Cumplimiento de la Ley de IA de la UE para el sector público: organismos públicos, agencias y prestadores de servicios públicos
Los responsables del despliegue públicos afrontan una EIDF obligatoria (Artículo 27) y una amplia exposición de alto riesgo en el Anexo III. La puntuación social y la actuación policial predictiva están prohibidas ahora.
El sector público es el grupo de responsables del despliegue más afectado por la Ley de IA de la UE. Los gobiernos han integrado la IA en decisiones que tocan a los ciudadanos en sus momentos de mayor exposición: la admisibilidad a prestaciones, las solicitudes de asilo, la evaluación del riesgo penal, el apoyo judicial, las admisiones escolares. La Ley se diseñó, en parte, teniendo en mente exactamente estos usos.
Dos cosas distinguen el cumplimiento del sector público del cumplimiento del sector privado. En primer lugar, la lista de alto riesgo del Anexo III se solapa casi por completo con lo que los organismos públicos hacen realmente. En segundo lugar, la evaluación de impacto relativa a los derechos fundamentales con arreglo al Artículo 27 es obligatoria para todos los organismos públicos que desplieguen IA de alto riesgo — no es opcional, no es discrecional, no se limita a determinados casos de uso. Esa combinación — una amplia exposición de alto riesgo más una evaluación obligatoria previa al despliegue — hace del sector público la categoría de responsables del despliegue estructuralmente más cargada de todo el Reglamento.
En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones de alto riesgo del Capítulo III se aplican desde el 2 de diciembre de 2027 para los sistemas autónomos del Anexo III (y desde el 2 de agosto de 2028 para la IA integrada en productos regulados del Anexo I). Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025 — varias de ellas dirigidas directamente a la conducta de las autoridades públicas.
¿Qué sistemas de IA son de alto riesgo en el sector público?
El Artículo 6 crea dos vías de clasificación: el Anexo I (legislación de seguridad de los productos) y el Anexo III (casos de uso de alto riesgo específicos). El sector público se cruza con al menos seis de las ocho categorías del Anexo III.
Anexo III, punto 1 — Biometría Identificación biométrica remota en espacios públicos, categorización biométrica de personas físicas y reconocimiento de emociones. Las agencias de control fronterizo y los organismos encargados de la garantía del cumplimiento del Derecho que utilizan reconocimiento facial, análisis de la marcha o cotejo de bases de datos biométricas deben evaluar tanto la clasificación de alto riesgo como las prohibiciones del Artículo 5 que se solapan con este terreno (véase más abajo). Los sistemas biométricos del Anexo III, punto 1, requieren por lo general la vía de evaluación de la conformidad del organismo notificado del Anexo VII (Artículo 43), no la vía de autoevaluación interna disponible para la mayoría de las demás categorías.
Anexo III, punto 3 — Educación y formación profesional Sistemas de IA utilizados para determinar el acceso a las instituciones educativas, evaluar los resultados del aprendizaje o evaluar a los estudiantes de formas que afectan a sus trayectorias educativas. Las escuelas públicas, las universidades y los organismos de formación profesional que despliegan herramientas de admisión o evaluación basadas en IA entran en esta categoría.
Anexo III, punto 4 — Empleo y gestión de los trabajadores Sistemas de IA utilizados por los servicios públicos de empleo para la elaboración de perfiles de los demandantes de empleo, la evaluación de la empleabilidad y el acceso al apoyo al empleo. Cuando una agencia pública utiliza IA para determinar la admisibilidad a los servicios del mercado laboral, se aplica el punto 4.
Anexo III, punto 5 — Acceso a servicios privados y públicos esenciales Esta es la categoría más central para la administración pública. Los sistemas de IA utilizados para evaluar la admisibilidad a prestaciones públicas — ayudas a la vivienda, pagos asistenciales, evaluaciones de discapacidad, asignación de cuidados sociales, prioridad de envío de servicios de emergencia — son de alto riesgo. El ámbito es lo bastante amplio como para alcanzar una gran variedad de aplicaciones de la administración local, del bienestar social y de la salud pública.
Anexo III, punto 6 — Garantía del cumplimiento del Derecho Sistemas de IA utilizados para la evaluación del riesgo individual en la actuación policial, sistemas para evaluar la fiabilidad de las pruebas y herramientas que elaboran perfiles de personas en un contexto de garantía del cumplimiento del Derecho. Los servicios policiales, los servicios de fiscalía y las agencias de seguridad deben evaluar sus herramientas de IA frente a esta categoría. Téngase en cuenta que predecir la reincidencia o la delincuencia únicamente sobre la base de la elaboración de perfiles es una práctica prohibida con arreglo al Artículo 5, apartado 1, letra d), no un caso de uso de alto riesgo — la frontera importa para el cumplimiento.
Anexo III, punto 7 — Migración, asilo y control fronterizo Sistemas de IA utilizados para la evaluación del riesgo de los migrantes y los solicitantes de asilo, el examen de las solicitudes, la supervisión de la migración irregular y la vigilancia fronteriza. Las herramientas utilizadas por las agencias de control fronterizo y los organismos de resolución de asilo entran de lleno en esta categoría.
Anexo III, punto 8 — Administración de justicia y procesos democráticos Sistemas de IA destinados a asistir a las autoridades judiciales en la investigación y la aplicación del Derecho, o herramientas de IA que afectan a la participación democrática. Los tribunales, los juzgados y los organismos que desempeñan funciones judiciales están dentro del ámbito de aplicación.
El filtro del Artículo 6, apartado 3
Un sistema del Anexo III no es automáticamente de alto riesgo. El Artículo 6, apartado 3, establece que un sistema que desempeña únicamente una tarea procedimental limitada, mejora una actividad humana previamente realizada sin influir en la evaluación, o realiza trabajo preparatorio, puede no alcanzar el umbral — salvo que elabore perfiles de personas físicas, en cuyo caso es siempre de alto riesgo. Los proveedores y los responsables del despliegue que consideren que un sistema escapa a la clasificación de alto riesgo deben documentar su razonamiento y registrar el sistema.
Tres prácticas prohibidas que los organismos públicos deben evitar de inmediato
Las prohibiciones del Artículo 5 están en vigor desde el 2 de febrero de 2025. La infracción es la categoría más grave — multas de hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 3).
Puntuación social por las autoridades públicas (Artículo 5, apartado 1, letra c)): están prohibidos los sistemas de IA que evalúan a las personas físicas a lo largo del tiempo basándose en el comportamiento social o las características de la personalidad, y que provocan un trato perjudicial o desfavorable no relacionado con el contexto en el que se generaron originalmente los datos. Esto se dirige directamente a los planes de puntuación de las autoridades públicas que agregan datos de los ciudadanos para asignar «calificaciones» sociales.
Actuación policial predictiva basada únicamente en la elaboración de perfiles (Artículo 5, apartado 1, letra d)): están prohibidos los sistemas de IA que evalúan la probabilidad de que una persona cometa un delito únicamente sobre la base de la elaboración de perfiles o de rasgos de la personalidad — sin hechos objetivos e individuales. Las agencias encargadas de la garantía del cumplimiento del Derecho que despliegan herramientas de predicción de la delincuencia deben verificar que toda predicción se fundamente en pruebas objetivas e individualizadas, y no en una lógica de pura elaboración de perfiles.
Identificación biométrica remota en tiempo real en espacios públicos por las fuerzas de orden público (Artículo 5, apartado 1, letra h)): está prohibido el uso de sistemas de identificación biométrica remota en tiempo real (como el reconocimiento facial en directo en señales de cámara) en espacios de acceso público con fines de garantía del cumplimiento del Derecho, con excepciones estrictas — búsquedas específicas de personas desaparecidas, prevención de una amenaza grave concreta y presente, o reconocimiento de un sospechoso de un delito grave enumerado en el Anexo. Cada excepción requiere una autorización judicial o administrativa previa.
Sus obligaciones como responsable del despliegue del sector público
La mayoría de los organismos públicos operan como responsables del despliegue con arreglo al Artículo 26 — usted adquiere y pone en servicio sistemas de IA, pero el sistema fue desarrollado por un proveedor tecnológico. Algunos organismos desarrollan IA internamente, en cuyo caso también son proveedores con arreglo al Artículo 16, con un conjunto de obligaciones más pesado.
Artículo 26 — Obligaciones del responsable del despliegue para la IA de alto riesgo
Como responsable del despliegue, debe:
- Utilizar el sistema con arreglo a las instrucciones de uso del proveedor (el Artículo 13 rige lo que esas instrucciones deben contener)
- Asignar la supervisión humana a personas cualificadas con la competencia, la formación y la autoridad para intervenir, en consonancia con las orientaciones del proveedor con arreglo al Artículo 14
- Vigilar el funcionamiento del sistema, detectar riesgos y fallos, y notificar los incidentes graves al proveedor y, cuando sea necesario, a la autoridad competente
- Conservar los registros del funcionamiento del sistema durante un mínimo de seis meses cuando esos registros sean técnicamente viables y estén bajo su control
- Informar a las personas sujetas a una decisión adoptada con la asistencia de un sistema de IA de alto riesgo — el Artículo 26 establece una obligación de transparencia hacia las personas físicas afectadas
El Artículo 26 es el artículo completo del responsable del despliegue. Todas las obligaciones del responsable del despliegue se derivan de él; no hay ninguna disposición separada sobre el responsable del despliegue en ningún otro lugar del Reglamento.
Artículo 27 — La evaluación de impacto relativa a los derechos fundamentales (EIDF): obligatoria para todos los organismos públicos
Esta es la disposición que más nítidamente distingue el cumplimiento del sector público. La EIDF es obligatoria para:
- Todos los organismos públicos (organismos de Derecho público) que desplieguen cualquier sistema de IA de alto riesgo, con independencia de la categoría del Anexo III
- Las entidades privadas que desplieguen sistemas de IA clasificados con arreglo al Anexo III, punto 5, letra b) (evaluación de la solvencia/calificación crediticia) o al punto 5, letra c) (evaluación del riesgo y fijación de precios de los seguros de vida y de salud)
Para un organismo público, no se puede prescindir de la EIDF. Antes de poner en servicio cualquier sistema de IA de alto riesgo, la evaluación debe completarse, documentarse y ponerse a disposición de las autoridades de vigilancia del mercado que lo soliciten.
Las siete áreas de contenido exigidas con arreglo al Artículo 27, apartado 1: una descripción de los procesos en los que se utilizará el sistema; el período de tiempo y la frecuencia de uso; las categorías de personas físicas y grupos que probablemente se vean afectados; los riesgos específicos para los derechos fundamentales de esas personas; las medidas adoptadas para abordar esos riesgos; la persona o personas responsables de la evaluación; y la confirmación de que la evaluación está completa.
La EIDF es distinta de la evaluación de impacto relativa a la protección de datos (EIPD) del RGPD con arreglo al artículo 35 del RGPD. Abordan requisitos jurídicos diferentes — la EIPD se centra en los riesgos para la protección de datos; la EIDF aborda un conjunto más amplio de derechos fundamentales. Para muchos despliegues de alto riesgo del sector público, serán necesarias ambas. El Artículo 27, apartado 4, permite explícitamente que la EIDF se base en una EIPD existente cuando el ámbito se solape, pero las dos no pueden fundirse la una en la otra.
Registro en la base de datos de la UE (Artículo 49)
Los sistemas de IA de alto riesgo deben registrarse en la base de datos de la UE creada en virtud del Artículo 71 antes de introducirse en el mercado o ponerse en servicio. El registro es la obligación principal del proveedor con arreglo al Artículo 49, pero los responsables del despliegue que sean autoridades públicas también registran su uso.
Para la mayoría de las categorías de alto riesgo, las entradas de registro son de acceso público. No obstante, los sistemas de garantía del cumplimiento del Derecho (Anexo III, punto 6) y los de migración, asilo y control fronterizo (punto 7) se registran en una sección no pública de la base de datos — el acceso se limita a las autoridades de supervisión. Esto no es una exención del registro; es una vía de registro independiente.
Los organismos públicos deberían verificar, en el momento de la contratación, que el proveedor haya registrado el sistema antes del despliegue, y deberían completar su propio registro de responsable del despliegue para el caso de uso pertinente del Anexo III. No registrarse es un incumplimiento con arreglo al Artículo 49, que expone tanto al proveedor como al organismo público a la acción de supervisión.
Artículos clave para el cumplimiento del sector público
| Artículo | Qué abarca |
|---|---|
| Artículo 5 | Prácticas prohibidas — en vigor desde el 2 de febrero de 2025 |
| Artículo 6 | Clasificación de alto riesgo (vías del Anexo I y del Anexo III) |
| Artículo 9 | Sistema de gestión de riesgos (obligación del proveedor, que informa los procedimientos del responsable del despliegue) |
| Artículo 13 | Transparencia e instrucciones de uso para los responsables del despliegue |
| Artículo 14 | Requisitos de supervisión humana |
| Artículo 26 | Obligaciones del responsable del despliegue para la IA de alto riesgo |
| Artículo 27 | Evaluación de impacto relativa a los derechos fundamentales — obligatoria para todos los organismos públicos |
| Artículo 43 | Evaluación de la conformidad (autoevaluación del Anexo VI u organismo notificado del Anexo VII) |
| Artículo 49 | Registro en la base de datos de la UE (proveedores + responsables del despliegue que sean autoridades públicas) |
| Artículo 73 | Notificación por el proveedor de los incidentes graves a las autoridades |
| Artículo 99 | Sanciones |
Contratación: incorporar el cumplimiento a los contratos con los proveedores
Los organismos públicos suelen adquirir la IA mediante contratación regulada. La Ley de IA de la UE crea nuevos requisitos contractuales que conviene incorporar a los pliegos de licitación y a los acuerdos marco.
Antes de la contratación: Especifique que el producto de IA del proveedor debe cumplir la Ley de IA de la UE para su caso de uso previsto, que el sistema debe estar registrado con arreglo al Artículo 49 antes de la entrega, y que el proveedor debe facilitar el paquete de documentación técnica del Anexo IV. Sin esa documentación, no puede completar su EIDF ni implantar las medidas de supervisión humana.
Cláusulas del contrato: Establezca con claridad qué parte es el proveedor y cuál el responsable del despliegue, para que las obligaciones sean inequívocas. Exija al proveedor que le notifique cualquier incidente grave (Artículo 73) que afecte a los sistemas que suministra. Exija al proveedor que notifique y respalde cualquier modificación que active el cambio de función con arreglo al Artículo 25 (que convierte al responsable del despliegue en proveedor).
Cumplimiento continuo: Exija al proveedor que mantenga y actualice la documentación técnica, y que facilite instrucciones de uso que reflejen cualquier actualización del sistema. Vigile que el sistema siga operándose dentro de la finalidad prevista definida en la documentación del proveedor.
Una hoja de ruta práctica de cumplimiento
Construya primero un inventario de IA. Cartografíe todos los sistemas de IA actualmente desplegados o en contratación activa, incluidas las funciones de IA integradas en los sistemas de ERP, de gestión de casos y de cribado. El análisis de clasificación se aplica a los componentes de IA integrados tanto como a los sistemas autónomos.
Clasifique cada sistema frente al Anexo III. Recorra las categorías del Anexo III más pertinentes para sus operaciones (puntos 1, 3, 4, 5, 6, 7, 8) y aplique el filtro del Artículo 6, apartado 3. Documente la justificación de la clasificación de cada sistema — incluidos aquellos que concluya que no son de alto riesgo.
Compruebe primero las prácticas prohibidas del Artículo 5. Pase cada sistema de IA por el Artículo 5 antes de cualquier análisis de clasificación. La puntuación social, la actuación policial predictiva basada en pura elaboración de perfiles y la identificación biométrica pública en tiempo real están prohibidas desde el 2 de febrero de 2025 — esta barrera precede al Anexo III.
Obtenga la documentación técnica del Anexo IV de los proveedores. Para cada sistema de alto riesgo, exija contractualmente y reciba el paquete de documentación técnica del proveedor. Sin él, no puede completar la EIDF ni implantar las medidas de supervisión del Artículo 26.
Complete la EIDF antes del despliegue. Para cada sistema de alto riesgo, complete la EIDF de siete secciones con arreglo al Artículo 27. Documéntela, apruébela a un nivel superior y consérvela para su revisión por la autoridad competente. Este no es un paso discrecional para los organismos públicos — es obligatorio.
Implante la supervisión humana y vigile. Designe a personas cualificadas para cada sistema de IA de alto riesgo con la competencia, la formación y la autoridad para intervenir o suspender el uso. El Artículo 14 rige el diseño de la supervisión; el Artículo 26 rige su implementación, incluida la conservación de registros durante al menos seis meses y la información a los proveedores de cualquier riesgo o fallo.
Verifique el registro y forme al personal. Confirme que el proveedor haya registrado el sistema en la base de datos de la UE (Artículo 49) antes del despliegue. Para los sistemas de garantía del cumplimiento del Derecho y de migración, confirme el registro en la sección no pública. El personal que opera o supervisa sistemas de IA de alto riesgo debe recibir formación adecuada; la alfabetización en materia de IA con arreglo al Artículo 4 se aplica desde el 2 de febrero de 2025 y no se limita a los despliegues de alto riesgo.
Cómo ayuda Confir a las organizaciones del sector público
Los organismos públicos que despliegan IA en varias categorías del Anexo III afrontan una carga de documentación considerable y sensible al tiempo. El flujo de trabajo guiado de la EIDF de Confir está estructurado en torno a las siete áreas de contenido del Artículo 27 — los equipos de cumplimiento recorren cada sección de forma sistemática, produciendo una evaluación documentada vinculada a un sistema de IA registrado concreto, en lugar de un ejercicio con la página en blanco.
El área de cumplimiento AIRC (Artículos 5, 6, 43 y 50) utiliza una lógica determinista y basada en reglas: las mismas entradas, la misma clasificación, con la regla que se activó mostrada en lenguaje sencillo. Cada sistema se evalúa individualmente con una justificación documentada, y el registro de sistemas hace un seguimiento del estado de registro del Artículo 49 — señalando los casos en que el registro del proveedor está pendiente antes de que proceda el despliegue.
Guías relacionadas
- Casos de uso de alto riesgo del Anexo III
- Resumen del marco de la Ley de IA de la UE
- Obligaciones del sector público del Artículo 27
- lista de comprobación de cumplimiento para los responsables del despliegue
- Restricciones biométricas del Artículo 5
Preguntas frecuentes
¿Se aplica la Ley de IA de la UE a toda la IA del sector público, o solo a determinados sistemas?
Las obligaciones de la Ley se basan en el riesgo. Las prácticas prohibidas del Artículo 5 se aplican a toda la IA desde el 2 de febrero de 2025, y la alfabetización en materia de IA del Artículo 4 se aplica a todas las organizaciones que tratan con IA. Las obligaciones de alto riesgo del Capítulo III se aplican específicamente a los sistemas clasificados como de alto riesgo con arreglo al Artículo 6. Muchas herramientas estándar del sector público — automatización basada en reglas, análisis de datos convencional, funciones de búsqueda simples — no son sistemas de IA a efectos del Reglamento, o no alcanzan el umbral de alto riesgo aunque lo sean. El análisis de clasificación debe realizarse para cada sistema individualmente, y el filtro del Artículo 6, apartado 3, debe aplicarse antes de concluir que un sistema es de alto riesgo.
¿Es la EIDF lo mismo que una EIPD del RGPD?
No. La EIDF del Artículo 27 evalúa el impacto potencial de un sistema de IA sobre un amplio conjunto de derechos fundamentales — incluidos la no discriminación, la dignidad, el juicio justo y la libertad de circulación — antes de desplegar el sistema. La EIPD del RGPD con arreglo al artículo 35 evalúa los riesgos para la protección de datos de una actividad de tratamiento concreta. Ambas pueden ser necesarias para el mismo despliegue. El Artículo 27, apartado 4, permite que la EIDF se base en una EIPD existente cuando el ámbito se solapa, pero completar una EIPD no satisface la obligación de la EIDF.
¿Qué constituye un «organismo público» a efectos de la obligación de EIDF del Artículo 27?
La Ley emplea el concepto de «organismo de Derecho público» — ampliamente coherente con la condición de autoridad pública con arreglo al Derecho administrativo nacional. Los departamentos del gobierno central, las administraciones regionales y locales, las agencias públicas, los tribunales, los juzgados y los organismos de prestación de servicios con financiación pública entran todos en el ámbito de aplicación. Cuando una entidad privada presta un servicio que es típicamente una función pública — pagos asistenciales, tramitación de asilo —, también puede deberle una EIDF como responsable del despliegue de esa categoría concreta.
¿Cuáles son las sanciones por incumplimiento del sector público?
Las sanciones económicas del Artículo 99 están estructuradas principalmente para las entidades privadas. Para la mayoría de los incumplimientos — no completar una EIDF, no implantar la supervisión humana, no registrarse —, el techo es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial, si esta última cifra es mayor (Artículo 99, apartado 4). Desplegar un sistema de IA prohibido (infracción del Artículo 5) acarrea el máximo: 35 000 000 EUR o el 7 % (Artículo 99, apartado 3). Los organismos públicos también pueden afrontar órdenes de supervisión que exijan la retirada del sistema y la subsanación. Las consecuencias políticas y para la reputación pueden ser igualmente significativas.
¿Se aplica el registro en la base de datos de la UE a los organismos públicos?
Sí. Los proveedores registran los sistemas de IA de alto riesgo en la base de datos de la UE con arreglo al Artículo 49 antes de introducirlos en el mercado. Los responsables del despliegue que sean autoridades públicas también registran su uso concreto de un sistema de alto riesgo. Los sistemas de garantía del cumplimiento del Derecho y de migración/control fronterizo (Anexo III, puntos 6 y 7) se registran en una sección no pública de la base de datos en lugar de en el registro general, pero el registro sigue siendo obligatorio.
Si adquirimos IA de un proveedor, ¿somos el proveedor o el responsable del despliegue?
Si adquiere un sistema de IA de un proveedor y lo despliega en sus operaciones sin modificarlo sustancialmente ni introducirlo en el mercado bajo su propio nombre, es un responsable del despliegue con arreglo al Artículo 26. El proveedor que desarrolló e introdujo el sistema en el mercado es el proveedor con arreglo al Artículo 16. No obstante, en virtud del Artículo 25, se convierte en el proveedor si modifica sustancialmente el sistema, lo introduce en el mercado bajo su propio nombre o lo reutiliza de un modo que cambia su uso previsto. Muchos organismos públicos que personalizan herramientas de IA o construyen sobre servicios de API pueden cruzar esta línea sin saberlo.
¿Cuándo se aplican las obligaciones de IA de alto riesgo a los organismos públicos?
En virtud del Ómnibus Digital acordado en mayo de 2026, las obligaciones de alto riesgo para los sistemas autónomos del Anexo III se aplican desde el 2 de diciembre de 2027 (aplazado respecto de la fecha original del 2 de agosto de 2026). Para la IA integrada en productos regulados del Anexo I, la fecha es el 2 de agosto de 2028. Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025. Ese es el plazo inmediato — todo organismo público que aún opere un sistema que pudiera constituir puntuación social, actuación policial predictiva basada únicamente en la elaboración de perfiles o identificación biométrica pública en tiempo real ya está incumpliendo.
Última revisión: junio de 2026.
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →