Identificación biométrica remota en la Ley de IA de la UE

La identificación biométrica remota (IBR) es una de las categorías más estrictamente reguladas del Reglamento (UE) 2024/1689. La identificación biométrica remota en tiempo real en espacios públicos con fines de garantía del cumplimiento del Derecho está prohibida de forma absoluta. Cualquier otra forma — la identificación a posteriori, o la identificación fuera de un contexto de garantía del cumplimiento del Derecho — se clasifica como de alto riesgo y conlleva las obligaciones de cumplimiento más exigentes del Reglamento.

Si desarrolla, vende o despliega un sistema que identifica a las personas comparando sus características físicas con una base de datos sin pedirles que participen activamente, lea esta página con atención.

---

La definición de la Ley de IA de la UE

El Artículo 3 del Reglamento (UE) 2024/1689 define tres conceptos interrelacionados.

Sistema de identificación biométrica remota (Artículo 3, punto 41): un sistema de IA cuyo objetivo es identificar a personas físicas, sin su participación activa, generalmente a distancia, comparando los datos biométricos de una persona con una base de datos de referencia. El término abarca las cámaras de reconocimiento facial en una estación de tren, los sistemas de análisis de la marcha, los túneles de escáner de iris en los pasos fronterizos — todo sistema que observa a una persona y determina su identidad comparando rasgos con registros almacenados. Una comprobación de verificación 1 a 1 (un teléfono que se desbloquea al reconocer su rostro) queda fuera de esta definición: eso es verificación de identidad, no identificación a partir de una base de datos.

El Reglamento divide después la identificación biométrica remota en dos subtipos según el momento:

Sistema de identificación biométrica remota en tiempo real (Artículo 3, punto 42): la captura y la comparación se producen sin una demora significativa. Las imágenes de vídeo en directo en la entrada de un estadio, consultadas contra una lista de seguimiento en milisegundos, son el caso paradigmático.

Sistema de identificación biométrica remota a posteriori (Artículo 3, punto 43): los datos biométricos se capturan primero; la comparación con la base de datos se produce después, no durante el evento en directo. Revisar las imágenes de circuito cerrado de televisión de un robo y pasar las imágenes por una base de datos de reconocimiento facial dos días después encaja aquí.

La distinción entre tiempo real y a posteriori es la decisión de clasificación más trascendental de esta área del Reglamento. Determina si el sistema está absolutamente prohibido o es meramente de alto riesgo.

---

La prohibición del Artículo 5, apartado 1, letra h), de la IBR en tiempo real

El Artículo 5 enumera las prácticas que la Ley de IA de la UE prohíbe por completo. El Artículo 5, apartado 1, letra h), prohíbe el uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho — con un conjunto restringido de excepciones.

La prohibición está en vigor desde el 2 de febrero de 2025.

Alcance de la prohibición. Los «espacios de acceso público» abarcan calles, nudos de transporte, centros comerciales, estadios y cualquier otro lugar accesible al público en general, con independencia de que ese espacio sea de titularidad pública o privada. El artículo que prohíbe la práctica se aplica cuando las autoridades de garantía del cumplimiento del Derecho utilizan el sistema. La seguridad privada, los empleadores y los minoristas no se benefician de las excepciones, pero tampoco son el objetivo principal: el Artículo 5, apartado 1, letra h), apunta de lleno a los actores estatales que ejercen competencias de garantía del cumplimiento del Derecho.

Las tres excepciones restringidas. Incluso para la garantía del cumplimiento del Derecho, la IBR en tiempo real en espacios públicos solo es lícita en estas situaciones (Artículo 5, apartado 1, letra h), incisos i) a iii)):

1. Búsqueda selectiva de víctimas concretas o de personas desaparecidas — incluidos menores desaparecidos. El sistema debe desplegarse para encontrar a una persona concreta y determinada, no para escanear a la multitud en busca de personas desconocidas.
2. Prevención de una amenaza específica e inminente para la vida o de un atentado terrorista. La supervisión del nivel de amenaza general no satisface este requisito; la amenaza debe ser concreta, identificada y a punto de materializarse.
3. Localización o identificación de un sospechoso en relación con delitos graves concretos enumerados o referenciados en el Reglamento — lo que abarca el terrorismo, la trata de seres humanos, la explotación sexual de menores, el asesinato, el secuestro y un catálogo definido de otros delitos graves.

Requisito de autorización previa. Aun cuando se aplique una de estas excepciones, el despliegue requiere la autorización previa de una autoridad judicial o administrativa independiente del Estado miembro. La autorización de emergencia puede obtenerse a posteriori, pero el uso sin autorización alguna sigue siendo ilícito. Los Estados miembros también deben adoptar normas nacionales que rijan qué autoridades pueden conceder la autorización y las salvaguardias procedimentales aplicables.

Exposición sancionadora. Una infracción del Artículo 5, apartado 1, letra h) — utilizar la IBR en tiempo real fuera de las excepciones permitidas, o sin la autorización exigida — acarrea el nivel más alto de multas en virtud del Artículo 99, apartado 3: hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las empresas se aplica la mayor de esas dos cifras; para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

---

Cuándo la IBR es, en cambio, de alto riesgo

No toda identificación biométrica remota está prohibida. Dos categorías recaen en el nivel de alto riesgo en lugar de en el nivel prohibido:

IBR a posteriori por parte de las autoridades de garantía del cumplimiento del Derecho. Dado que el Artículo 5, apartado 1, letra h), apunta al uso en tiempo real, los sistemas a posteriori — en los que la comparación se produce después de los hechos, no durante el evento en directo — no quedan comprendidos en la prohibición. Sin embargo, figuran como de alto riesgo en el Anexo III, ámbito 1, del Reglamento (el epígrafe de biometría), y se aplica toda la pila de obligaciones de alto riesgo.

IBR fuera de la garantía del cumplimiento del Derecho. Un sistema de reconocimiento facial utilizado por un banco para identificar a clientes, un sistema de gestión fronteriza utilizado por una autoridad de inmigración, o una herramienta de control horario y de asistencia desplegada por un gran empleador — ninguno de estos son usos de garantía del cumplimiento del Derecho, por lo que el Artículo 5, apartado 1, letra h), no se aplica. Todos ellos siguen siendo de alto riesgo en virtud del Anexo III, ámbito 1, porque encajan de lleno dentro de la categoría de identificación biométrica.

Qué significa en la práctica la clasificación de alto riesgo. Los proveedores de sistemas de alto riesgo deben, antes de introducir un sistema en el mercado o ponerlo en servicio:

• Crear y operar un sistema de gestión de riesgos que cumpla los requisitos del Artículo 9.
• Aplicar procedimientos de gobernanza de datos para los datos de entrenamiento, validación y prueba en virtud del Artículo 10.
• Elaborar y mantener la documentación técnica según lo establecido en el Artículo 11 y el Anexo IV.
• Garantizar el registro de eventos y la conservación de registros en virtud del Artículo 12.
• Facilitar instrucciones e información a los responsables del despliegue en virtud del Artículo 13.
• Permitir una supervisión humana significativa en virtud del Artículo 14.
• Cumplir las normas de exactitud, solidez y ciberseguridad en virtud del Artículo 15.
• Operar un sistema de gestión de la calidad en virtud del Artículo 17.
• Registrar el sistema en la base de datos de la UE en virtud del Artículo 49 (la base de datos se establece en virtud del Artículo 71).
• Someterse a una evaluación de la conformidad antes de la introducción en el mercado en virtud del Artículo 43.

La vía de evaluación de la conformidad para los sistemas del Anexo III, ámbito 1, es más estricta que para la mayoría de las demás categorías del Anexo III. Cuando un proveedor no ha aplicado normas armonizadas, o cuando tales normas no existen, la evaluación de la conformidad debe seguir el procedimiento de organismo notificado del Anexo VII — lo que significa que un organismo de terceros acreditado debe evaluar y certificar el sistema antes de que pueda introducirse en el mercado. La mayoría de las demás categorías del Anexo III permiten la vía de autoevaluación interna del Anexo VI; la biometría no tiene esa opción por defecto.

El plazo de aplicación de estas obligaciones en virtud del Ómnibus Digital (acuerdo político alcanzado en mayo de 2026) es el 2 de diciembre de 2027 para los sistemas autónomos — aplazado respecto de la fecha original del 2 de agosto de 2026. Eso es un respiro, no un pase libre: reunir un expediente de conformidad de organismo notificado lleva meses, y la demanda de organismos acreditados en el ámbito de la biometría ya está aumentando.

Deberes de transparencia del Artículo 50. Cuando un sistema de identificación biométrica implique además elementos en tiempo real que no alcancen el umbral del Artículo 5, apartado 1, letra h), o cuando se utilice en un entorno orientado al consumidor, los deberes de transparencia del Artículo 50 pueden aplicarse a partir del 2 de agosto de 2026. El Artículo 50, apartado 3, aborda específicamente las obligaciones de divulgación cuando se utilizan sistemas de IA para realizar inferencias sobre datos biométricos.

---

Cómo ayuda Confir

El motor de clasificación de Confir, basado en reglas, aplica automáticamente la lógica del Artículo 5 / Artículo 6 / Anexo III. Cuando registra un sistema de identificación biométrica, Confir formula preguntas de admisión estructuradas sobre la finalidad del sistema, su capacidad en tiempo real, el contexto de despliegue y la identidad del operador — y a continuación deriva si el sistema está prohibido, es de alto riesgo (vía de organismo notificado del Anexo VII) o de otro nivel.

Para los sistemas de alto riesgo, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV, ejecuta la evaluación de impacto relativa a los derechos fundamentales del Artículo 27 para los responsables del despliegue que reúnan los requisitos y produce un registro de auditoría de cumplimiento inmutable. La clasificación y cada hallazgo son deterministas y basados en reglas — la misma admisión produce siempre el mismo resultado, con la regla que se activó mostrada en texto sencillo. Sin inferencia, sin alucinaciones y sin necesidad de un consultor que interprete el resultado.

Autoservicio en confir.eu.

---

Preguntas frecuentes

¿Está siempre prohibido el reconocimiento facial en virtud de la Ley de IA de la UE?

No. La prohibición del Artículo 5, apartado 1, letra h), apunta a la identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho. El reconocimiento facial utilizado en tiempo real por las autoridades de garantía del cumplimiento del Derecho en espacios públicos está prohibido salvo en las tres situaciones de emergencia definidas. El reconocimiento facial utilizado a posteriori, fuera de espacios públicos, o con fines ajenos a la garantía del cumplimiento del Derecho (gestión fronteriza, verificación de clientes, control de acceso) no está prohibido — pero se clasifica como de alto riesgo en virtud del Anexo III, ámbito 1, y requiere la evaluación de la conformidad de organismo notificado del Anexo VII.

¿Qué significa «sin participación activa»?

Significa que el sistema identifica a una persona sin requerir que esa persona se presente, adopte una pose o coopere de otro modo con el proceso de identificación. Pasar por delante de una cámara que consulta una lista de seguimiento en segundo plano cumple el criterio. Pedir a un cliente que mire a una cámara de verificación en un quiosco — donde la persona participa deliberadamente — puede quedar fuera de la definición si se trata claramente de un ejercicio de verificación 1 a 1 en lugar de una búsqueda en una base de datos. La distinción importa porque la verificación 1 a 1 no se clasifica como identificación biométrica remota en virtud del Artículo 3.

¿Se aplica la prohibición de la IBR en tiempo real a las empresas privadas?

El Artículo 5, apartado 1, letra h), va dirigido a la garantía del cumplimiento del Derecho, no a los actores privados. Un minorista que utilice reconocimiento facial en directo para identificar a ladrones conocidos, o un estadio que lo utilice para señalar a aficionados con prohibición de entrada, no está desplegando el sistema «con fines de garantía del cumplimiento del Derecho». Sin embargo, tales usos privados siguen siendo de alto riesgo en virtud del Anexo III, ámbito 1, y deben pasar por toda la cadena de obligaciones de alto riesgo, incluida la vía de organismo notificado del Anexo VII. Una empresa privada no puede acogerse a las excepciones de garantía del cumplimiento del Derecho del Artículo 5, apartado 1, letra h).

¿Cuál es el plazo para cumplir las obligaciones de IBR de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos — incluidos los sistemas de IBR a posteriori y los sistemas de IBR ajenos a la garantía del cumplimiento del Derecho — deben cumplir a partir del 2 de diciembre de 2027. La fecha original del 2 de agosto de 2026 se ha aplazado. La prohibición del Artículo 5 de la IBR en tiempo real en espacios públicos con fines de garantía del cumplimiento del Derecho se aplica desde el 2 de febrero de 2025 y ya está en vigor.

¿Se requiere siempre un organismo notificado para los sistemas de identificación biométrica?

Cuando un proveedor de un sistema del Anexo III, ámbito 1, haya aplicado normas armonizadas de la UE (una vez adoptadas), puede estar disponible una vía de autoevaluación. En el periodo actual — antes de que se publiquen normas armonizadas para la identificación biométrica — la vía de organismo notificado del Anexo VII es la opción práctica por defecto para los proveedores que no puedan demostrar el cumplimiento de las normas. El Reglamento exige la vía de organismo notificado para los sistemas biométricos; esto es más estricto que la autoevaluación interna del Anexo VI que se aplica a la mayoría de las demás categorías del Anexo III.

¿Puede utilizarse la IBR a posteriori sin autorización alguna?

La IBR a posteriori no está cubierta por la prohibición del Artículo 5, apartado 1, letra h), por lo que no existe un requisito legal de autorización previa equivalente al que se aplica al uso en tiempo real por la garantía del cumplimiento del Derecho. Sin embargo, los sistemas de IBR a posteriori utilizados por las autoridades de garantía del cumplimiento del Derecho o de migración son entradas no públicas en la base de datos de la UE en virtud del Artículo 49. Los Estados miembros también pueden imponer salvaguardias procedimentales adicionales con arreglo al Derecho nacional. Y en todos los usos de alto riesgo, el responsable del despliegue debe cumplir las obligaciones del Artículo 26 — incluidas la supervisión humana, la conservación de registros y la comunicación de riesgos al proveedor. ---

---

Términos relacionados

• Datos biométricos — definición y alcance en la Ley de IA de la UE
• Artículo 5: prácticas de IA prohibidas explicadas
• La prohibición de la identificación biométrica en tiempo real (Artículo 5)
• Anexo III, ámbito 1: reconocimiento facial e IA en espacios públicos
• Anexo III, ámbito 1: sistemas de identificación biométrica
• Categorización biométrica en la Ley de IA de la UE