Skip to content
Confir.
Prueba gratuita
Blog

La puntuación social con IA está prohibida con arreglo a la Ley de IA de la UE — no es de alto riesgo

High-Risk Use Case12 May 2026· 16 min de lectura

La puntuación social con IA está prohibida con arreglo al Artículo 5, apartado 1, letra c), desde el 2 feb 2025 — no es de alto riesgo. Las multas alcanzan los 35 M EUR o el 7 %. Conozca qué cruza la línea y qué no.

La Ley de IA de la UE no regula la puntuación social como una práctica de alto riesgo en la que se pueda cumplir para abrirse paso. La prohíbe. El Artículo 5, apartado 1, letra c), del Reglamento (UE) 2024/1689 sitúa la puntuación social habilitada por IA en el nivel de riesgo inaceptable — junto a la manipulación subliminal y la identificación biométrica remota en tiempo real en espacios públicos. La prohibición está en vigor desde el 2 de febrero de 2025. No hay evaluación de la conformidad, ni paquete de documentación técnica, ni ventana de transición. Un sistema que cumple la definición debe desmantelarse o rediseñarse.

Esa distinción importa porque el encuadre original del Anexo III — tratarlo como la contratación o la calificación crediticia, reunir la documentación, desplegar — era erróneo. La cuestión de cumplimiento aquí es binaria: ¿cruza su sistema la línea del Artículo 5, apartado 1, letra c), o no? Todo lo demás se deriva de eso.

Qué prohíbe realmente el Artículo 5, apartado 1, letra c)

El texto legal prohíbe los sistemas de IA que evalúan o clasifican a personas físicas o a grupos de personas durante un período de tiempo en función de su comportamiento social o de características personales o de personalidad conocidas, inferidas o predichas, cuando la puntuación social dé lugar a un trato perjudicial o desfavorable de esas personas en contextos sociales que sean:

i) ajenos al contexto en el que se generaron o recopilaron originalmente los datos, o

ii) injustificados o desproporcionados respecto al comportamiento social o a su gravedad.

Esto exige que tres elementos estén presentes simultáneamente:

1. Evaluación o clasificación a lo largo del tiempo. Una comprobación de admisibilidad puntual no es automáticamente puntuación social. La prohibición apunta a los sistemas que construyen o actualizan un perfil de una persona a través de interacciones repetidas — acumulando una puntuación, una valoración o un rango que la sigue.

2. Basada en el comportamiento social o en características inferidas. Las entradas pueden ser explícitas (conducta conocida) o probabilísticas (rasgos de personalidad predichos). Esto es deliberadamente amplio. Un sistema entrenado con el historial de pagos, datos de movilidad, actividad en redes sociales, consumo de energía, participación cívica o comportamiento del consumidor puede cumplir la definición, según cómo se utilice la puntuación.

3. Que produce un trato perjudicial transversal o desproporcionado. Esta es la condición operativa de perjuicio. Si una puntuación baja generada a partir del comportamiento de una persona en un ámbito — digamos, el cumplimiento tributario o la puntualidad en el transporte — se utiliza luego para restringir su acceso a la vivienda, la asistencia sanitaria, los seguros o los servicios públicos en un ámbito totalmente ajeno, la prohibición se activa. Lo mismo se aplica cuando el trato es desproporcionado respecto a lo que el comportamiento subyacente realmente justificaba.

Los tres elementos deben estar presentes. Elimine cualquiera de ellos y el sistema puede quedar fuera del Artículo 5, apartado 1, letra c) — aunque puede aún caer en el nivel de alto riesgo.

Se aplica tanto a actores públicos como privados

Una idea errónea generalizada — heredada en parte de los primeros borradores de la Ley — es que la prohibición de la puntuación social se aplica solo a las autoridades públicas, a imagen del sistema estatal de «crédito social» de China. El texto definitivo del Artículo 5, apartado 1, letra c), no la restringe a los organismos públicos. Las empresas privadas que operan a gran escala pueden desplegar sistemas que cumplen la definición con la misma facilidad que un ministerio gubernamental.

Considere un gran operador de tarjetas de fidelización minorista que segmenta a los clientes en niveles en función de años de historial de compras, sentimiento en redes sociales y puntuaciones de personalidad predictivas — y luego utiliza esos niveles para determinar qué clientes reciben derivaciones de preaprobación de hipotecas o se marcan como no admisibles para productos financieros premium. Si los datos de comportamiento se recopilaron en un contexto minorista y ahora impulsan decisiones consecuentes en contextos de crédito o de seguros, el Artículo 5, apartado 1, letra c), se activa con independencia de que el operador sea un organismo estatal o un grupo privado.

La prohibición es neutra respecto al sector y neutra respecto a la entidad. Lo que importa es la arquitectura del sistema, no la forma jurídica de quien lo opera.

Qué no cruza la línea

Comprender la prohibición requiere una precisión equivalente sobre lo que no cubre. Tres exclusiones importantes y casos límite:

La solvencia y la calificación crediticia no son puntuación social prohibida. Esta es la distinción más significativa en la práctica. Evaluar si es probable que una persona reembolse un préstamo — utilizando el historial financiero, los datos de ingresos, la deuda existente y el comportamiento de pago — es una evaluación contextualmente restringida y limitada a una finalidad. Los datos se recopilan con fines de crédito y se utilizan con fines de crédito. Eso es el Anexo III, punto 5, letra b): un caso de uso de alto riesgo sujeto al conjunto completo de obligaciones (Artículos 9 a 15, 16, 26, 43, 47, 49), pero lícito y operable si se cumplen esos requisitos. La evaluación de la solvencia no se convierte en puntuación social por el mero hecho de producir una puntuación.

La detección de fraude está expresamente excluida. El Artículo 5, apartado 1, letra c), no se aplica a los sistemas de IA utilizados para detectar, prevenir o investigar el fraude. El sistema de vigilancia de transacciones de un banco que marca un comportamiento anómalo en tiempo real no está construyendo un perfil social utilizado para restringir el acceso en ámbitos ajenos — está evaluando si es probable que una transacción concreta sea fraudulenta. Esa exclusión es explícita en la estructura de la Ley.

La evaluación dentro de contexto y selectiva dentro de un único servicio puede ser admisible. Una plataforma de comercio electrónico que ajusta las recomendaciones de productos en función del historial de navegación y de compras de un usuario dentro de esa misma plataforma no realiza puntuación social transversal — los datos y el efecto permanecen en el mismo ámbito. Que un sistema concreto cumpla la definición depende de la arquitectura; la pregunta clave es siempre si la puntuación o la clasificación escapa del contexto en el que surgieron los datos subyacentes.

La línea no siempre es evidente en la práctica, por lo que la primera tarea de cumplimiento es la clasificación, no la documentación.

Qué cruza la línea: casos ilustrativos

Puntuación de fidelización transversal. Una cadena de supermercados construye un perfil de comportamiento de larga duración sobre cada cliente y vende un acceso por niveles a ese perfil a las aseguradoras, que lo utilizan para recargar las primas. Los datos se generaron en un contexto minorista; la consecuencia perjudicial — un mayor coste del seguro — se produce en un ámbito completamente distinto. El Artículo 5, apartado 1, letra c), se activa tanto sobre la cadena como sobre la aseguradora que despliega la puntuación.

Puntuación del comportamiento cívico por una administración local. Una ciudad instala un sistema de IA que rastrea el cumplimiento de las normas de reciclaje por parte de los residentes, las denuncias por ruido presentadas contra ellos y la participación en las consultas locales, generando un «índice de responsabilidad cívica». Los residentes con puntuaciones bajas afrontan plazos de tramitación más largos para los permisos de urbanismo o una prioridad reducida para la vivienda social. Los datos abarcan múltiples ámbitos cívicos; las consecuencias se aplican a distintos servicios. Esto es puntuación social de manual, y la prohibición se aplica.

Puntuación del sentimiento del empleador entre mercados laborales. Un intermediario de selección de personal mantiene una «puntuación de fiabilidad» persistente sobre cada trabajador en función de los comentarios de empleadores anteriores, el tono en redes sociales y los patrones de finalización de contratos. Los empleadores de sectores totalmente ajenos consultan esta puntuación al tomar decisiones de contratación. La puntuación sigue a la persona, cruza contextos sectoriales y produce consecuencias laborales desproporcionadas respecto a cualquier incidente aislado. El Artículo 5, apartado 1, letra c), se aplica.

Qué no cumpliría la definición: un único empleador que realiza una revisión de prueba de duración limitada del rendimiento de un empleado dentro de esa relación laboral. No hay aplicación transversal, ni una puntuación persistente que siga a la persona a esferas ajenas.

La sanción por equivocarse en esto

El incumplimiento del Artículo 5, apartado 1, letra c), activa el nivel superior del Artículo 99, apartado 3: multas de hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Ese techo se aplica desde el 2 de agosto de 2025, cuando las sanciones del Artículo 99 pasaron a ser operativas.

Para las empresas con cientos de millones de ingresos, la cifra del 7 % es el número operativo. Para los operadores más pequeños, 35 millones de euros probablemente superen el volumen de negocios anual, lo que lo convierte en el límite vinculante — aunque para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor del importe fijo o el porcentaje, una protección de proporcionalidad que conviene entender pero no una razón para tratar la prohibición como opcional.

Las autoridades de vigilancia del mercado también pueden ordenar el apagado inmediato del sistema y la reparación de las personas perjudicadas. Las autoridades nacionales de protección de datos conservan sus facultades de ejecución del RGPD junto a estas sanciones de la Ley de IA — la puntuación social implica casi invariablemente un tratamiento a una escala que también activa el Artículo 22 del RGPD (toma de decisiones únicamente automatizada) y, potencialmente, el Artículo 35 (evaluación de impacto relativa a la protección de datos). La exposición se acumula.

Por qué importa aquí el punto 5, letra b), del Anexo III

El Anexo III, punto 5, letra b), enumera como de alto riesgo: los sistemas de IA utilizados para evaluar la solvencia de las personas físicas o para establecer su calificación crediticia, salvo los utilizados únicamente para la detección de fraude. Esto no es una laguna respecto al Artículo 5, apartado 1, letra c) — es un régimen genuinamente diferente para una actividad genuinamente diferente.

Un sistema de calificación crediticia construido al amparo del marco del punto 5, letra b), debe:

  • Completar un sistema de gestión de riesgos con arreglo al Artículo 9.
  • Cumplir los requisitos de datos y de gobernanza de datos con arreglo al Artículo 10.
  • Elaborar la documentación técnica del Artículo 11 / Anexo IV antes de salir al mercado.
  • Permitir la transparencia y la información significativa a los responsables del despliegue con arreglo al Artículo 13.
  • Mantener la supervisión humana con arreglo al Artículo 14.
  • Alcanzar una exactitud, robustez y ciberseguridad adecuadas con arreglo al Artículo 15.
  • Superar la evaluación de la conformidad con arreglo al Artículo 43 (autoevaluación interna para la mayoría de los sistemas del punto 5 del Anexo III) y registrarse en la base de datos de la UE con arreglo al Artículo 49.
  • Si el responsable del despliegue es un organismo público o una entidad privada que opera un servicio de solvencia o de seguros, el responsable del despliegue debe además realizar una Evaluación de Impacto sobre los Derechos Fundamentales con arreglo al Artículo 27.

El plazo de cumplimiento para estos sistemas autónomos de alto riesgo del Anexo III — en virtud del Ómnibus Digital acordado en mayo de 2026 — es el 2 de diciembre de 2027. Ese aplazamiento no se extiende a las prácticas prohibidas del Artículo 5: esas están prohibidas desde el 2 de febrero de 2025.

La conclusión práctica: si está construyendo o desplegando cualquier cosa que toque la puntuación de comportamiento a gran escala, la primera puerta es el Artículo 5, apartado 1, letra c). Solo los sistemas que superen esa puerta — porque están limitados en su finalidad a la solvencia o a la detección de fraude, o porque permanecen estrictamente dentro de contexto — deben proceder después a la vía de cumplimiento de alto riesgo del Anexo III.

Cómo ayuda Confir

El proceso de admisión de Confir ejecuta la lista de comprobación de prácticas prohibidas del Artículo 5 antes de que comience cualquier evaluación de alto riesgo. El motor basado en reglas pregunta si el sistema evalúa a personas físicas a lo largo del tiempo, qué fuentes de datos alimentan la puntuación y si el resultado se utiliza fuera del contexto de origen. Si cualquier combinación de respuestas se proyecta sobre el Artículo 5, apartado 1, letra c), el sistema se bloquea como de riesgo inaceptable — una conclusión que es determinista, reproducible y documentable.

Los sistemas que superan la puerta del Artículo 5 y caen en el punto 5, letra b), del Anexo III (calificación crediticia) avanzan por las vías de evaluación completas AIRC, AITR, AITO y AIGM de Confir, generando el paquete de documentación técnica del Artículo 11 / Anexo IV, la declaración de conformidad del Artículo 47 y — cuando el responsable del despliegue es un organismo público u opera en el ámbito del crédito o de los seguros — la EIDF del Artículo 27.

La lógica no es consultiva. Codifica la propia estructura de la Ley: primero lo prohibido, después lo de alto riesgo.

Preguntas frecuentes

¿Se aplica la prohibición del Artículo 5, apartado 1, letra c), a las empresas privadas, o solo a los gobiernos?

A ambos. El texto definitivo del Artículo 5, apartado 1, letra c), del Reglamento (UE) 2024/1689 no restringe la prohibición a las autoridades públicas. Cualquier actor — privado o público — que despliegue un sistema de IA que cumpla los tres criterios legales (evalúa a personas físicas a lo largo del tiempo, en función del comportamiento social o de características inferidas, produciendo un trato perjudicial transversal o desproporcionado) está incumpliendo. El encuadre del «crédito social» suele asociarse a los sistemas estatales, pero la prohibición es neutra respecto a la entidad.

¿Es la calificación crediticia lo mismo que la puntuación social?

No, y confundirlas es uno de los errores de clasificación más costosos. La calificación crediticia es una evaluación limitada a una finalidad de la probabilidad de reembolso utilizando datos financieros recopilados y aplicados en un contexto de crédito. Eso es el Anexo III, punto 5, letra b) — de alto riesgo, plenamente conforme si se cumple el conjunto de obligaciones. La puntuación social con arreglo al Artículo 5, apartado 1, letra c), exige que una evaluación de comportamiento de un ámbito impulse consecuencias en un ámbito ajeno, o que el trato sea desproporcionado respecto al comportamiento subyacente. Un prestamista que utiliza el historial crediticio para fijar el precio de un préstamo no hace ninguna de esas dos cosas.

¿Cuál es el umbral del «contexto ajeno» en la práctica?

La Ley no define una prueba precisa, pero la intención regulatoria es clara: los datos generados en un contexto minorista, cívico o laboral no deben reutilizarse para determinar el acceso a la vivienda, la asistencia sanitaria, los seguros o los productos financieros sin el conocimiento de la persona o sin una conexión genuina con la nueva decisión. Cuando el vínculo entre el contexto que generó los datos y el contexto en el que producen consecuencias es tenue o inexistente, es probable que el Artículo 5, apartado 1, letra c), se active. La proximidad dentro de un único servicio o relación es el puerto seguro; la exportación intersectorial de un perfil de comportamiento persistente es la zona de peligro.

¿Cuándo entró en vigor la prohibición del Artículo 5, apartado 1, letra c)?

El 2 de febrero de 2025. Las prácticas prohibidas del Artículo 5, junto con los requisitos de alfabetización en materia de IA del Artículo 4, fueron las primeras obligaciones en pasar a ser aplicables con arreglo al calendario por fases del Reglamento (UE) 2024/1689. Todo sistema que cumpliera la definición de puntuación social y que siguiera operando después de esa fecha estaba incumpliendo. No hay período de transición para las prácticas prohibidas.

¿Cuál es la multa máxima por infracciones de puntuación social?

Con arreglo al Artículo 99, apartado 3, el incumplimiento de una prohibición del Artículo 5 acarrea un máximo de 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total del ejercicio financiero precedente, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. Las sanciones del Artículo 99 pasaron a ser operativas a partir del 2 de agosto de 2025. Las autoridades también pueden ordenar el apagado inmediato y exigir la reparación de las personas afectadas.

¿Qué ocurre con la vigilancia de los empleados que produce una puntuación de rendimiento?

La vigilancia laboral es un área viva del análisis del Artículo 5. Si un sistema vigila la producción de los trabajadores, la puntualidad, los patrones de comunicación o el sentimiento a lo largo del tiempo y produce una puntuación persistente que alimenta las decisiones de retribución, renovación de contrato o reasignación — dentro de la misma relación laboral —, puede cruzar o no la línea del Artículo 5, apartado 1, letra c), según si la puntuación es desproporcionada. Por separado, el reconocimiento de emociones en el lugar de trabajo está terminantemente prohibido con arreglo al Artículo 5, apartado 1, letra f), con independencia de cómo se utilice el resultado. Estas son prohibiciones diferentes con alcances diferentes; ambas deben comprobarse.

¿Puede hacerse alguna vez conforme un sistema de puntuación social añadiendo salvaguardas?

No. El Artículo 5, apartado 1, letra c), es una prohibición categórica, no una clasificación de alto riesgo con una vía de cumplimiento. Un sistema que cumple la definición no puede desplegarse añadiendo supervisión humana, documentación técnica o una evaluación de la conformidad. Las únicas vías son desmantelar el sistema o rediseñarlo de modo que deje de cumplir los criterios prohibidos — por ejemplo, limitando el uso de los datos estrictamente al contexto de origen y eliminando el mecanismo de puntuación transversal. Las salvaguardas son para el nivel de alto riesgo; el nivel de riesgo inaceptable no ofrece ninguna opción de mitigación.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.