Skip to content
Confir.
Prueba gratuita
Blog

IA en el control fronterizo y la gestión de la migración: clasificación de alto riesgo de la Ley de IA de la UE

High-Risk Use Case2 February 2026· 16 min de lectura

El Anexo III, punto 7 convierte la IA fronteriza y de migración en de alto riesgo. Comprenda el alcance, el límite con las prácticas prohibidas del Art. 5, la EIDF y el plazo del 2 de diciembre de 2027.

El Anexo III, punto 7 de la Ley de IA de la UE (Reglamento (UE) 2024/1689) sitúa en el nivel de alto riesgo los sistemas de IA utilizados para la gestión de la migración, el asilo y el control fronterizo. Si su organización construye o despliega uno de estos sistemas, se aplica toda la batería de obligaciones — y parte de ella se sitúa cerca de la línea entre el alto riesgo y la prohibición absoluta. Acertar con esa línea es la primera tarea.

Qué cubre realmente el Anexo III, punto 7

El texto del Anexo III, punto 7 nombra cuatro categorías distintas:

  1. Herramientas tipo polígrafo y sistemas de detección de mentiras utilizados por las autoridades competentes, o en su nombre, en contextos de migración o frontera.
  2. Herramientas de evaluación de riesgos que evalúan el riesgo — de seguridad, de migración irregular o de salud — que plantea una persona física que pretende entrar en la UE o que ya se encuentra en ella.
  3. Herramientas de examen de solicitudes que asisten en la evaluación de las solicitudes de asilo, los visados y los permisos de residencia, incluidas las herramientas que evalúan la fiabilidad de las pruebas.
  4. Herramientas de identificación que detectan, reconocen o identifican a personas físicas en el contexto de la migración o la frontera — con una salvedad explícita: la verificación de documentos de viaje queda excluida de este punto.

Esa salvedad importa. Una herramienta de OCR que lee el chip de un pasaporte y confirma el nombre, la fecha de nacimiento y el número de documento frente al portador no es automáticamente de alto riesgo con arreglo al punto 7. Un sistema que después contrasta al viajero con una base de datos de riesgo, o puntúa la probabilidad de intención irregular, es otra cosa.

El límite con las prácticas prohibidas

Antes de preguntarse si un sistema es de alto riesgo, pregúntese si está prohibido de forma absoluta.

El Artículo 5, apartado 1, letra g) prohíbe los sistemas de IA que categorizan a personas físicas en función de datos biométricos para inferir o deducir su raza, opiniones políticas, afiliación sindical, convicciones religiosas, orientación sexual o salud. Un sistema que intenta derivar la etnia o la religión a partir de la geometría facial para fundamentar una decisión fronteriza está prohibido — no meramente es de alto riesgo — y esa prohibición está en vigor desde el 2 de febrero de 2025.

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota (IBR) en tiempo real de personas físicas en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo en escenarios de emergencia definidos de forma estricta. Los puestos de control fronterizo son espacios de acceso público. Un barrido de videovigilancia en directo que identifica a las personas por el rostro frente a una lista de vigilancia está prohibido. Una verificación uno a uno en la puerta — comparar una característica biométrica presentada con el chip del pasaporte del viajero que está en la puerta — no es identificación biométrica remota en tiempo real y sigue siendo admisible con arreglo al punto 7, con sujeción a las obligaciones de alto riesgo.

Mantenga estas dos preguntas separadas: ¿cruza el sistema una línea del Artículo 5, o se sitúa en la zona de alto riesgo del Anexo III? La respuesta cambia toda la respuesta regulatoria.

El Artículo 6, apartado 3 y la exención por autoevaluación

El Artículo 6, apartado 3 permite a un proveedor alegar que un sistema del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. Las condiciones son estrictas: el sistema debe desempeñar una tarea puramente procedimental, mejorar una actividad humana previamente realizada, detectar patrones de toma de decisiones sin influir en la evaluación humana ni sustituirla, o realizar únicamente un trabajo preparatorio. Lo decisivo: cualquier sistema que elabore perfiles de personas físicas vuelve a recaer en el nivel de alto riesgo en todo caso.

En los contextos de frontera y migración, la exención del Artículo 6, apartado 3 casi nunca se aplica. La puntuación de riesgos, la evaluación de la admisibilidad o las herramientas de identificación afectan a las personas físicas de forma directa y trascendente. Un proveedor que reclama la exención debe documentar la evaluación y registrarla en virtud del Artículo 49 — no hay una exclusión silenciosa.

La batería de obligaciones para los proveedores

La clasificación como de alto riesgo activa las obligaciones del Capítulo III en su totalidad. Para la IA de control fronterizo, las siguientes merecen especial atención.

Sistema de gestión de riesgos (Artículo 9). Debe establecer, documentar y mantener un sistema de gestión de riesgos a lo largo de todo el ciclo de vida del sistema — no solo en el lanzamiento. Para este caso de uso, el sistema debe abordar explícitamente los riesgos de discriminación por etnia, nacionalidad, sexo y edad; los modos de fallo en condiciones adversas; y las consecuencias posteriores de los errores (detención indebida, denegación de asilo, deportación). Los riesgos residuales deben documentarse y aceptarse con justificación.

Datos y gobernanza de datos (Artículo 10). Los datos de entrenamiento deben ser representativos de las poblaciones que el sistema encontrará en el despliegue, incluidos los grupos demográficos históricamente infrarrepresentados en los conjuntos de datos de cruce de fronteras. El sesgo en los datos de entrenamiento reproduce el sesgo en los resultados; el Artículo 10 exige que lo identifique y lo aborde, no que se limite a anotarlo.

Documentación técnica (Artículo 11, Anexo IV). El paquete de documentación debe compilarse antes de que el sistema se introduzca en el mercado o se ponga en servicio. Cubre la arquitectura, la composición y la procedencia de los datos de entrenamiento, la metodología de validación, las métricas de rendimiento desglosadas por grupo demográfico, las limitaciones conocidas y las condiciones de despliegue previstas. Esta documentación es la base de la evaluación de la conformidad y el punto de partida de cualquier investigación regulatoria.

Transparencia hacia los responsables del despliegue (Artículo 13). Las instrucciones de uso deben dar a las autoridades fronterizas información clara sobre lo que el sistema puede y no puede hacer, las condiciones en las que no debe utilizarse y las medidas de supervisión humana que deben estar implantadas. Los responsables del despliegue no pueden cumplir sus propias obligaciones sin esta información.

Supervisión humana (Artículo 14). El sistema debe diseñarse de modo que los agentes fronterizos puedan supervisar los resultados en tiempo real, detectar anomalías y anular o detener el sistema. No es un requisito blando. En virtud del Artículo 14, apartado 4, las medidas deben garantizar que ninguna decisión trascendente fluya del sistema sin que un ser humano pueda intervenir y detenerla. Para una herramienta de puntuación de riesgos que recomienda la detención o la denegación de entrada, eso significa que un agente formado debe revisar y aceptar la recomendación antes de que surta efecto.

Exactitud, robustez, ciberseguridad (Artículo 15). Los sistemas fronterizos se enfrentan a entradas adversarias — falsificaciones de documentos, ataques de presentación a los sensores biométricos, manipulación deliberada de la información declarada. El Artículo 15 exige que el sistema sea resiliente frente a estas y que falle de forma segura cuando las entradas queden fuera de los parámetros esperados.

Evaluación de la conformidad (Artículo 43). La IA de control fronterizo autónoma sigue la vía de autoevaluación interna del Anexo VI — el proveedor realiza la evaluación, la documenta y emite la declaración UE de conformidad (Artículo 47) antes de su introducción en el mercado. No se requiere un organismo notificado para esta categoría. Una puerta biométrica que sea un componente de seguridad de un producto físico regulado por la legislación de armonización de la UE seguiría, en cambio, la vía de organismo notificado del Anexo I / Anexo VII, con el plazo del 2 de agosto de 2028 — pero esa vía se aplica al producto en su conjunto, no a una herramienta de software autónoma.

Registro (Artículo 49, entrada no pública). Los proveedores deben registrar los sistemas de IA fronteriza y de migración de alto riesgo en la base de datos de la UE antes de introducirlos en el mercado. Dado que las autoridades competentes son los responsables del despliegue en este contexto, la entrada de registro de los sistemas del punto 7 no es de acceso público — una regla específica para los sistemas de migración y frontera que refleja la sensibilidad de la información. La obligación de registrar sigue aplicándose; simplemente se retiene la entrada de la base de datos de cara al público.

Vigilancia poscomercialización (Artículo 72) y notificación de incidentes graves (Artículo 73). Una vez desplegado, el sistema requiere un plan de vigilancia poscomercialización. Si el sistema causa o contribuye a un incidente grave — por ejemplo, una detención indebida que dé lugar a un perjuicio — el proveedor debe notificarlo a la autoridad de vigilancia del mercado pertinente dentro de los plazos establecidos por el Artículo 73: 15 días desde que tiene conocimiento de un incidente grave (Artículo 73, apartado 2); 2 días en caso de infracción generalizada o perturbación grave de infraestructuras críticas (Artículo 73, apartado 3); 10 días si se ha producido una muerte (Artículo 73, apartado 4).

Obligaciones del responsable del despliegue: las autoridades públicas soportan el peso mayor

En el contexto de frontera y migración, el responsable del despliegue es casi siempre una autoridad pública — una agencia fronteriza, un servicio de inmigración o una fuerza policial nacional. Esto importa para una obligación significativa.

Artículo 27: evaluación de impacto relativa a los derechos fundamentales (EIDF). Los organismos públicos que despliegan IA de alto riesgo deben realizar una EIDF antes de poner el sistema en funcionamiento. No es una casilla que se marca una sola vez. La EIDF debe identificar las categorías de personas físicas afectadas (solicitantes de asilo, pasajeros en tránsito, entrantes irregulares, solicitantes de reagrupación familiar), evaluar la probabilidad y la gravedad del posible perjuicio para los derechos fundamentales (no discriminación, derecho de asilo, protección frente a la devolución, derecho a un recurso efectivo), describir las medidas de mitigación y documentar la consulta a las partes interesadas. Para la IA de frontera y migración, la EIDF será probablemente el documento más exigente del expediente de cumplimiento.

Artículo 26: deberes generales del responsable del despliegue. Más allá de la EIDF, los responsables del despliegue deben utilizar el sistema únicamente para su finalidad prevista y de conformidad con las instrucciones del proveedor; garantizar que el personal responsable de la supervisión humana tenga la formación, la autoridad y la competencia para intervenir; conservar registros de funcionamiento durante al menos seis meses (Artículo 26); y supervisar el sistema en busca de comportamientos anómalos y notificar los incidentes o riesgos graves al proveedor.

El Artículo 14 en la práctica. Diseñar la capacidad de supervisión humana en un sistema es tarea del proveedor. Garantizar que se ejerza realmente es del responsable del despliegue. Una agencia fronteriza que despliega una herramienta de puntuación de riesgos pero forma a los agentes únicamente en cómo leer el resultado — no en cuándo y cómo anularlo — incumple sus obligaciones del Artículo 26 con independencia de lo que digan las instrucciones del proveedor.

El plazo

En virtud del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026, adopción formal prevista antes del 2 de agosto de 2026), la fecha de la obligación de alto riesgo para los sistemas autónomos del Anexo III se ha trasladado al 2 de diciembre de 2027, aplazada respecto de la fecha original del 2 de agosto de 2026. Las obligaciones de prohibición del Artículo 5 siguen en vigor desde el 2 de febrero de 2025 — esas no se mueven.

El traslado a diciembre de 2027 es un respiro real. No es una relajación de lo que debe hacerse. Un sistema de gestión de riesgos, la documentación técnica y una EIDF para una herramienta de control fronterizo tardan cada uno meses en producirse correctamente. Una autoridad que adquiera hoy un nuevo sistema debe incorporar los requisitos de cumplimiento en la licitación, no dejarlos para 2027.

El techo sancionador por el incumplimiento de los requisitos de alto riesgo es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). Para las autoridades públicas, el Derecho nacional determina normalmente si las multas se aplican directamente, pero las consecuencias reputacionales y operativas de una conclusión de supervisión son sustanciales en todo caso.

Cómo ayuda Confir

El motor de clasificación basado en reglas de Confir se ocupa de tres de los pasos que más tiempo consumen. Introduzca la descripción de su sistema en lenguaje sencillo: Confir determina si se encuadra en el Anexo III, punto 7, aplica el filtro del Artículo 6, apartado 3 y deriva su papel — proveedor (Artículo 16) o responsable del despliegue (Artículo 26) — a partir de la misma admisión.

Para los responsables del despliegue que son autoridades públicas, el flujo de trabajo de la EIDF del Artículo 27 genera un documento de evaluación estructurado en las secciones estándar: grupos afectados, derechos en juego, probabilidad y gravedad del perjuicio, medidas de mitigación y registro de la consulta. El resultado está listo para auditoría y tiene control de versiones.

Para los proveedores, el paquete de documentación técnica del Anexo IV y la declaración de conformidad del Artículo 47 se generan a partir de los mismos datos de cumplimiento. Sin un ciclo de redacción independiente.

El motor es determinista y reproducible — los mismos datos de entrada, el mismo resultado, siempre. Para un proceso de cumplimiento en el que un auditor o una autoridad de supervisión puede pedirle que demuestre cómo se alcanzó una conclusión, esa trazabilidad importa.

Preguntas frecuentes

¿Es de alto riesgo la verificación de documentos de viaje con arreglo al Anexo III, punto 7?

No. El Anexo III, punto 7 excluye explícitamente la verificación de documentos de viaje. Un sistema que lee el chip de un pasaporte y confirma la identidad del portador frente al documento no queda comprendido en este punto. No obstante, si ese sistema alimenta después el resultado a una herramienta de puntuación de riesgos o de elaboración de perfiles, el sistema posterior puede ser de alto riesgo, y la combinación puede tener que evaluarse como una única cadena de procesamiento.

¿Cuál es la diferencia entre un sistema prohibido y uno de alto riesgo en contextos fronterizos?

Un sistema prohibido en virtud del Artículo 5 no puede desplegarse con independencia de las salvaguardas — la práctica en sí está vetada. La identificación biométrica remota en tiempo real de personas en espacios públicos con fines policiales, y los sistemas que categorizan a las personas por características sensibles inferidas a partir de datos biométricos, están prohibidos desde el 2 de febrero de 2025. Un sistema de alto riesgo con arreglo al Anexo III es lícito de desplegar si cumple toda la batería de cumplimiento: gestión de riesgos, documentación técnica, supervisión humana, evaluación de la conformidad y registro. Equivocarse con estas dos categorías en cualquier sentido es un error grave.

¿Necesita una autoridad pública siempre una EIDF para la IA de control fronterizo?

Sí. El Artículo 27 exige una evaluación de impacto relativa a los derechos fundamentales a los organismos públicos que despliegan sistemas de IA de alto riesgo. En el contexto de la migración y el control fronterizo, esto es categórico — el responsable del despliegue es una autoridad pública por definición cuando el sistema se utiliza para la gestión fronteriza. La EIDF debe completarse antes de que el sistema entre en funcionamiento, no de forma retroactiva.

¿Dónde se registra mi sistema, y es público?

El Artículo 49 exige el registro en la base de datos de IA de la UE antes de la introducción en el mercado. Para los sistemas del Anexo III, punto 7 utilizados por las autoridades competentes en materia de migración, asilo y control fronterizo, la entrada de registro no se hace de acceso público. La obligación de registrar no cambia — sigue teniendo que presentar la entrada — pero no es visible para el público. Esta excepción refleja la sensibilidad de los datos fronterizos operativos.

¿Cuáles son los plazos y qué ocurre si los incumplo?

Los sistemas autónomos de alto riesgo del Anexo III deben cumplir antes del 2 de diciembre de 2027 (aplazado respecto del 2 de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026). Las prohibiciones del Artículo 5 se aplican desde el 2 de febrero de 2025. La multa máxima por el incumplimiento de la batería de obligaciones de alto riesgo es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). La multa se aplica a los proveedores y a los responsables del despliegue de forma independiente.

¿Qué vía de evaluación de la conformidad se aplica a la IA de control fronterizo?

Para las herramientas de software autónomas — sistemas de puntuación de riesgos, herramientas de evaluación de la admisibilidad, software de identificación biométrica — la vía es la autoevaluación interna del Anexo VI (Artículo 43). El proveedor documenta el cumplimiento, realiza la evaluación internamente y emite la declaración UE de conformidad del Artículo 47 sin un organismo notificado. Una puerta biométrica que sea un componente de seguridad de un producto regulado del Anexo I sigue la vía de organismo notificado del Anexo VII, con un plazo posterior (2 de agosto de 2028).

¿Quién es el responsable del despliegue de la IA de control fronterizo, y cuáles son sus obligaciones más críticas?

El responsable del despliegue es la autoridad competente — agencia fronteriza, servicio de inmigración u organismo público equivalente — que pone el sistema en funcionamiento bajo su propia autoridad. Las obligaciones más exigentes del responsable del despliegue son la EIDF del Artículo 27, el deber de supervisión humana del Artículo 14 (garantizar que los agentes tengan autoridad y formación genuinas para anular el sistema) y el requisito de conservación de registros del Artículo 26 de al menos seis meses. Las autoridades que externalizan el despliegue a un tercero deben verificar que las reglas de cambio de papel del Artículo 25 no conviertan inadvertidamente a ese tercero en proveedor.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.