Skip to content
Confir.
Prueba gratuita
Blog

Anexo IV de la Ley de IA de la UE: qué incluir en su expediente de documentación técnica

Annex Guide12 March 2026· 21 min de lectura

El Anexo IV define nueve secciones obligatorias para la documentación técnica de la IA de alto riesgo en virtud del Reglamento (UE) 2024/1689. Plazo del proveedor: 2 dic 2027. Sanciones: 15 M EUR o el 3 %.

El Anexo IV del Reglamento (UE) 2024/1689 establece el contenido exacto que todo proveedor de un sistema de IA de alto riesgo debe incluir en su documentación técnica. No describe un marco opcional de buenas prácticas. Especifica nueve categorías de información, y una evaluación de la conformidad en virtud del Artículo 43 comprobará cada una de ellas.

Tres artículos funcionan aquí de forma conjunta y a menudo se confunden. El Artículo 11 crea la obligación: los proveedores deben elaborar y mantener actualizada la documentación técnica antes de introducir un sistema de IA de alto riesgo en el mercado o ponerlo en servicio. El Anexo IV define qué debe contener ese expediente. El Artículo 43 cubre el procedimiento de evaluación de la conformidad que revisa el expediente — bien un control interno (Anexo VI) o bien una revisión por organismo notificado (Anexo VII). Esta guía cubre el Anexo IV: el contenido del expediente.

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos (la lista del Anexo III) deben cumplir desde el 2 de diciembre de 2027, y la IA de alto riesgo integrada en productos regulados desde el 2 de agosto de 2028, aplazando la fecha original de agosto de 2026. Eso amplía el margen, pero reunir un expediente del Anexo IV creíble lleva meses. El techo sancionador por incumplimiento de los requisitos de alto riesgo es de 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 4). Para las pymes y las empresas emergentes, la multa se limita al menor de los dos importes (Artículo 99, apartado 6).

Los proveedores deben conservar la documentación durante 10 años después de que el sistema se introduzca en el mercado o se ponga en servicio (Artículo 18).

Las nueve secciones del Anexo IV en orden

El Anexo IV se organiza en nueve secciones numeradas. No son intercambiables ni agrupables. Esto es lo que exige cada una.

Sección 1 — Descripción general del sistema de IA

Esta sección ancla todo lo que sigue. Debe cubrir:

  • La finalidad prevista, incluida la tarea concreta que el sistema desempeña y las personas o grupos a los que afecta
  • La identidad del proveedor: el nombre y el domicilio social del proveedor, y el nombre y los datos de contacto de cualquier representante autorizado (Artículo 22) cuando proceda
  • La información de versión: número de versión y fecha de publicación
  • La interacción de hardware y software: cómo interactúa el sistema con el hardware o software del que no forma parte, incluidos otros sistemas de IA
  • Las versiones de software utilizadas en el desarrollo
  • Las formas en que el sistema se introduce en el mercado o se pone en servicio: software independiente, integrado en un producto, API u otra
  • El hardware en el que el sistema está destinado a ejecutarse
  • Las instrucciones de uso para los responsables del despliegue y, cuando proceda, una descripción básica para las personas afectadas

Una prueba útil: si una autoridad competente lee únicamente la Sección 1, debería saber con precisión qué hace el sistema, quién lo construyó y dónde está desplegado.

Sección 2 — Descripción detallada de los elementos del sistema y del proceso de desarrollo

Esta es la sección más larga y técnica. Debe documentar:

Especificación de diseño y arquitectura. Las elecciones realizadas y por qué — tipo de modelo, arquitectura, hiperparámetros clave, especificaciones de entrada/salida, ingeniería de características.

Requisitos de los datos de entrenamiento y fichas de datos. Para cada conjunto de datos utilizado en el entrenamiento, la validación y las pruebas: procedencia (de dónde proviene, con qué base jurídica), alcance (qué cubre y qué no), tamaño y composición, metodología de etiquetado, pasos de limpieza y preprocesamiento, y limitaciones conocidas. Los requisitos del Artículo 10 sobre gobernanza de datos sustentan esto — pero la ficha de datos va en el Anexo IV.

Evaluación de la supervisión humana en virtud del Artículo 14. El análisis en tiempo de diseño de cómo se incorpora la supervisión humana — qué decisiones requieren revisión humana, cómo el sistema hace interpretables sus resultados y qué mecanismos de anulación existen.

Cambios predeterminados y disposiciones de aprendizaje continuo. Si el sistema está diseñado para cambiar tras el despliegue — ya sea mediante actualizaciones programadas o aprendizaje activo — la documentación debe describir esos mecanismos, las condiciones en las que se producen los cambios y los controles que evitan la deriva más allá del comportamiento previsto.

Procedimientos y métricas de validación y prueba. Cómo se validó y probó el sistema: conjuntos de datos utilizados, condiciones de prueba, las métricas concretas aplicadas (exactitud, F1, paridad demográfica, puntuación de igualdad de oportunidades u otras), los valores umbral fijados y cómo se comportó el sistema. No solo la cifra principal — el desglose por subgrupos, casos límite y modos de fallo.

Registros. Qué genera el sistema automáticamente, qué se conserva y durante cuánto tiempo.

Sección 3 — Información detallada sobre la vigilancia, el funcionamiento y el control

La Sección 3 documenta las características operativas:

  • Capacidades y limitaciones: qué puede y qué no puede hacer el sistema, incluidos los modos de fallo conocidos y las condiciones en las que el rendimiento se degrada
  • Exactitud para personas o grupos concretos: cuando el rendimiento difiera según características demográficas (sexo, edad, etnia, discapacidad), esas diferencias deben divulgarse, no enterrarse
  • Resultados no deseados previsibles y riesgos: identificados en tiempo de diseño, incluidos los riesgos de uso indebido o de uso en contextos distintos del previsto
  • Medidas de supervisión humana: repitiendo y profundizando el análisis del Artículo 14 de la Sección 2 en términos operativos — qué debe hacer el equipo del responsable del despliegue, cómo funcionan las alertas y las vías de escalado
  • Especificaciones de los datos de entrada: los datos que el sistema espera en el momento de la inferencia, incluido el formato, los requisitos de calidad y las advertencias de datos fuera de distribución

La distinción entre la Sección 2 y la Sección 3 es de desarrollo frente a operación. La Sección 2 trata de cómo se construyó el sistema. La Sección 3 trata de cómo se comporta una vez desplegado y de cómo mantenerlo bajo control.

Sección 4 — Adecuación de las métricas de rendimiento

La Sección 4 es breve pero sustantiva. Exige una explicación de por qué las métricas de rendimiento elegidas son adecuadas para la finalidad prevista y el perfil de riesgo del sistema.

Si está documentando una IA de contratación, aquí se exige explicar por qué seleccionó la paridad demográfica como métrica de equidad — en lugar de las probabilidades igualadas o la equidad individual. Si el sistema opera en un ámbito en el que un falso negativo conlleva mayor perjuicio que un falso positivo (la calificación de riesgo médico, por ejemplo), la elección de la exhaustividad (recall) frente a la precisión como métrica primaria necesita justificación. Los reguladores y los organismos notificados lo preguntarán. Respóndalo en el expediente.

Sección 5 — El sistema de gestión de riesgos en virtud del Artículo 9

La Sección 5 resume los resultados del sistema de gestión de riesgos del Artículo 9. El Artículo 9 exige un proceso continuo e iterativo que se extiende a lo largo del ciclo de vida del sistema. El expediente del Anexo IV debe documentar:

  • Los riesgos conocidos y razonablemente previsibles para la salud, la seguridad o los derechos fundamentales cuando el sistema se utiliza según lo previsto y bajo un uso indebido previsible
  • Las evaluaciones de probabilidad y gravedad de cada riesgo identificado
  • Las medidas de mitigación adoptadas y su fundamento técnico
  • Los riesgos residuales tras la mitigación, con una justificación de por qué son aceptables

Para una IA de calificación crediticia desplegada en una entidad de crédito regional, esto significa documentar el riesgo de discriminación (atributos protegidos: sexo, etnia, edad), la cadencia de las pruebas de equidad, los umbrales que desencadenan la revisión del modelo y el nivel de riesgo residual con las hipótesis que lo sustentan. «Auditoría de equidad realizada» no es una entrada conforme. Se exigen un umbral concreto, un responsable y una cadencia.

Sección 6 — Cambios a lo largo del ciclo de vida

La Sección 6 registra los cambios en el sistema que se producen tras la introducción inicial en el mercado — eventos de reentrenamiento, cambios arquitectónicos, actualizaciones de los datos de entrenamiento, ampliaciones de la finalidad prevista y cambios en el entorno de despliegue. Cada cambio debe documentarse, junto con una reevaluación de si el cambio constituye una modificación sustancial que volvería a activar las obligaciones de evaluación de la conformidad en virtud del Artículo 43.

No se trata de un registro retrospectivo de correcciones de errores. Es un mecanismo de gobernanza prospectivo: los proveedores deben definir por adelantado qué umbrales de cambio requieren actualizaciones de la documentación y qué umbrales requieren una nueva evaluación de la conformidad.

Sección 7 — Normas armonizadas, especificaciones comunes y otras soluciones técnicas

La Sección 7 identifica las normas técnicas aplicadas o, cuando no exista ninguna norma armonizada o especificación común pertinente, las demás soluciones técnicas utilizadas para cumplir los requisitos de la sección 2 del capítulo III (Artículos 9 a 15).

Cuando se hayan aplicado plenamente normas armonizadas, el cumplimiento de esas normas crea una presunción de conformidad. Cuando solo se apliquen normas parciales — o cuando el proveedor se haya basado en sus propias soluciones técnicas — la Sección 7 debe explicar cómo esas soluciones cumplen los requisitos legales.

La norma ISO/IEC 42001 (sistemas de gestión de la IA) y la ISO/IEC 23894 (orientaciones sobre gestión de riesgos para la IA) son marcos de referencia pertinentes, aunque a mediados de 2026 ninguna es todavía una norma armonizada con arreglo al Reglamento. Los proveedores que se basen en ellas deben señalarlo explícitamente.

Sección 8 — Declaración UE de conformidad

La Sección 8 exige una copia de la declaración UE de conformidad (DdC) elaborada en virtud del Artículo 47. La DdC es un documento jurídico independiente — una declaración formal del proveedor de que el sistema cumple todos los requisitos aplicables del Reglamento (UE) 2024/1689. Debe incluir el nombre y la versión del sistema, una referencia a este Reglamento, la identidad del proveedor y los datos del representante autorizado cuando proceda.

Incluir la DdC en el Anexo IV significa que la documentación técnica y la declaración jurídica de conformidad viajan juntas. Si se actualiza una de ellas, deben actualizarse ambas.

Sección 9 — Plan de vigilancia poscomercialización

La última sección documenta el plan de vigilancia poscomercialización exigido por el Artículo 72. Debe cubrir:

  • Cómo recopilará y analizará el proveedor activamente los datos sobre el rendimiento del sistema en condiciones reales tras el despliegue
  • Los canales de notificación de incidentes y los acuerdos de nivel de servicio (SLA) internos (los incidentes graves deben notificarse a las autoridades en virtud del Artículo 73)
  • Los umbrales de deriva del rendimiento que desencadenan una investigación
  • Los procedimientos de reentrenamiento y actualización
  • El calendario de revisión periódica

El Artículo 72 exige que la vigilancia sea proactiva y estructurada, no reactiva. Un sistema de IA neerlandés que predice fallos de mantenimiento de equipos, por ejemplo, necesita una comprobación de exactitud mensual definida frente a un conjunto de retención, un umbral de alerta (pongamos que la exactitud cae más de 3 puntos porcentuales) y un procedimiento documentado de lo que sucede a continuación — reentrenar en un plazo de 30 días, o retirar el sistema de servicio.

Anexo IV frente al Artículo 11 frente al Artículo 43

Estos tres funcionan de forma conjunta y a menudo se confunden, así que merece la pena exponerlos con claridad.

El Artículo 11 es la obligación jurídica: los proveedores de sistemas de IA de alto riesgo deben elaborar y mantener actualizada la documentación técnica especificada en el Anexo IV antes de salir al mercado o entrar en servicio. También establece el requisito de conservación (10 años a través del Artículo 18) y especifica quién debe poder acceder a la documentación: las autoridades competentes, los organismos notificados y los responsables del despliegue que lo soliciten.

El Anexo IV es la especificación de contenido: las nueve secciones descritas anteriormente. Responde a la pregunta «¿qué debe contener la documentación?».

El Artículo 43 es la evaluación de la conformidad: el procedimiento por el cual un proveedor demuestra — o un organismo notificado verifica — que el sistema cumple los requisitos de alto riesgo. La documentación técnica es la prueba principal revisada en esa evaluación. La mayoría de los sistemas autónomos del Anexo III utilizan el procedimiento de control interno (Anexo VI); los sistemas cubiertos por la legislación de seguridad de los productos del Anexo I, más los sistemas de identificación biométrica, requieren una revisión por organismo notificado.

Una cuarta disposición pertinente: el Artículo 47 exige una copia de la declaración UE de conformidad — que es lo que la Sección 8 del Anexo IV debe incluir.

Documentación simplificada para pymes y empresas emergentes

El Artículo 11, apartado 3, permite explícitamente a las pymes y a las empresas emergentes facilitar los elementos del Anexo IV de forma simplificada. Esto no significa menos secciones ni menos contenido — las nueve secciones siguen siendo obligatorias. Significa que el nivel de detalle técnico puede ser proporcionado al tamaño, los recursos y el perfil de riesgo del proveedor.

En la práctica, no se espera que una empresa de tecnología de RR. HH. de 30 personas produzca la misma profundidad de análisis estadístico que un gran banco. Pero la empresa sigue necesitando identificar sus conjuntos de datos de entrenamiento, documentar su evaluación de riesgos, describir los mecanismos de supervisión humana y disponer de un plan de vigilancia poscomercialización. «Somos una empresa emergente» no es una exención del Anexo IV; es un principio de proporcionalidad dentro de él.

Ejemplo resuelto: IA de cribado de currículos

Una empresa alemana de tecnología de RR. HH. de 45 personas ofrece una IA de cribado de currículos como producto SaaS a empleadores de toda la UE. Con arreglo al punto 4 del Anexo III, los sistemas de contratación que influyen en las decisiones de contratación son de alto riesgo. Así es como las nueve secciones se corresponden con su situación.

La Sección 1 identifica al proveedor (la GmbH), el nombre y la versión del sistema, el hecho de que se despliega como API SaaS en la nube, y resume la finalidad prevista: clasificar a los candidatos a un empleo por puntuación de idoneidad prevista.

La Sección 2 documenta el corpus de entrenamiento — 120 000 currículos históricos y sus resultados de contratación, obtenidos de tres clientes empleadores en virtud de acuerdos de tratamiento de datos, con una auditoría de sesgo que muestra una tasa de falso rechazo un 4 % superior para las candidatas en puestos tecnológicos, abordada mediante un paso de reponderación en el entrenamiento. El diseño de la supervisión humana: los candidatos límite (confianza del 40-60 %) se marcan para revisión obligatoria por un seleccionador antes del rechazo.

La Sección 3 indica que el sistema funciona bien para puestos tecnológicos y financieros de nivel intermedio, pero se degrada en los sectores creativo y de la hostelería (infrarrepresentados en los datos de entrenamiento). La documentación divulga esta limitación y exige a los responsables del despliegue que configuren un filtro de ámbito.

La Sección 4 justifica la elección de la paridad demográfica como métrica de equidad primaria, con una explicación de por qué es adecuada para una herramienta utilizada en el cribado inicial en lugar de en la selección final.

La Sección 5 identifica tres riesgos primarios — discriminación por razón de sexo, manipulación por parte de los candidatos y errores en cascada si los responsables del despliegue desactivan la revisión humana — con controles concretos y niveles de riesgo residual para cada uno.

La Sección 6 especifica que cualquier reentrenamiento con nuevos datos de empleadores desencadena una nueva auditoría de sesgo y una actualización de la documentación. Una ampliación a puestos de nivel directivo constituiría una modificación sustancial que requeriría una reevaluación en virtud del Artículo 43.

La Sección 7 enumera la ISO/IEC 42001 y la ISO/IEC 23894 como marcos de referencia aplicados; señala que a la fecha de la documentación no se ha publicado ninguna norma armonizada que cubra la IA de contratación.

La Sección 8 adjunta una copia de la declaración UE de conformidad firmada por el director ejecutivo de la empresa.

La Sección 9 se compromete a una revisión trimestral de la exactitud, a un SLA de triaje de 24 horas para los incidentes notificados por los empleadores y a la suspensión del modelo si la exactitud cae por debajo del 80 % en el conjunto de validación.

Conservación, acceso y qué esperan las autoridades competentes

Los proveedores deben conservar el expediente completo del Anexo IV durante 10 años después de que la última unidad se introduzca en el mercado o se ponga en servicio (Artículo 18). Esto se aplica a cada versión — no solo a la actual.

La documentación debe estar a disposición de las autoridades nacionales de vigilancia del mercado y de la Oficina de IA de la UE con prontitud, previa solicitud. Cuando interviene un organismo notificado en la evaluación de la conformidad, el organismo revisará el expediente antes de expedir cualquier certificado.

Los responsables del despliegue tienen derecho a las partes pertinentes de la documentación en virtud del Artículo 13 y del Artículo 11, apartado 2: necesitan información suficiente para operar el sistema correctamente y para cumplir sus propias obligaciones en virtud del Artículo 26.

Una implicación práctica: si su sistema lo despliegan 50 clientes empresariales, los 50 tienen derecho a solicitar acceso. La documentación debe tener control de versiones, ser localizable y legible — no una wiki interna desbordada que solo su director técnico puede interpretar.

Cómo ayuda Confir

La evaluación AITR de Confir — la vía de Datos y Robustez Técnica — guía a los proveedores a través de las nueve secciones del Anexo IV, solicitando la información concreta que requiere cada sección y señalando las lagunas. El motor determinista y basado en reglas asigna sus entradas a los requisitos legales: las mismas respuestas producen las mismas conclusiones, con la regla aplicable visible en cada paso. El resultado es el paquete de documentación técnica (AITR), un expediente estructurado y con control de versiones que funciona como su registro del Anexo IV.

El AITR enlaza directamente con la declaración de conformidad del Artículo 47 y con los resultados de la gestión de riesgos del Artículo 9, de modo que el expediente es internamente coherente — un punto que los auditores y los organismos notificados comprobarán.

Qué hacer ahora

La documentación del Anexo IV no puede producirse la semana antes de una evaluación de la conformidad. Solo la auditoría de los datos de entrenamiento puede llevar meses si sus registros están fragmentados. El proceso de gestión de riesgos del Artículo 9 es iterativo por diseño — debe ejecutarse antes de que se finalice la documentación.

Trabaje hacia atrás desde el 2 de diciembre de 2027. Si necesita una revisión por organismo notificado (productos del Anexo I o sistemas biométricos), tenga en cuenta los plazos de los organismos notificados, que históricamente han llegado a varios meses. Para los sistemas autónomos del Anexo III que utilizan el control interno, sigue necesitando un expediente completo antes de salir al mercado.

Empiece por la Sección 1 (descripción general) y la Sección 2 (proceso de desarrollo y datos). Esas secciones sacan a la luz la información que muy probablemente aún no tiene documentada, y son las que más tardan en recopilarse.

Guías relacionadas

Preguntas frecuentes

¿Qué contiene realmente el Anexo IV — cuántas secciones hay?

El Anexo IV especifica nueve secciones: (1) descripción general; (2) descripción detallada de los elementos y del proceso de desarrollo, incluidos los requisitos de datos y el diseño de la supervisión humana; (3) información sobre vigilancia, funcionamiento y control; (4) justificación de las métricas de rendimiento; (5) el sistema de gestión de riesgos del Artículo 9; (6) cambios a lo largo del ciclo de vida; (7) normas armonizadas u otras soluciones técnicas aplicadas; (8) una copia de la declaración UE de conformidad (Artículo 47); y (9) el plan de vigilancia poscomercialización (Artículo 72). Las nueve son obligatorias para todo sistema de IA de alto riesgo.

¿Cuál es la diferencia entre el Artículo 11, el Anexo IV y el Artículo 43?

El Artículo 11 crea la obligación jurídica de elaborar y mantener la documentación técnica antes de salir al mercado. El Anexo IV define las nueve categorías de información que esa documentación debe contener. El Artículo 43 cubre el procedimiento de evaluación de la conformidad — bien control interno (Anexo VI) o revisión por organismo notificado (Anexo VII) — durante el cual se revisa el expediente del Anexo IV. Son tres disposiciones distintas que funcionan de forma conjunta.

¿Quién es responsable de compilar la documentación del Anexo IV?

El proveedor de IA es el responsable en virtud del Artículo 11. Los proveedores deben compilar el expediente antes de la introducción en el mercado o la puesta en servicio del sistema, mantenerlo actualizado a lo largo del ciclo de vida del sistema y conservarlo durante 10 años (Artículo 18). Los responsables del despliegue tienen derecho a acceder a las partes pertinentes en virtud de los Artículos 11, apartado 2, y 13, pero no pueden sustituir el expediente del proveedor por su propia documentación. Si un responsable del despliegue modifica sustancialmente un sistema de alto riesgo o lo introduce en el mercado bajo su propio nombre, el responsable del despliegue se convierte en proveedor en virtud del Artículo 25 y hereda toda la obligación del Artículo 11.

¿Qué sanciones se aplican por una documentación del Anexo IV ausente o deficiente?

El incumplimiento de los requisitos de alto riesgo — incluidos el Artículo 11 y el Anexo IV — es una infracción cubierta por el Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, la multa es el menor de los dos importes (Artículo 99, apartado 6). Las autoridades competentes también pueden ordenar la retirada del sistema del mercado. No hay una multa fija por artículo; el nivel se aplica a las infracciones de los requisitos de alto riesgo en su conjunto.

¿Pueden las pymes facilitar una versión simplificada del Anexo IV?

Sí. El Artículo 11, apartado 3, permite explícitamente a las pymes y a las empresas emergentes facilitar los elementos del Anexo IV de forma simplificada, proporcionada a su tamaño y recursos. Las nueve secciones siguen siendo obligatorias — la simplificación significa una profundidad de detalle adecuada, no menos obligaciones. No se espera que una empresa de software de 30 personas produzca la misma profundidad de documentación estadística que una gran entidad financiera, pero sigue necesitando identificar sus conjuntos de datos, documentar su evaluación de riesgos y disponer de un plan de vigilancia poscomercialización.

¿Cómo se relaciona el expediente del Anexo IV con la declaración UE de conformidad?

La Sección 8 del Anexo IV exige una copia de la declaración UE de conformidad elaborada en virtud del Artículo 47. Las dos viajan juntas: la declaración es una declaración jurídica del proveedor de que el sistema cumple todos los requisitos aplicables; el expediente del Anexo IV es la prueba técnica que sustenta esa declaración. Si el sistema se actualiza y el expediente del Anexo IV se revisa, la declaración también debe revisarse y, si es necesario, volver a emitirse. El Artículo 47 especifica el contenido exigido de la declaración.

¿Cuándo debe estar listo el expediente del Anexo IV?

El expediente debe estar completo antes de que el sistema se introduzca en el mercado o se ponga en servicio — no en el momento de la primera auditoría o inspección. Para los sistemas autónomos del Anexo III, esa obligación se aplica desde el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo integrada en productos regulados del Anexo I, la fecha es el 2 de agosto de 2028. Son condiciones de entrada en el mercado, no objetivos eventuales: desplegar sin un expediente conforme es una infracción desde el primer día.

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.