fecha de diciembre de 2027 es el plazo de cumplimiento, no la fecha de inicio de la preparación. Ensamblar la documentación técnica, completar las pruebas de rendimiento desagregadas, realizar una EIDF creíble y formar al personal tramitador lleva un tiempo que la fecha destacada no transmite. Las autoridades públicas que encarguen procesos de adquisición en 2026 ya están determinando si llegarán a ese plazo con documentación adecuada.

Cómo ayuda Confir

El motor de clasificación de Confir recorre la lógica del punto 7 del Anexo III utilizando escenarios en lenguaje sencillo para determinar si un sistema de IA de migración o asilo es de alto riesgo y qué rol ostenta su organización — proveedor con arreglo al Artículo 16, responsable del despliegue con arreglo al Artículo 26, o un híbrido en el que se aplica el Artículo 25.

Para las autoridades públicas que despliegan, Confir ejecuta el flujo de trabajo de la EIDF del Artículo 27 como una evaluación estructurada — contrastando el sistema con los derechos fundamentales pertinentes, documentando el análisis de proporcionalidad y generando el resultado exigido para el registro en la base de datos de la UE. La evaluación estructurada cubre también las obligaciones del responsable del despliegue con arreglo al Artículo 26 en las cuatro áreas de cumplimiento de Confir: clasificación, datos y robustez técnica, transparencia y supervisión humana, y gobernanza y vigilancia poscomercialización.

Todo lo que produce la herramienta se genera mediante una lógica determinista y basada en reglas — los mismos datos de entrada producen la misma conclusión, la regla que se activó es legible por humanos, y el resultado es defendible en una auditoría por diseño.

Preguntas frecuentes

¿Se aplica el punto 7 del Anexo III si solo utilizamos la IA para priorizar qué casos revisar primero, no para tomar la decisión?

Sí. La clasificación abarca los sistemas utilizados para asistir en el examen de las solicitudes — lo que incluye cualquier herramienta que configure cómo abordan los tramitadores una solicitud. Un modelo de priorización que envía las solicitudes al principio de la cola o las señala para revisión por especialistas está influyendo en el proceso de examen. La cuestión pertinente con arreglo al Artículo 6, apartado 3, es si el sistema influye en la evaluación individual; una herramienta de clasificación que afecta a los resultados de los expedientes de solicitantes concretos lo hace. Asuma que se aplica el alto riesgo y documente la evaluación.

¿Quién se registra en la base de datos de la UE — el proveedor de tecnología o la oficina de asilo?

Ambos pueden tener que actuar, pero sus registros sirven a fines distintos. El proveedor registra el sistema con arreglo al Artículo 49 en la sección general como parte de la evaluación de la conformidad. El organismo público que despliega se registra por separado en la sección no pública de la base de datos de la UE (mantenida con arreglo al Artículo 71) antes del despliegue. La sección no pública existe específicamente para las autoridades públicas que despliegan IA de alto riesgo que afecta a personas físicas — es una obligación separada del registro del proveedor, no una duplicación de él.

¿Es la EIDF lo mismo que una evaluación de impacto relativa a la protección de datos del RGPD?

No. Una EIPD con arreglo al Artículo 35 del RGPD se centra en el riesgo del tratamiento de datos y se desencadena por un tratamiento de datos de alto riesgo que implica datos personales. La EIDF del Artículo 27 aborda los derechos fundamentales de forma más amplia — no devolución, igualdad de trato, acceso a la justicia, garantías procesales — más allá de lo que cubre el RGPD. El Artículo 27, apartado 4, permite explícitamente que la EIDF se base en una EIPD existente cuando se disponga de ella. Si su organización ha realizado una EIPD para el mismo sistema, empiece por ahí y amplíela para cubrir todo el alcance de la EIDF.

¿Qué sanciones se aplican por incumplimiento?

Las infracciones de las obligaciones de alto riesgo — desplegar sin evaluación de la conformidad, supervisión humana inadecuada, ausencia de EIDF — entran en el Artículo 99, apartado 4: un máximo de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. El límite del Artículo 99, apartado 6, para las pymes y las empresas emergentes lo reduce al menor de los dos importes, el porcentaje o la cantidad fija, pero es poco probable que esa disposición ayude a una autoridad nacional de inmigración. Si un sistema cruza al territorio prohibido con arreglo al Artículo 5 — por ejemplo, la categorización biométrica por atributos sensibles —, el techo se eleva a 35 000 000 EUR o el 7 % con arreglo al Artículo 99, apartado 3.

¿Pueden los contratistas privados que operan IA de asilo en nombre de una autoridad gubernamental ser responsables del despliegue?

Sí. El Artículo 26 abarca a cualquier persona que utilice un sistema de IA de alto riesgo en un contexto profesional bajo su autoridad — incluidos los contratistas que operan sistemas en nombre de una autoridad pública. La expresión «o en su nombre» del punto 7 del Anexo III se redactó precisamente para captar esto. Una empresa de TI privada que ejecuta un sistema de clasificación de expedientes en nombre de una agencia nacional de inmigración es un responsable del despliegue. La agencia que ha encargado el contrato también debe garantizar el cumplimiento, y comparten la responsabilidad de la EIDF del Artículo 27.

¿Cambia el plazo si el sistema se desplegó antes de que el reglamento entrara en vigor?

No se aplica ninguna prórroga por el mero hecho de que el sistema sea anterior a la Ley. Los sistemas ya en uso cuando las obligaciones de alto riesgo se apliquen a partir del 2 de diciembre de 2027 deben cumplir a partir de esa fecha. Los operadores deben tratar los despliegues existentes como el caso más urgente para el trabajo de documentación y evaluación — adaptar a posteriori una EIDF y la documentación técnica a un sistema en funcionamiento es más difícil que incorporar el cumplimiento desde el inicio de una nueva adquisición.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.