Skip to content
Confir.
Prueba gratuita
Blog

Supervisión de exámenes con IA en la Ley de IA de la UE: obligaciones de alto riesgo para proveedores de supervisión e instituciones

High-Risk Use Case23 January 2026· 22 min de lectura

La supervisión de exámenes con IA es de alto riesgo en virtud del Anexo III de la Ley de IA de la UE. Obligaciones de proveedor, responsable del despliegue y EIDF, la prohibición del reconocimiento de emociones y el plazo de diciembre de 2027.

La supervisión en línea (proctoring) se nombra explícitamente en el Anexo III de la Ley de IA de la UE. Si su sistema utiliza IA para detectar comportamientos prohibidos durante las pruebas, está en la categoría de alto riesgo — no por analogía, no por interpretación, sino por el propio texto del Reglamento. Las obligaciones que se derivan son sustanciales. Se aplican al proveedor de software que construye el sistema y, por separado, a la universidad u órgano examinador que lo despliega.

Esta guía cubre quién soporta qué obligaciones, dónde se sitúa la frontera con la práctica prohibida y cómo es un programa conforme en la práctica. El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026, que aplazó la fecha original de agosto de 2026. Ese cambio da tiempo para construir un programa adecuado en lugar de improvisar uno — pero solo la documentación lleva meses.

Por qué la supervisión con IA es de alto riesgo en virtud del Anexo III, punto 3

El Anexo III, punto 3, enumera los sistemas de IA para la educación y la formación profesional. Dentro de ese punto, la Ley nombra como de alto riesgo la IA utilizada para «supervisar y detectar comportamientos prohibidos de los estudiantes durante las pruebas». No se requiere un umbral de sofisticación. Un sistema que analiza las transmisiones de la cámara web, los patrones de pulsación de teclas, la actividad en pantalla o el audio para marcar posibles trampas durante una sesión de prueba en directo o grabada entra de lleno aquí.

La clasificación se basa en la función y la finalidad prevista, no en si el sistema toma la decisión final. Una herramienta que genera una «puntuación de sospecha» o una marca de «revisión requerida», y cuyo resultado alimenta una decisión institucional de relevancia sobre la validez de la prueba, está tan dentro del ámbito como una que invalida de forma autónoma una sesión de examen.

Qué puede — y qué no puede — hacer el filtro del Artículo 6, apartado 3

El Artículo 6, apartado 3, permite a un proveedor registrar un sistema como no de alto riesgo a pesar de entrar dentro de un epígrafe del Anexo III si genuinamente no plantea un riesgo significativo para la salud, la seguridad o los derechos fundamentales. Los casos típicos para este filtro: el sistema realiza un trabajo procedimental limitado, mejora una actividad humana previamente realizada o detecta patrones sin influir en la evaluación humana.

La supervisión de exámenes no encaja en estos casos. El resultado está diseñado específicamente para influir en una decisión institucional — la validez de la prueba — que afecta directamente a la situación educativa de un estudiante. Las falsas marcas de trampas tienen consecuencias reales: procedimientos disciplinarios, pérdida de calificaciones, posibles sanciones académicas. Cualquier proveedor que reclame el filtro del Artículo 6, apartado 3, para una herramienta de supervisión soporta una pesada carga de documentación y se enfrentará a autoridades de supervisión escépticas. Proceda partiendo del supuesto de que es de alto riesgo.

La frontera crítica: el reconocimiento de emociones está prohibido

Aquí el análisis se vuelve urgente. El Anexo III hace de alto riesgo la supervisión de la conducta indebida. El Artículo 5, apartado 1, letra f), hace algo diferente: prohíbe los sistemas de IA que infieren las emociones de personas físicas en los ámbitos de la educación y el lugar de trabajo (con estrechas excepciones por motivos médicos o de seguridad).

Si un sistema de supervisión va más allá de detectar comportamientos — dirección de la mirada, varias caras, cambio de pantalla — y empieza a inferir lo que un estudiante está sintiendo durante el examen (ansiedad, confianza, afecto correlacionado con el engaño), cruza del alto riesgo al territorio prohibido. La prohibición del reconocimiento de emociones en la educación se aplica desde el 2 de febrero de 2025. No es una obligación futura; es la ley ahora.

Los proveedores deberían auditar su conjunto de funciones. El análisis de expresiones faciales, la puntuación de «implicación» o la inferencia de afecto comercializados como señales de trampas no se salvan por estar dentro de un producto de supervisión. Elimínelos o confirme a través de su equipo jurídico que no infieren, en sustancia, el estado emocional. Esta no es una zona gris que gestionar mediante divulgación.

Funciones: el proveedor de software como proveedor, la institución como responsable del despliegue

La Ley de IA de la UE distribuye las obligaciones a lo largo de la cadena de suministro, y la supervisión implica a dos actores claramente distintos.

El proveedor de la herramienta de supervisión es el proveedor en virtud del Artículo 16. Desarrolla e introduce el sistema en el mercado bajo su nombre. Las obligaciones del proveedor son las más pesadas de la Ley:

  • Sistema de gestión de riesgos en virtud del Artículo 9 — un proceso documentado que abarca el ciclo de vida y que identifica los riesgos previsibles, evalúa su gravedad, implementa controles y hace un seguimiento del riesgo residual.
  • Documentación técnica en virtud del Artículo 11 (formato del Anexo IV) — la arquitectura del sistema, los datos de entrenamiento, las métricas de rendimiento incluido el desglose demográfico, las limitaciones conocidas y las instrucciones que necesitan los responsables del despliegue.
  • Información de transparencia para los responsables del despliegue en virtud del Artículo 13 — qué hace el sistema, qué no hace y cómo debe operarse.
  • Diseño de la supervisión humana en virtud del Artículo 14 — el sistema debe construirse para permitir que los responsables del despliegue intervengan, pausen o anulen.
  • Exactitud, robustez y ciberseguridad en virtud del Artículo 15.
  • Evaluación de la conformidad en virtud del Artículo 43 antes de introducir el sistema en el mercado.
  • Registro en la base de datos de la UE en virtud del Artículo 49.
  • Vigilancia poscomercialización en virtud del Artículo 72 y notificación de incidentes graves en virtud del Artículo 73.

La institución es el responsable del despliegue en virtud del Artículo 26. Sus obligaciones son más ligeras pero reales:

  • Verificar que el sistema ha sido sometido a la evaluación de la conformidad y posee un marcado CE / declaración de conformidad antes del despliegue.
  • Seguir las instrucciones de uso del proveedor.
  • Implementar medidas de supervisión humana — concretamente, garantizar que una persona cualificada revise cada marca antes de adoptar cualquier acción de relevancia.
  • Conservar los registros del uso del sistema durante al menos seis meses (Artículo 26).
  • Informar a los estudiantes de que está en funcionamiento una supervisión con IA.
  • Notificar los incidentes graves al proveedor y, cuando se requiera, a la autoridad nacional competente.

Una transición a vigilar: el Artículo 25 establece que un responsable del despliegue se convierte en proveedor si modifica sustancialmente el sistema o cambia su finalidad prevista. Una universidad que reentrena el modelo del proveedor con sus propios datos de estudiantes, o lo despliega para un caso de uso fuera del alcance documentado del proveedor, ha cambiado de función. Las obligaciones del proveedor se aplican entonces.

EIDF del Artículo 27: obligatoria para las universidades públicas y los órganos examinadores

La evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27 es obligatoria para los responsables del despliegue que sean organismos públicos u organismos que ejerzan potestades públicas — esto incluye a la mayoría de las universidades estatales, los órganos nacionales de examen y las autoridades reguladas de certificación profesional. El requisito de la EIDF no se aplica a las instituciones privadas, aunque la buena práctica apunta en la misma dirección.

Una EIDF para la supervisión debe:

  • Identificar las categorías de personas afectadas (los estudiantes que realizan exámenes, incluidos los subgrupos vulnerables).
  • Evaluar los efectos previsibles sobre los derechos fundamentales — concretamente el derecho a la educación (artículo 14 de la Carta de los Derechos Fundamentales de la UE), la no discriminación (artículo 21), la privacidad y la protección de datos (artículos 7 y 8) y el derecho a la tutela judicial efectiva (artículo 47 de la Carta) en caso de una falsa marca.
  • Documentar qué medidas de mitigación están establecidas.
  • Notificar a la autoridad de vigilancia del mercado pertinente antes del despliegue.

La EIDF no es un formalismo jurídico. Para la supervisión, el análisis de igualdad es la parte difícil: los sistemas entrenados con conjuntos de datos demográficos estrechos presentan disparidades de rendimiento documentadas según el tono de piel, la condición de discapacidad y el origen lingüístico. La EIDF debería reflejar datos de prueba reales de su sistema desplegado, no afirmaciones genéricas de equidad.

El riesgo de discriminación y accesibilidad

El riesgo de cumplimiento más sustantivo en la supervisión de exámenes no es el papeleo — es el resultado discriminatorio. Aquí es donde el Artículo 9 y el Artículo 10 hacen su trabajo más arduo.

Las tasas de falsas marcas no son demográficamente neutrales. Los componentes de detección facial de los sistemas basados en cámara web han mostrado disparidades significativas en las tasas de error según los tonos de piel, en particular para la piel más oscura. Un sistema que genera falsas marcas de trampas a tasas más altas para los estudiantes de color produce un resultado discriminatorio tanto con arreglo al Derecho de la UE en materia de no discriminación como al Artículo 9 de la Ley de IA de la UE. El sistema de gestión de riesgos debe identificar esto, cuantificarlo con datos de despliegue reales y documentar qué controles lo reducen.

Los estudiantes neurodivergentes y con discapacidad afrontan un riesgo agravado. Un estudiante con TDAH puede tener patrones de mirada que divergen de las líneas de base neurotípicas. Un estudiante con dislexia teclea de forma diferente. Un estudiante con una discapacidad motriz puede tener una cadencia de pulsación de teclas que el modelo nunca ha encontrado en el entrenamiento. El Artículo 10 exige a los proveedores evaluar los datos de entrenamiento en busca de lagunas de representación — los conjuntos de datos construidos sobre poblaciones homogéneas de examinandos producen sistemas que marcarán de forma desproporcionada los comportamientos atípicos. Los proveedores deben o bien validar el rendimiento en estas subpoblaciones o bien documentar la limitación y exigir a los responsables del despliegue que implementen controles compensatorios (por ejemplo, marcar los casos con adaptaciones documentadas para su revisión humana especializada en lugar de ejecutar la evaluación algorítmica estándar).

Los responsables del despliegue comparten responsabilidad aquí. El Artículo 26 exige a los responsables del despliegue informar a los estudiantes de la supervisión basada en IA. Una universidad que despliega la supervisión sin comunicar a los estudiantes con adaptaciones documentadas que el sistema tiene lagunas de rendimiento conocidas para su población no está cumpliendo sus obligaciones de supervisión. La información del Artículo 13 del proveedor fija un suelo; las prácticas operativas del Artículo 26 del responsable del despliegue deben estar a la altura.

Gestión de riesgos del Artículo 9 en la práctica

El Artículo 9 exige un proceso sistemático y continuo — no un registro de riesgos puntual. Para un proveedor de supervisión, la estructura práctica es la siguiente.

Identifique cada perjuicio previsible que el sistema podría causar: falsas acusaciones que dan lugar a procedimientos disciplinarios; marcado discriminatorio que afecta a grupos demográficos específicos; exposición de datos biométricos; ansiedad por la vigilancia que perjudica el rendimiento del estudiante; barreras de accesibilidad para los estudiantes con adaptaciones; sanciones académicas indebidas.

Evalúe la probabilidad y la gravedad. Una tasa de falsos positivos del 2 % aplicada a 50.000 sesiones de examen son 1.000 estudiantes cuyas pruebas se marcan sin causa. Si tan solo el 10 % de esos casos escalan a procedimientos disciplinarios formales antes de que la revisión humana detecte el error, son 100 estudiantes que afrontan consecuencias graves derivadas de un error algorítmico. La gravedad es alta; el proceso de gestión de riesgos debe reflejarlo.

Defina las mitigaciones. Para las disparidades de rendimiento demográficas: el reentrenamiento con datos representativos, las auditorías de paridad demográfica antes de cada nuevo contexto de despliegue y la calibración de umbrales por grupo demográfico. Para los casos límite de adaptación por discapacidad: una regla de enrutamiento automático que envíe cualquier sesión etiquetada con una marca de adaptación documentada a la revisión humana especializada, sorteando la puntuación algorítmica estándar.

Documente el riesgo residual. En cualquier sistema probabilístico subsiste cierta incertidumbre irreductible. Documéntela con honestidad; los responsables del despliegue necesitan esta información para diseñar protocolos de supervisión apropiados.

Los proveedores deben actualizar la documentación de gestión de riesgos siempre que el sistema cambie materialmente — reentrenamiento, ajuste de umbrales, nuevo contexto de despliegue.

El Artículo 10 y la gobernanza de los datos de entrenamiento

El Artículo 10 se aplica a los proveedores de IA de alto riesgo y rige los datos de entrenamiento, validación y prueba. Para la supervisión:

Los datos de entrenamiento deben ser representativos de la población de usuarios prevista, incluida la diversidad demográfica por edad, tono de piel, condición de discapacidad y origen lingüístico. Si el conjunto de datos se ensambló a partir de las sesiones de examen de una sola institución, documente esa limitación explícitamente en la documentación técnica.

Los datos de validación deben mantenerse separados de los datos de entrenamiento. El rendimiento del conjunto de prueba — desglosado por grupo demográfico — debe comunicarse en la documentación técnica del Artículo 11. Los proveedores que no dispongan de este desglose deberían tratarlo como una laguna que hay que cerrar antes de la evaluación de la conformidad.

La documentación de gobernanza de datos también debería cubrir: la metodología de recopilación de datos y si los participantes consintieron; cuánto tiempo se conservan los datos; y qué procesos rigen las canalizaciones de reentrenamiento.

Documentación técnica y evaluación de la conformidad

La documentación del Artículo 11 / Anexo IV es el registro probatorio que necesitan tanto el organismo notificado como las instituciones responsables del despliegue. Para los sistemas de supervisión debe incluir: una descripción precisa de qué comportamientos está diseñado para detectar el sistema y qué significan sus resultados; la caracterización de los datos de entrenamiento, incluida la composición demográfica y las lagunas conocidas; las métricas de rendimiento desglosadas por subgrupo; los umbrales en los que se generan las marcas; las instrucciones para la supervisión por el responsable del despliegue; y el resumen de gestión de riesgos del Artículo 9.

El formato de ficha del sistema (system card) es útil aquí — un documento estructurado y modular que los responsables del despliegue pueden recorrer durante la contratación. Las universidades deberían solicitar esta documentación antes de firmar contratos con los proveedores de supervisión; los proveedores que no puedan producirla todavía no están listos para el despliegue en la UE.

La evaluación de la conformidad en virtud del Artículo 43 sigue una de dos vías. La mayoría de los proveedores de supervisión utilizarán el procedimiento de control interno (Anexo VI) si su sistema no es además un componente de seguridad de un producto regulado, combinado con la documentación de un sistema de gestión de la calidad. Cuando los sistemas del Anexo III, punto 3, presentan perfiles de riesgo más altos, puede requerirse la revisión por un organismo notificado; los proveedores deberían confirmar la vía aplicable con su asesoría jurídica. En cualquier caso, el resultado es la declaración UE de conformidad (Artículo 47) y el marcado CE, que los responsables del despliegue deben verificar antes de firmar los contratos de despliegue.

El registro en virtud del Artículo 49 en la base de datos de la UE es obligatorio para los proveedores antes de que el sistema salga al mercado. Para los sistemas que utilizan la autoevaluación de no alto riesgo del Artículo 6, apartado 3, el registro sigue siendo necesario — los proveedores deben hacer constar la propia evaluación.

El ejemplo práctico: un organismo de certificación y su proveedor

Un organismo de certificación profesional de tamaño medio en los Países Bajos despliega una herramienta de supervisión con IA de un tercero para sus exámenes en línea. El organismo certificador es una entidad de Derecho público; por tanto, soporta tanto las obligaciones del responsable del despliegue del Artículo 26 como los requisitos de EIDF del Artículo 27.

Antes del despliegue:

  • El organismo de certificación solicita la documentación técnica del Artículo 11 del proveedor, incluido el informe de rendimiento demográfico. Descubre que el componente de detección facial del sistema solo se validó con rostros de origen europeo.
  • Encarga una auditoría demográfica independiente del sistema del proveedor, halla una disparidad significativa en la tasa de falsas marcas para los candidatos con tonos de piel más oscuros y negocia un requisito contractual para que el proveedor produzca una versión corregida antes del lanzamiento.
  • La EIDF documenta este hallazgo, registra la mitigación (requisito contractual más revisión humana especializada para todas las marcas mientras se resuelve técnicamente) y se presenta ante la autoridad nacional competente neerlandesa.
  • El personal que revisará las sesiones marcadas recibe formación sobre las limitaciones conocidas del sistema y los sesgos documentados.

En el despliegue:

  • A cada candidato se le informa antes del examen de que está en funcionamiento la supervisión con IA, qué datos se recopilan y cómo impugnar una marca.
  • No se actúa sobre ninguna sesión únicamente con base en el resultado algorítmico. Cada marca es revisada por un miembro del personal cualificado con acceso al contexto completo de la sesión y al registro de adaptaciones del candidato.
  • Las sesiones de candidatos con adaptaciones documentadas se enrutan automáticamente a un revisor sénior que ha completado una formación adicional sobre patrones de comportamiento atípicos.

Tras el despliegue:

  • El organismo de certificación registra todas las marcas, todas las decisiones de anulación y los resultados. Comunica trimestralmente al proveedor las tasas agregadas de marcado.
  • Dentro de los primeros seis meses, el organismo identifica que las tasas de marcado para un subgrupo demográfico siguen elevadas. Lo notifica al proveedor como un incidente grave en virtud del Artículo 73 y suspende el uso de la puntuación automatizada para ese subgrupo a la espera de la corrección por el proveedor.

Esto es cómo es el cumplimiento del Artículo 26 a nivel operativo — no marcar una casilla, sino un programa de supervisión activo.

Intersección con el RGPD

Los sistemas de supervisión recopilan datos biométricos por diseño: imágenes faciales, potencialmente geometría facial, dinámica de pulsación de teclas, audio. Los datos biométricos son datos de categorías especiales en virtud del Artículo 9 del RGPD. Tratarlos requiere o bien consentimiento explícito o bien otra base del Artículo 9, apartado 2 — para la mayoría de los entornos institucionales de examen, el consentimiento es estructuralmente problemático (¿es un estudiante que necesita aprobar un examen genuinamente libre de denegar el consentimiento?).

Las instituciones suelen apoyarse en el Artículo 9, apartado 2, letra g) (interés público esencial) o en la necesidad contractual, pero la base jurídica debe documentarse en la EIPD, que es obligatoria para el tratamiento biométrico a gran escala en virtud del Artículo 35 del RGPD. La Ley de IA de la UE no desplaza al RGPD; ambos se aplican simultáneamente. Los proveedores que construyen herramientas de supervisión para el despliegue en la UE deben diseñar pensando en la minimización de datos: recopilar solo lo necesario para la finalidad de supervisión declarada, definir los períodos de conservación y conceder a los estudiantes derechos de acceso y supresión sobre sus registros biométricos.

Una tensión práctica: la vigilancia poscomercialización del Artículo 72 exige a los proveedores conservar datos sobre el rendimiento del sistema en el mundo real. El RGPD exige minimización de datos y supresión. Los proveedores deberían diseñar sus sistemas de seguimiento para conservar datos de rendimiento agregados y anonimizados en lugar de registros biométricos individuales más allá de lo que permite el RGPD.

Cómo ayuda Confir

El motor basado en reglas de Confir codifica directamente la lógica de determinación de funciones de la Ley de IA de la UE. Responda a una serie de preguntas en lenguaje sencillo sobre cómo se construye y despliega su sistema de supervisión; Confir deduce si usted es un proveedor o un responsable del despliegue, si la EIDF del Artículo 27 se aplica a su organización y cuáles de los más de 40 controles de alto riesgo se le aplican específicamente — sin ambigüedad y sin necesidad de un consultor.

Para los proveedores de supervisión (proveedores), Confir genera el paquete de documentación técnica del Anexo IV y la declaración de conformidad del Artículo 47, preestructurados según el formato que requiere la evaluación de la conformidad. El módulo de gestión de riesgos del Artículo 9 captura su inventario de peligros, las evaluaciones de gravedad y los registros de mitigación en un único registro auditable — el formato que esperan las autoridades y los organismos notificados.

Para las instituciones que ejecutan la EIDF del Artículo 27, el flujo de trabajo de EIDF de Confir recorre cada elemento requerido — derechos afectados, poblaciones en riesgo, mitigaciones, notificación a la autoridad — y produce una evaluación estructurada y lista para imprimir.

Preguntas frecuentes

¿Es toda la IA utilizada en la educación de alto riesgo en virtud de la Ley de IA de la UE?

No. Solo los sistemas que entran dentro de las categorías específicas del Anexo III, punto 3, son de alto riesgo: la IA para la admisión o selección de personas físicas; la evaluación y valoración de los resultados del aprendizaje; la determinación del acceso a itinerarios educativos; y la supervisión y detección de comportamientos prohibidos de los estudiantes durante las pruebas. Una herramienta de aprendizaje adaptativo que personaliza el contenido, o un corrector automático de redacciones que califica un trabajo presentado, queda fuera de estas categorías y es de riesgo mínimo, salvo que elabore perfiles de estudiantes individuales de un modo de relevancia.

¿Se aplica la prohibición del reconocimiento de emociones a los sistemas de supervisión?

Sí, si el sistema infiere estados emocionales. El Artículo 5, apartado 1, letra f), ha prohibido la IA que infiere emociones en los ámbitos de la educación y el lugar de trabajo desde el 2 de febrero de 2025. Un sistema de supervisión que analiza las expresiones faciales para inferir ansiedad, afecto correlacionado con el engaño o cualquier estado emocional cruza esta línea. Detectar comportamientos observables (hacia dónde mira un estudiante, si hay una segunda cara visible) es diferente de inferir estados internos. Los proveedores deben tener claro en qué lado de esa línea se sitúa su conjunto de funciones.

¿Se aplica la EIDF a las universidades privadas?

El Artículo 27 se aplica a los responsables del despliegue que sean organismos públicos o entidades que ejerzan potestades públicas cuando desplieguen un sistema de IA de alto riesgo en un contexto profesional. Muchas universidades de los Estados miembros de la UE son entidades de Derecho público o están sustancialmente financiadas con fondos públicos; deberían asesorarse jurídicamente sobre su condición. Las instituciones plenamente privadas no están en el ámbito de la EIDF obligatoria, pero conservan todas las obligaciones del responsable del despliegue del Artículo 26, incluidas la supervisión humana y la notificación a los estudiantes. La EIDF es una buena práctica con independencia del mandato legal — el análisis de derechos fundamentales que requiere es el mismo análisis que reduce el riesgo del despliegue a nivel operativo.

¿Cuáles son las sanciones por el incumplimiento?

En virtud del Artículo 99, apartado 4, la multa máxima por infringir las obligaciones de alto riesgo es de 15.000.000 € o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas que reúnen los requisitos de pyme o de empresa emergente, la multa se limita al menor del porcentaje o de la cantidad fija — una protección de proporcionalidad escrita en la Ley en el Artículo 99, apartado 6. Estas multas se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos del Anexo III. Los responsables del despliegue que despliegan un sistema no conforme también se enfrentan a multas en virtud del Artículo 99, apartado 4; la responsabilidad recae sobre ambos lados de la cadena de suministro.

¿Cuándo deben cumplir los proveedores de supervisión?

Para los sistemas autónomos del Anexo III, las obligaciones de alto riesgo se aplican a partir del 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026 (acuerdo político; adopción formal prevista antes de agosto de 2026). La fecha original del 2 de agosto de 2026 se ha aplazado. La evaluación de la conformidad para los sistemas de supervisión suele llevar de seis a doce meses una vez ensamblada la documentación, y la propia documentación lleva varios meses compilarla correctamente. Los proveedores que esperen hasta mediados de 2027 para empezar encontrarán el plazo muy ajustado.

¿Puede un proveedor de supervisión reclamar la exención de no alto riesgo del Artículo 6, apartado 3?

Teóricamente, el Artículo 6, apartado 3, permite a un proveedor autodeclarar la condición de no alto riesgo si el sistema no plantea un perjuicio significativo. En la práctica, la exención es extremadamente difícil de sostener para una herramienta de supervisión: el resultado del sistema influye directamente en una decisión institucional de relevancia sobre la validez de la prueba y la situación del estudiante. Todo sistema que elabore perfiles de personas físicas queda explícitamente excluido de la exención. Los proveedores deberían suponer la condición de alto riesgo y construir en consecuencia. Reclamar la exención frente a pruebas de un perjuicio en el mundo real sería un factor agravante grave en cualquier investigación de supervisión.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.