Skip to content
Confir.
Prueba gratuita
Blog

IA para la admisibilidad a prestaciones sociales: alto riesgo con arreglo al punto 5, letra a), del Anexo III

High-Risk Use Case24 March 2026· 19 min de lectura

La IA de admisibilidad a prestaciones sociales es de alto riesgo con arreglo al punto 5, letra a), del Anexo III de la Ley de IA de la UE. Los responsables del despliegue que son autoridades públicas deben realizar una EIDF. Plazo: 2 de diciembre de 2027.

Cuando una autoridad pública utiliza un sistema de IA para decidir si una persona reúne los requisitos para una ayuda a la vivienda, un apoyo por discapacidad o una prestación por desempleo, ese sistema es de alto riesgo con arreglo al Reglamento (UE) 2024/1689 — punto final. El Anexo III, punto 5, letra a), traza la línea explícitamente: la IA destinada a ser utilizada por las autoridades públicas, o en su nombre, para evaluar la admisibilidad a prestaciones y servicios públicos esenciales, o para conceder, reducir, revocar o reclamar dichas prestaciones, es de alto riesgo. No hay umbral que cruzar, ni juicio discrecional para el responsable del despliegue. La clasificación es automática con arreglo al Artículo 6.

Lo que está en juego hace que la clasificación sea previsible. Un sistema que deniega erróneamente una ayuda a la vivienda a una familia o recorta una pensión por discapacidad por un error de puntuación afecta a los ingresos de subsistencia, al acceso a la atención sanitaria y a la seguridad de la vivienda — precisamente los derechos fundamentales que la Ley de IA de la UE está diseñada para proteger. Los bien documentados escándalos de detección de fraude en las prestaciones por toda Europa — en los que las puntuaciones de riesgo algorítmicas señalaron sistemáticamente a los hogares de bajos ingresos y de inmigrantes — se sitúan en el centro de la razón por la que existe el punto 5, letra a).

En virtud del Ómnibus Digital acordado en mayo de 2026, el plazo de cumplimiento para los sistemas autónomos del Anexo III se ha desplazado del 2 de agosto de 2026 al 2 de diciembre de 2027. Esa es la fecha en la que tanto el proveedor del sistema de admisibilidad como la autoridad pública que lo despliega deben tener sus obligaciones en marcha. Dos años de margen suena generoso; el trabajo de documentación y evaluación necesario lo hace ajustado.

Lo que el punto 5, letra a), del Anexo III comprende — y lo que no

El desencadenante de alto riesgo es la combinación de dos elementos: un actor que es autoridad pública y una función que afecta a la admisibilidad. Un sistema que evalúa si una persona reúne los requisitos para una prestación por desempleo, una ayuda social condicionada a recursos, una ayuda a la vivienda, una pensión por discapacidad, una pensión alimenticia para menores, subsidios sanitarios o prestaciones esenciales similares entra de lleno en el punto 5, letra a). También lo hace un sistema que recomienda reducir, suspender o reclamar prestaciones ya en pago.

Lo que queda fuera: un chatbot que explica cómo solicitar una ayuda a la vivienda, una herramienta de clasificación de documentos que ordena las pruebas cargadas sin evaluar el derecho a la prestación, una herramienta de cálculo que aplica una fórmula legal fija sin componente de predicción o puntuación. Estos no evalúan la admisibilidad en el sentido que la Ley entiende; pueden ser de riesgo mínimo o, si se dirigen al cliente y son generativos, de riesgo limitado con arreglo al Artículo 50.

El filtro del Artículo 6, apartado 3 — que permite a un proveedor autoevaluar que un sistema del Anexo III no plantea un riesgo significativo de perjuicio y, por tanto, no debe tratarse como de alto riesgo — rara vez se aplica aquí. Los sistemas que elaboran perfiles de personas físicas son siempre de alto riesgo, con independencia de la exención. Un modelo de admisibilidad a prestaciones elabora intrínsecamente perfiles de los solicitantes frente a criterios. Los proveedores que intenten la vía del 6, apartado 3, deben documentar la evaluación y registrarla, pero los reguladores nacionales y el Comité Europeo de Protección de Datos han señalado que los sistemas que afectan al acceso a servicios esenciales presentan características de riesgo inherentes que hacen difícil sostener la exención.

La pila de obligaciones para los proveedores

El proveedor de un sistema de admisibilidad a prestaciones sociales — la organización que lo desarrolla, lo introduce en el mercado o lo pone en servicio con su propio nombre — soporta las obligaciones más gravosas con arreglo a los Artículos 9 a 15, reforzadas por los Artículos 16, 43, 47, 48 y 49, y los Artículos 72 y 73 para la vigilancia poscomercialización y la notificación de incidentes.

Sistema de gestión de riesgos (Artículo 9). Los proveedores deben establecer y mantener un sistema de gestión de riesgos documentado a lo largo de todo el ciclo de vida del sistema. Para la IA de admisibilidad a prestaciones, esto significa identificar dónde produce errores el sistema — falsos positivos que desencadenan denegaciones indebidas, falsos negativos que permiten el fraude, o ambos — y cuantificar cómo se distribuyen esos errores entre los grupos demográficos. El análisis de errores estratificado por edad, sexo, condición de discapacidad, nacionalidad y composición del hogar no es opcional; es el mecanismo para demostrar que el sesgo no perjudica sistemáticamente a los grupos protegidos. Los riesgos residuales deben documentarse y revisarse tras cada actualización significativa.

Datos y gobernanza de datos (Artículo 10). Los datos de entrenamiento, validación y prueba deben ser representativos de la población que el sistema evaluará. Un modelo de admisibilidad a prestaciones entrenado con datos de un municipio o una región puede rendir mal para una composición demográfica distinta. La procedencia de los datos, la metodología de recopilación y cualquier limitación conocida deben documentarse. Cuando se tratan categorías sensibles de datos personales (estado de salud, clasificación de discapacidad, origen étnico) con arreglo al Artículo 9 del RGPD, ese tratamiento necesita una base jurídica y salvaguardias adecuadas superpuestas al cumplimiento del Artículo 10.

Documentación técnica (Artículo 11, Anexo IV). El paquete de documentación del Anexo IV abarca nueve categorías: descripción general del sistema; arquitectura del sistema y especificaciones de los datos de entrenamiento; procedimientos de seguimiento y control; métricas de rendimiento estratificadas por grupo demográfico; registros de gestión de riesgos; registro de cambios del ciclo de vida; normas armonizadas aplicadas; la declaración UE de conformidad; y el plan de vigilancia poscomercialización. Esta documentación debe conservarse durante diez años (Artículo 18) y presentarse a las autoridades competentes cuando lo soliciten.

Supervisión humana desde el diseño (Artículo 14). El sistema debe diseñarse de modo que un tramitador pueda comprender su resultado, evaluar su fiabilidad en contexto y anularlo sin obstrucción técnica. Cuando el sistema genera una recomendación, la persona que toma la decisión final debe tener la competencia y la autoridad para hacer caso omiso de ella. El Artículo 14 exige que el sistema incluya herramientas de interfaz humano-máquina adecuadas para hacer esto efectivo — no un botón de anulación de mero trámite, sino un flujo de trabajo en el que la revisión humana sea sustantivamente posible.

Exactitud, robustez y ciberseguridad (Artículo 15). Los sistemas de prestaciones albergan datos personales sensibles de grandes volúmenes de personas. El Artículo 15 exige una protección adecuada frente a entradas adversarias, envenenamiento de datos y manipulación. Las métricas de exactitud deben comunicarse en la documentación técnica con la granularidad suficiente para que un regulador pueda evaluar si el sistema es apto para su finalidad en toda su población de usuarios prevista.

Evaluación de la conformidad (Artículo 43). Antes de introducir el sistema en el mercado o ponerlo en servicio, el proveedor debe completar una evaluación de la conformidad. Para la mayoría de las categorías del Anexo III — incluido el punto 5, letra a) — esta sigue la vía de autoevaluación interna del Anexo VI, no la intervención obligatoria de un organismo notificado. El proveedor coteja su propia documentación con los requisitos de los Artículos 9 a 15, registra las conclusiones y emite la declaración UE de conformidad con arreglo al Artículo 47 antes de colocar el marcado CE con arreglo al Artículo 48.

Registro (Artículo 49). Los proveedores deben registrar el sistema en la base de datos de la UE para los sistemas de IA de alto riesgo antes de su introducción en el mercado. Los responsables del despliegue que son autoridades públicas también deben registrarse, y determinados campos de ese registro — incluida la información pertinente para la supervisión no pública — no son visibles para el público general, pero son accesibles para las autoridades competentes.

Vigilancia poscomercialización y notificación de incidentes (Artículos 72 y 73). Los proveedores deben recopilar y analizar datos sobre el rendimiento del sistema sobre el terreno a través de un plan de vigilancia poscomercialización. Cuando se produzca un incidente grave — un funcionamiento defectuoso que contribuya a un daño significativo, como una ola sistemática de denegaciones indebidas —, el proveedor debe notificarlo a la autoridad de vigilancia del mercado pertinente. El Artículo 73 fija plazos: 15 días desde que se tiene conocimiento en la mayoría de los casos; 2 días para una infracción generalizada o una perturbación grave; 10 días cuando una persona ha fallecido.

Las obligaciones del responsable del despliegue — autoridades públicas con arreglo al Artículo 26 y el Artículo 27

Una autoridad pública que despliega un sistema de IA de admisibilidad a prestaciones que no desarrolló es un responsable del despliegue con arreglo al Artículo 26. Las obligaciones del responsable del despliegue son más ligeras que las del proveedor, pero no triviales y, para los responsables del despliegue del sector público en este caso de uso concreto, el Artículo 27 añade un paso obligatorio al que la mayoría de los responsables del despliegue de otros sectores no se enfrenta.

Base del Artículo 26. El responsable del despliegue debe utilizar el sistema conforme a las instrucciones del proveedor, garantizar que el personal pertinente tenga la competencia y la formación para supervisarlo, garantizar que los datos de entrada sean adecuados y suficientemente representativos, supervisar el funcionamiento en busca de anomalías, registrar las actividades durante al menos seis meses (Artículo 26) y notificar los riesgos o incidentes graves al proveedor y, cuando proceda, a la autoridad competente.

Evaluación de Impacto relativa a los Derechos Fundamentales (EIDF) del Artículo 27. Las autoridades públicas que despliegan IA de alto riesgo deben realizar una EIDF antes del despliegue. Esto no es una evaluación de impacto relativa a la protección de datos — es más amplia. La EIDF del Artículo 27 examina los impactos en la gama de derechos fundamentales en juego: el derecho a la seguridad social y a la protección contra la pobreza (Artículo 34 de la Carta de la UE); la no discriminación y la igualdad de trato (Artículo 21 de la Carta); el derecho a la tutela judicial efectiva y al acceso a un proceso equitativo (Artículo 47 de la Carta); y el derecho a la protección de datos (Artículo 8 de la Carta). Para la admisibilidad a prestaciones, la evaluación debe abordar específicamente si el sistema crea barreras sistémicas para grupos concretos — personas mayores con acceso digital limitado, personas que no hablan la lengua nativa, personas con estructuras de hogar complejas — y qué mecanismos de anulación y recurso existen.

La EIDF debe documentarse y registrarse. El Artículo 27 también exige que el responsable del despliegue implique a las partes interesadas pertinentes, lo que para un contexto de servicios sociales públicos suele significar consultar con organizaciones de la sociedad civil, grupos de defensa de las personas con discapacidad y sindicatos que representan a los beneficiarios de prestaciones.

Un apunte práctico: la EIDF no es un ejercicio puntual. Si el sistema cambia materialmente, o si los datos de seguimiento revelan patrones no previstos en el despliegue, la evaluación debe actualizarse.

Una nota sobre los cambios de rol (Artículo 25). Una autoridad pública que personaliza un sistema adquirido hasta el punto de modificar sustancialmente su finalidad prevista, o que lo introduce en el mercado con su propio nombre, pasa a ser un proveedor — y hereda toda la pila de obligaciones del proveedor. Los municipios y las agencias de servicios sociales que construyen motores de admisibilidad a medida sobre API de modelos comerciales deberían asesorarse sobre si el Artículo 25 se les aplica.

Contexto real: por qué este caso de uso tiene peso político

La inclusión por la Ley de IA de la UE de la admisibilidad a prestaciones sociales en el punto 5, letra a), del Anexo III no fue accidental. Los redactores tenían en mente sistemas concretos. El asunto neerlandés SyRI (Systeem Risico Indicatie) — en el que una herramienta de puntuación de riesgo algorítmica señaló a los hogares de bajos ingresos y de inmigrantes para investigaciones de fraude en las prestaciones y fue anulada por un tribunal neerlandés en 2020 por considerarse una violación desproporcionada del derecho a la vida privada — es el caso paradigmático. Se desplegaron sistemas similares en el Reino Unido, Francia y varios otros Estados miembros, a menudo con escasa transparencia y sin un derecho de recurso significativo.

El punto 5, letra a), operacionaliza la lección: si una autoridad pública utiliza un sistema automatizado para tomar decisiones de admisibilidad que afectan al acceso de las personas al apoyo esencial, o para influir materialmente en ellas, el público tiene un interés legítimo en saber que el sistema existe, cómo funciona, cómo se distribuyen sus errores y qué recurso existe. La EIDF, el requisito de registro y el mandato de supervisión humana del Artículo 14 imponen colectivamente un suelo de transparencia y rendición de cuentas que aquellos sistemas anteriores nunca alcanzaron.

Para una autoridad pública que despliega, esto también significa que la evaluación del Artículo 27 no es un formalismo de cumplimiento. Es un documento público. Los grupos de la sociedad civil, los periodistas y las organizaciones de defensa pueden leerlo y lo leerán.

Cómo ayuda Confir

El motor de clasificación basado en reglas de Confir recorre la lógica de delimitación punto por punto del Anexo III para confirmar si un sistema dado cumple el umbral del Artículo 6 + punto 5, letra a). Dado que el motor es determinista — la misma admisión produce la misma conclusión, y cada regla que se activa es legible por humanos —, el resultado de la clasificación es defendible en una auditoría sin ambigüedad sobre cómo se alcanzó el resultado.

Para las autoridades públicas que despliegan, Confir ejecuta la EIDF del Artículo 27 como un flujo de trabajo estructurado: admisión guiada en las siete áreas de impacto, documentación de las medidas de mitigación y un resultado estructurado listo para el registro. Para los proveedores, los módulos de evaluación AIRC, AITR, AITO y AIGM se corresponden directamente con la pila de obligaciones de los Artículos 9 a 15, generando el paquete de documentación técnica del Anexo IV y la declaración de conformidad del Artículo 47 como resultados estructurados. El registro de auditoría inmutable garantiza que el registro de cumplimiento resista el escrutinio regulatorio.

Tanto los proveedores como los responsables del despliegue pueden confirmar su conjunto de obligaciones y comenzar el trabajo de evaluación en una sola sesión.

Calendario de cumplimiento

Las obligaciones de los Artículos 9 a 15, 26, 27, 43, 47, 48 y 49 se aplican a la IA de admisibilidad a prestaciones sociales a partir del 2 de diciembre de 2027 — el plazo revisado en virtud del acuerdo político del Ómnibus Digital de mayo de 2026, que aplazó la fecha original del 2 de agosto de 2026 para los sistemas autónomos del Anexo III. El plazo para la IA de alto riesgo integrada en productos regulados del Anexo I es el 2 de agosto de 2028, pero los sistemas de admisibilidad a prestaciones sociales no son componentes de seguridad de productos; se aplica la fecha de 2027.

El incumplimiento después de esa fecha expone a los proveedores y a los responsables del despliegue a sanciones con arreglo al Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las organizaciones por debajo de cierta escala, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija — una protección de proporcionalidad, pero no una razón para despriorizar el cumplimiento.

El trabajo de documentación de un sistema de admisibilidad a prestaciones — auditorías de calidad de datos, pruebas de rendimiento estratificadas, EIDF, paquete de documentación técnica, evaluación de la conformidad — suele llevar meses. Empezar mucho antes del plazo no es opcional; es el ritmo realista de la tarea.

Preguntas frecuentes

¿Qué programas de prestaciones concretos comprende el punto 5, letra a), del Anexo III?

El punto 5, letra a), se aplica a la IA utilizada para evaluar la admisibilidad a «prestaciones y servicios de asistencia pública esenciales, incluidos los servicios de asistencia sanitaria». El alcance es amplio: las ayudas a la vivienda, las prestaciones por desempleo, las pensiones por discapacidad, las pensiones alimenticias para menores y las prestaciones familiares, las ayudas sociales condicionadas a recursos, los servicios de atención social y el acceso subvencionado a la atención sanitaria entran todos en él. El desencadenante es la combinación de un actor que es autoridad pública y una función que determina si una persona reúne los requisitos para una de estas prestaciones — o si esta debe reducirse, revocarse o reclamarse. Las aseguradoras privadas que gestionan sus propios regímenes discrecionales no quedan atrapadas por el punto 5, letra a), aunque pueden enfrentarse a una clasificación de alto riesgo separada con arreglo al punto 5, letra c), si utilizan IA para la evaluación de riesgos y la fijación de precios de los seguros de salud o de vida.

¿Se aplica el Artículo 27 a todos los responsables del despliegue de IA de admisibilidad a prestaciones, o solo a los organismos públicos?

El Artículo 27 se aplica específicamente a los responsables del despliegue que son organismos públicos, o que operan en nombre de una autoridad pública. Un municipio que gestiona un sistema de evaluación de ayudas a la vivienda debe la EIDF; una empresa de externalización privada que tramita solicitudes en nombre de ese municipio también la debe. Una empresa privada que gestiona su propio régimen de prestaciones para empleados, sin intervención de una autoridad pública, no entra en el ámbito del Artículo 27 — aunque sigue soportando todas las obligaciones del responsable del despliegue del Artículo 26, incluida la supervisión humana y la conservación de los registros durante seis meses con arreglo al Artículo 26.

¿Cuál es la vía correcta de evaluación de la conformidad para un sistema de admisibilidad a prestaciones sociales?

Para los sistemas del punto 5, letra a), del Anexo III, la vía estándar es la autoevaluación interna del Anexo VI con arreglo al Artículo 43. El proveedor realiza la evaluación de la conformidad él mismo, coteja su documentación con los requisitos de los Artículos 9 a 15, emite la declaración UE de conformidad con arreglo al Artículo 47 y coloca el marcado CE con arreglo al Artículo 48. La evaluación obligatoria por un organismo notificado tercero (Anexo VII) se reserva principalmente para los sistemas biométricos del punto 1 del Anexo III, no para el grupo de servicios del punto 5 del Anexo III. Evaluación interna no significa evaluación informal — la carga de documentación es la misma; el evaluador es el proveedor en lugar de un organismo externo.

¿Durante cuánto tiempo deben los responsables del despliegue conservar los registros que mantienen con arreglo al Artículo 26?

El Artículo 26 exige a los responsables del despliegue que conserven los registros generados automáticamente por el sistema de IA de alto riesgo durante al menos seis meses, o más cuando otra legislación de la UE o de los Estados miembros (como el RGPD o el Derecho administrativo sectorial) exija un período de conservación más largo. El mínimo de seis meses es un suelo, no un techo. Para los contextos de servicios sociales, el Derecho administrativo nacional impone a menudo obligaciones de conservación más largas; el responsable del despliegue debe comprobar qué norma fija el período más largo y aplicar esa.

¿Qué sanciones se aplican si un sistema de IA de admisibilidad a prestaciones sociales no es conforme después del 2 de diciembre de 2027?

El incumplimiento de las obligaciones de alto riesgo — Artículos 9 a 15 para los proveedores, Artículo 26 para los responsables del despliegue — está sujeto a sanciones con arreglo al Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. El Artículo 99, apartado 6, establece que, para las empresas por debajo de cierta escala, la multa se limita al menor de la cantidad fija o el porcentaje, lo que es una protección significativa para los operadores más pequeños. Facilitar información incorrecta o engañosa a las autoridades competentes durante una investigación es un tramo separado con arreglo al Artículo 99, apartado 5: hasta 7 500 000 EUR o el 1 %.

¿Puede una autoridad pública utilizar la exención del Artículo 6, apartado 3, para evitar la clasificación de alto riesgo?

En teoría, el Artículo 6, apartado 3, permite a cualquier proveedor (incluida una autoridad pública que actúa como proveedor con arreglo al Artículo 25) autoevaluar que el sistema no plantea un riesgo significativo de perjuicio y, por tanto, no es de alto riesgo. En la práctica, esta exención es extremadamente estrecha para la IA de admisibilidad a prestaciones. La Ley especifica que cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo — y un modelo de admisibilidad elabora perfiles de los solicitantes por definición. Aun cuando una autoridad pública crea que la vía del 6, apartado 3, podría aplicarse, debe documentar la evaluación con rigor y registrarla. El CEPD y las autoridades nacionales de control han señalado escepticismo sobre la aplicación de la exención a los sistemas que afectan al acceso a servicios esenciales.

¿Qué debe hacer una autoridad pública si descubre que su sistema desplegado está produciendo resultados sistemáticamente sesgados?

En primer lugar, el Artículo 26 exige al responsable del despliegue que supervise el funcionamiento y notifique inmediatamente al proveedor los riesgos o incidentes graves. Si el patrón de sesgo constituye un incidente grave — definido en el Artículo 3, apartado 49, y notificable con arreglo al deber del proveedor del Artículo 73 —, el proveedor debe notificarlo a la autoridad de vigilancia del mercado pertinente dentro de los plazos aplicables (15 días para la mayoría de los incidentes, 2 días para una infracción generalizada). El responsable del despliegue también debería considerar suspender o restringir el uso del sistema en espera de su subsanación. La EIDF elaborada con arreglo al Artículo 27 debería actualizarse para reflejar las conclusiones, y el registro en la base de datos de la UE debería modificarse en consecuencia. Los solicitantes afectados que recibieron decisiones adversas durante el período de funcionamiento sesgado pueden tener vías de reparación con arreglo al Derecho administrativo nacional y al Artículo 22 del RGPD cuando la toma de decisiones automatizada les afectó individualmente.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.