Skip to content
Confir.
Prueba gratuita
Blog

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Annex Guide7 April 2026· 21 min de lectura

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.

El Anexo III es la lista que determina si su sistema de IA activa toda la pila de cumplimiento de la Ley de IA de la UE. Si su sistema entra en ella, se enfrenta a un sistema de gestión de riesgos con arreglo al Artículo 9, documentación técnica con arreglo al Artículo 11, supervisión humana con arreglo al Artículo 14, una evaluación de la conformidad con arreglo al Artículo 43 y un requisito de registro con arreglo al Artículo 49 —antes de poder poner el sistema en servicio—. Si queda fuera, las obligaciones disminuyen drásticamente.

Esta guía recorre los ocho ámbitos del Anexo III, el filtro del Artículo 6, apartado 3, que puede excluir un sistema aun cuando toque un dominio enumerado, la facultad de la Comisión de modificar la lista con arreglo al Artículo 7 y las obligaciones de cumplimiento que se aplican una vez que se está dentro del ámbito. Una breve lista de comprobación al final le ayuda a realizar el análisis de primera pasada sobre su propio sistema.

Cómo funciona el Anexo III junto con el Artículo 6, apartado 2

El mecanismo de clasificación se sitúa en el Artículo 6 del Reglamento (UE) 2024/1689. El Artículo 6, apartado 1, cubre los sistemas de IA que son componentes de seguridad de productos regulados por la legislación de productos de la UE —productos sanitarios, máquinas, vehículos, etc.—. El Artículo 6, apartado 2, es lo que la mayoría de las empresas de software necesitan leer: clasifica como de alto riesgo todo sistema de IA enumerado en el Anexo III, salvo que se aplique el filtro del Artículo 6, apartado 3 (más sobre esto a continuación).

La estructura es deliberada. El Anexo III identifica dominios de aplicación y casos de uso, no arquitecturas técnicas. No importa si su sistema utiliza un gran modelo de lenguaje, un árbol potenciado por gradiente o un motor de reglas. Lo que importa es lo que el sistema hace y en qué contexto.

Los ocho ámbitos del Anexo III

Ámbito 1 — Biometría

El Anexo III cubre la identificación biométrica (identificación remota en tiempo real y a posteriori de personas físicas en espacios públicos), la categorización biométrica (asignación de personas a grupos en función de datos biométricos —como el origen étnico, las opiniones políticas o la orientación sexual inferidos—) y los sistemas de reconocimiento de emociones.

Este es uno de los ámbitos más estrechamente controlados de la Ley. La identificación biométrica remota en tiempo real en espacios de acceso público por parte de las fuerzas y cuerpos de seguridad es en sí misma una práctica prohibida con arreglo al Artículo 5, salvo en circunstancias definidas de forma restrictiva. A efectos del Anexo III, la categoría de alto riesgo capta el conjunto más amplio de sistemas biométricos que no están prohibidos de plano pero que aun así conllevan un riesgo significativo —por ejemplo, un sistema de gestión de la plantilla que utiliza el reconocimiento facial para hacer el seguimiento de la asistencia de los empleados, o un sistema minorista que infiere la emoción de los compradores a partir de las imágenes de las cámaras—.

Una nota práctica: el filtro del Artículo 6, apartado 3, no le salva si su sistema elabora perfiles de personas físicas. Esa salvedad tiene una excepción explícita para la elaboración de perfiles (véase más abajo).

Ámbito 2 — Infraestructuras críticas

Los sistemas de IA destinados a utilizarse como componentes de seguridad en la gestión y el funcionamiento de la infraestructura digital crítica, el tráfico rodado y el suministro de agua, gas, calefacción o electricidad son sistemas de alto riesgo del Anexo III.

«Componente de seguridad» es la expresión operativa. Una herramienta de mantenimiento predictivo que señala anomalías en los equipos de una red eléctrica para que los revisen ingenieros humanos está dentro del ámbito; un panel de analítica general utilizado por la misma empresa de suministros para la previsión comercial, no. El sistema debe situarse efectivamente en la cadena de seguridad —su fallo o mal funcionamiento debe ser capaz de comprometer la seguridad física o la continuidad de la infraestructura—.

Ámbito 3 — Educación y formación profesional

Los sistemas de IA utilizados para determinar el acceso a las instituciones educativas y la asignación a ellas, evaluar a los alumnos, valorar la conducta en los exámenes (incluida la detección de fraude académico) y determinar si los educandos pueden acceder a la formación profesional entran en este ámbito.

Una empresa de tecnología educativa de 40 personas que vende una herramienta de puntuación de admisiones basada en IA a universidades es proveedora de un sistema de alto riesgo. Una universidad que despliega esa herramienta para clasificar a los solicitantes es responsable del despliegue sujeta a las obligaciones del responsable del despliegue con arreglo al Artículo 26, incluidas la supervisión humana, la conservación de registros y —para determinados responsables del despliegue de organismos públicos— la Evaluación de Impacto relativa a los Derechos Fundamentales con arreglo al Artículo 27.

Ámbito 4 — Empleo, gestión de los trabajadores y acceso al autoempleo

Esto cubre la porción más amplia de lo que las empresas de tecnología de RR. HH. realmente construyen: contratación y selección (incluido el cribado, el filtrado y la clasificación de solicitantes), decisiones sobre promoción, despido, evaluación y supervisión del rendimiento, y asignación de tareas y supervisión del rendimiento en el contexto del empleo.

El acceso al autoempleo también está dentro del ámbito —una aplicación de la economía de plataformas que decide si dar de alta o suspender a un trabajador autónomo, o que asigna trabajo en función de una puntuación algorítmica, está tocando este ámbito—.

Un ejemplo concreto: una empresa SaaS de mercado medio que vende un cribado de currículos asistido por IA a los seleccionadores es un proveedor. Sus clientes —los seleccionadores y departamentos de RR. HH. que hacen pasar a los candidatos a un empleo por la herramienta— son responsables del despliegue. Ambos deben comprender su función, porque las obligaciones difieren significativamente.

Ámbito 5 — Acceso a servicios privados y públicos esenciales

Este ámbito se divide en varias subcategorías, y el alcance importa:

Evaluación de la solvencia y calificación crediticia — los sistemas de IA utilizados para evaluar la solvencia, incluida la puntuación utilizada en decisiones de préstamo al consumo o a pymes, son de alto riesgo. La Ley excluye explícitamente la detección de fraude de esta categoría. Un modelo entrenado para señalar solicitudes de préstamo fraudulentas no está cubierto por esta disposición; un modelo que predice la probabilidad de impago y alimenta una decisión de aprobación o fijación de precios, sí.

Riesgo y fijación de precios de los seguros de salud y de vida — los sistemas de IA utilizados para evaluar riesgos y fijar precios para las pólizas de seguros de salud y de vida están dentro del ámbito. Esto refleja el potencial de resultados discriminatorios cuando el riesgo de salud y de mortalidad se modela algorítmicamente.

Envío de servicios de emergencia — los sistemas de IA que envían servicios de emergencia o evalúan la prioridad de las llamadas a los servicios de emergencia son sistemas del Anexo III.

Admisibilidad a prestaciones públicas — la IA utilizada para determinar la admisibilidad a la asistencia pública, las prestaciones de la seguridad social y servicios públicos similares queda cubierta aquí.

Un ámbito que genera confusión: la vivienda. La propuesta original de la Comisión incluía la admisibilidad a la vivienda, pero el texto final estrechó el alcance. Lea directamente el texto del Reglamento adoptado (EUR-Lex, DO L 2024/1689) si opera en este espacio.

Ámbito 6 — Garantía del cumplimiento del Derecho

Los sistemas de IA utilizados por las autoridades competentes, o en su nombre, con el fin de:

  • Evaluar el riesgo de que una persona cometa una infracción penal, reincida o sea víctima de ella
  • Polígrafos y herramientas similares para detectar el estado emocional o mental de una persona durante un interrogatorio
  • Evaluar la fiabilidad de las pruebas en procesos penales
  • Predecir la comisión de infracciones penales (vigilancia policial predictiva)
  • Elaborar perfiles de personas físicas en el contexto de la detección, investigación o enjuiciamiento de infracciones penales

La categoría de garantía del cumplimiento del Derecho es uno de los ámbitos en los que se aplica la evaluación de la conformidad por organismo notificado en lugar de la vía de autoevaluación por defecto.

Ámbito 7 — Migración, asilo y control fronterizo

Los sistemas de IA utilizados por las autoridades competentes para evaluar el perfil de riesgo o la situación migratoria de las personas físicas, para asistir en el examen y la decisión sobre las solicitudes de asilo, visado y permiso de residencia, y para detectar, reconocer o identificar a personas en los cruces fronterizos.

Este ámbito tiene un solapamiento significativo con la biometría (Ámbito 1) —un sistema de control fronterizo que utiliza el reconocimiento facial para la verificación de la identidad puede quedar cubierto por ambos epígrafes—.

Ámbito 8 — Administración de justicia y procesos democráticos

Los sistemas de IA que asisten a las autoridades judiciales en la investigación e interpretación de los hechos y del Derecho y en la aplicación del Derecho a un conjunto concreto de hechos, y los sistemas de IA utilizados para influir en el resultado de elecciones o referendos o en el comportamiento electoral de las personas físicas, son sistemas de alto riesgo del Anexo III.

Esta es una formulación deliberadamente amplia en el lado de los procesos democráticos. Una herramienta que microsegmenta a los votantes con mensajes políticos personalizados entraría aquí. La salvedad de asistencia judicial cubre la IA de investigación jurídica que se utiliza dentro de procesos judiciales, no las herramientas de investigación jurídica general vendidas a los bufetes de abogados.

El filtro de exención del Artículo 6, apartado 3

Figurar en un ámbito del Anexo III no convierte automáticamente un sistema en de alto riesgo. El Artículo 6, apartado 3, crea una exclusión para los sistemas que no plantean un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales, aun cuando se sitúen en un dominio cubierto. El Artículo identifica cuatro condiciones, cualquiera de las cuales puede sustentar la exclusión:

  1. Tarea procedimental acotada — el sistema desempeña una función procedimental limitada sin tomar ni influir materialmente en una decisión sustantiva sobre las personas.
  2. Mejora del resultado de una actividad humana previamente realizada — el sistema revisa o controla la calidad de un resultado que un humano ya ha producido, en lugar de generar un resultado independiente que alimenta una decisión.
  3. Detección de patrones de toma de decisiones o de desviaciones sin sustituir ni influir en la evaluación humana — herramientas de vigilancia o auditoría que afloran anomalías para la atención humana pero no generan recomendaciones sobre las personas.
  4. Tarea preparatoria — el sistema realiza algo preparatorio para una decisión humana pero no tiene influencia directa sobre cuál es esa decisión.

La excepción de la elaboración de perfiles es absoluta. Todo sistema de IA que elabora perfiles de personas físicas —ensambla inferencias sobre una persona a partir de comportamientos observados, ubicación u otros datos— es de alto riesgo, con independencia de que en otro caso se aplicara una de las cuatro condiciones. Los proveedores que crean que el filtro del Artículo 6, apartado 3, se aplica a su sistema deben documentar esa evaluación y registrarla. La exención no es de aplicación automática.

En la práctica, el filtro es más estrecho de lo que parece. Una herramienta de selección de personal que clasifica a los candidatos no está realizando una tarea preparatoria en ningún sentido significativo —la clasificación es la decisión—. Un algoritmo de programación que asigna turnos a los trabajadores de un almacén en función de puntuaciones de productividad no se limita a detectar patrones; está influyendo materialmente en el acceso a horas e ingresos. En caso de duda, la suposición más segura es que el sistema es de alto riesgo.

Artículo 7: la Comisión puede ampliar la lista

El Anexo III no es estático. El Artículo 7 otorga a la Comisión la facultad de modificarlo mediante actos delegados —añadiendo nuevos ámbitos de alto riesgo, modificando el alcance de los existentes o (en principio) suprimiendo ámbitos que ya no justifiquen la designación—. La Comisión debe tener en cuenta la gravedad del posible perjuicio, el número de personas afectadas, la irreversibilidad, la dependencia de los grupos vulnerables respecto de la tecnología y la medida en que la legislación sectorial existente ya aborda el riesgo.

Los proveedores con sistemas que actualmente se sitúan justo fuera del Anexo III deberían vigilar la actividad del Artículo 7. La Comisión ya ha señalado su interés por ampliar la lista a medida que los patrones de despliegue de la IA se aclaran —en particular en el diagnóstico sanitario (actualmente fuera del Anexo III salvo como componente de seguridad de un producto sanitario regulado) y en la infraestructura del mercado financiero—.

Qué obligaciones se aplican una vez que se está en el Anexo III

Caer en el Anexo III activa toda la pila de obligaciones de alto riesgo. Los principales requisitos, por Artículo:

  • Artículo 9 — Sistema de gestión de riesgos: un proceso continuo y documentado que identifica y mitiga los riesgos previsibles para la salud, la seguridad y los derechos fundamentales a lo largo del ciclo de vida del sistema.
  • Artículo 10 — Datos y gobernanza de datos: los datos de entrenamiento deben ser pertinentes, suficientemente representativos y estar libres de errores; los proveedores deben documentar las medidas de gobernanza de datos que han aplicado.
  • Artículo 11 — Documentación técnica (según se especifica en el Anexo IV): el paquete de documentación que describe el diseño, la finalidad, las capacidades, las limitaciones y el rendimiento del sistema. Es el fundamento de la evaluación de la conformidad.
  • Artículo 12 — Conservación de registros: registro automático de eventos durante el funcionamiento para dar soporte a la vigilancia poscomercialización y a la investigación de incidentes.
  • Artículo 13 — Transparencia hacia los responsables del despliegue: las instrucciones de uso, las limitaciones y las medidas necesarias de supervisión humana deben documentarse y proporcionarse.
  • Artículo 14 — Supervisión humana: el sistema debe diseñarse para permitir una supervisión efectiva, incluida la capacidad de los operadores de comprender los resultados, detectar anomalías e intervenir o anular.
  • Artículo 15 — Exactitud, resiliencia y ciberseguridad: el sistema debe alcanzar niveles de rendimiento adecuados y ser resiliente frente a errores y manipulación adversarial.
  • Artículo 17 — Sistema de gestión de la calidad (proveedores): un SGC documentado que cubre el diseño, el desarrollo, las pruebas, el despliegue y la vigilancia poscomercialización.
  • Artículo 43 — Evaluación de la conformidad: el procedimiento formal (autoevaluación u organismo notificado, según el tipo de sistema) que debe completarse antes de que el sistema salga al mercado.
  • Artículos 47 a 49 — Declaración UE de conformidad (Artículo 47), marcado CE cuando se requiera (Artículo 48) y registro en la base de datos de la Ley de IA de la UE (Artículo 49) antes de la introducción en el mercado.
  • Artículo 72 — Vigilancia poscomercialización: los proveedores deben operar un plan de vigilancia continua que haga el seguimiento del rendimiento en el mundo real y retroalimente las conclusiones al sistema de gestión de riesgos.
  • Artículo 73 — Notificación de incidentes graves: los proveedores y los responsables del despliegue deben notificar los incidentes graves y los mal funcionamientos a las autoridades competentes.

Los responsables del despliegue soportan una carga más ligera pero aun así significativa: seguir las instrucciones del proveedor, aplicar la supervisión humana, conservar registros, realizar la Evaluación de Impacto relativa a los Derechos Fundamentales con arreglo al Artículo 27 cuando se requiera (responsables del despliegue de organismos públicos y responsables del despliegue en ámbitos especialmente sensibles) y notificar los incidentes con arreglo al Artículo 73.

El plazo de cumplimiento

El plazo cambió significativamente en 2026. En virtud del Ómnibus Digital —propuesta de la Comisión de noviembre de 2025, acuerdo político entre el Parlamento y el Consejo alcanzado el 7 de mayo de 2026—, la aplicación de las obligaciones de alto riesgo se trasladó a fechas posteriores fijas:

  • 2 de diciembre de 2027 — sistemas de IA de alto riesgo autónomos del Anexo III (herramientas de selección de personal, modelos de calificación crediticia, sistemas de categorización biométrica, etc.).
  • 2 de agosto de 2028 — sistemas de IA de alto riesgo integrados como componentes de seguridad en productos cubiertos por la legislación de productos de la UE con arreglo al Anexo I (productos sanitarios, máquinas, vehículos).

La fecha original —2 de agosto de 2026— se ha aplazado para estos sistemas. Sigue aplicándose a las obligaciones de transparencia de riesgo limitado del Artículo 50. Se espera la adopción formal de la modificación del Ómnibus antes del 2 de agosto de 2026.

Trate el tiempo adicional como una pista de despegue para la documentación, no como permiso para empezar tarde. Reunir el paquete de documentación técnica del Artículo 11 para un sistema de IA no trivial lleva de tres a cinco meses de trabajo concentrado. Un programa de cumplimiento realista para un sistema del Anexo III empieza ahora.

¿Está mi sistema en el Anexo III? Una lista de comprobación de primera pasada

Trabaje estas preguntas en orden. Deténgase y señale para una revisión jurídica detallada en cuanto obtenga un «sí».

Paso 1 — ¿Toca un dominio del Anexo III?

  • ¿Trata el sistema datos biométricos para identificar, categorizar o extraer inferencias sobre personas físicas?
  • ¿Opera como componente de seguridad en infraestructuras críticas (electricidad, agua, gas, tráfico rodado, infraestructura digital)?
  • ¿Determina o influye en el acceso a la educación, o evalúa el rendimiento educativo?
  • ¿Criba, clasifica, evalúa o supervisa a personas en un contexto de empleo o autoempleo?
  • ¿Evalúa la solvencia o fija precios para el crédito, los seguros de salud o los seguros de vida? (Excluya la detección de fraude.)
  • ¿Evalúa el riesgo, elabora perfiles o detecta comportamientos en un contexto de garantía del cumplimiento del Derecho?
  • ¿Asiste en la toma de decisiones sobre visados, solicitudes de asilo, control fronterizo o situación migratoria?
  • ¿Asiste a las autoridades judiciales en la aplicación del Derecho, o se utiliza para influir en los resultados electorales?

Paso 2 — ¿Se aplica el filtro del Artículo 6, apartado 3?

Si respondió afirmativamente a alguna pregunta del Paso 1, pregúntese:

  • ¿Desempeña el sistema únicamente una función procedimental acotada, sin influencia material sobre una decisión relativa a una persona?
  • ¿Revisa el resultado de una actividad humana que ya está completada, en lugar de generar una entrada para una decisión?
  • ¿Detecta patrones o anomalías sin formular ninguna recomendación sobre una persona?
  • ¿Es puramente preparatorio —sin un resultado que alimente directamente una decisión—?
  • Y, crucialmente: ¿elabora el sistema perfiles de personas físicas? En caso afirmativo, el filtro no se aplica.

Si el filtro no se aplica, su sistema es provisionalmente de alto riesgo y entra en el ámbito la pila completa de los Artículos 9 a 15, 17, 43, 47 a 49 y 72 a 73. Documente el análisis en cualquier caso —los reguladores preguntarán—.

Paso 3 — Identifique su función

¿Está desarrollando e introduciendo el sistema en el mercado de la UE con su propio nombre o marca? Es un proveedor con arreglo al Artículo 16. ¿Está utilizando un sistema de un tercero en sus propios procesos de negocio? Es un responsable del despliegue con arreglo al Artículo 26. Las obligaciones difieren sustancialmente, y las del proveedor son más pesadas. El Artículo 25 describe las condiciones bajo las cuales un responsable del despliegue pasa a ser proveedor —lo más habitual, al modificar sustancialmente la finalidad prevista del sistema—.

Cómo ayuda Confir

El módulo de clasificación de Confir codifica la lógica del Artículo 6, apartado 2, y del Anexo III como un cuestionario determinista basado en reglas —sin inferencia de IA, sin alucinación, la misma recopilación produce siempre la misma conclusión—. Usted responde preguntas en lenguaje sencillo sobre lo que hace su sistema (no vocabulario de GRC), y Confir deriva su nivel de riesgo, su función y el conjunto de obligaciones que se deriva.

Una vez que un sistema se clasifica como de alto riesgo del Anexo III, estructura la evaluación en cuatro áreas —clasificación de riesgo y cumplimiento (AIRC), calidad técnica y de datos (AITR), transparencia y supervisión humana (AITO) y gobernanza y vigilancia poscomercialización (AIGM)— y genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración de conformidad del Artículo 47. La EIDF del Artículo 27 se rellena previamente a partir de sus datos de recopilación para los responsables del despliegue que la necesitan.

Autoservicio, sin necesidad de consultores.

Preguntas frecuentes

¿Qué es el Anexo III de la Ley de IA de la UE? El Anexo III es la lista enumerada de dominios de aplicación de IA de alto riesgo del Reglamento (UE) 2024/1689. Cubre ocho ámbitos: biometría, infraestructuras críticas, educación y formación profesional, empleo y gestión de los trabajadores, acceso a servicios privados y públicos esenciales (incluidas la solvencia, los seguros de salud/vida y el envío de servicios de emergencia), garantía del cumplimiento del Derecho, migración y control fronterizo, y administración de justicia y procesos democráticos. Los sistemas de IA que entran en estos ámbitos con arreglo al Artículo 6, apartado 2, deben cumplir toda la pila de obligaciones de alto riesgo antes de salir al mercado.

¿Enumera el Anexo III por su nombre todos los sistemas de IA de alto riesgo? No. El Anexo III define dominios de aplicación y casos de uso, no productos específicos ni tipos de modelo. Que su sistema sea de alto riesgo del Anexo III depende de lo que hace y de dónde se despliega —la arquitectura técnica es irrelevante—. La Comisión puede añadir nuevos casos de uso mediante actos delegados con arreglo al Artículo 7.

¿Qué es el filtro del Artículo 6, apartado 3, y cuándo se aplica? El Artículo 6, apartado 3, permite a un proveedor excluir un sistema de la designación de alto riesgo aun cuando toque un ámbito del Anexo III, si el sistema no plantea un riesgo significativo de perjuicio. Cuatro condiciones sustentan la exclusión: tarea procedimental acotada, mejora de una actividad humana previamente realizada, detección de patrones sin influir en la evaluación humana, o únicamente tarea preparatoria. No obstante, cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de estas condiciones. Los proveedores que reclamen el filtro deben documentar la evaluación.

¿Qué ocurre si clasifico erróneamente mi sistema como de riesgo limitado? Una clasificación errónea que dé lugar a la introducción en el mercado de un sistema de alto riesgo no evaluado vulnera las obligaciones del proveedor del Artículo 16 y el requisito de evaluación de la conformidad del Artículo 43. Las sanciones del Artículo 99 por incumplimiento de las obligaciones de alto riesgo alcanzan los 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, las multas se limitan a la cifra menor con arreglo al Artículo 99, apartado 6 —pero los costes de cumplimiento de una evaluación retroactiva suelen ser más perturbadores que la propia multa—.

¿Cuándo se aplican las obligaciones del Anexo III? En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas autónomos del Anexo III deben cumplir antes del 2 de diciembre de 2027. La IA de alto riesgo integrada como componente de seguridad en productos del Anexo I tiene hasta el 2 de agosto de 2028. El plazo original del 2 de agosto de 2026 se ha aplazado para estos sistemas.

¿Está excluida la detección de fraude del Anexo III? Sí, específicamente de la subcategoría de solvencia y calificación crediticia del Ámbito 5. La Ley excluye explícitamente los sistemas de detección de fraude de esta disposición. Un modelo que predice si es probable que un solicitante de préstamo cometa fraude no está cubierto; un modelo que predice si el solicitante devolverá el préstamo, sí. Otra IA relacionada con el fraude utilizada en un contexto de garantía del cumplimiento del Derecho (Ámbito 6) puede aun así estar dentro del ámbito según su función.

¿Tienen los responsables del despliegue las mismas obligaciones que los proveedores para los sistemas del Anexo III? No. Los proveedores soportan la carga más pesada: gestión de riesgos con arreglo al Artículo 9, documentación técnica con arreglo al Artículo 11, evaluación de la conformidad con arreglo al Artículo 43, declaración de conformidad con arreglo al Artículo 47 y registro con arreglo al Artículo 49. Los responsables del despliegue deben utilizar el sistema conforme a las instrucciones del proveedor, aplicar la supervisión humana con arreglo al Artículo 14, conservar registros y realizar la EIDF del Artículo 27 cuando se requiera. Ambos deben notificar los incidentes graves con arreglo al Artículo 73. Una organización pasa a ser proveedor con arreglo al Artículo 25 si modifica sustancialmente un sistema de alto riesgo o lo despliega para una finalidad ajena al uso previsto original.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo IV de la Ley de IA de la UE: qué incluir en su expediente de documentación técnica

El Anexo IV define nueve secciones obligatorias para la documentación técnica de la IA de alto riesgo en virtud del Reglamento (UE) 2024/1689. Plazo del proveedor: 2 dic 2027. Sanciones: 15 M EUR o el 3 %.