Skip to content
Confir.
Prueba gratuita
Blog

La IA en las solicitudes de visado: alto riesgo en virtud del punto 7 del Anexo III

High-Risk Use Case16 February 2026· 18 min de lectura

La IA de examen de visados es de alto riesgo en virtud del punto 7 del Anexo III. Se aplican las obligaciones de los Art. 9, 10, 14 y la EIDF del Art. 27; el registro es no público. Plazo: 2 de diciembre de 2027.

Un sistema de IA que examina una solicitud de visado — puntuando la admisibilidad del solicitante, señalando dudas sobre su credibilidad o recomendando la aprobación o la denegación — es de alto riesgo en virtud de la Ley de IA de la UE desde el momento en que toca el resultado. El punto 7 del Anexo III abarca la IA «destinada a ser utilizada por las autoridades públicas competentes, o en su nombre, para asistir en el examen de las solicitudes de asilo, visado y permisos de residencia y las reclamaciones conexas respecto de la admisibilidad de las personas físicas». No hay ambigüedad aquí ni un umbral discrecional que superar. La clasificación es automática.

Eso importa porque la pila de obligaciones para la IA de alto riesgo es sustancial: un sistema de gestión de riesgos documentado, gobernanza de los datos de entrenamiento, documentación técnica, diseño de supervisión humana, una Evaluación de Impacto relativa a los Derechos Fundamentales, registro en la base de datos de la UE y sanciones de hasta 15 millones de euros o el 3 % del volumen de negocios mundial en virtud del Artículo 99, apartado 4, por incumplimiento. El plazo de cumplimiento para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, aplazado respecto de la fecha original de agosto de 2026 en virtud del acuerdo político del Ómnibus Digital alcanzado en mayo de 2026.

Por qué se aplica el punto 7 del Anexo III — y por qué el filtro del Art. 6, apartado 3, rara vez le salva

El Artículo 6, apartado 1, hace que la clasificación de alto riesgo sea automática para los sistemas enumerados en el Anexo III. El Artículo 6, apartado 3, ofrece una escapatoria estrecha: un sistema en el ámbito de aplicación no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, si desempeña únicamente una tarea procedimental limitada, mejora un resultado ya producido por un humano o realiza un trabajo puramente preparatorio sin influir en la decisión sustantiva.

Para la IA de visados, ese filtro se cierra rápido. Un sistema que puntúa los vínculos económicos de un solicitante con su país de origen, evalúa la autenticidad de los documentos, clasifica las solicitudes por riesgo de fraude o señala incoherencias en el testimonio para que las revise un funcionario está influyendo en la sustancia de la decisión. Cada uno de esos resultados condiciona si una persona obtiene acceso al territorio, al trabajo, a la educación o a la reagrupación familiar. Todo sistema que elabore perfiles de personas físicas — el Artículo 6, apartado 3, lo establece explícitamente — es siempre de alto riesgo, con independencia de cómo el operador enmarque el uso.

Las únicas herramientas adyacentes al visado que plausiblemente escapan al punto 7 del Anexo III son las puramente administrativas: OCR de los campos de los formularios, comprobaciones de integridad de los expedientes, traducción de documentos justificativos. Un chatbot que responde a las preguntas de los solicitantes sobre los documentos exigidos es de riesgo limitado en virtud del Artículo 50. Pero en el momento en que el resultado de un sistema llega al funcionario del caso y condiciona la recomendación, queda dentro del ámbito de aplicación.

Un límite adicional que conviene tener claro: si un sistema de solicitud de visado utiliza la categorización biométrica para inferir atributos sensibles — proxies de nacionalidad, origen étnico o religión — a partir de imágenes faciales o del historial de viajes, entra en el terreno del Artículo 5, apartado 1, letra g), que prohíbe la IA que categoriza a las personas físicas a partir de datos biométricos para deducir o inferir características sensibles. El alto riesgo no es el peor desenlace para un sistema así; lo prohibido lo es.

La pila de obligaciones para los proveedores

Los proveedores son organizaciones que introducen un sistema de IA de examen de visados en el mercado o lo ponen en servicio bajo su propio nombre. Sus obligaciones en virtud de los Artículos 8 a 16 se suceden en secuencia.

Gestión de riesgos (Artículo 9). Antes del despliegue, los proveedores deben establecer un sistema de gestión de riesgos continuo — no una evaluación puntual. Para la IA de visados, esto significa identificar los riesgos específicos que surgen de influir en las decisiones de asilo y residencia: resultados discriminatorios correlacionados con la nacionalidad o el origen étnico, exactitud degradada para grupos de solicitantes infrarrepresentados en los datos de entrenamiento y manipulación de las puntuaciones de autenticidad de los documentos mediante entradas adversarias. El sistema debe mantenerse activo a lo largo de todo el ciclo de vida del sistema de IA, y actualizarse cuando el sistema se reentrene o cambie su contexto.

Datos y gobernanza de datos (Artículo 10). Los modelos de decisión de visados se entrenan normalmente con registros históricos de adjudicación. Esos registros incorporan los sesgos de las decisiones humanas anteriores: demoras de tramitación correlacionadas con el país de origen, tasas de aprobación condicionadas por las relaciones políticas bilaterales, evaluaciones de credibilidad incoherentes entre distintos funcionarios entrevistadores. El Artículo 10 exige a los proveedores documentar la composición de los datos de entrenamiento, examinarlos en busca de sesgos que pudieran producir resultados discriminatorios y aplicar medidas técnicas para mitigar esos sesgos cuando se detecten. La exactitud debe comunicarse desglosada entre los subgrupos pertinentes — para la IA de visados, eso significa país de origen, tipo de visado y categorías demográficas en la medida en que los datos lo permitan. Un modelo con un 90 % de exactitud global pero un 55 % de exactitud para los solicitantes de una región concreta no cumple esta norma.

Téngase en cuenta que el Artículo 10 rige los datos y la gobernanza de datos. La competencia del personal — garantizar que los funcionarios comprenden cómo trabajar con el sistema — es un requisito independiente en virtud del Artículo 4 (alfabetización en IA), que está en vigor desde el 2 de febrero de 2025.

Documentación técnica (Artículo 11, Anexo IV). Los proveedores deben preparar y mantener un expediente técnico que abarque la arquitectura del sistema, la metodología de entrenamiento, los procedimientos de validación, los puntos de referencia de rendimiento y la finalidad prevista. El expediente debe estar a disposición de las autoridades competentes cuando lo soliciten. Para la IA de visados desplegada en varios Estados miembros, la documentación debe ser suficiente para que cada autoridad nacional pertinente evalúe la conformidad de forma independiente.

Transparencia hacia los responsables del despliegue (Artículo 13). Los proveedores deben facilitar a las autoridades que despliegan información clara sobre la finalidad prevista del sistema, las características de rendimiento, las limitaciones conocidas y el proceso de supervisión humana. Si el sistema se degrada en exactitud para determinadas poblaciones de solicitantes, eso debe indicarse explícitamente — no enterrarse en un anexo técnico.

Supervisión humana desde el diseño (Artículo 14). Esta es la obligación que da forma a la arquitectura de la IA de visados más que ninguna otra. El sistema debe diseñarse de modo que una persona cualificada pueda supervisar eficazmente su funcionamiento, comprender qué está haciendo, intervenir, corregir o anular. Para la IA de visados, eso significa: los resultados deben ser interpretables para un funcionario del caso (no una puntuación de caja negra sin explicación); el funcionario debe poder anular sin barreras procedimentales; y el sistema debe señalar claramente las situaciones en las que su confianza es baja o en las que el caso queda fuera de la distribución de entrenamiento. Diseñar en torno al Artículo 14 no es una ocurrencia tardía — debe formar parte de la arquitectura del sistema desde el principio.

Exactitud, robustez, ciberseguridad (Artículo 15). La IA de visados debe alcanzar una exactitud constante entre los grupos de solicitantes a lo largo de toda su vida operativa. Los proveedores deben diseñar para la resiliencia frente a entradas adversarias — falsificaciones de documentos que podrían engañar a los clasificadores de autenticidad, inyección de instrucciones en los campos basados en texto o envenenamiento de datos en las canalizaciones de entrenamiento.

Evaluación de la conformidad (Artículo 43). Antes de introducir el sistema en el mercado, los proveedores deben completar una evaluación de la conformidad. Para la mayoría de los sistemas del Anexo III, se trata de una autoevaluación interna frente a los Artículos 9 a 15, documentada en un expediente técnico, seguida de la firma de la Declaración UE de conformidad en virtud del Artículo 47 y la colocación del marcado CE en virtud del Artículo 48. A continuación, los proveedores registran el sistema en la base de datos de la UE en virtud del Artículo 49.

Registro en la sección no pública de la base de datos de la UE (Artículo 49)

Esta es una característica específica e importante de la IA del ámbito de la migración. La mayoría de los sistemas de IA de alto riesgo se registran en la sección pública de la base de datos de la UE (Artículo 71). Los sistemas utilizados para la migración, el asilo y el control fronterizo — incluida la IA de examen de visados — se registran en la sección no pública, accesible únicamente para la Comisión, la Oficina de IA y las autoridades nacionales pertinentes. La justificación es sencilla: la divulgación pública de los sistemas en uso en una frontera o en una oficina de visados crea riesgos de seguridad.

Los proveedores se registran antes de introducir el sistema en el mercado. Las autoridades públicas responsables del despliegue se registran por separado cuando ponen el sistema en servicio. Ambos registros son obligatorios; no son intercambiables.

Obligaciones del responsable del despliegue: qué debe hacer la autoridad de visados

La autoridad de inmigración que despliega un sistema de IA de examen de visados es un responsable del despliegue en virtud del Artículo 26. Las obligaciones del responsable del despliegue son menos extensas que las del proveedor, pero son reales y exigibles.

En virtud del Artículo 26, la autoridad debe: utilizar el sistema de conformidad con las instrucciones del proveedor; garantizar que los funcionarios del caso responsables de la supervisión humana tengan la competencia, la formación y la autoridad necesarias; verificar que los datos de entrada (materiales de la solicitud, registros de entrevistas) sean representativos y adecuados para la finalidad prevista del sistema; vigilar el funcionamiento y notificar los incidentes graves en virtud del Artículo 73 a través del proveedor; y conservar los registros de funcionamiento durante al menos seis meses en virtud del Artículo 26.

Cuando el responsable del despliegue es un organismo público — que es lo que son todas las autoridades de inmigración competentes —, también debe realizar una Evaluación de Impacto relativa a los Derechos Fundamentales (EIDF) en virtud del Artículo 27 antes de poner el sistema en servicio.

La EIDF del Artículo 27 para las autoridades de inmigración

La EIDF no es una formalidad ligera. El Artículo 27 exige a los responsables del despliegue que son organismos públicos que evalúen, antes del despliegue, cómo afecta el sistema de IA de alto riesgo a los derechos fundamentales de las personas a las que toca. Para un sistema de examen de visados, esos derechos incluyen:

  • El Artículo 21 de la Carta de la UE — la no discriminación por razón de nacionalidad, origen étnico, religión, sexo u otras características protegidas. La EIDF debe considerar si el sistema produce resultados sistemáticamente distintos para solicitantes de distintos países de origen, o si las decisiones de diseño introducen proxies de las características protegidas.
  • El Artículo 7 de la Carta de la UE — el respeto de la vida privada y familiar. Una denegación de visado separa a las familias. La EIDF debe evaluar si los resultados del sistema están calibrados al tipo concreto de visado y a su relación con los derechos de reagrupación familiar.
  • El Artículo 18 de la Carta de la UE — el derecho de asilo. Todo sistema adyacente al visado que toque a solicitantes de asilo afronta el máximo escrutinio; la EIDF debe cartografiar el papel del sistema frente a las garantías procesales del acervo de la UE en materia de asilo.
  • El Artículo 8 de la Carta de la UE / RGPD — la protección de datos. Las solicitudes de visado contienen datos personales sensibles. La EIDF debe abordar cómo trata el sistema esos datos, cuál es la base jurídica y cómo se operativizan los derechos del interesado (acceso, rectificación, limitación).

La EIDF debe documentarse por escrito, actualizarse cuando el sistema se modifique de forma material y ponerse a disposición de la autoridad competente. Para los sistemas del ámbito de la migración, se registra en la sección no pública de la base de datos de la UE, en consonancia con el registro del Artículo 49.

La exposición sancionadora

El incumplimiento de las obligaciones de alto riesgo — no completar un sistema de gestión de riesgos, omitir la EIDF, desplegar sin una evaluación de la conformidad, eliminar la supervisión humana del diseño — conlleva una multa máxima de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). Para las autoridades públicas que no tienen «volumen de negocios» en el sentido comercial, se aplica el techo de cuantía fija. Para los proveedores de tecnología que suministran el sistema, el tramo porcentual muerde con más fuerza.

El techo de la multa por vulnerar las prohibiciones del Artículo 5 — si interviene la categorización biométrica de atributos sensibles — es aún más alto: 35 000 000 EUR o el 7 % del volumen de negocios mundial en virtud del Artículo 99, apartado 3.

El plazo de cumplimiento es el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III. Eso no es un horizonte lejano para un sistema que requiere auditorías de los datos de entrenamiento, cambios de arquitectura para incorporar los mecanismos de supervisión del Artículo 14, documentación en virtud del Anexo IV, una EIDF y dos registros separados en la base de datos. Empezar en la segunda mitad de 2025 o a principios de 2026 no es pronto — es ir según lo previsto.

Cómo ayuda Confir

El motor determinista y basado en reglas de Confir gestiona las partes de esto que la mayoría de los equipos abordan con una hoja de cálculo y temor. La clasificación — confirmar que un sistema de examen de visados aterriza en el punto 7 del Anexo III y comprender si se aplica el Artículo 6, apartado 3 — es una lista de comprobación estructurada, no una cuestión de criterio. El sistema hace las preguntas adecuadas y deriva la conclusión de una lógica explícita. Misma admisión, mismo resultado, siempre.

A partir de ahí, Confir impulsa la evaluación de cumplimiento estructurada: gobernanza de datos en virtud del Artículo 10, diseño de supervisión humana en virtud del Artículo 14 y la EIDF del Artículo 27 — la evaluación que los responsables del despliegue que son autoridades públicas no pueden omitir. El módulo de EIDF recorre el análisis de derechos fundamentales específico del caso de uso del sistema y produce un resultado documentado que satisface tanto el Artículo 27 como el requisito de registro en la base de datos.

Para los proveedores, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la Declaración de conformidad del Artículo 47 — los dos documentos que se sitúan en el centro del proceso de evaluación de la conformidad.

Sin consultores. Autoservicio.

Preguntas frecuentes

¿Se aplica el punto 7 del Anexo III a las empresas privadas que proporcionan software de tramitación de visados a los gobiernos?

Sí. El punto 7 del Anexo III abarca los sistemas de IA «destinados a ser utilizados por las autoridades públicas competentes, o en su nombre». Una empresa privada que desarrolla y vende un sistema de puntuación de riesgo de visados a un ministerio de inmigración es el proveedor de un sistema de IA de alto riesgo. Se le aplican todas las obligaciones del proveedor en virtud de los Artículos 9 a 16. La autoridad de inmigración es el responsable del despliegue y soporta las obligaciones de los Artículos 26 y 27. Ambas partes tienen deberes de cumplimiento independientes.

¿Qué es el filtro del Artículo 6, apartado 3, y se aplica a la IA de visados?

El Artículo 6, apartado 3, permite a un proveedor autoevaluar que un sistema del Anexo III no es, de hecho, de alto riesgo — si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. El filtro abarca las herramientas procedimentales limitadas, los sistemas que mejoran un resultado ya producido por humanos o los sistemas que detectan patrones de decisión sin sustituir ni influir en la evaluación humana. Para la IA de visados, este filtro solo está disponible para los sistemas genuinamente administrativos (comprobaciones de integridad, OCR, traducción). Todo sistema que puntúe, clasifique o recomiende sobre la admisibilidad de un visado está influyendo en la decisión sustantiva y no puede utilizar la salida del Artículo 6, apartado 3.

¿Qué es la EIDF del Artículo 27 y quién debe completarla?

La Evaluación de Impacto relativa a los Derechos Fundamentales, exigida por el Artículo 27, se aplica a los responsables del despliegue que son organismos públicos o a los responsables del despliegue que utilizan un sistema comprendido en determinadas categorías del Anexo III, incluidas la migración y el control fronterizo. Las autoridades de inmigración deben completar la EIDF antes de poner en servicio un sistema de examen de visados. La evaluación debe abarcar los derechos afectados — no discriminación, vida familiar, asilo, protección de datos —, documentar las conclusiones y registrarse en la sección no pública de la base de datos de la UE (Artículo 49). Debe actualizarse siempre que el sistema se modifique de forma material.

¿Por qué el registro en la base de datos de la UE es no público para los sistemas de visados?

El Artículo 49 exige el registro de los sistemas de IA de alto riesgo en la base de datos de la UE establecida en virtud del Artículo 71. Para los sistemas de migración, asilo y control fronterizo, la Ley especifica el registro en la sección no pública — accesible para la Comisión, la Oficina de IA y las autoridades nacionales competentes, pero no para el público en general. La lógica es la seguridad: publicar las características técnicas de los sistemas de cribado fronterizo o de puntuación de visados permitiría a los actores malintencionados optimizar sus solicitudes o documentos frente a la lógica conocida del sistema.

¿Cuáles son los techos sancionadores por incumplimiento?

El incumplimiento de las obligaciones de alto riesgo — omitir la EIDF, no implementar el diseño de supervisión humana del Artículo 14, saltarse la evaluación de la conformidad — expone tanto a los proveedores como a las autoridades que despliegan a un máximo de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total en virtud del Artículo 99, apartado 4, si esta última cifra es mayor. Si un sistema cruza al terreno prohibido en virtud del Artículo 5 — categorización biométrica de atributos sensibles para inferir nacionalidad u origen étnico —, el techo se eleva a 35 000 000 EUR o el 7 % en virtud del Artículo 99, apartado 3.

¿Cuándo es el plazo de cumplimiento?

El 2 de diciembre de 2027 para los sistemas de IA de alto riesgo autónomos del Anexo III, incluida la IA de examen de visados. Esta fecha refleja el acuerdo político del Ómnibus Digital alcanzado en mayo de 2026, que aplazó el plazo original de alto riesgo del 2 de agosto de 2026. La fecha posterior del 2 de agosto de 2028 se aplica a la IA de alto riesgo integrada como componente de seguridad en productos regulados en virtud del Anexo I (productos sanitarios, máquinas, etc.) — esa vía no se aplica a la IA de visados.

¿Es relevante el riesgo de práctica prohibida del Artículo 5 para la IA de visados?

Puede serlo. El Artículo 5, apartado 1, letra g), prohíbe los sistemas de IA que utilizan datos biométricos para deducir o inferir características sensibles, incluidos el origen étnico o la nacionalidad como proxy de atributos protegidos. Una IA de visados que utiliza imágenes faciales, patrones de viaje u otras señales próximas a lo biométrico para inferir características que luego alimentan la evaluación de admisibilidad corre el riesgo de cruzar esta línea. Eso no es una conclusión de alto riesgo — es una prohibición, en vigor desde el 2 de febrero de 2025, sin vía de cumplimiento. Los proveedores y los responsables del despliegue deben cartografiar explícitamente sus conjuntos de características frente al Artículo 5, apartado 1, letra g), antes de que el sistema se acerque siquiera a la pantalla de un funcionario del caso.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.