Sistema de IA de alto riesgo: la definición del Reglamento de IA de la UE
Sistema de IA de alto riesgo: definición según el art. 6(1) y 6(2), el filtro del art. 6(3), obligaciones (arts. 8-15) y plazos del Reglamento de IA.
Un sistema de IA de alto riesgo es el que el Reglamento (UE) 2024/1689 somete al conjunto más exigente de obligaciones sin llegar a prohibirlo. No es la categoría más severa —esa es la de las prácticas prohibidas del artículo 5—, pero sí donde se concentra el grueso de las cargas: gestión de riesgos, documentación, supervisión humana, evaluación de conformidad y registro. La clasificación se decide por dos vías (artículo 6, apartados 1 y 2), con un filtro que puede rebajarla (artículo 6, apartado 3). Esta entrada de glosario explica cada pieza con el artículo que la sostiene.
Definición en una frase
Un sistema de IA es de alto riesgo si: (a) es un componente de seguridad —o es en sí mismo un producto— cubierto por la legislación de armonización del anexo I y exige una evaluación de la conformidad por un tercero (artículo 6(1)); o (b) está destinado a uno de los casos de uso del anexo III (artículo 6(2)), salvo que supere el filtro del artículo 6(3). Clasifica siempre por el uso, no por la marca ni por la tecnología.
Vía 1: componente de seguridad de un producto del anexo I (artículo 6(1))
La primera vía mira a los productos ya regulados por la UE. El anexo I lista la legislación de armonización —productos sanitarios (MDR/IVDR), máquinas, juguetes, ascensores, equipos a presión, vehículos, aviación, etc.—. Si un sistema de IA es un componente de seguridad de uno de esos productos, o es en sí mismo ese producto, y el producto debe pasar una evaluación de conformidad por un tercero, la IA es de alto riesgo por el artículo 6(1).
La consecuencia práctica: estos sistemas se integran en la conformidad sectorial del producto (la del MDR, la de máquinas, etc.), no en la vía autónoma del anexo III. Por eso tienen un plazo distinto: el 2 de agosto de 2028.
Vía 2: casos de uso del anexo III (artículo 6(2))
La segunda vía es la de los sistemas autónomos. El anexo III enumera ocho áreas de uso de alto riesgo. Si un sistema está destinado a uno de esos usos, es de alto riesgo por el artículo 6(2):
| Anexo III | Área de uso |
|---|---|
| Punto 1 | Biometría (identificación, categorización, reconocimiento de emociones) |
| Punto 2 | Infraestructuras críticas |
| Punto 3 | Educación y formación profesional |
| Punto 4 | Empleo y gestión de trabajadores (cribado de CV, decisiones de contratación) |
| Punto 5 | Acceso a servicios esenciales (solvencia crediticia, seguros de vida/salud) |
| Punto 6 | Aplicación de la ley |
| Punto 7 | Migración, asilo y control fronterizo |
| Punto 8 | Administración de justicia y procesos democráticos |
Este es el bloque que afecta a la mayoría de las empresas: el cribado de candidatos (punto 4) y la solvencia crediticia (punto 5) son los casos más habituales en una pyme.
El filtro del artículo 6(3): cuándo un caso del anexo III NO es de alto riesgo
No todo sistema que toca el anexo III es automáticamente de alto riesgo. El artículo 6(3) abre una salida: un sistema del anexo III no es de alto riesgo si no plantea un riesgo significativo de daño, por cumplir una de estas cuatro condiciones:
- Realiza una tarea procedimental restringida.
- Mejora el resultado de una actividad humana ya completada.
- Detecta patrones de decisión o desviaciones, sin reemplazar ni influir en la evaluación humana previa.
- Realiza una tarea preparatoria para una evaluación.
Basta con cumplir una de las cuatro. Pero hay un límite duro que lo anula: cualquier sistema que elabore perfiles de personas físicas es siempre de alto riesgo, sin excepción. Y aunque te acojas al filtro, debes documentar la evaluación y, si el sistema está en el anexo III, registrarlo igualmente (artículo 49).
Qué obligaciones implica ser de alto riesgo
Si un sistema es de alto riesgo, se activa el régimen del capítulo III. Las obligaciones de los requisitos recaen en el sistema (artículos 8 a 15); las de los actores, en proveedores y responsables del despliegue:
- Artículo 9 — sistema de gestión de riesgos.
- Artículo 10 — gobernanza de datos (entrenamiento, validación, prueba).
- Artículo 11 — documentación técnica (contenido del anexo IV).
- Artículo 12 — registros (logging).
- Artículo 13 — transparencia e información a los responsables del despliegue.
- Artículo 14 — supervisión humana.
- Artículo 15 — precisión, solidez y ciberseguridad.
- Artículo 16 — obligaciones del proveedor; artículo 26, del responsable del despliegue.
- Artículo 43 — evaluación de la conformidad (anexo VI interna o anexo VII con organismo notificado).
- Artículo 49 — registro en la base de datos de la UE.
El proveedor (artículo 16) carga con el peso; el responsable del despliegue (artículo 26) tiene deberes más ligeros. El incumplimiento de los requisitos de alto riesgo y de los deberes de proveedor o responsable del despliegue se sitúa en el tramo de 15 millones de euros o el 3% del volumen de negocio mundial total (artículo 99(4)) —no en el más alto, reservado a las prohibiciones del artículo 5—.
Plazos: cuándo aplica
Las dos vías tienen fechas distintas, y ambas están afectadas por el Digital Omnibus (acuerdo político de 6-7 de mayo de 2026, aún no ley a junio de 2026):
| Vía | Texto en vigor | Aplazamiento acordado |
|---|---|---|
| Anexo III autónomo (art. 6(2)) | 2 de agosto de 2026 | 2 de diciembre de 2027 |
| Anexo I, integrado en producto (art. 6(1)) | 2 de agosto de 2027 | 2 de agosto de 2028 |
Como el aplazamiento aún no es ley, planifica sobre el 2 de agosto de 2026 para los sistemas autónomos del anexo III, y trata el 2 de diciembre de 2027 como acordado pero pendiente.
Ejemplo práctico
Crédito Ribera, una financiera de 90 personas en Murcia (~11 M€ de facturación), usa una IA que puntúa la solvencia de los solicitantes de un préstamo. Esa finalidad está en el anexo III, punto 5 (acceso a servicios esenciales: solvencia crediticia), así que es candidata a alto riesgo por el artículo 6(2). ¿Salva el filtro del 6(3)? No: la herramienta perfila a personas físicas y, además, influye directamente en la decisión de conceder o no el préstamo —no es una tarea procedimental ni una mejora de un resultado ya cerrado—. Veredicto: alto riesgo. Como Crédito Ribera compra la herramienta, es responsable del despliegue (art. 26), con supervisión humana (art. 14) y, por tratarse de solvencia, una evaluación de impacto relativa a los derechos fundamentales (artículo 27). El proveedor del sistema asume los requisitos de los artículos 8 a 15.
Cómo ayuda Confir
Confir registra cada sistema, lo pasa por las dos vías del artículo 6 y el filtro del 6(3), y devuelve si es de alto riesgo, junto con tu rol y la lista de obligaciones aplicables, citando el artículo y la regla que se aplicó —incluido el límite de que el perfilado es siempre de alto riesgo—. El motor es determinista y basado en reglas: el mismo dato de entrada produce siempre el mismo resultado, sin inferencia de modelo.
Guías relacionadas
- Clasificación de alto riesgo (artículo 6)
- El anexo III explicado
- Evaluación de la conformidad (artículo 43)
- Registro en la base de datos de la UE (artículo 49)
- Obligaciones del responsable del despliegue (artículo 26)
- El filtro de exención del artículo 6(3)
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →