Skip to content
Confir.
Prueba gratuita
Blog

Casos de uso de IA en seguros en virtud de la Ley de IA de la UE: qué es de alto riesgo y qué no

Industry Guide7 May 2026· 19 min de lectura

Anexo III 5(c): la IA de fijación de precios de seguros de vida/salud es de alto riesgo. La de automóviles, propiedad y detección de fraude no. Mapa de casos de uso, reglas de EIDF. Plazo: 2 dic 2027.

La mayoría de las orientaciones sobre la Ley de IA de la UE para aseguradoras arrancan con la afirmación general de que «la IA en seguros es de alto riesgo». Eso es demasiado amplio. El Reglamento es preciso: solo la IA utilizada para la evaluación del riesgo y la fijación de precios en los seguros de vida y de salud se nombra explícitamente como de alto riesgo — en el Anexo III, punto 5, letra c), del Reglamento (UE) 2024/1689. Los modelos de fijación de precios de automóviles, las herramientas de suscripción de seguros de propiedad, los sistemas de detección de fraude y los chatbots que atienden a los tomadores de seguros se sitúan en niveles distintos. Acertar con la clasificación es el punto de partida de cada decisión de cumplimiento que tome.

Este artículo mapea el panorama de los casos de uso de IA en seguros nivel por nivel. Para el programa de gobernanza que subyace a estas obligaciones — notificación de incidentes, vigilancia poscomercialización, alineación con Solvencia II — consulte la página complementaria sobre gobernanza de la Ley de IA de la UE para seguros.

El mapa de casos de uso: cuatro niveles en la IA de seguros

Alto riesgo: evaluación del riesgo en los seguros de vida y de salud (Anexo III, punto 5, letra c))

El Anexo III, punto 5, letra c), nombra «los sistemas de IA destinados a ser utilizados para la evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud». Esta es una de las designaciones más específicas del Anexo III. Cubre:

  • IA de suscripción de seguros de vida — sistemas que evalúan el riesgo de mortalidad, calculan puntuaciones de esperanza de vida o fijan las primas de las pólizas de vida utilizando modelos de aprendizaje automático sobre entradas de salud, estilo de vida o comportamiento.
  • IA de suscripción de seguros de salud — sistemas que evalúan los perfiles de riesgo de salud de los solicitantes, determinan la admisibilidad a la cobertura o fijan las primas de las pólizas de salud a partir del historial médico, los datos de dispositivos wearables o las puntuaciones de salud predictivas.
  • IA de suscripción de seguros de enfermedad grave y de protección de ingresos — IA que trata datos de salud y de estilo de vida para evaluar el riesgo individual en los ramos de invalidez, protección de ingresos o enfermedad grave.

Los dos elementos que conjuntamente activan el punto 5, letra c), son el ramo de seguro (vida o salud, no automóvil ni propiedad) y la función (evaluación del riesgo o fijación de primas en relación con una persona física). Si ambos están presentes, el sistema es de alto riesgo. No se requiere ningún filtro adicional.

Un matiz importante: el Artículo 6, apartado 3, crea un filtro de exención para los sistemas del Anexo III que no plantean un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. En la práctica, un sistema que se limita a reformatear o recuperar la evaluación previamente realizada por un actuario podría quedar fuera del nivel de alto riesgo. Pero todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia de las condiciones del apartado 3 — y la mayoría de la IA de suscripción de vida/salud hace exactamente eso.

También de alto riesgo: las comprobaciones de solvencia que realiza una aseguradora (Anexo III, punto 5, letra b))

Algunos grupos aseguradores realizan comprobaciones de solvencia o de calificación crediticia antes de conceder productos de seguro vinculados a crédito, acuerdos de financiación de primas u ofertas combinadas de bancaseguros. Esas comprobaciones entran en el Anexo III, punto 5, letra b) — no en el 5, letra c) — y también son de alto riesgo. La exclusión de la detección de fraude del 5, letra b), se aplica únicamente a la detección de fraude financiero, no al cribado de fraude específico de los seguros.

Si su organización realiza tanto IA de solvencia como IA de suscripción de vida/salud, tiene dos obligaciones independientes del Anexo III, cada una con su propio registro de clasificación.

No de alto riesgo: fijación de precios de seguros de automóvil, propiedad, comerciales y de viaje

Los sistemas de IA utilizados para la fijación de precios de seguros de automóvil (incluida la fijación de precios basada en telemática), la suscripción de seguros de propiedad y siniestros, la fijación de precios de riesgos comerciales o el seguro de viaje no entran en el punto 5, letra c). Esa designación es específica de los seguros de vida y de salud.

Algunos de estos sistemas podrían pasar a ser de alto riesgo por otra vía del Anexo III — por ejemplo, si el modelo de una aseguradora de automóviles determina en la práctica el acceso a la cobertura obligatoria de responsabilidad civil frente a terceros para una persona de un modo que se asemeja al «acceso a servicios esenciales» del punto 5, letra a). Ese estiramiento requiere una documentación deliberada con arreglo al Artículo 6, apartado 3, no una clasificación automática. En ausencia de un vínculo claro con el Anexo III, la IA de fijación de precios de automóviles y propiedad es de riesgo mínimo con arreglo a la legislación vigente.

La implicación práctica: su equipo de fijación de precios de automóviles y sus equipos actuariales que trabajan en productos de vida/salud afrontan obligaciones muy distintas a partir del 2 de diciembre de 2027. Planifique esas vías de trabajo por separado.

No de alto riesgo: detección de fraude (excluida del punto 5, letra b))

La designación de solvencia del Anexo III, punto 5, letra b), excluye explícitamente «los sistemas de IA utilizados para detectar fraudes financieros». La IA de detección de fraude en seguros — ya sea que criba reclamaciones en busca de patrones sospechosos, señala solicitudes potencialmente fraudulentas o identifica redes de fraude organizado — queda fuera de las categorías de IA de crédito/seguros de alto riesgo sobre esta base.

Una nota de precisión: la exclusión aborda la detección de fraude como una cuestión de clasificación. No extingue todas las demás obligaciones. Si un sistema de detección de fraude determina en la práctica si un tomador de seguro puede acceder a su reclamación, y esa determinación nunca es revisada por un humano, el responsable del despliegue puede afrontar deberes de transparencia con arreglo al Artículo 50 o tener obligaciones con arreglo al Artículo 26. Clasifique primero; después audite los casos límite.

Riesgo limitado: chatbots y comunicaciones con clientes generadas por IA (Artículo 50)

Las aseguradoras y las empresas de insurtech que despliegan chatbots de cara al cliente, asistentes virtuales o cartas de acuse de recibo de reclamaciones generadas por IA tienen obligaciones de transparencia del Artículo 50 — que se aplican a partir del 2 de agosto de 2026.

Con arreglo al Artículo 50, apartado 1, las personas que interactúan con un sistema de IA en tiempo real deben ser informadas de que lo hacen, salvo que el contexto lo haga obvio. Con arreglo al Artículo 50, apartado 2, el contenido sintético generado por IA (incluidas las cartas o notificaciones que no son obviamente producidas por máquina) debe etiquetarse. Estos son deberes de comunicación, no la pila completa de alto riesgo. La sanción máxima por su incumplimiento se sitúa en el nivel de 15 millones de euros o el 3 % del Artículo 99, apartado 4.

Riesgo mínimo: todo lo demás

Las herramientas internas de IA que mejoran la productividad del suscriptor sin impulsar directamente una decisión de cobertura o de fijación de precios — modelos de resumen de documentos, herramientas de búsqueda interna, asistentes de construcción de modelos actuariales — no conllevan obligaciones imperativas con arreglo al Reglamento. Se aplican los códigos voluntarios y las buenas prácticas de datos.

Obligaciones del responsable del despliegue para las entidades de seguros de vida y de salud

Las entidades de seguros que despliegan un sistema de IA de suscripción de alto riesgo son responsables del despliegue con arreglo al Artículo 26, salvo que hayan modificado sustancialmente el sistema o lo hayan puesto en servicio con su propio nombre, en cuyo caso el Artículo 25 las convierte en proveedor. La mayoría de las aseguradoras que compran modelos de suscripción de terceros son responsables del despliegue.

Artículo 26 — Obligaciones del responsable del despliegue, que incluyen: utilizar el sistema únicamente de acuerdo con las instrucciones del proveedor; asignar responsabilidades de supervisión humana a suscriptores cualificados; conservar los registros del funcionamiento del sistema durante al menos seis meses; y supervisar el rendimiento en uso. Los trabajadores y sus representantes deben ser informados antes del despliegue en el lugar de trabajo.

Artículo 27 — Evaluación de impacto relativa a los derechos fundamentales (EIDF). Los responsables del despliegue de seguros de vida y de salud están explícitamente comprendidos en el Artículo 27 por operar con arreglo al Anexo III, punto 5, letra c). La EIDF cubre siete elementos establecidos en el Artículo 27, apartado 1, letras a) a g), y debe completarse antes del despliegue. Debe abordar el riesgo de fijación de precios o denegación de cobertura discriminatorias para grupos protegidos, el uso de datos de salud con arreglo al artículo 9 del RGPD y el derecho a la tutela judicial efectiva de los tomadores de seguros afectados. La EIDF debe notificarse a la autoridad nacional de vigilancia del mercado.

Artículo 14 — Supervisión humana. La IA de suscripción debe diseñarse y utilizarse de modo que los suscriptores cualificados puedan supervisar, intervenir y anular los resultados de la IA en tiempo real. Las decisiones de suscripción totalmente automatizadas — sin capacidad de revisión humana para los casos relevantes — no cumplen los requisitos del Artículo 14.

El artículo 9 del RGPD y la Directiva sobre igualdad de género

Dos restricciones jurídicas transversales corren en paralelo a la Ley de IA de la UE para las aseguradoras.

Artículo 9 del RGPD — Categorías especiales de datos de salud. La IA de suscripción de seguros de vida y de salud normalmente se entrena con y trata historiales de salud, respuestas a cuestionarios médicos, resultados de dispositivos wearables y datos de estilo de vida — todos ellos categorías especiales de datos con arreglo al artículo 9 del RGPD. El tratamiento requiere una base jurídica específica: las más plausibles para los seguros comerciales son el artículo 9, apartado 2, letra b) (tratamiento necesario en virtud del Derecho nacional, cuando la regulación nacional de seguros impone la clasificación de riesgos) o, en circunstancias estrechas, el artículo 9, apartado 2, letra j) (investigación científica con salvaguardias apropiadas). Cada base debe documentarse en la sección de gobernanza de datos del Artículo 10 de la Ley de IA de la UE del paquete de documentación técnica del Anexo IV. Cuando la base jurídica sea controvertida, recabe un dictamen formal del DPO antes de introducir el sistema en el mercado.

Directiva de la UE sobre igualdad de género (2004/113/CE) y discriminación por aproximación (proxy). La sentencia Test-Achats (2011) del Tribunal de Justicia de la UE prohibió la fijación de precios basada en el sexo en los seguros en toda la UE. Una IA de suscripción de vida o salud que no utiliza el sexo como variable directa puede, no obstante, producir precios sistemáticamente distintos para hombres y mujeres si se apoya en aproximaciones correlacionadas — códigos de ocupación, agrupaciones de códigos postales, puntuaciones de actividad del estilo de vida. Con arreglo tanto a la Directiva sobre igualdad de género como a los requisitos de gobernanza de datos del Artículo 10 de la Ley de IA de la UE, los proveedores deben probar los datos de entrenamiento y los resultados del modelo en busca de discriminación por aproximación y documentar esas pruebas en el expediente técnico. Las pruebas de exactitud por subgrupos a lo largo del sexo, la edad, la situación de discapacidad y el origen nacional no son opcionales.

Gobernanza de modelos de Solvencia II. Las entidades de seguros reguladas por Solvencia II ya gestionan el riesgo de modelo a través del marco de la evaluación interna de riesgos y solvencia (ORSA). El Artículo 9 de la Ley de IA de la UE (el sistema de gestión de riesgos para la IA de alto riesgo) y los requisitos de gobernanza de modelos de Solvencia II pueden alinearse en un único marco. La misma documentación de identificación de riesgos, evaluación de riesgos y riesgo residual puede servir a ambos reguladores — siempre que ambas correspondencias regulatorias sean explícitas en el resultado documentado.

Obligaciones del proveedor para los proveedores de insurtech

Si usted desarrolla e introduce en el mercado un sistema de IA de suscripción de vida o salud — ya sea como producto SaaS autónomo o como componente integrado dentro de una suite de suscripción más amplia — es proveedor con arreglo al Artículo 16. La pila del proveedor incluye:

  • Artículo 9 — un sistema continuo de gestión de riesgos que identifica el riesgo de fijación de precios discriminatoria, los fallos de exactitud por grupo demográfico y el uso indebido de los datos de salud como los riesgos previsibles que documentar.
  • Artículo 10 — gobernanza de datos que cubre la composición de los datos de entrenamiento, la base jurídica del artículo 9 del RGPD para los datos de salud, el análisis de representatividad y las pruebas de sesgo a lo largo de los grupos demográficos protegidos.
  • Artículo 11 / Anexo IV — documentación técnica en nueve áreas, completada antes de la introducción en el mercado.
  • Artículo 13 — información de transparencia para las aseguradoras que despliegan, especificando la población validada, la exactitud por subgrupo, las variables utilizadas y las variables excluidas (en particular las aproximaciones de características protegidas).
  • Artículo 14 — diseñar mecanismos de supervisión humana en el sistema para que los responsables del despliegue puedan implementar una revisión significativa por parte del suscriptor.
  • Artículo 15 — las pruebas de exactitud a lo largo de los subgrupos demográficos son obligatorias, no una buena práctica. Una IA de suscripción con buena exactitud agregada pero un sobreprecio sistemático para un grupo demográfico concreto incumple el Artículo 15.
  • Artículo 43 — evaluación de la conformidad mediante autoevaluación interna (procedimiento del Anexo VI). El Anexo III, punto 5, letra c), no requiere un organismo notificado; esa vía se aplica al punto 1 (biometría). Complete la autoevaluación antes de introducir el sistema en el mercado.
  • Artículo 47 / Anexo V — redactar la declaración UE de conformidad y conservarla durante diez años.
  • Artículo 49 — registrar el sistema en la base de datos de la Ley de IA de la UE con arreglo al Artículo 71 antes de introducirlo en el mercado.
  • Artículo 73 — notificar los incidentes graves (fallos de funcionamiento de la IA que producen determinaciones de riesgo discriminatorias sistemáticas a escala) a la autoridad nacional de vigilancia del mercado dentro de las ventanas temporales pertinentes establecidas en el Artículo 73, apartados 2 a 4.

Exposición sancionadora

El incumplimiento de las obligaciones de alto riesgo por parte de un proveedor o de un responsable del despliegue se sitúa en el nivel del Artículo 99, apartado 4: 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija — una protección significativa para las empresas de insurtech más pequeñas. Facilitar información incorrecta a una autoridad nacional de vigilancia del mercado es un nivel independiente e inferior: 7,5 millones de euros o el 1 % con arreglo al Artículo 99, apartado 5.

El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, aplazado respecto de la fecha original del 2 de agosto de 2026 en virtud del acuerdo del Ómnibus Digital alcanzado en mayo de 2026. Construir el expediente técnico y realizar la evaluación de la conformidad para un sistema de IA de suscripción de salud lleva meses. Empezar a mediados de 2026 no es pronto.

Cómo ayuda Confir a las empresas de seguros a clasificar y documentar

El flujo de trabajo de clasificación y documentación de Confir es determinista y basado en reglas — la misma admisión produce la misma conclusión, con la regla que se activó registrada en texto plano. Para la IA de seguros, el flujo de trabajo cubre:

Clasificación (módulo AIRC). Confir guía a proveedores y responsables del despliegue por el análisis del Anexo III, punto 5, letra b)/5, letra c): ¿es esto un seguro de vida o de salud? ¿Realiza evaluación del riesgo o fijación de primas sobre personas físicas? También ejecuta el filtro de exención del Artículo 6, apartado 3, y registra si el sistema elabora perfiles de personas físicas. El resultado es una clasificación documentada con su base regulatoria.

EIDF para los responsables del despliegue de seguros de vida/salud (módulo AITO). El flujo de trabajo de la EIDF del Artículo 27 de Confir cubre los siete elementos del Artículo 27, apartado 1, letras a) a g), con indicaciones específicas de seguros — riesgo de fijación de precios discriminatoria, base jurídica del artículo 9 del RGPD para los datos de salud y derecho de recurso para los tomadores de seguros afectados.

Paquete de conformidad. Confir genera la documentación técnica completa del Anexo IV, §1 a 9, la declaración de conformidad del Anexo V y una exportación en PDF de la ficha técnica (Datasheet) lista para compartir con los responsables del despliegue o para su presentación a la autoridad de vigilancia del mercado.

Preguntas frecuentes

¿Es toda la IA de fijación de precios de seguros de alto riesgo en virtud de la Ley de IA de la UE?

No. Solo la IA utilizada para la evaluación del riesgo y la fijación de primas en los seguros de vida y de salud es de alto riesgo con arreglo al Anexo III, punto 5, letra c). La IA de fijación de precios de seguros de automóvil, propiedad, comerciales y de viaje no entra en esta designación. La IA de solvencia que realiza una aseguradora se sitúa en el Anexo III, punto 5, letra b), independiente. La detección de fraude está excluida del punto 5, letra b), y no es de alto riesgo sobre esa base.

¿Cuándo se aplican las obligaciones de alto riesgo para la IA de seguros?

En virtud del acuerdo político del Ómnibus Digital de mayo de 2026, los sistemas autónomos del Anexo III (incluida la IA de seguros de vida/salud del punto 5, letra c)) deben cumplir a partir del 2 de diciembre de 2027, aplazado respecto de la fecha original del 2 de agosto de 2026. Las obligaciones de transparencia del Artículo 50 para los chatbots y las comunicaciones generadas por IA se aplican a partir del 2 de agosto de 2026. Las prácticas prohibidas del Artículo 5 están en vigor desde el 2 de febrero de 2025.

¿Qué aseguradoras deben completar una evaluación de impacto relativa a los derechos fundamentales?

Los responsables del despliegue de sistemas de IA de alto riesgo del Anexo III, punto 5, letra c) — evaluación del riesgo y fijación de precios de seguros de vida y de salud — están comprendidos en la EIDF del Artículo 27. Esto se aplica porque la obligación de la EIDF cubre específicamente a los responsables del despliegue de sistemas del Anexo III, punto 5, letra b) (solvencia), y 5, letra c) (seguros de vida/salud). La EIDF debe completarse antes del despliegue y notificarse a la autoridad nacional de vigilancia del mercado.

¿Se aplica la exclusión de la detección de fraude a toda la IA de detección de fraude en seguros?

La exclusión del Anexo III, punto 5, letra b), exime «los sistemas de IA utilizados para detectar fraudes financieros» de la designación de alto riesgo de solvencia. Esto cubre la detección de fraude en seguros en el contexto de esa disposición. No obstante, si un sistema de cribado de fraude funciona como una puerta de admisibilidad de reclamaciones sin revisión humana, el responsable del despliegue debería evaluar por separado las obligaciones de los Artículos 26 y 50. La exclusión aborda la clasificación de riesgo, no todas las demás cuestiones de cumplimiento.

¿Cuál es la sanción por el incumplimiento de las obligaciones de IA de seguros de alto riesgo?

El incumplimiento de las obligaciones de alto riesgo se sitúa en el nivel del Artículo 99, apartado 4: 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. Facilitar información incorrecta a una autoridad es un nivel independiente de 7,5 millones de euros o el 1 % con arreglo al Artículo 99, apartado 5.

¿Cómo interactúa el artículo 9 del RGPD con los datos de entrenamiento de la IA de seguros de vida?

La IA de suscripción de seguros de vida y de salud normalmente trata historiales de salud y datos de estilo de vida, que son categorías especiales de datos con arreglo al artículo 9 del RGPD. El tratamiento en el entrenamiento del modelo de IA requiere una base jurídica específica — lo más común el artículo 9, apartado 2, letra b) (necesidad en virtud del Derecho nacional) o el artículo 9, apartado 2, letra j) (investigación científica con salvaguardias). La base jurídica elegida debe documentarse en la sección de gobernanza de datos del Artículo 10 de la Ley de IA de la UE del expediente técnico del Anexo IV. Cuando la base jurídica sea incierta, recabar un dictamen formal del DPO antes de introducir el sistema en el mercado es la vía conservadora.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

Industry Guide

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

Industry Guide

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.