El componente de seguridad en virtud de la Ley de IA de la UE: clasificación y obligaciones

Un «componente de seguridad» es un componente de un producto o de un sistema de IA que cumple una función de seguridad para ese producto o sistema, o cuyo fallo o defecto de funcionamiento pone en peligro la salud y la seguridad de las personas o los bienes. En virtud del Reglamento (UE) 2024/1689, que un sistema de IA se considere componente de seguridad de un producto regulado es el desencadenante principal de la vía del producto del Anexo I hacia la clasificación de alto riesgo en virtud del Artículo 6, apartado 1.

La definición de la Ley de IA de la UE

El Artículo 3 del Reglamento (UE) 2024/1689 —el artículo de definiciones— define el «componente de seguridad» en su apartado 14 como:

un componente de un producto o de un sistema de IA que cumple una función de seguridad para ese producto o sistema de IA, o cuyo fallo o defecto de funcionamiento pone en peligro la salud y la seguridad de las personas o los bienes.

La definición tiene dos vertientes. La primera es funcional: el componente cumple activamente una función de seguridad, lo que significa que forma parte del mecanismo que mantiene un producto o sistema dentro de unos límites de funcionamiento seguros. La segunda es consecuencialista: aunque la finalidad principal del componente no sea la seguridad, su fallo o defecto de funcionamiento pondría en peligro a las personas o los bienes. Cualquiera de las dos vertientes es suficiente; no se necesitan ambas.

El efecto práctico es que «componente de seguridad» tiende una red amplia. Un sensor de presión en una máquina industrial que, si falla, permite una sobrepresión que podría lesionar a un operario, satisface la segunda vertiente aunque no se comercialice como «dispositivo de seguridad». Un subsistema de IA que vigila el rendimiento de los frenos en un vehículo satisface la primera. Ambos son componentes de seguridad en el sentido del Artículo 3, apartado 14.

Por qué importa: la vía de alto riesgo del Anexo I

La relevancia de la definición se deriva directamente del Artículo 6, apartado 1, que expone una de las dos vías por las que un sistema de IA pasa a ser de alto riesgo. En virtud del Artículo 6, apartado 1, un sistema de IA se clasifica como de alto riesgo cuando se cumplen ambas condiciones.

La primera condición es que el sistema de IA esté destinado a utilizarse como componente de seguridad de un producto cubierto por la legislación de armonización de la Unión enumerada en el Anexo I —o sea en sí mismo ese producto—. La lista del Anexo I es amplia. Incluye el Reglamento sobre máquinas (UE) 2023/1230, el Reglamento sobre los productos sanitarios (MDR, 2017/745), el Reglamento sobre los productos sanitarios para diagnóstico in vitro (IVDR, 2017/746), la Directiva de baja tensión, la Directiva sobre equipos radioeléctricos, la Directiva sobre la seguridad de los juguetes, la Directiva sobre ascensores y los marcos de homologación de tipo del sector del automóvil, entre otros. Si el producto en el que opera la IA se rige por cualquiera de estos instrumentos, la primera condición está potencialmente activada.

La segunda condición es que el producto regido por esa legislación del Anexo I deba someterse a una evaluación de la conformidad por terceros con arreglo a esa legislación —normalmente por un organismo notificado, no solo por autoevaluación interna—. Esta condición importa porque confina la vía del Artículo 6, apartado 1, a las categorías de productos de mayor relevancia, en las que el Derecho de productos de la UE ya exige una verificación independiente. Cuando el Derecho del producto subyacente solo permite la autoevaluación interna, la prueba de las dos condiciones del Artículo 6, apartado 1, no se cumple por esa vía únicamente, aunque el sistema podría seguir siendo de alto riesgo por la vía del caso de uso del Anexo III en virtud del Artículo 6, apartado 2.

Ambas condiciones deben cumplirse simultáneamente. Un componente de seguridad con IA en una máquina cubierta por el Reglamento sobre máquinas será de alto riesgo a través del Artículo 6, apartado 1, solo si esa máquina concreta está sujeta a una evaluación de la conformidad por organismo notificado en virtud del Reglamento sobre máquinas. Para las máquinas en las que se permite la autoevaluación interna en virtud del Reglamento sobre máquinas, la vía del Artículo 6, apartado 1, no se activa, aunque, según lo que haga la IA, puede aplicarse una categoría del Anexo III.

Cuando se aplica el Artículo 6, apartado 1, el sistema de IA carga con la pila completa de obligaciones de alto riesgo: un sistema de gestión de riesgos en virtud del Artículo 9, requisitos de gobernanza de datos en virtud del Artículo 10, documentación técnica en virtud del Artículo 11 y el Anexo IV, conservación de registros en virtud del Artículo 12, información de transparencia para los responsables del despliegue en virtud del Artículo 13, medidas de supervisión humana en virtud del Artículo 14, requisitos de exactitud y ciberseguridad en virtud del Artículo 15, además de las obligaciones del proveedor en virtud del Artículo 16, la gestión de la calidad en virtud del Artículo 17 y el procedimiento de evaluación de la conformidad en virtud del Artículo 43. Esa evaluación de la conformidad para la IA de producto del Anexo I es generalmente la vía integrada del Artículo 43, apartado 3: discurre junto a la evaluación de la conformidad a nivel de producto de la legislación del Anexo I, y la alimenta.

Sobre los plazos: en virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo que son componentes de seguridad de productos cubiertos por la legislación del Anexo I deben cumplir antes del 2 de agosto de 2028. Este es un plazo posterior a la fecha del 2 de diciembre de 2027 que se aplica a la IA de alto riesgo autónoma del Anexo III. El calendario ampliado refleja la complejidad de integrar el cumplimiento de la Ley de IA en los procedimientos de certificación de productos existentes. No es una invitación a postergar: la documentación técnica, los sistemas de gestión de riesgos y el proceso de evaluación de la conformidad requieren todos meses de preparación.

La vía del Anexo I frente a la vía del Anexo III

El Artículo 6 crea dos vías distintas hacia la clasificación de alto riesgo, y comprender su relación es esencial.

El Artículo 6, apartado 1 —la vía del producto del Anexo I— se pregunta si el sistema de IA opera como componente de seguridad dentro de un producto regulado. Es un desencadenante de seguridad de productos. La lista del Anexo I nombra instrumentos legislativos específicos de seguridad de productos de la UE. Los sectores que toca son la fabricación, los productos sanitarios, el diagnóstico, el automóvil, la construcción y el hardware de telecomunicaciones, entre otros.

El Artículo 6, apartado 2 —la vía del caso de uso del Anexo III— se pregunta si el sistema de IA se utiliza para una finalidad enumerada en una de las ocho categorías de alto riesgo del Anexo III: biometría, infraestructuras críticas, educación, empleo y gestión de los trabajadores, acceso a servicios esenciales, garantía del cumplimiento del Derecho, migración y asilo, y administración de justicia y procesos democráticos. Esta vía es independiente de si el sistema está integrado en un producto físico.

Un sistema de IA puede satisfacer ambas vías simultáneamente. Un sistema de IA de diagnóstico en un producto sanitario regulado por el MDR, por ejemplo, es de alto riesgo a través del Artículo 6, apartado 1, porque es un componente de seguridad de un producto del Anexo I sometido a evaluación por organismo notificado. Según entre o no en una categoría reconocida del Anexo III, puede ser además de alto riesgo a través del Artículo 6, apartado 2. Prevalecen las obligaciones más exigentes; el cumplimiento de una vía no descarga las obligaciones de la otra si ambas se aplican.

Los plazos difieren. Sistemas autónomos del Anexo III: 2 de diciembre de 2027. Sistemas integrados en productos del Anexo I: 2 de agosto de 2028. Cuando un sistema se sitúa en ambas vías, el proveedor debe estar listo en la fecha más temprana para las obligaciones aplicables; en la práctica, el 2 de diciembre de 2027 para cualquier obligación de caso de uso que se active de forma independiente.

Las vías de evaluación de la conformidad también difieren. La mayoría de las categorías del Anexo III (puntos 2 a 8) utilizan el procedimiento de autoevaluación interna del Anexo VI. El Anexo III, punto 1 (biometría), requiere la vía de organismo notificado del Anexo VII cuando no se aplican normas armonizadas. Para la IA de producto del Anexo I, la evaluación de la conformidad en virtud del Artículo 43, apartado 3, está integrada con el procedimiento a nivel de producto: el mismo organismo notificado puede evaluar ambos.

Ejemplos

Un subsistema de IA integrado en un sistema de frenado de emergencia autónomo para un vehículo de pasajeros cumple ambas condiciones del Artículo 6, apartado 1: el vehículo requiere homologación de tipo en virtud de un instrumento del Anexo I, esa homologación implica una evaluación por terceros, y el componente de frenado cumple una función de seguridad. La clasificación de alto riesgo se sigue, con plazo el 2 de agosto de 2028.

Un componente de IA de análisis de imagen en un escáner de TC regulado por el MDR está en la misma posición. El MDR es un instrumento del Anexo I; los escáneres de TC de la clase pertinente requieren evaluación por organismo notificado. La IA asiste a los radiólogos señalando anomalías: si falla, la seguridad del paciente podría verse afectada. Se aplica el Artículo 6, apartado 1, con plazo el 2 de agosto de 2028, y con una evaluación de la conformidad integrada junto al procedimiento del MDR.

Contraste estos con un motor de recomendación de IA en la aplicación móvil de un fabricante de máquinas. La aplicación permite a los usuarios configurar las especificaciones del producto; la IA sugiere accesorios compatibles. No se desempeña ninguna función de seguridad. Aunque los productos del fabricante sean artículos del Anexo I, este componente de IA concreto no es un componente de seguridad dentro de ningún producto. El Artículo 6, apartado 1, no se activa. A falta de un caso de uso aplicable del Anexo III, el sistema es probablemente de riesgo mínimo.

Un caso límite: una herramienta de mantenimiento predictivo basada en IA que vigila los parámetros de funcionamiento de un ascensor y señala anomalías a un técnico de servicio. Que esto sea un «componente de seguridad» depende de si su fallo podría poner en peligro a las personas. La clasificación es específica de los hechos. Los proveedores que afronten esta cuestión deben documentar su razonamiento en cualquier sentido, ya que el Artículo 6, apartado 3, exige que los proveedores que reclaman una conclusión de riesgo no significativo registren esa evaluación.

Preguntas frecuentes

¿Cubre el «componente de seguridad» únicamente los componentes de hardware?

No. La definición del Artículo 3, apartado 14, se refiere a un componente de un producto o de un sistema de IA. Un sistema de IA integrado en software que se ejecuta en un producto físico regulado puede ser un componente de seguridad. Lo que importa es la función y la consecuencia —si el componente cumple una función de seguridad o si su fallo pondría en peligro a las personas o los bienes—, no si el componente es una parte física.

Si un sistema de IA es un componente de seguridad pero el producto del Anexo I solo requiere autoevaluación interna, ¿se aplica el Artículo 6, apartado 1?

No a través del Artículo 6, apartado 1. Ambas condiciones del Artículo 6, apartado 1, deben cumplirse: la IA debe ser un componente de seguridad en un producto del Anexo I, Y ese producto debe estar obligado a someterse a una evaluación de la conformidad por terceros con arreglo a la legislación del Anexo I. Si la legislación del producto solo permite la autoevaluación interna, la segunda condición no se cumple, y el Artículo 6, apartado 1, no se aplica por esa vía. El sistema de IA puede, no obstante, ser de alto riesgo en virtud del Artículo 6, apartado 2, si entra en una categoría de caso de uso del Anexo III.

¿Puede un responsable del despliegue de un componente de seguridad de IA afrontar obligaciones de alto riesgo, o solo el proveedor?

Ambos afrontan obligaciones. El proveedor carga con los deberes más pesados en virtud del Artículo 16 —incluidos los Artículos 9 a 15 y la evaluación de la conformidad del Artículo 43—. El responsable del despliegue debe cumplir el Artículo 26: seguir las instrucciones del proveedor, mantener la supervisión humana, vigilar el funcionamiento, notificar los incidentes al proveedor y conservar los registros durante al menos seis meses. Si un responsable del despliegue modifica sustancialmente el sistema o lo reutiliza más allá de su uso previsto, el Artículo 25 puede trasladar las obligaciones a nivel de proveedor al responsable del despliegue.

¿Cuál es el plazo para los componentes de seguridad de IA en productos del Anexo I?

En virtud del Ómnibus Digital, acordado entre el Parlamento Europeo y el Consejo en mayo de 2026 y pendiente de adopción formal, los sistemas de IA de alto riesgo que son componentes de seguridad de productos cubiertos por la legislación del Anexo I deben cumplir antes del 2 de agosto de 2028. Esto es posterior al plazo del 2 de diciembre de 2027 para los sistemas de alto riesgo autónomos del Anexo III. El plazo original del 2 de agosto de 2026 se ha aplazado para ambas categorías; ahora se aplica solo a la transparencia de riesgo limitado (Artículo 50) y a la aplicación general.

¿Requiere la vía del Anexo I una evaluación de la conformidad separada además de la evaluación del producto existente?

No necesariamente. El Artículo 43, apartado 3, prevé un procedimiento integrado: la evaluación de la Ley de IA discurre junto a la evaluación del producto del Anexo I, a menudo con el mismo organismo notificado encargándose de ambas. Se reduce la duplicación, pero los requisitos de documentación de la Ley de IA (documentación técnica del Anexo IV, declaración de conformidad del Anexo V) deben satisfacerse igualmente en su totalidad.

¿Clasificar un sistema de IA como componente de seguridad en virtud del Artículo 3, apartado 14, lo convierte automáticamente en de alto riesgo?

No. El Artículo 3, apartado 14, proporciona la definición; la clasificación como de alto riesgo requiere que se cumplan ambas condiciones del Artículo 6, apartado 1. Si la IA es un componente de seguridad en un producto del Anexo I pero ese producto no requiere una evaluación de la conformidad por terceros, el Artículo 6, apartado 1, no se activa. La clasificación como componente de seguridad es una condición necesaria, pero no suficiente, para la vía del Anexo I hacia la condición de alto riesgo.

Términos relacionados

• Artículo 6: reglas de clasificación de IA de alto riesgo
• IA de alto riesgo: obligaciones y clasificación
• Cumplimiento de la IA de fabricación en virtud de la Ley de IA de la UE
• IA sanitaria y productos sanitarios
• Finalidad prevista
• Anexo III: la lista de casos de uso de alto riesgo autónomos