Sistema de categorización biométrica: definición y cumplimiento en la Ley de IA de la UE

Un sistema de categorización biométrica es un sistema de IA que asigna a personas físicas a categorías específicas a partir de sus datos biométricos. Con arreglo al Reglamento (UE) 2024/1689, los sistemas de este tipo se sitúan en la intersección de la privacidad y los derechos fundamentales — y la norma traza una línea nítida entre la categorización que está meramente regulada y la que está directamente prohibida.

La definición de la Ley de IA de la UE

El artículo 3, punto 40, del Reglamento (UE) 2024/1689 define un «sistema de categorización biométrica» como un sistema de IA destinado a asignar a personas físicas a categorías específicas a partir de sus datos biométricos — salvo que el sistema sea accesorio a otro servicio comercial y estrictamente necesario por razones técnicas objetivas.

Los «datos biométricos» en este contexto designan los datos personales obtenidos a partir de un tratamiento técnico específico relativo a las características físicas, fisiológicas o conductuales — la geometría facial, los patrones dactilares, la marcha, los patrones de voz, etc.

La excepción accesoria

La definición excluye los sistemas en los que la clasificación biométrica es un paso incidental, técnicamente inevitable, dentro de un servicio comercial distinto. El ejemplo más claro: una herramienta de gestión de imágenes que ordena automáticamente las fotos por el color del fondo puede, como efecto colateral, tratar la geometría facial para identificar dónde termina un rostro y empieza el fondo. Eso no es un sistema de categorización biométrica con arreglo al artículo 3 — la categorización no es la finalidad; es un subproducto de un proceso técnico necesario para algo completamente distinto.

La excepción es estrecha. Ambas condiciones deben cumplirse simultáneamente: el sistema debe ser genuinamente accesorio (no una función esencial) y el tratamiento biométrico debe ser estrictamente necesario por razones técnicas objetivas (no meramente conveniente). Una herramienta técnicamente capaz de realizar otras tareas, pero configurada específicamente para categorizar a personas por rasgos físicos, no se acoge a esta excepción.

La prohibición del artículo 5, apartado 1, letra g)

La disposición más trascendental en materia de categorización biométrica es el artículo 5, apartado 1, letra g), que se aplica desde el 2 de febrero de 2025. Prohíbe la introducción en el mercado, la puesta en servicio o el uso de sistemas de IA que categoricen individualmente a personas físicas a partir de sus datos biométricos para deducir o inferir atributos sensibles, en concreto:

• la raza o el origen étnico
• las opiniones políticas
• la afiliación sindical
• las convicciones religiosas o filosóficas
• la vida sexual o la orientación sexual

Esta prohibición no se limita a los sistemas de alta exactitud. El Reglamento no exige que la inferencia sea correcta — el acto mismo de intentar deducir atributos sensibles a partir de datos biométricos está prohibido en sí mismo.

Las dos excepciones estrechas

El artículo 5, apartado 1, letra g), prevé dos situaciones en las que tal categorización no entra dentro de la prohibición:

1. Etiquetado o filtrado lícitos de conjuntos de datos. Si la categorización es estrictamente necesaria para el etiquetado o el filtrado de conjuntos de datos biométricos adquiridos lícitamente — por ejemplo, un instituto de investigación que dispone de un conjunto de datos recopilado de forma legítima y necesita etiquetar metadatos demográficos dentro de él para un estudio científico —, la prohibición no se aplica. El conjunto de datos debe haberse adquirido lícitamente desde el principio; esta excepción no puede utilizarse para blanquear datos recopilados de forma ilícita.

2. Uso para la garantía del cumplimiento del Derecho. La categorización con fines de garantía del cumplimiento del Derecho, con sujeción a las salvaguardias adicionales que el Reglamento y el Derecho nacional imponen a la IA en este ámbito, queda fuera de la prohibición. Se trata de un cauce estrecho: se aplica a las autoridades competentes para la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, no a actores privados que realizan su propia labor de seguridad.

Ambas excepciones deben interpretarse de forma estricta. La prohibición tiene como objetivo la inferencia deliberada de atributos sensibles a partir de datos biométricos; las excepciones no crean espacio para programas de categorización general con una fina etiqueta de garantía del cumplimiento del Derecho o de investigación adherida.

Las sanciones por incumplir las prohibiciones del artículo 5 se fijan en el nivel más alto con arreglo al artículo 99, apartado 3: 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pequeñas empresas, la multa se limita al menor de los dos importes (artículo 99, apartado 6).

Cuándo es de alto riesgo, en cambio

La categorización biométrica que no queda comprendida en la prohibición del artículo 5, apartado 1, letra g), puede aun así situarse en el nivel de alto riesgo. El Anexo III, ámbito 1, comprende los sistemas biométricos — incluidos los sistemas de categorización biométrica — desplegados en ámbitos que plantean un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales.

En concreto: un sistema que categoriza a las personas por franjas de edad, o que agrupa a las personas por el tono aparente de la piel para una investigación de segmentación de mercado, o que clasifica a los pacientes según indicadores biométricos para una vía clínica — ninguno de ellos deduce los atributos sensibles prohibidos, de modo que el artículo 5, apartado 1, letra g), no se aplica. Pero todos ellos podrían quedar comprendidos en el ámbito 1 del Anexo III si tienen un uso de consecuencias relevantes.

Entonces se aplica el filtro del artículo 6, apartado 3. Un sistema de categorización biométrica no es de alto riesgo si no plantea un riesgo significativo de perjuicio — por ejemplo, si desempeña una función procedimental limitada, mejora el resultado de una actividad humana previamente realizada o realiza un trabajo preparatorio sin influir en la evaluación de una persona física. No obstante, todo sistema que elabore perfiles de personas físicas se considera siempre de alto riesgo, con independencia de los criterios del artículo 6, apartado 3; la excepción por elaboración de perfiles no se aplica.

Para los sistemas de categorización biométrica de alto riesgo, la vía de evaluación de la conformidad es el procedimiento del organismo notificado del Anexo VII cuando no se haya aplicado una norma armonizada — no la vía de autoevaluación interna del Anexo VI utilizada para la mayoría de las demás categorías del Anexo III (artículo 43).

El plazo de alto riesgo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, en virtud del Ómnibus Digital (acuerdo político de mayo de 2026, que aplaza la fecha original de agosto de 2026).

La obligación de transparencia del artículo 50

El artículo 50, apartado 3, del Reglamento (UE) 2024/1689 impone una obligación de transparencia específica a los responsables del despliegue de sistemas de categorización biométrica. Cuando se utiliza un sistema de categorización biométrica, los responsables del despliegue deben informar a las personas físicas expuestas a él.

Esta obligación se aplica con independencia de que el sistema sea de alto riesgo. Refleja el juicio del legislador de que las personas tienen un interés fundamental en saber cuándo una máquina las está asignando a categorías a partir de sus características físicas o conductuales, incluso en contextos de escasa relevancia.

Las obligaciones de transparencia del artículo 50 se aplican a partir del 2 de agosto de 2026. Un responsable del despliegue que ponga en funcionamiento un sistema de categorización en un entorno minorista, un espacio público o un servicio digital a partir de esa fecha debe disponer de un mecanismo de información. La información debe facilitarse de forma clara y accesible a las personas afectadas. El artículo 50, apartado 5, regula el momento y la accesibilidad de dicha información; el artículo 50, apartado 6, preserva otras obligaciones aplicables (como las derivadas del RGPD).

Los incumplimientos de las obligaciones del artículo 50 están sujetos a multas de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total con arreglo al artículo 99, apartado 4.

Cómo ayuda Confir

Determinar si un sistema constituye un sistema de categorización biométrica — y dónde se sitúa en el espectro de prohibido/alto riesgo/riesgo limitado — exige recorrer en el orden correcto múltiples cuestiones de los artículos 3, 5 y 6 y del Anexo III.

El motor de clasificación basado en reglas de Confir codifica esa lógica de forma explícita. Usted responde a preguntas en lenguaje sencillo sobre qué trata su sistema y qué resultado produce; las reglas deterministas derivan su nivel de riesgo, su rol (proveedor con arreglo al artículo 16 o responsable del despliegue con arreglo al artículo 26) y el conjunto de obligaciones que de ello se sigue. Las mismas entradas producen siempre la misma conclusión — reproducible, explicable y auditable. Si un sistema que usted registra activa el requisito de transparencia del artículo 50, apartado 3, Confir señala el deber de información y lo vincula a las tareas de documentación pertinentes. Más información en confir.eu.

Preguntas frecuentes

¿Es todo sistema que utiliza reconocimiento facial un sistema de categorización biométrica?

No automáticamente. El reconocimiento facial abarca una gama de funciones. La verificación uno a uno — confirmar que un rostro coincide con una plantilla almacenada para un único individuo (desbloqueo del teléfono, puerta electrónica fronteriza) — no es categorización; es identificación. La categorización biométrica significa específicamente asignar a personas a categorías: por edad, género, emoción, etnia, etc. Ambas se solapan en algunas arquitecturas, pero son jurídicamente distintas con arreglo al artículo 3.

¿Se aplica la prohibición del artículo 5, apartado 1, letra g), solo a los sistemas concebidos específicamente para la categorización, o también a los sistemas en los que la inferencia de atributos sensibles es un efecto colateral?

La prohibición tiene como objetivo los sistemas utilizados «para» inferir atributos sensibles. Los tribunales y los reguladores examinarán la intención del diseño, la configuración y el uso real — no solo la finalidad declarada. Una herramienta de análisis de uso general que se despliega de forma demostrable para inferir la afiliación sindical a partir de patrones biométricos no escapará al artículo 5, apartado 1, letra g), en virtud de su arquitectura genérica.

¿Qué se considera «datos biométricos» a estos efectos?

Con arreglo al artículo 3 del Reglamento (UE) 2024/1689 (y en consonancia con el artículo 9 del RGPD), los datos biométricos son los datos personales obtenidos a partir de un tratamiento técnico específico relativo a las características físicas, fisiológicas o conductuales que permite o confirma la identificación o la categorización únicas de una persona física. Entre los ejemplos figuran las imágenes faciales tratadas mediante un algoritmo de reconocimiento, los mapas dactilares, los escaneos del iris, las impresiones de voz y los patrones de marcha. Las fotografías en bruto que no son tratadas por un algoritmo biométrico no constituyen por sí mismas datos biométricos.

¿Puede un sistema estar a la vez prohibido en virtud del artículo 5, apartado 1, letra g), y ser de alto riesgo con arreglo al Anexo III?

No — la prohibición es la categoría superior. Si un sistema queda comprendido en el artículo 5, apartado 1, letra g), está prohibido y no puede introducirse en el mercado ni utilizarse legalmente en la UE. No se vuelve conforme por cumplir también los requisitos de alto riesgo. El nivel prohibido es absoluto; no existe ninguna evaluación de la conformidad que desbloquee un uso prohibido.

¿Exige el deber de información del artículo 50, apartado 3, informar a cada persona antes de que se produzca la categorización?

La obligación consiste en «informar» a las personas expuestas al sistema, pero el artículo 50 no prescribe un procedimiento específico de consentimiento previo a la categorización. La información debe facilitarse de forma clara y accesible. En la práctica, para los sistemas desplegados en entornos físicos o digitales, esto suele significar señalización, un aviso de privacidad o una información en pantalla visible en el punto de interacción — no una aceptación por clic para cada escaneo individual.

Somos un proveedor de software, no la empresa que despliega el sistema. ¿Se nos aplica el artículo 50, apartado 3?

El artículo 50, apartado 3, tiene como destinatarios a los «responsables del despliegue» — las organizaciones que ponen en funcionamiento un sistema en un contexto profesional (artículo 26). Si usted desarrolla y suministra el software, pero no lo despliega, la obligación principal del artículo 50, apartado 3, recae sobre su cliente. No obstante, en virtud del artículo 13, usted, como proveedor, debe facilitar a los responsables del despliegue la información que les permita comprender y cumplir sus obligaciones — incluidos sus deberes de información del artículo 50.

Términos relacionados

• Datos biométricos — definición y alcance
• Artículo 5: prácticas de IA prohibidas
• Sistema de reconocimiento de emociones — definición y obligaciones
• Anexo III, ámbito 1: identificación y categorización biométricas
• Artículo 50: transparencia para los sistemas de IA de riesgo limitado
• Anexo III: sistemas de IA de alto riesgo — lista completa