Skip to content
Confir.
Prueba gratuita
Blog

Artículo 6 de la Ley de IA de la UE: cómo se clasifican los sistemas de IA de alto riesgo

Annex Guide28 April 2026· 23 min de lectura

Artículo 6 de la Ley de IA de la UE: dos vías hacia la clasificación de alto riesgo — componentes de seguridad del Anexo I y ámbitos enumerados en el Anexo III. Plazos: 2 dic 2027 / 2 ago 2028.

El Artículo 6 del Reglamento (UE) 2024/1689 es el motor de clasificación de la Ley de IA de la UE. Todo lo que viene después — el sistema de gestión de riesgos, el paquete de documentación técnica, la evaluación de la conformidad, la obligación de registro — se deriva de una única determinación: ¿se clasifica este sistema de IA como de alto riesgo? Si la clasificación es errónea, o bien se carga con una obligación de cumplimiento innecesaria o, peor aún, se afronta una acción de ejecución con todo el techo sancionador de 15 millones de euros o el 3 % del volumen de negocios anual mundial.

El Artículo crea dos vías distintas de entrada al nivel de alto riesgo, además de una importante válvula de escape. Comprender la lógica de cada una es la primera tarea para cualquier proveedor o responsable del despliegue que intente averiguar qué le exige realmente el Reglamento.

Las dos vías hacia el alto riesgo: Artículo 6, apartado 1, y Artículo 6, apartado 2

El Artículo 6 establece que un sistema de IA es de alto riesgo en una de dos situaciones.

En virtud del Artículo 6, apartado 1, el sistema es un componente de seguridad de — o es en sí mismo — un producto cubierto por la legislación de armonización de la Unión enumerada en el Anexo I, y ese producto debe someterse a una evaluación de la conformidad por terceros con arreglo a esa misma legislación.

En virtud del Artículo 6, apartado 2, el sistema figura en el Anexo III — el propio catálogo enumerado por la Ley de IA de la UE de ámbitos de aplicación de alto riesgo.

No son dos maneras de llegar al mismo lugar. Conducen a vías de conformidad diferentes, a plazos diferentes y a obligaciones de documentación diferentes. Confundirlas es uno de los errores de clasificación más habituales en la práctica.

Artículo 6, apartado 1: componentes de seguridad integrados en productos regulados

Lo que realmente dice la norma

Para que se aplique el Artículo 6, apartado 1, ambas condiciones deben cumplirse simultáneamente:

  1. El sistema de IA funciona como componente de seguridad de un producto — o es en sí mismo ese producto — cubierto por una de las normas sectoriales enumeradas en el Anexo I.
  2. Ese producto debe someterse a una evaluación de la conformidad por terceros con arreglo a la legislación aplicable del Anexo I.

Ninguna de las dos condiciones por sí sola es suficiente. Un sistema de IA integrado en un producto que únicamente requiere una autodeclaración del fabricante en virtud de su normativa sectorial no entra en el ámbito del Artículo 6, apartado 1, aun cuando la IA tenga implicaciones de seguridad. El requisito de la evaluación por terceros es el desencadenante.

Qué productos están cubiertos

El Anexo I enumera la legislación de armonización de la Unión cuyos productos pueden dar lugar a una clasificación con arreglo al Artículo 6, apartado 1. Los más relevantes desde el punto de vista comercial son:

  • Reglamento sobre los productos sanitarios (MDR, UE 2017/745) — los productos de las clases IIa, IIb y III requieren la intervención de un organismo notificado, lo que convierte automáticamente en de alto riesgo los componentes de IA de dichas clases en virtud del Artículo 6, apartado 1.
  • Reglamento sobre los productos sanitarios para diagnóstico in vitro (IVDR, UE 2017/746) — los productos de diagnóstico in vitro de las clases C y D requieren la evaluación de un organismo notificado.
  • Reglamento sobre máquinas (UE 2023/1230) — sustituye a la antigua Directiva sobre máquinas; determinadas categorías de máquinas requieren evaluación por terceros.
  • Directiva sobre la seguridad de los juguetes (2009/48/CE) — aunque la mayoría de los juguetes utilizan la autodeclaración, aquellos que requieren la intervención de un organismo notificado activan el Artículo 6, apartado 1, para la IA integrada.
  • Directiva sobre ascensores (2014/33/UE) — los ascensores y sus componentes de seguridad están sujetos a la evaluación de la conformidad por organismo notificado; quedaría comprendido un sistema de control gobernado por IA.
  • Directiva sobre equipos radioeléctricos (RED, 2014/53/UE) — determinadas categorías de equipos radioeléctricos.
  • Reglamento general de seguridad de los productos (RGSP, UE 2023/988) — cuando se aplica la evaluación por terceros.
  • Directiva sobre equipos a presión (PED, 2014/68/UE), Directiva sobre embarcaciones de recreo (2013/53/UE) y varias otras.

Un ejemplo práctico: imagen patológica en un producto MDR

Una empresa de diagnóstico de 45 personas integra un sistema de IA en un producto sanitario de clase IIb que asiste a los patólogos en la detección de tejido maligno. El MDR exige que los productos de clase IIb se sometan a la evaluación de la conformidad por organismo notificado. La IA desempeña una función crítica para la seguridad — un falso negativo retrasa el diagnóstico de cáncer. Se cumplen ambas condiciones del Artículo 6, apartado 1. El sistema de IA es automáticamente de alto riesgo.

La empresa no puede argumentar su salida de esta clasificación. No existe una exención del Artículo 6, apartado 3, para los sistemas del Artículo 6, apartado 1. El requisito de evaluación por terceros de la legislación sectorial es determinante.

Un caso contrastante: la misma empresa despliega una herramienta de IA que autocompleta campos administrativos en las historias clínicas — sin función de seguridad, sin conexión con resultados clínicos. Aunque el producto subyacente sea un producto sanitario de clase IIb, el componente de IA no es un componente de seguridad y el Artículo 6, apartado 1, no se aplica. Necesitaría una evaluación independiente con arreglo al Artículo 6, apartado 2, para determinar si alguna categoría del Anexo III lo comprende.

El plazo de cumplimiento para los sistemas del Artículo 6, apartado 1

En virtud del Ómnibus Digital acordado en mayo de 2026, la IA de alto riesgo integrada como componente de seguridad en productos del Anexo I debe cumplir antes del 2 de agosto de 2028. La fecha original del 2 de agosto de 2026 se ha aplazado. Esto no es una invitación a retrasar el trabajo de documentación — la capacidad de los organismos notificados ya está saturada y los plazos de las evaluaciones MDR superan con regularidad los doce meses.

Artículo 6, apartado 2: el catálogo del Anexo III

Ocho ámbitos, cada uno con todas las obligaciones de alto riesgo

Un sistema de IA destinado a utilizarse en cualquiera de los siguientes ámbitos es de alto riesgo en virtud del Artículo 6, apartado 2 — salvo que se aplique la exención del Artículo 6, apartado 3 (que se trata más adelante).

1. Biometría — Sistemas de identificación biométrica remota; sistemas de categorización biométrica que atribuyen características (raza, opinión política, religión, etc.); sistemas de reconocimiento de emociones. Sujetos también a los requisitos de uso dentro de las condiciones permitidas con arreglo al Artículo 5.

2. Infraestructuras críticas — IA utilizada como componente de seguridad en la gestión y el funcionamiento del tráfico rodado, el suministro de agua, gas, calefacción y electricidad, y la infraestructura digital.

3. Educación y formación profesional — IA que determina el acceso a las instituciones educativas y de formación profesional, o que asigna personas a ellas; evalúa los resultados del aprendizaje; supervisa comportamientos prohibidos durante los exámenes; evalúa el nivel de educación adecuado.

4. Empleo, gestión de los trabajadores y acceso al autoempleo — IA utilizada para la contratación y la selección (incluido el cribado y la preselección de currículos), decisiones de promoción o despido, asignación de tareas, supervisión del rendimiento y evaluación de la conducta.

5. Acceso a servicios y prestaciones esenciales, tanto privados como públicos — Evaluación de la solvencia y calificación crediticia (excluyendo explícitamente la detección de fraude, que no figura en la lista); evaluación de riesgos y fijación de precios en los seguros de salud y de vida; priorización del envío de servicios de emergencia; evaluación de la admisibilidad a prestaciones y servicios públicos.

6. Garantía del cumplimiento del Derecho — IA utilizada para evaluar el riesgo de delinquir o reincidir; polígrafos; evaluación de la fiabilidad de las pruebas en investigaciones penales; evaluación y elaboración de perfiles de personas en el contexto de la garantía del cumplimiento del Derecho.

7. Migración, asilo y control fronterizo — Evaluación de riesgos de las personas; examen de las solicitudes de asilo; detección de mentiras en el cruce de fronteras; verificación de documentos; asistencia en el examen de solicitudes.

8. Administración de justicia y procesos democráticos — IA que asiste a las autoridades judiciales en la investigación o interpretación de los hechos y la aplicación del Derecho; IA destinada a influir en elecciones o referendos, o en el comportamiento electoral de personas físicas.

Esta lista no es permanente. El Artículo 7 otorga a la Comisión la facultad de modificar el Anexo III mediante acto delegado cuando los sistemas de IA de un ámbito determinado planteen riesgos comparables a los ya enumerados. En la práctica, esto significa que el catálogo puede ampliarse, y todo proveedor que desarrolle en espacios adyacentes debe vigilar los actos delegados de la Comisión.

Lo que el Anexo III no comprende: un límite importante

La lista del Anexo III es más precisa de lo que parece. La calificación crediticia figura en la lista; la detección de fraude, no. El cribado de candidatos figura en la lista; una herramienta de automatización de nóminas, no. La categorización biométrica figura en la lista; un asistente de voz que adapta el tono al estado de ánimo detectado es una cuestión aparte que el Reglamento aborda en el Artículo 50 (transparencia de riesgo limitado), no en el Artículo 6.

El plazo de cumplimiento para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, en virtud del Ómnibus Digital. Eso da a las organizaciones aproximadamente dieciocho meses desde hoy — tiempo suficiente para realizar una clasificación adecuada y elaborar la documentación, pero no suficiente para tratarlo como un problema futuro.

Artículo 6, apartado 3: la exención — y su límite infranqueable

Cuándo un sistema del Anexo III no es de alto riesgo

Un sistema que entra dentro de un ámbito del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales de las personas — incluido el caso de que no influya materialmente en el resultado de la toma de decisiones. El Artículo 6, apartado 3, establece cuatro condiciones de cumplimiento, cualquiera de las cuales puede sustentar una conclusión de no alto riesgo:

(i) Tarea procedimental limitada. El sistema desempeña una tarea de alcance estrictamente acotado: no toma decisiones sustantivas sobre una persona ni alimenta tales decisiones, y el rango de resultados se limita a pasos mecánicos dentro de un proceso definido.

(ii) Mejora del resultado de una actividad humana previamente realizada. La IA posprocesa algo que un humano ya ha hecho — corregir la gramática de una evaluación ya terminada, por ejemplo — sin alterar el juicio humano subyacente.

(iii) Detección de patrones de toma de decisiones o de desviaciones sin sustituir ni influir en la evaluación humana previamente realizada. El sistema vigila anomalías en decisiones que los humanos ya han tomado, como herramienta de auditoría, sin retroalimentar dichas decisiones.

(iv) Tarea preparatoria. El sistema realiza un trabajo preliminar — recopilar información, dar formato a los datos — que un humano utilizará como dato de entrada bruto antes de realizar su propia evaluación.

En la práctica, estas condiciones describen sistemas que se sitúan claramente fuera de la cadena de decisión: ni producen resultados que los humanos tiendan a seguir, ni tratan el tipo de datos personales que permite la elaboración de perfiles individuales.

La exclusión absoluta: la elaboración de perfiles es siempre de alto riesgo

Existe una regla nítida que prevalece sobre las cuatro condiciones de cumplimiento. Si el sistema de IA realiza elaboración de perfiles de personas físicas — tal como se define en el Artículo 3, apartado 4, del RGPD, es decir, cualquier forma de tratamiento automatizado de datos personales para evaluar aspectos personales, predecir comportamientos o valorar características personales — la exención del Artículo 6, apartado 3, no se aplica. Punto final. El sistema es de alto riesgo.

Esto importa en la práctica porque muchos sistemas que parecen procedimentales realizan en realidad elaboración de perfiles. Una herramienta que ingiere el texto de un currículo y genera una «puntuación de idoneidad» analizando el estilo de redacción, la elección de palabras y características inferidas está elaborando perfiles, aunque el proveedor la etiquete como «ayuda al cribado». Una herramienta de detección de fraude que construye perfiles de riesgo individuales a partir del historial de transacciones está elaborando perfiles. Ninguna de las dos puede acogerse a la exención del Artículo 6, apartado 3.

Ejemplos límite

Herramienta de clasificación de currículos frente a corrector ortográfico. Una herramienta de RR. HH. que lee una carta de presentación y sugiere correcciones de gramática y ortografía, sin puntuar al candidato, desempeña una tarea procedimental limitada sin un resultado que influya en una decisión de contratación. Si realmente no hace nada más, la condición (i) es plausible. Contrasta con un sistema de clasificación de currículos que genera puntuaciones de candidatos y presenta una preselección ordenada a un seleccionador. El seleccionador puede técnicamente «decidir», pero si la clasificación influye materialmente en quién consigue una entrevista, el sistema no es meramente preparatorio — está dando forma al resultado. La exención no prospera. El sistema es de alto riesgo con arreglo al ámbito 4 del Anexo III (empleo).

Marcado de fraude frente a calificación crediticia. Una herramienta de detección de fraude que marca transacciones como sospechosas para que las revise un investigador humano — y en la que el marcado no da lugar a una acción automática contra el cliente — no figura en el Anexo III (la calificación crediticia sí figura; la detección de fraude se excluye explícitamente). Por tanto, la cuestión para la herramienta de fraude no es en absoluto el Artículo 6, apartado 3; nunca entró en el Anexo III en primer lugar. Un modelo de calificación crediticia que produce una puntuación utilizada directamente en decisiones de concesión de crédito figura en el ámbito 5 del Anexo III y no puede acogerse de forma plausible a la exención del Artículo 6, apartado 3: elabora perfiles de personas físicas e influye materialmente en el resultado de la decisión crediticia.

El deber de documentación y el requisito de registro

Un proveedor que concluye que su sistema del Anexo III cumple los requisitos para la exención del Artículo 6, apartado 3, no se desentiende sin más del Reglamento. Subsisten dos obligaciones:

  1. Documentar la evaluación. El proveedor debe registrar el razonamiento — qué condición de cumplimiento se aplica, por qué no hay elaboración de perfiles, cómo el diseño del sistema garantiza que no influye materialmente en la toma de decisiones. Ese registro debe estar listo para auditoría; una autoridad competente puede pedir verlo.

  2. Registrar el sistema en virtud del Artículo 49. El sistema debe inscribirse en la base de datos de la UE antes de su introducción en el mercado o su puesta en servicio, aunque no esté clasificado como de alto riesgo. El registro no depende de la condición de alto riesgo para los proveedores que invocan el Artículo 6, apartado 3; es un requisito independiente y autónomo.

Omitir el registro mientras se reclama la exención no es una posición defendible. El sistema es visible en el mercado; si una autoridad nacional lo consulta, la ausencia de un registro de inscripción es el primer problema al que se enfrentará.

Directrices de la Comisión y Artículo 6, apartado 4

El Artículo 6, apartado 4, encomienda a la Comisión la elaboración de directrices para ayudar a los proveedores a aplicar la exención del Artículo 6, apartado 3, incluidos ejemplos prácticos. A junio de 2026, la Comisión ha emitido orientaciones iniciales a través de la Oficina de IA, pero las directrices delegadas definitivas con arreglo al Artículo 6, apartado 4, siguen en elaboración. Los proveedores que formulen argumentos de exención deben vigilar los materiales publicados por la Oficina de IA de la UE en digital-strategy.ec.europa.eu y considerar cualquier orientación de la Comisión como autorizada una vez publicada.

En qué se diferencian las dos vías: una comparación

Artículo 6, apartado 1 — componente de seguridad de un producto del Anexo IArtículo 6, apartado 2 — ámbito enumerado en el Anexo III
Resultado de la clasificaciónAutomáticamente de alto riesgo; sin exenciónDe alto riesgo salvo que se documente la exención del Art. 6, apdo. 3
Vía de evaluación de la conformidadOrganismo notificado tercero (heredado de la legislación sectorial)Autoevaluación (Art. 43) u organismo notificado (Art. 44)
Exención del Art. 6, apdo. 3, disponibleNoSí, sujeta a condiciones y a la exclusión por elaboración de perfiles
Registro (Art. 49)Obligatorio (como alto riesgo)Obligatorio incluso si se reclama la exención del Art. 6, apdo. 3
Plazo de cumplimiento2 de agosto de 20282 de diciembre de 2027

Ambas vías, una vez confirmadas como de alto riesgo, conllevan el mismo conjunto de obligaciones: sistema de gestión de riesgos (Artículo 9), gobernanza de datos (Artículo 10), documentación técnica (Artículo 11 y Anexo IV), conservación de registros (Artículo 12), transparencia hacia los responsables del despliegue (Artículo 13), supervisión humana (Artículo 14), exactitud y robustez (Artículo 15), evaluación de la conformidad (Artículo 43), declaración UE de conformidad (Artículo 47), marcado CE cuando proceda (Artículo 48) y registro (Artículo 49).

Qué deben hacer los proveedores tras la clasificación

Si el sistema es de alto riesgo

La clasificación es el disparo de salida, no la meta. Tras confirmar la condición de alto riesgo, un proveedor debe:

  • Abrir un expediente de gestión de riesgos del Artículo 9 y documentar los riesgos a lo largo de todo el ciclo de vida del sistema — diseño, pruebas, despliegue, pospuesta en el mercado.
  • Recopilar el paquete de documentación técnica del Artículo 11 / Anexo IV: gobernanza de los datos de entrenamiento, arquitectura, métricas de rendimiento, limitaciones conocidas, diseño de la supervisión humana.
  • Asegurarse de que los mecanismos de supervisión humana del Artículo 14 estén incorporados en el propio sistema — no añadidos como una instrucción de uso.
  • Realizar la evaluación de la conformidad del Artículo 43 (la autoevaluación está disponible para la mayoría de los sistemas del Anexo III; algunos sistemas biométricos requieren la intervención de un organismo notificado).
  • Emitir una declaración UE de conformidad del Artículo 47.
  • Registrar en la base de datos de la UE en virtud del Artículo 49 antes de introducir el sistema en el mercado.
  • Establecer el sistema de vigilancia poscomercialización del Artículo 72 antes del lanzamiento.

Esto es trabajo de meses, no de días. Las organizaciones que traten el plazo del 2 de diciembre de 2027 como la fecha de inicio de la documentación no estarán listas a tiempo.

Si el sistema reclama la exención del Artículo 6, apartado 3

El proveedor debe documentar la evaluación de la exención y registrar en la base de datos de la UE en virtud del Artículo 49. Si el sistema cambia posteriormente — si, por ejemplo, se añade una función de elaboración de perfiles, o el resultado empieza a influir materialmente en las decisiones — el proveedor debe reclasificar e iniciar el flujo de trabajo completo de cumplimiento de alto riesgo.

Sanciones por equivocarse

El incumplimiento de las obligaciones de alto riesgo — incluida la clasificación errónea — acarrea multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad: la multa se limita al menor de los dos importes, el porcentaje o la cantidad fija. Aun así, sigue siendo una cifra potencialmente capaz de hundir a un pequeño operador. La información incorrecta facilitada a organismos notificados o autoridades competentes — por ejemplo, un registro fraudulento de exención del Artículo 6, apartado 3 — conlleva un techo independiente de 7,5 millones de euros o el 1 % del volumen de negocios.

Lista de comprobación práctica para la clasificación

Aplique estas preguntas en orden antes de dedicar tiempo a la documentación completa de cumplimiento:

  1. ¿Es el sistema de IA un componente de seguridad de un producto de la lista del Anexo I, y requiere ese producto una evaluación de la conformidad por terceros con arreglo a su legislación sectorial? En caso afirmativo → Artículo 6, apartado 1, alto riesgo, plazo 2 de agosto de 2028, sin exención.

  2. ¿Está el caso de uso previsto del sistema de IA cubierto por uno de los ocho ámbitos del Anexo III? En caso negativo → no es de alto riesgo con arreglo al Artículo 6 (compruebe por separado las prácticas prohibidas del Artículo 5 y la transparencia de riesgo limitado del Artículo 50).

  3. En caso afirmativo a la pregunta 2: ¿realiza el sistema elaboración de perfiles de personas físicas? En caso afirmativo → alto riesgo, punto final, sin exención disponible.

  4. Si no hay elaboración de perfiles: ¿influye el sistema materialmente en el resultado de la toma de decisiones, o plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales? En caso afirmativo → alto riesgo; la exención del Artículo 6, apartado 3, no puede reclamarse de forma creíble.

  5. Si el sistema realmente solo desempeña una tarea procedimental limitada, mejora una actividad humana previamente realizada, detecta patrones en decisiones humanas anteriores sin retroalimentarlas, o prepara datos de entrada brutos para una evaluación humana → puede aplicarse la exención del Artículo 6, apartado 3. Documente el razonamiento. Registre en virtud del Artículo 49.

Cómo gestiona Confir la clasificación del Artículo 6

El módulo de clasificación de Confir procesa preguntas de admisión en lenguaje sencillo a través de un motor determinista y basado en reglas — la misma lógica siempre, sin inferencia de modelos, sin alucinaciones. El sistema aplica la prueba de las dos condiciones del Artículo 6, apartado 1, contrasta el caso de uso con los ocho ámbitos del Anexo III y — si se encuentra una coincidencia en el Anexo III — ejecuta la evaluación de la exención del Artículo 6, apartado 3, incluida la comprobación de elaboración de perfiles.

Si un proveedor concluye que su sistema cumple los requisitos para la exención del Artículo 6, apartado 3, Confir genera el registro de documentación necesario a efectos de auditoría: la condición de cumplimiento concreta en la que se basa, el razonamiento, la evaluación de la elaboración de perfiles y la lista de comprobación del registro. El mismo flujo de trabajo alimenta los datos de registro del Artículo 49.

La clasificación del módulo de Clasificación de Riesgos y Cumplimiento de la IA (AIRC) condiciona después el resto del flujo de trabajo de cumplimiento — solo los sistemas de alto riesgo avanzan hacia la pila completa de documentación de los Artículos 9 a 15.

Preguntas frecuentes

¿Se aplica el Artículo 6, apartado 1, si el producto subyacente solo necesita una autodeclaración de conformidad? No. Deben cumplirse ambas condiciones: el producto debe estar cubierto por la legislación de armonización del Anexo I y debe estar obligado a someterse a una evaluación de la conformidad por terceros con arreglo a esa legislación. Un producto que se autocertifica no cumple la segunda condición, por lo que el Artículo 6, apartado 1, no se aplica a sus componentes de IA.

Nuestra IA puntúa a los candidatos a un empleo, pero son los seleccionadores humanos quienes deciden en última instancia. ¿Nos ayuda el Artículo 6, apartado 3? Casi con seguridad, no. Si el resultado de la puntuación influye en qué candidatos consiguen entrevistas o avanzan en un proceso de selección, influye materialmente en el resultado de la toma de decisiones. La exención del Artículo 6, apartado 3, exige que el sistema no influya materialmente en los resultados. Una puntuación que da forma a una preselección sí lo hace. A ello se suma la cuestión de la elaboración de perfiles: si el sistema trata los datos personales de los candidatos para evaluar características, está elaborando perfiles — lo que elimina por completo la exención.

¿Cuál es la diferencia entre una herramienta de detección de fraude y un sistema de calificación crediticia con arreglo al Artículo 6, apartado 2? El ámbito 5 del Anexo III enumera explícitamente la evaluación de la solvencia y la calificación crediticia. La detección de fraude no figura en la lista. Una herramienta de detección de fraude que marca transacciones para su revisión humana no entra en el Anexo III con arreglo al Artículo 6, apartado 2 — la cuestión para ella es si encaja en algún otro ámbito del Anexo III o plantea problemas de transparencia del Artículo 50. Un modelo de calificación crediticia que genera puntuaciones utilizadas en decisiones de concesión de crédito queda comprendido en el ámbito 5 del Anexo III y, dado que elabora perfiles de personas físicas, no puede acogerse a la exención del Artículo 6, apartado 3.

Si reclamamos la exención del Artículo 6, apartado 3, ¿seguimos teniendo que registrarnos? Sí. El Artículo 49 exige el registro en la base de datos de la UE antes de que el sistema se introduzca en el mercado o se ponga en servicio — y esta obligación se aplica a los proveedores que invocan la exención del Artículo 6, apartado 3, no solo a los proveedores de sistemas confirmados como de alto riesgo. No registrarse es un incumplimiento independiente, con independencia de lo bien razonada que esté la documentación de la exención.

¿Puede la Comisión añadir nuevos ámbitos al Anexo III? Sí. El Artículo 7 autoriza a la Comisión a modificar el Anexo III mediante acto delegado cuando los sistemas de IA de un ámbito determinado planteen un nivel de riesgo comparable a los ya enumerados. Todo proveedor de un dominio adyacente — calificación de riesgo medioambiental, análisis del comportamiento relacionado con la salud, fijación de precios de seguros personalizada aún no cubierta — debe vigilar la legislación delegada de la Comisión y las orientaciones de la Oficina de IA.

¿Cuál es el plazo de cumplimiento de alto riesgo del Anexo III tras el Ómnibus Digital? Los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III deben cumplir antes del 2 de diciembre de 2027. La IA de alto riesgo integrada como componente de seguridad en productos del Anexo I debe cumplir antes del 2 de agosto de 2028. El plazo original del 2 de agosto de 2026 para los sistemas de alto riesgo se aplazó en virtud del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026; adopción formal prevista antes del 2 de agosto de 2026).

¿Qué sanciones se aplican por no clasificar correctamente? El incumplimiento de las obligaciones de alto riesgo — incluida la clasificación errónea — puede dar lugar a multas de hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99). Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. Facilitar información falsa a un organismo notificado o a una autoridad nacional conlleva un techo independiente de 7,5 millones de euros o el 1 %.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Annex Guide

Lista de comprobación de los requisitos del Anexo IV: nueve áreas que su expediente técnico debe cubrir

Lista de comprobación del Anexo IV: nueve áreas obligatorias para la documentación técnica de IA de alto riesgo. Deber del Artículo 11, conservación de 10 años, forma simplificada para pymes. Plazo 2 dic 2027.

EU AI Act Guide

Ley de IA de la UE: prohibición de la identificación biométrica en tiempo real (Artículo 5)

El Artículo 5, apartado 1, letra h) prohíbe la identificación biométrica remota en tiempo real en espacios públicos con fines policiales. Tres excepciones, autorización previa obligatoria. Multa: 35 M€ o 7 %.

Annex Guide

Anexo III de la Ley de IA de la UE: los casos de uso de alto riesgo, explicados

Los 8 ámbitos de IA de alto riesgo del Anexo III: biometría, calificación crediticia, selección de personal, garantía del cumplimiento del Derecho. Obligaciones, el filtro del Art. 6, apdo. 3, y el plazo del 2 dic 2027.