Skip to content
Confir.
Prueba gratuita
Blog

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

EU AI Act Guide1 April 2026· 17 min de lectura

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Desde el 2 de febrero de 2025, desplegar un sistema de identificación biométrica remota en tiempo real en un espacio de acceso público con fines de garantía del cumplimiento del Derecho está, por regla general, prohibido por el Derecho de la UE. El Artículo 5, apartado 1, letra h) del Reglamento (UE) 2024/1689 — la Ley de IA de la UE — establece una de las prohibiciones más vigiladas del Reglamento. Equivocarse supone un techo sancionador de 35 millones de euros o el 7 % del volumen de negocios anual mundial en virtud del Artículo 99, apartado 3, si esta última cifra es mayor.

Este artículo explica con exactitud qué comprende la prohibición, las tres excepciones enumeradas de forma exhaustiva, las garantías procedimentales que rigen todo despliegue lícito y qué significan las normas para las organizaciones que no son autoridades policiales pero que, aun así, utilizan reconocimiento facial o tecnología biométrica relacionada.

Qué prohíbe el Artículo 5, apartado 1, letra h)

El Artículo 5, apartado 1, letra h) prohíbe el uso — no meramente el desarrollo o el suministro — de sistemas de identificación biométrica remota (IBR) en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho. Tres elementos se combinan para activar la prohibición; cada uno exige una lectura precisa.

En tiempo real significa que la identificación se realiza durante la captación de los datos biométricos o inmediatamente después de ella, sin que quede una oportunidad significativa de revisión humana antes de que el sistema actúe o alerte. El análisis a posteriori de imágenes grabadas no es en tiempo real y queda fuera del Artículo 5, apartado 1, letra h) — aunque constituye IA de alto riesgo en virtud del Anexo III, punto 1, y conlleva la totalidad de las obligaciones del Anexo III previstas en los Artículos 9 a 15 y 26 una vez que se apliquen los plazos pertinentes.

Remota significa la identificación sin la cooperación ni el conocimiento activos del interesado — sistemas que escanean una multitud o una calle pública, no un puesto fronterizo en el que el viajero mira a una cámara. La distinción importa desde el punto de vista operativo: la verificación biométrica cooperativa en un cruce fronterizo de la UE no es el mismo objeto jurídico que un sistema de reconocimiento facial que rastrea el vestíbulo de una estación de tren.

Espacios de acceso público comprende calles, plazas, nodos de transporte, centros comerciales, estadios y cualquier espacio al que tenga acceso el público en general — con independencia de que sea de titularidad pública o privada. Un centro comercial de gestión privada es un espacio de acceso público a estos efectos. Los recintos privados con entrada de acceso controlado (una nave de fábrica, una sala de servidores cerrada) quedan fuera del ámbito de esta prohibición, aunque el RGPD y otras obligaciones puedan seguir siendo de aplicación.

Con fines de garantía del cumplimiento del Derecho es la condición limitadora de finalidad. Por eso el Artículo 5, apartado 1, letra h) no prohíbe directamente, en sus propios términos, que un minorista utilice reconocimiento facial en su propia entrada para verificar el acceso de empleados o identificar a ladrones conocidos en su propia tienda. Esos despliegues se enfrentan a restricciones jurídicas distintas — los sistemas biométricos del Anexo III, las normas sobre datos de categorías especiales del Artículo 9 del RGPD y las prohibiciones de técnicas manipuladoras del Artículo 5, apartado 1, letras a)/b) pueden aplicarse todas ellas — pero la prohibición del Artículo 5, apartado 1, letra h) apunta directamente al uso policial.

Las tres excepciones: exhaustivas, no ilustrativas

El Artículo 5, apartado 1, letra h) contiene tres situaciones enumeradas de forma exhaustiva en las que una autoridad policial puede desplegar IBR en tiempo real en espacios de acceso público, siempre que se cumplan garantías procedimentales adicionales (véase más abajo). Estas excepciones son exhaustivas: si un despliegue no encaja en una de las tres, está prohibido con independencia de la sensibilidad del objetivo policial.

Excepción i): búsqueda selectiva de víctimas concretas

La IBR en tiempo real está permitida para la búsqueda selectiva de víctimas concretas de secuestro, trata de seres humanos o explotación sexual, y para la búsqueda de personas desaparecidas. La palabra «concretas» es determinante: esta excepción permite encontrar a una persona identificada, no escanear una multitud para identificar a cualquier persona que pudiera ser víctima de trata. Un despliegue debe estar ligado a una persona identificada y a una categoría delictiva identificada.

Excepción ii): amenaza inminente para la vida, la seguridad física o atentado terrorista

La segunda excepción permite el despliegue para prevenir una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas, o una amenaza real y actual o real y previsible de un atentado terrorista. Tres adjetivos — específica, importante, inminente — limitan el modo en que las autoridades pueden invocar esta excepción. Un nivel de amenaza elevado y general no basta. La amenaza debe estar dirigida y ser temporalmente urgente.

Excepción iii): localización o identificación por delitos graves

La tercera excepción permite la localización o identificación de una persona sospechosa de haber cometido una infracción penal, a efectos de una investigación o un enjuiciamiento penal o de la ejecución de una sanción penal. Lo decisivo es que la infracción debe figurar en el Anexo II del Reglamento y debe estar castigada con una pena privativa de libertad de al menos cuatro años en el Estado miembro de que se trate. El Anexo II comprende infracciones como el terrorismo, la trata de seres humanos, la explotación sexual de menores, el homicidio, el secuestro, la violación, la delincuencia organizada, la corrupción y la ciberdelincuencia — no las infracciones de tráfico, los hurtos menores ni las infracciones administrativas leves.

Se trata de una desviación deliberada respecto de la propuesta original de la Comisión, que remitía a la lista de la Decisión Marco 2002/584/JAI con un umbral de tres años. El texto final elevó el suelo de pena privativa de libertad a cuatro años e incorporó la lista de infracciones del Anexo II directamente en el Reglamento, lo que dificulta que los Estados miembros amplíen la excepción sin modificar el propio Reglamento.

Autorización previa: la regla por defecto

Todo despliegue lícito en virtud de las excepciones i), ii) o iii) exige la autorización previa de una autoridad judicial o de otra autoridad administrativa independiente del Estado miembro de que se trate. Esa autorización debe concederse antes de que comience el despliegue. Debe constituir una decisión vinculante — una aprobación blanda o un visto bueno informal son insuficientes.

La autorización debe especificar el despliegue concreto: el sistema, el lugar, la duración y la excepción que se invoca. Las autorizaciones abiertas y permanentes que permiten el rastreo continuo de IBR en tiempo real sin límites temporales ni geográficos no satisfacen el Artículo 5, apartado 1, letra h).

El procedimiento de urgencia

Existe una única vía de escape estrecha respecto del requisito de autorización previa. En situaciones de urgencia debidamente justificadas — en las que no sea posible obtener la autorización previa antes de iniciar el uso — el despliegue puede comenzar sin autorización, siempre que la autoridad solicite la autorización sin demora indebida y, en todo caso, en un plazo de 24 horas desde el inicio del despliegue. Si se deniega la autorización, el uso debe cesar de inmediato y todos los datos recopilados deben suprimirse sin dilación.

El procedimiento de urgencia no es un atajo general. El umbral es la imposibilidad genuina de obtener la autorización previa, no la mera inconveniencia. El considerando 55 del Reglamento deja claro que está pensado para emergencias operativas agudas, no para situaciones rutinarias en las que las autoridades simplemente no han solicitado la autorización.

El paquete de garantías

El uso lícito al amparo de una excepción no significa un uso sin restricciones. El Artículo 5, apartado 1, letra h) y las disposiciones conexas imponen un conjunto de garantías a todo despliegue autorizado:

Necesidad y proporcionalidad: el uso debe ser estrictamente necesario para el objetivo específico, proporcionado a la gravedad de la situación y limitado en el tiempo, el ámbito geográfico y la población de interesados afectados.

Evaluación de impacto relativa a los derechos fundamentales (EIDF): antes de desplegar un sistema de IBR en tiempo real (o en el momento más temprano posible en un despliegue urgente), la autoridad que lo despliega debe realizar una evaluación del impacto en los derechos fundamentales. El Artículo 27 del Reglamento establece los requisitos de la EIDF para los responsables del despliegue de sistemas de alto riesgo; para las autoridades policiales, las obligaciones discurren en paralelo con los requisitos de la Directiva relativa a la protección de datos en el ámbito penal (Directiva 2016/680).

Registro en la base de datos de la UE: el sistema debe registrarse en la base de datos de la UE establecida en virtud del Artículo 49 del Reglamento antes de su despliegue.

Notificación: la autoridad nacional de vigilancia del mercado pertinente y la autoridad de protección de datos deben ser notificadas de cada despliegue.

Conservación del registro de auditoría: el sistema debe generar y conservar registros suficientes para permitir la revisión ex post del despliegue.

Estas garantías son requisitos mínimos. Los Estados miembros pueden imponer restricciones adicionales en su legislación nacional de aplicación.

Margen de opción de los Estados miembros

El Artículo 5, apartado 1, letra h) deja a los Estados miembros margen de maniobra en dos direcciones. Pueden optar por no habilitar las excepciones en absoluto — un Estado miembro puede simplemente dejar intacta la prohibición general y prohibir toda IBR en tiempo real con fines policiales en espacios públicos de su territorio. Varios Estados miembros pueden adoptar este enfoque por motivos constitucionales o políticos.

A la inversa, los Estados miembros que sí habiliten las excepciones deben hacerlo mediante legislación nacional que especifique las excepciones aplicables, el procedimiento de autorización, la autoridad competente, las garantías y los mecanismos de rendición de cuentas. Una autoridad policial no puede invocar las excepciones del Artículo 5, apartado 1, letra h) en ausencia de legislación nacional habilitante — el Reglamento no aplica las excepciones por sí mismo.

Esto crea normas desiguales en toda la UE. Un despliegue lícito en un Estado miembro puede no estar autorizado en otro. Para cualquier organización que despliegue o suministre IBR en tiempo real a las autoridades policiales europeas, el punto de partida es la legislación nacional del Estado miembro pertinente, no el Reglamento por sí solo.

IBR en tiempo real frente a IBR a posteriori: una distinción que importa

La prohibición del Artículo 5, apartado 1, letra h) se aplica únicamente a la identificación biométrica remota en tiempo real en espacios de acceso público con fines policiales. El análisis retrospectivo a posteriori de imágenes grabadas — a veces denominado «IBR a posteriori» o «IBR no en tiempo real» — no queda comprendido en esta prohibición.

La IBR a posteriori es, no obstante, un sistema de IA de alto riesgo del Anexo III (epígrafe 1: biometría, punto 1, letra a)). Hereda la totalidad de las obligaciones de alto riesgo: un sistema de gestión de riesgos en virtud del Artículo 9, documentación técnica en virtud del Artículo 11 y el Anexo IV, conservación de registros en virtud del Artículo 12, transparencia e información a los responsables del despliegue en virtud del Artículo 13, supervisión humana en virtud del Artículo 14, requisitos de exactitud y robustez en virtud del Artículo 15, una evaluación de la conformidad en virtud del Artículo 43, registro en virtud del Artículo 49 y — para los responsables del despliegue policiales — las obligaciones del responsable del despliegue en virtud del Artículo 26, incluidos los requisitos de supervisión humana y una evaluación de impacto relativa a los derechos fundamentales previa en virtud del Artículo 27.

En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones del Anexo III para los sistemas de IA de alto riesgo autónomos se aplican a partir del 2 de diciembre de 2027 (aplazadas respecto de la fecha original del 2 de agosto de 2026). La prohibición en tiempo real, en cambio, ya se aplica desde el 2 de febrero de 2025.

La implicación práctica: un cuerpo policial que abandona el rastreo de reconocimiento facial en tiempo real y utiliza en su lugar un análisis nocturno por lotes de las imágenes grabadas de videovigilancia con un sistema de identificación biométrica ha salido de la zona de prohibición del Artículo 5, apartado 1, letra h) — pero ha entrado en la zona de cumplimiento de alto riesgo del Anexo III, con una carga de documentación, evaluación y registro que llega en diciembre de 2027.

Qué significa esto para las organizaciones no policiales

La mayoría de las empresas nunca desplegarán un sistema de IBR en tiempo real con fines policiales. Pero el Artículo 5, apartado 1, letra h) tiene una relevancia indirecta para un conjunto más amplio de organizaciones.

El reconocimiento facial para el control de acceso físico en una oficina o una fábrica no activa, en sus términos, el Artículo 5, apartado 1, letra h) — no es con fines policiales y puede no producirse en un «espacio de acceso público». Pero es un sistema de identificación biométrica. Si escanea a personas en un espacio accesible al público, probablemente será de alto riesgo en virtud del Anexo III. Si identifica a personas sin su conocimiento en un espacio genuinamente público (no un vestíbulo controlado), pueden entrar en juego la prohibición de técnicas manipuladoras del Artículo 5, apartado 1, letra a) y la prohibición de puntuación social del Artículo 5, apartado 1, letra c). El Artículo 9 del RGPD se aplica en todo caso.

La vigilancia de espacios públicos con analítica — cámaras de flujo de multitudes con clasificación demográfica — se sitúa en un nivel de riesgo distinto del de la identificación individual en tiempo real, pero sigue activando el tratamiento de datos biométricos en virtud del Anexo III (sistemas de reconocimiento de emociones en virtud del epígrafe 1, letra c); categorización biométrica en virtud del epígrafe 1, letra b) si el sistema clasifica a las personas por raza, opinión política, religión u otros atributos sensibles).

Suministrar sistemas de IBR en tiempo real a las autoridades policiales convierte al suministrador en proveedor. La prohibición del Artículo 5, apartado 1, letra h) se aplica al uso, pero un proveedor que introduce a sabiendas en el mercado un sistema de IBR en tiempo real para uso policial en espacios públicos — sin mecanismo alguno que garantice que solo se despliega en las condiciones del Artículo 5, apartado 1, letra h), incisos i) a iii) — se enfrenta a una exposición jurídica significativa. Las obligaciones del proveedor del Artículo 16 y las disposiciones de cambio de papel del Artículo 25 son pertinentes aquí.

La versión breve: si el sistema de IA de su organización capta datos biométricos, los trata para identificar a personas físicas y opera en espacios de acceso público o cerca de ellos, necesita un análisis jurídico riguroso — no una suposición rápida de que el Artículo 5, apartado 1, letra h) no se aplica.

El panorama sancionador

La infracción de las prohibiciones del Artículo 5 — incluido el Artículo 5, apartado 1, letra h) — atrae la multa del nivel superior en virtud del Artículo 99, apartado 3, del Reglamento: hasta 35 millones de euros o el 7 % del volumen de negocios anual mundial total del ejercicio financiero anterior, si esta última cifra es mayor. No existe una categoría inferior de «infracción no intencionada» dentro del Artículo 5; el nivel es plano.

Se aplica el límite para pymes y empresas emergentes del Artículo 99, apartado 6: para las organizaciones más pequeñas, la multa aplicable es la menor del importe fijo o el porcentaje del volumen de negocios. Eso proporciona cierta proporcionalidad, pero 35 millones de euros siguen siendo un techo rígido, no un suelo.

Más allá de las multas administrativas, los Estados miembros conservan la facultad de imponer sanciones penales en virtud de su Derecho nacional por las infracciones del Artículo 5. Se espera que varios Estados miembros hagan uso de esta facultad, en particular para las infracciones flagrantes o deliberadas.

La ejecución del Artículo 99 se aplica desde el 2 de agosto de 2025. La combinación de una fecha de prohibición de febrero de 2025 y una fecha de ejecución de agosto de 2025 significa que, a partir de agosto de 2025, el paquete sancionador completo está activo.

Cómo ayuda Confir

La lista de comprobación de prácticas prohibidas del Artículo 5 de Confir utiliza una lógica determinista y basada en reglas para identificar si las características y la finalidad prevista de un sistema coinciden con alguna de las prohibiciones del Artículo 5 — incluida la prohibición de la IBR en tiempo real. La misma admisión señala los criterios de la excepción pertinente y, cuando un sistema no está prohibido pero es IA biométrica del Anexo III, lo encamina hacia el flujo de trabajo de alto riesgo para su clasificación y delimitación.

La lista de comprobación está diseñada para ser defendible ante una auditoría: la regla que se activa es legible por humanos y cada conclusión se asigna a un Artículo y un subapartado concretos. Como el motor se basa en reglas y no en probabilidades, el resultado es reproducible — ejecute la misma admisión dos veces y obtendrá la misma clasificación.

Si su organización utiliza tecnología biométrica en cualquier contexto — control de acceso, vigilancia de espacios públicos, verificación de identidad — el cribado del Artículo 5 y del Anexo III en Confir es el punto de partida para entender su posición de cumplimiento con arreglo a la Ley de IA de la UE.

Pasos prácticos para las organizaciones afectadas

Autoridades policiales y sus suministradores:

  1. Cartografíe todos los despliegues de identificación biométrica existentes y previstos frente a los criterios del Artículo 5, apartado 1, letra h): en tiempo real, remota, espacio de acceso público, finalidad policial.
  2. Si un despliegue coincide, determine si encaja en las excepciones i), ii) o iii). De lo contrario, debe cesar.
  3. Verifique que existe legislación nacional habilitante en cada Estado miembro pertinente.
  4. Para cada despliegue basado en una excepción: obtenga la autorización judicial o administrativa independiente previa; realice una evaluación de impacto relativa a los derechos fundamentales; registre el sistema en la base de datos de la UE en virtud del Artículo 49; notifique a las autoridades pertinentes.
  5. Establezca un protocolo de urgencia que documente las condiciones para invocar la ventana de autorización posdespliegue de 24 horas.

Empresas no policiales que utilizan IA biométrica en espacios públicos o cerca de ellos:

  1. Confirme si su sistema opera en un espacio de acceso público y si identifica a personas físicas de forma remota.
  2. En caso afirmativo, realice un análisis de clasificación del Anexo III: los sistemas de identificación biométrica (Anexo III, punto 1, letra a)) son de alto riesgo. La categorización biométrica (punto 1, letra b)) y el reconocimiento de emociones (punto 1, letra c)) son de alto riesgo por separado.
  3. Compruebe el cumplimiento del Artículo 9 del RGPD para los datos biométricos como datos de categorías especiales: se requieren una base jurídica y una evaluación de impacto relativa a la protección de datos.
  4. Documente el análisis jurídico. Si el Artículo 5, apartado 1, letra h) no se aplica porque su finalidad no es policial, deje constancia de esa conclusión y del razonamiento.

Una nota sobre la exposición de la cadena de suministro: si su empresa desarrolla o vende software de identificación biométrica a clientes que pueden utilizarlo con fines policiales, asume obligaciones de proveedor en virtud del Artículo 16. Eso incluye comprobar — por medios contractuales y de diseño técnico — que el sistema no se introduce en el mercado para usos prohibidos. Suministrar una API de reconocimiento facial de uso general a un cuerpo policial que después la utiliza para la identificación en tiempo real en espacios públicos sin la habilitación de una excepción no es una posición segura. La disposición de cambio de papel del Artículo 25 implica que su exposición jurídica depende de cómo se presenta, empaqueta y vende el sistema, no solo de cuál era su intención.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.

Annex Guide

Anexo IV de la Ley de IA de la UE: qué incluir en su expediente de documentación técnica

El Anexo IV define nueve secciones obligatorias para la documentación técnica de la IA de alto riesgo en virtud del Reglamento (UE) 2024/1689. Plazo del proveedor: 2 dic 2027. Sanciones: 15 M EUR o el 3 %.