Skip to content
Confir.
Prueba gratuita
Blog

Reconocimiento facial en espacios públicos: usos prohibidos, reglas de alto riesgo y quién puede hacer qué

High-Risk Use Case24 April 2026· 18 min de lectura

La identificación facial en tiempo real por las autoridades policiales está prohibida en virtud del Art. 5, apartado 1, letra h) desde febrero de 2025. La identificación biométrica a posteriori es de alto riesgo del Anexo III — plazo 2 dic 2027.

Lo primero que hay que entender sobre el reconocimiento facial en virtud del Reglamento (UE) 2024/1689 es que la norma traza dos líneas distintas — no una. Algunos usos están prohibidos de forma absoluta. Otros se clasifican como de alto riesgo, lo que significa que son jurídicamente admisibles en principio, pero conllevan una pesada batería de obligaciones. Y un uso habitual (la verificación de una identidad declarada) se sitúa en gran medida fuera de ambas categorías. Equivocarse con el mapa no es un tecnicismo menor: la categoría prohibida está en vigor desde el 2 de febrero de 2025, y las infracciones conllevan multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial en virtud del Artículo 99, apartado 3.

Este artículo recorre ese mapa — usos prohibidos, usos de alto riesgo, lo que no es ninguno de los dos — y expone las obligaciones de cumplimiento que se aplican a los sistemas de alto riesgo.

Los tres usos prohibidos que ya están en vigor

El Artículo 5 de la Ley de IA de la UE enumera las prácticas que el Derecho de la UE veta de forma absoluta. Tres son directamente pertinentes para el reconocimiento facial en espacios públicos, y las tres se aplican desde el 2 de febrero de 2025.

Identificación biométrica remota en tiempo real en espacios públicos con fines policiales (Artículo 5, apartado 1, letra h))

Esta es la prohibición más debatida. Las autoridades policiales no pueden ejecutar sistemas de reconocimiento facial en tiempo real — sistemas que cotejan rostros con una base de datos a medida que las personas se desplazan por espacios de acceso público — salvo que se aplique una de tres excepciones estrictas:

  1. La búsqueda selectiva de una víctima concreta de un delito grave (trata, explotación sexual, secuestro), una persona desaparecida o una persona que ha desaparecido en circunstancias que indican un grave riesgo para la vida.
  2. La prevención de una amenaza específica, importante e inminente de un atentado terrorista.
  3. La detección, identificación o enjuiciamiento del presunto autor de una infracción penal castigada en el Estado miembro de que se trate con una pena privativa de libertad de al menos cuatro años, siempre que el uso esté autorizado de antemano por una autoridad judicial o administrativa independiente (o, en caso de urgencia excepcional, de forma retroactiva en un plazo de 24 horas).

Cada excepción requiere la autorización previa de un órgano judicial o independiente, el registro en la base de datos de la UE y una evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27. No son valores por defecto — son válvulas de seguridad que exigen pasos procedimentales afirmativos antes de que el sistema se encienda.

La expresión «en tiempo real» importa. Un sistema que procesa datos faciales de una transmisión en directo — incluso con una breve demora de procesamiento — entra en esta prohibición. Un sistema que analiza imágenes grabadas a posteriori no queda comprendido aquí; se encuadra en la categoría de alto riesgo (véase más abajo).

Extracción no selectiva para crear bases de datos de reconocimiento facial (Artículo 5, apartado 1, letra e))

El Reglamento prohíbe crear o ampliar bases de datos de reconocimiento facial mediante la extracción de imágenes faciales de internet o de imágenes de videovigilancia a gran escala, sin dirigirse a una persona concreta. Es una respuesta directa a los modelos de negocio de empresas como Clearview AI. La extracción está prohibida con independencia de quién la realice — autoridades policiales, empresas privadas de inteligencia o cualquier otro. La prohibición abarca tanto la extracción como la base de datos resultante.

Categorización biométrica que infiere atributos sensibles (Artículo 5, apartado 1, letra g))

Los sistemas que utilizan datos faciales u otros datos biométricos para clasificar a las personas en categorías basadas en atributos sensibles — raza, etnia, opinión política, afiliación sindical, convicciones religiosas o filosóficas, orientación sexual — están prohibidos. Esto comprende cualquier sistema que vaya más allá de identificar quién es alguien e intente inferir qué es.

Qué es de alto riesgo: la categoría del Anexo III, punto 1

El Anexo III de la Ley de IA de la UE enumera los ocho ámbitos en los que los sistemas de IA son presuntamente de alto riesgo. El punto 1 cubre la biometría, y comprende:

  • Los sistemas de identificación biométrica remota a posteriori (no en tiempo real) — por ejemplo, revisar imágenes de videovigilancia después de un incidente para identificar a una persona. Este es el uso «forense fuera de línea» que no queda comprendido en la prohibición en tiempo real del Artículo 5, apartado 1, letra h), pero que es, no obstante, de alto riesgo.
  • Los sistemas de categorización biométrica — los que asignan a las personas a categorías en función de datos biométricos, siempre que no queden comprendidos en la prohibición del Artículo 5, apartado 1, letra g) (que abarca la inferencia de atributos sensibles). Categorizar por otros atributos (forma de andar, edad aproximada, color del cabello) utilizando una entrada biométrica es de alto riesgo, no está prohibido.
  • Los sistemas de reconocimiento de emociones — que utilizan el análisis facial para inferir estados emocionales. Nota: el reconocimiento de emociones utilizado en el lugar de trabajo o en los centros educativos está además prohibido en virtud del Artículo 5, apartado 1, letra f); en otros contextos es de alto riesgo.

La vía de evaluación de la conformidad para los sistemas del Anexo III, punto 1 es generalmente la vía de organismo notificado del Anexo VII con arreglo al Artículo 43 — no la autoevaluación interna disponible para la mayoría de las demás categorías del Anexo III. Eso significa que un organismo de evaluación de la conformidad independiente debe revisar la documentación técnica antes de que el sistema llegue al mercado.

El plazo para los sistemas autónomos de alto riesgo del Anexo III es el 2 de diciembre de 2027, en virtud del Ómnibus Digital acordado en mayo de 2026 (que aplazó la fecha original del 2 de agosto de 2026). Es un aplazamiento, no una suspensión: los sistemas que lleguen ahora al mercado necesitarán documentación conforme, y el proceso de evaluación lleva tiempo en completarse.

El incumplimiento de las obligaciones de alto riesgo conlleva multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial en virtud del Artículo 99, apartado 4.

Qué no está ni prohibido ni es de alto riesgo: la verificación biométrica

La verificación biométrica — una comprobación uno a uno que confirma que usted es la persona que dice ser — generalmente no queda comprendida ni en las prohibiciones del Artículo 5 ni en la clasificación de alto riesgo del Anexo III. Los casos paradigmáticos son: utilizar Face ID para acceder a su teléfono, confirmar su identidad en una puerta electrónica fronteriza en la que ya ha presentado un documento, o autenticarse en una aplicación bancaria.

La distinción clave es entre la identificación (¿quién es esta persona, de entre una población?) y la verificación (¿es esta persona la que dice ser?). La verificación opera con consentimiento explícito y una plantilla de referencia preestablecida de la misma persona. No construye bases de datos a escala poblacional ni clasifica a las personas sin su conocimiento.

Dicho esto, la línea puede difuminarse. Un sistema descrito como «verificación» que en la práctica construye plantillas a partir de imágenes públicas, o que almacena datos biométricos más allá de la transacción inmediata, corre el riesgo de ser reclasificado. El enfoque de cómo se describe el funcionamiento del sistema importa menos que lo que realmente hace.

Quién puede hacer qué: el mapa práctico

Caso de usoEstatus jurídicoQuién puede hacerlo
Identificación facial en tiempo real en espacios públicos, finalidad policialProhibido (Art. 5, apdo. 1, letra h)) — con tres excepciones estrictas que requieren autorización previaSolo las autoridades policiales, solo bajo las tres excepciones, solo con autorización judicial/independiente
Identificación facial en tiempo real en espacios públicos, finalidad del sector privado (minoristas, recintos de eventos, operadores de transporte)Prohibido — el Art. 5, apdo. 1, letra h) se aplica específicamente a las autoridades policiales, pero la identificación biométrica remota en tiempo real del sector privado en espacios públicos está prohibida vía Art. 9 del RGPD (datos biométricos = categoría especial, sin base jurídica válida para la identificación de desconocidos) y la prohibición del Art. 5, apdo. 1, letra g) si intervienen atributos sensiblesEn la práctica, ningún actor privado puede ejecutar lícitamente la identificación facial en tiempo real del público
Extraer rostros de internet o de la videovigilancia para crear bases de datosProhibido (Art. 5, apdo. 1, letra e))Nadie
Categorización biométrica que infiere raza, religión, opinión política, orientación sexualProhibido (Art. 5, apdo. 1, letra g))Nadie
Cotejo facial a posteriori (fuera de línea) de imágenes grabadasAlto riesgo (Anexo III, punto 1) — requiere toda la batería de obligaciones, evaluación de la conformidad por organismo notificado del Anexo VIIAutoridades policiales con base jurídica adecuada; actores privados con base jurídica (generalmente excepcional)
Reconocimiento de emociones (fuera del lugar de trabajo/la educación)Alto riesgo (Anexo III, punto 1)Proveedores y responsables del despliegue con pleno cumplimiento de alto riesgo
Verificación biométrica (uno a uno, con consentimiento)Generalmente riesgo mínimoCualquier organización con la base jurídica adecuada del RGPD

Un detalle merece énfasis: la prohibición del Artículo 5, apartado 1, letra h) se aplica, según sus términos, al «uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho». Los minoristas privados, los aeropuertos y los organizadores de eventos no son autoridades policiales. ¿Significa eso que pueden ejecutar libremente el reconocimiento facial en directo? No — el Artículo 9 del RGPD prohíbe de forma independiente el tratamiento de datos biométricos con fines de identificación sin una base jurídica explícita, y ninguna de las excepciones del Artículo 9, apartado 2 se aplica fácilmente a un minorista que escanea el rostro de cada cliente. La prohibición de la Ley de IA de la UE y el RGPD operan en paralelo. Ambos deben satisfacerse.

La batería de obligaciones de alto riesgo

Un sistema de identificación biométrica a posteriori u otro sistema del Anexo III, punto 1 que supere las prohibiciones del Artículo 5 debe satisfacer los siguientes requisitos antes de llegar al mercado. Estos se aplican a partir del 2 de diciembre de 2027 para los sistemas autónomos.

Sistema de gestión de riesgos (Artículo 9). Un proceso documentado y actualizado de forma continua que identifica los riesgos previsibles — falsos positivos que causan investigaciones indebidas, sesgo contra grupos demográficos, ampliación de funciones, vulneración de la base de datos — e implementa mitigaciones proporcionadas a lo largo de todo el ciclo de vida del sistema.

Datos y gobernanza de datos (Artículo 10). Los conjuntos de datos de entrenamiento y de validación deben ser representativos en cuanto a edad, sexo, etnia y tono de piel. Los proveedores deben documentar las fuentes de datos y realizar pruebas de exactitud desglosadas. Un sistema que funciona bien en un grupo demográfico y mal en otro incumple este requisito con independencia de su exactitud global.

Documentación técnica (Artículo 11 / Anexo IV). Un paquete técnico completo que incluye la arquitectura, la composición de los datos de entrenamiento, las métricas de rendimiento del modelo desglosadas por grupo demográfico, los protocolos de prueba, las limitaciones conocidas y los procedimientos de actualización. Esta documentación se sitúa en el centro de la evaluación de la conformidad del Anexo VII.

Transparencia hacia los responsables del despliegue (Artículo 13). Los proveedores deben facilitar instrucciones de uso en un lenguaje accesible — capacidades del sistema, modos de fallo, procedimientos de supervisión exigidos y qué deben hacer los responsables del despliegue para mantener el cumplimiento.

Supervisión humana (Artículo 14). Los operadores deben tener la capacidad de revisar los resultados y anular las recomendaciones del sistema antes de que se adopte cualquier decisión trascendente. La identificación totalmente automatizada sin revisión humana es no conforme.

Exactitud, robustez y ciberseguridad (Artículo 15). El rendimiento debe documentarse con métricas cuantificadas. Las medidas de ciberseguridad deben proteger las plantillas biométricas frente al acceso no autorizado.

Sistema de gestión de la calidad (Artículo 17). Los proveedores deben operar un SGC documentado que cubra todo el ciclo de vida de su producto de IA de alto riesgo.

Evaluación de la conformidad (Artículo 43 / Anexo VII). Para los sistemas biométricos del Anexo III, punto 1, la evaluación debe realizarla un organismo notificado acreditado — no una autoevaluación interna. El proveedor no puede limitarse a declarar la conformidad.

Declaración UE de conformidad (Artículo 47) y marcado CE (Artículo 48). Una vez que el organismo notificado emite su certificado, el proveedor emite la declaración y coloca el marcado CE.

Registro en la base de datos de la UE (Artículo 49). Los sistemas de alto riesgo deben registrarse en la base de datos de la UE (establecida en virtud del Artículo 71) antes de su introducción en el mercado.

Obligaciones del responsable del despliegue: qué cambia cuando pone un sistema en funcionamiento

Si usted despliega un sistema de identificación biométrica de alto riesgo — pongamos, una unidad forense policial que utiliza el software de cotejo facial a posteriori de un proveedor — sus obligaciones en virtud del Artículo 26 incluyen:

  • Seguir las instrucciones de uso del proveedor.
  • Garantizar que la supervisión humana esté implantada: toda coincidencia que dé lugar a una decisión trascendente debe ser revisada por un operador formado.
  • Conservar registros del uso del sistema durante al menos seis meses (Artículo 26).
  • Supervisar los incidentes e informar al proveedor y a la autoridad pertinente de los problemas graves (el Artículo 73 rige el propio deber de notificación del proveedor; usted, como responsable del despliegue, informa hacia arriba).
  • Realizar una evaluación de impacto relativa a los derechos fundamentales en virtud del Artículo 27, que para los despliegues biométricos policiales no es opcional.

La EIDF (Artículo 27) le exige evaluar los impactos en la privacidad, la libertad de circulación, la no discriminación y la protección de datos; justificar la necesidad y la proporcionalidad del despliegue; considerar alternativas menos invasivas; y documentar sus conclusiones. Debe mantenerse actualizada a medida que evoluciona el despliegue.

La dimensión del RGPD

La Ley de IA de la UE no desplaza al RGPD. Los datos biométricos faciales son datos personales de categorías especiales en virtud del Artículo 9 del RGPD. Tratarlos requiere una de las bases jurídicas del Artículo 9, apartado 2 — para las empresas privadas, estas son estrictas (consentimiento explícito, intereses vitales y algunas otras). El tratamiento de datos biométricos por las autoridades policiales se rige adicionalmente por la Directiva 2016/680. Satisfacer los requisitos técnicos de alto riesgo de la Ley de IA de la UE no proporciona por sí solo una base jurídica con arreglo al RGPD. Ambas capas deben satisfacerse de forma independiente.

En la práctica: un minorista privado que escanea los rostros de los clientes con fines de identificación no tiene una base válida del Artículo 9, apartado 2 del RGPD y no puede justificar el tratamiento aunque quisiera construir un sistema de IA de alto riesgo plenamente conforme. El RGPD bloquea el uso antes incluso de que comience el análisis de la Ley de IA de la UE.

Cómo ayuda Confir

El motor de clasificación basado en reglas de Confir aplica la lógica de los Artículos 5 y 6 de forma determinista: la misma admisión produce la misma conclusión, la regla que se activó es legible por humanos y el resultado es defendible ante auditoría. Para cualquier sistema biométrico, recorre si el uso está prohibido (Artículo 5, apartado 1, letras e), g), h)), si es de alto riesgo con arreglo al Anexo III, punto 1 y — si es de alto riesgo — qué obligaciones se aplican a qué papel. El resultado es una clasificación documentada con las referencias a los Artículos adjuntas, lista para el proceso de evaluación de la conformidad.

Preguntas frecuentes

¿Está prohibido todo el reconocimiento facial en espacios públicos con arreglo a la Ley de IA de la UE?

No — pero la distinción es precisa. La identificación facial en tiempo real con fines policiales está prohibida en virtud del Artículo 5, apartado 1, letra h), con sujeción a tres excepciones estrictas que requieren la autorización judicial previa. La identificación facial no en tiempo real (a posteriori) se encuadra en el Anexo III, punto 1 como de alto riesgo, no prohibida. La verificación biométrica — confirmar una identidad declarada uno a uno con consentimiento — es generalmente de riesgo mínimo. El límite entre lo prohibido y lo de alto riesgo importa, y depende de la distinción entre tiempo real y a posteriori y de si la finalidad es la identificación policial.

¿Puede una empresa privada (minorista, recinto, aeropuerto) ejecutar el reconocimiento facial en tiempo real?

En la práctica, no. El Artículo 5, apartado 1, letra h) apunta a las autoridades policiales, no a los actores privados, pero el Artículo 9 del RGPD prohíbe de forma independiente el tratamiento de datos biométricos con fines de identificación sin una base jurídica explícita — y ninguna de las excepciones del Artículo 9, apartado 2 se aplica cómodamente a un minorista que escanea a desconocidos. Los dos regímenes operan en paralelo. Un actor privado puede satisfacer los requisitos técnicos de la Ley de IA de la UE y, aun así, no tener base jurídica válida alguna para tratar los datos.

¿Cuál es el plazo de cumplimiento para los sistemas de IA biométrica de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo de aplicación para los sistemas de IA de alto riesgo autónomos (la lista del Anexo III, incluida la biometría) es el 2 de diciembre de 2027, aplazado respecto de la fecha original del 2 de agosto de 2026. Las prohibiciones del Artículo 5, sin embargo, se aplican desde el 2 de febrero de 2025 — ya están en vigor y no fueron aplazadas.

¿Qué vía de evaluación de la conformidad se aplica a los sistemas de reconocimiento facial?

Los sistemas biométricos del Anexo III, punto 1 requieren generalmente la vía de evaluación de la conformidad por organismo notificado del Anexo VII con arreglo al Artículo 43 — no la autoevaluación interna (Anexo VI) disponible para la mayoría de las demás categorías del Anexo III. Un proveedor no puede autocertificarse. Un organismo tercero acreditado debe revisar la documentación técnica, que a su vez debe incluir datos de exactitud desglosados y el paquete técnico completo del Anexo IV.

¿Cuáles son las sanciones por infringir las prohibiciones del Artículo 5?

Ejecutar una práctica de reconocimiento facial prohibida — identificación policial en tiempo real sin autorización, extracción de bases de datos o categorización biométrica sensible — conlleva multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial en virtud del Artículo 99, apartado 3, si esta última cifra es mayor. Para las pymes y las empresas emergentes, las multas se limitan al menor del porcentaje o el importe fijo en virtud del Artículo 99, apartado 6. Para las infracciones de las obligaciones de alto riesgo, el techo es de 15 millones de euros o el 3 % en virtud del Artículo 99, apartado 4.

¿Qué es una evaluación de impacto relativa a los derechos fundamentales y cuándo se exige?

La EIDF del Artículo 27 es una evaluación documentada del impacto de un despliegue en los derechos fundamentales: privacidad, libertad de circulación, no discriminación, libertad de expresión y protección de datos. Debe evaluar la necesidad y la proporcionalidad, considerar alternativas menos invasivas y mantenerse actualizada. Para los sistemas biométricos desplegados por organismos públicos o en contextos como la garantía del cumplimiento del Derecho, la EIDF es obligatoria antes de que comience el despliegue. No es un documento puntual — debe actualizarse a medida que evoluciona el despliegue.

¿Sustituye el cumplimiento de la Ley de IA de la UE al cumplimiento del RGPD para el reconocimiento facial?

No. Los datos biométricos faciales son datos personales de categorías especiales en virtud del Artículo 9 del RGPD. Satisfacer los requisitos técnicos de la Ley de IA de la UE (gestión de riesgos, supervisión humana, documentación técnica) no proporciona una base jurídica del RGPD para el tratamiento. Ambos conjuntos de obligaciones se aplican en paralelo. Un sistema puede ser plenamente conforme con la Ley de IA de la UE desde el punto de vista técnico y, aun así, ser ilícito con arreglo al RGPD si no existe una base del Artículo 9, apartado 2 para el tratamiento.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.