Skip to content
Confir.
Prueba gratuita
Blog

La moderación de contenidos por IA y la Ley de IA de la UE: guía de clasificación de riesgo

Guide10 February 2026· 18 min de lectura

La moderación de contenidos por IA suele ser de riesgo mínimo conforme a la Ley de IA de la UE — no del Anexo III. La DSA rige las plataformas. El Artículo 50 se aplica desde agosto de 2026.

La moderación automatizada de contenidos es una de las aplicaciones de IA más extendidas en internet, y una de las más comúnmente mal clasificadas desde el punto de vista regulatorio. La respuesta corta: los sistemas de moderación de contenidos por IA generalmente no figuran en el Anexo III del Reglamento (UE) 2024/1689, lo que significa que suelen situarse en los niveles de riesgo mínimo o limitado de la Ley de IA de la UE. El régimen de cumplimiento más pesado para la moderación de contenidos en las plataformas en línea procede de la Ley de Servicios Digitales (DSA) — una norma de la UE distinta que la mayoría de los equipos de cumplimiento deben abordar en paralelo, pero mantener analíticamente separada.

Dicho esto, la Ley de IA de la UE sí toca la moderación de contenidos de dos maneras importantes: a través de las obligaciones de transparencia del Artículo 50 que se aplican cuando la IA interactúa con los usuarios o genera contenido visible para ellos, y a través de las prohibiciones del Artículo 5 que limitan lo que cualquier sistema de IA puede hacer con independencia del sector. Ninguna crea la pila completa de alto riesgo, pero ambas crean obligaciones reales. Comprender qué norma hace qué es el punto de partida de cualquier ejercicio de clasificación.

¿Es la moderación de contenidos por IA de alto riesgo conforme a la Ley de IA de la UE?

El Anexo III de la Ley de IA enumera ocho ámbitos en los que se presume que los sistemas de IA son de alto riesgo. Recorra la lista frente a un sistema estándar de moderación de contenidos — uno que detecta correo no deseado, discurso dañino o contenido que infringe las políticas en una plataforma de alojamiento — y no encaja.

El Anexo III cubre la biometría, la seguridad de las infraestructuras críticas, la educación y la formación profesional, el empleo y la gestión de los trabajadores, el acceso a servicios privados y públicos esenciales (incluida la calificación crediticia y la fijación de precios de seguros), la garantía del cumplimiento del Derecho, la migración y el control fronterizo, y la administración de justicia. La moderación de contenidos en una red social, un mercado o un servicio de alojamiento queda fuera de cada una de esas categorías. Un sistema que marca una publicación como correo no deseado, detecta una infracción de derechos de autor o elimina un comportamiento inauténtico coordinado está desempeñando una función de gobernanza de plataforma, no una función en ningún ámbito del Anexo III.

Eso hace que tales sistemas sean de riesgo mínimo por defecto — lo que significa que la Ley de IA de la UE no impone obligaciones obligatorias. Las reglas de clasificación del Artículo 6 lo confirman: la condición de alto riesgo con arreglo al Artículo 6 exige o bien a) que el sistema sea un componente de seguridad de un producto cubierto por la legislación de productos del Anexo I, o b) que entre dentro de un ámbito del Anexo III y desempeñe allí su finalidad prevista. La moderación de contenidos estándar no hace ninguna de las dos cosas.

Una nota procedimental: incluso si un sistema entrara en un ámbito límite del Anexo III, el Artículo 6, apartado 3, ofrece un filtro. Un sistema no es de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — por ejemplo, porque desempeña una tarea procedimental limitada o mejora el resultado de una actividad humana previamente realizada. Para la moderación de contenidos, este filtro confirmaría casi siempre el resultado de no alto riesgo. Los proveedores que invoquen el filtro del Artículo 6, apartado 3, deben documentar la evaluación y registrar el sistema con arreglo al Artículo 49.

El calendario de cumplimiento actual también importa aquí. Las obligaciones para los sistemas autónomos de alto riesgo del Anexo III se aplican desde el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026 (que retrasó la fecha original del 2 de agosto de 2026). Las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican desde el 2 de agosto de 2026. Las prohibiciones del Artículo 5 están en vigor desde el 2 de febrero de 2025. Para una empresa que opera hoy un sistema de moderación de contenidos, el Artículo 5 y el Artículo 50 son las disposiciones de la Ley de IA que exigen atención inmediata.

El ángulo de transparencia del Artículo 50

El Artículo 50 es donde la Ley de IA de la UE sí se aplica a la moderación de contenidos en algunas configuraciones. Establece obligaciones de divulgación para los sistemas del nivel de riesgo limitado — no porque sean peligrosos en el sentido del Anexo III, sino porque interactúan con personas físicas o producen contenido que las alcanza.

El Artículo 50, apartado 1, exige que los proveedores de sistemas de IA destinados a interactuar directamente con personas físicas divulguen que la persona está interactuando con una IA, de forma clara y oportuna. Si un sistema de moderación de contenidos se comunica con los usuarios — enviando avisos de retirada automatizados, emitiendo decisiones de recurso generadas por IA o encaminando a los usuarios a través de un flujo de resolución automatizado — esa obligación de divulgación se aplica. La obligación recae en el proveedor del sistema de IA; los responsables del despliegue tienen un deber paralelo con arreglo al Artículo 50 de transmitir esa información.

El Artículo 50, apartado 3, cubre los sistemas de reconocimiento de emociones y de categorización biométrica. Si una canalización de moderación de contenidos incluye un componente que infiere el estado emocional o las características de identidad de una persona a partir de datos biométricos — por ejemplo, para marcar a usuarios en apuros o categorizar cuentas — el operador debe divulgar ese hecho a las personas físicas afectadas.

La obligación de marcado del Artículo 50, apartado 4, es especialmente pertinente cuando la IA genera el contenido en sí en lugar de limitarse a evaluarlo. Cuando un sistema de IA produce contenido de texto, imagen, audio o vídeo destinado a la publicación, los operadores deben etiquetar ese contenido como generado por IA o sintético. Una plataforma que genera automáticamente avisos de infracción de políticas, respuestas de recurso automatizadas o informes de moderación utilizando un modelo generativo debe marcar esos resultados en consecuencia. Esta obligación se aplica desde el 2 de agosto de 2026.

La conclusión práctica: revise su canalización de moderación en busca de cualquier punto de contacto de cara al usuario en el que la IA comunique una decisión o genere contenido visible. Esos puntos de contacto necesitan divulgaciones del Artículo 50. La propia lógica de moderación — el clasificador que toma la decisión entre bastidores — no activa por sí sola el Artículo 50.

La DSA es el régimen principal (ley separada)

Para las plataformas en línea, la Ley de Servicios Digitales (Reglamento (UE) 2022/2065) es el marco legal principal que rige la moderación de contenidos. Impone obligaciones que son distintas de — y más exigentes operativamente que — cualquier cosa de la Ley de IA de la UE para este caso de uso. No las confunda.

Con arreglo a la DSA, los servicios de alojamiento (Artículo 17) deben proporcionar a los usuarios una declaración de motivos cada vez que retiran, restringen la visibilidad o degradan contenido. La declaración debe explicar qué disposición de las condiciones de servicio se infringió, el alcance geográfico, la duración y los hechos y circunstancias que llevaron a la decisión. Esto es una obligación legal con arreglo a la DSA, no a la Ley de IA.

Las plataformas con la condición de plataforma en línea de muy gran tamaño (VLOP) o motor de búsqueda en línea de muy gran tamaño (VLOSE) afrontan una capa adicional. La DSA les exige realizar evaluaciones anuales de los riesgos sistémicos derivados de sus sistemas — incluida la amplificación algorítmica — e implementar medidas de mitigación de riesgos. Las obligaciones de informes de transparencia (Artículo 15 de la DSA para los servicios de alojamiento, e informes más detallados con arreglo al Artículo 42 de la DSA para las VLOP/VLOSE) exigen la publicación periódica del número de decisiones de moderación de contenidos automatizadas, las tasas de error y los datos de recursos.

Hay un punto estructural importante aquí: las obligaciones de moderación de contenidos de la DSA se aplican a la conducta de la plataforma al moderar contenido, con independencia de que sean sistemas automatizados o revisores humanos quienes lleven a cabo esa moderación. La Ley de IA de la UE, por el contrario, se aplica al sistema de IA como producto o servicio. Una plataforma puede deber deberes de notificación y acción de la DSA y deberes de transparencia del Artículo 50 de la Ley de IA simultáneamente, pero por razones completamente distintas y bajo regímenes de ejecución separados. La DSA la ejecuta el Coordinador de Servicios Digitales del Estado miembro en el que está establecida la plataforma (con la Comisión Europea para las VLOP/VLOSE); la Ley de IA la ejecutan las autoridades nacionales de vigilancia del mercado y, para los modelos de IA de uso general, la Oficina de IA.

Mantenga su programa de cumplimiento de la DSA y su programa de cumplimiento de la Ley de IA de la UE en flujos de trabajo separados. La documentación que exigen es distinta; las autoridades de ejecución son distintas; las medidas correctoras son distintas.

Cuándo la IA de moderación podría ser de alto riesgo

Existen escenarios estrechos en los que un sistema de moderación de contenidos sí atrae obligaciones de alto riesgo en virtud de la Ley de IA de la UE. Comparten un hilo común: la función de moderación se utiliza para tomar decisiones sobre personas en un contexto del Anexo III, no simplemente para gestionar contenido.

Garantía del cumplimiento del Derecho (Anexo III, punto 6). Si el sistema de moderación de una plataforma es desplegado por o en apoyo de una autoridad de garantía del cumplimiento del Derecho — por ejemplo, escaneando comunicaciones para detectar comportamientos delictivos y produciendo resultados que informan decisiones de garantía del cumplimiento del Derecho — puede entrar en el Anexo III, punto 6, letra a) o letra b) (evaluar la probabilidad de delinquir, valorar la fiabilidad de las pruebas, elaborar perfiles de personas físicas). En esa configuración, se aplica la pila completa de alto riesgo: gestión de riesgos con arreglo al Artículo 9, documentación técnica con arreglo al Artículo 11, supervisión humana con arreglo al Artículo 14 y una evaluación de la conformidad con arreglo al Artículo 43 antes del despliegue.

Migración y control fronterizo (Anexo III, punto 7). El cribado de contenidos utilizado en el contexto de solicitudes de asilo, tramitación de visados o decisiones de control fronterizo podría entrar en el Anexo III, punto 7, si examina contenido pertinente para la solicitud de una manera que influye en el resultado.

Administración de justicia (Anexo III, punto 8). Un sistema de moderación que asiste a una autoridad judicial en la valoración de pruebas — por ejemplo, proporcionando un análisis automatizado de contenido de redes sociales para procedimientos judiciales — podría entrar en el Anexo III, punto 8, letra a).

En cada caso, la designación de alto riesgo se adhiere no porque el sistema modere contenido, sino porque el contexto de su uso lo sitúa en un ámbito del Anexo III. Un sistema desplegado por un organismo de garantía del cumplimiento del Derecho para cribar comunicaciones no es el mismo producto que un sistema desplegado por una red social para hacer cumplir las directrices de la comunidad, aunque el modelo subyacente sea idéntico. El Artículo 25 de la Ley de IA es pertinente aquí: cuando un responsable del despliegue modifica sustancialmente la finalidad prevista de un sistema o lo destina a un nuevo uso, ese responsable del despliegue puede convertirse en el proveedor del sistema reorientado.

Por último, el Artículo 5 se aplica de forma incondicional. Un sistema de moderación que despliega la identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho está prohibido con arreglo al Artículo 5, apartado 1, letra h). Un sistema que clasifica a los usuarios en categorías sensibles utilizando datos biométricos — religión, opinión política, orientación sexual — está prohibido con arreglo al Artículo 5, apartado 1, letra g). Estas prohibiciones están en vigor desde el 2 de febrero de 2025 y acarrean multas de hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor.

Qué hacer

Paso 1: clasifique con arreglo a la Ley de IA de la UE. Recorra cada componente de su pila de moderación a través del marco del Artículo 6. Para cada sistema, identifique su finalidad prevista y compruebe si esa finalidad lo sitúa en un ámbito del Anexo III. Para la inmensa mayoría de los sistemas de moderación de contenidos, la respuesta será no, y el resultado es riesgo mínimo sin obligaciones obligatorias de la Ley de IA. Documente la clasificación en cualquier caso — vale la pena mantener un breve registro de por qué concluyó que el sistema no es de alto riesgo del Anexo III.

Paso 2: criba el Artículo 5. Con independencia del nivel, confirme que su sistema no incurre en ninguna práctica prohibida con arreglo al Artículo 5. Compruebe en particular cualquier uso de identificación biométrica remota en tiempo real, categorización biométrica sensible o prácticas que manipulen a los usuarios mediante técnicas subliminales. Este paso no es opcional — las prohibiciones se aplican ahora.

Paso 3: gestione la divulgación del Artículo 50. Audite cada punto de contacto de cara al usuario en su flujo de trabajo de moderación. Cuando la IA se comunique con los usuarios (avisos automatizados, recursos, mensajes de resolución), añada la divulgación del Artículo 50, apartado 1. Cuando genere contenido visible (avisos autorredactados, informes), añada el marcado del Artículo 50, apartado 4. Incorpore esto a su producto antes del 2 de agosto de 2026.

Paso 4: ejecute su cumplimiento de la DSA por separado. Las obligaciones de declaración de motivos, los informes de transparencia y las evaluaciones de riesgos con arreglo a la DSA son obligaciones separadas con sus propios requisitos de documentación. Opérelas en paralelo, no fusionadas con su trabajo de la Ley de IA.

Paso 5: documente todo. Incluso para los sistemas de riesgo mínimo, un breve registro de clasificación — qué hace el sistema, por qué no es del Anexo III, quién hizo la determinación y cuándo se revisó — proporciona un rastro documental defendible si una autoridad pregunta.

Cómo ayuda Confir

Confir ejecuta la lógica de clasificación del Artículo 5 y del Artículo 6 / Anexo III como una lista de comprobación en lenguaje sencillo. Responda una serie de preguntas de escenario sobre la finalidad, el contexto de despliegue y los resultados de su sistema, y el motor basado en reglas de Confir deriva el nivel de riesgo y el papel aplicable (proveedor con arreglo al Artículo 16 o responsable del despliegue con arreglo al Artículo 26). Para los sistemas que aterrizan en el nivel de riesgo mínimo — como ocurrirá con la mayoría de los sistemas de moderación de contenidos — el resultado es un registro de clasificación documentado. Para cualquier sistema que alcance el nivel de alto riesgo, Confir impulsa la evaluación de cumplimiento estructurada a través de la gestión de riesgos (Artículo 9), la documentación técnica (Artículo 11 / Anexo IV), la transparencia y la supervisión humana (Artículos 13 y 14) y la vigilancia poscomercialización (Artículo 72).

El motor es determinista y basado en reglas: las mismas respuestas producen el mismo hallazgo cada vez, y la regla que se activó es legible por personas. Eso hace que el resultado sea defendible en una auditoría — lo que importa cuando una autoridad de vigilancia del mercado pregunta cómo determinó que su sistema no era de alto riesgo del Anexo III.

Detalles en confir.eu.

Preguntas frecuentes

¿Es un sistema de moderación de contenidos por IA automáticamente de alto riesgo conforme a la Ley de IA de la UE?

No. La moderación de contenidos no aparece en el Anexo III del Reglamento (UE) 2024/1689, que enumera los ocho ámbitos en los que se presume que los sistemas de IA son de alto riesgo. Un sistema de moderación estándar — uno que detecta correo no deseado, discurso dañino o infracciones de políticas — es de riesgo mínimo por defecto. Las obligaciones de alto riesgo con arreglo a la vía autónoma del Anexo III se aplican desde el 2 de diciembre de 2027 en virtud del Ómnibus Digital acordado en mayo de 2026.

¿Rige la Ley de IA de la UE o la DSA la moderación de contenidos para las plataformas en línea?

Ambas pueden aplicarse, pero por razones distintas y a cosas distintas. La Ley de Servicios Digitales (Reglamento (UE) 2022/2065) impone deberes de notificación y acción, declaración de motivos e informes de transparencia a las plataformas de alojamiento — estas son las obligaciones principales de moderación de contenidos y se aplican con independencia de que se utilice IA. La Ley de IA de la UE se aplica al sistema de IA como producto: las obligaciones de transparencia del Artículo 50 se aplican cuando el sistema interactúa con los usuarios o genera contenido, y las prohibiciones del Artículo 5 se aplican de forma incondicional. Mantenga los dos flujos de trabajo de cumplimiento separados.

¿Qué obligaciones del Artículo 50 se aplican a un sistema de moderación de contenidos?

El Artículo 50, apartado 1, exige la divulgación cuando un sistema de IA se comunica directamente con personas físicas — por ejemplo, avisos de retirada automatizados o respuestas de recurso generadas por IA. El Artículo 50, apartado 4, exige el marcado cuando la IA genera contenido (texto, imágenes, audio, vídeo) destinado a la publicación. Ambas obligaciones se aplican desde el 2 de agosto de 2026. La lógica de clasificación del propio sistema de moderación — el clasificador que se ejecuta en segundo plano — no activa el Artículo 50 salvo que produzca resultados de cara al usuario.

¿Puede ser alguna vez de alto riesgo un sistema de moderación de contenidos?

Sí, en circunstancias estrechas. Si el sistema es desplegado por o en apoyo directo de una autoridad de garantía del cumplimiento del Derecho (Anexo III, punto 6), o utilizado en la tramitación de migración y asilo (punto 7), o asiste a una autoridad judicial (punto 8), se adhieren las obligaciones de alto riesgo — no porque el sistema modifique contenido, sino porque el contexto de su uso entra en un ámbito del Anexo III. El mismo modelo puede ser de riesgo mínimo en una red social y de alto riesgo en un entorno de garantía del cumplimiento del Derecho. El Artículo 25 de la Ley de IA también significa que un responsable del despliegue que reorienta un sistema hacia un contexto del Anexo III puede convertirse en el proveedor de un sistema de alto riesgo.

¿Cuáles son las sanciones por infringir el Artículo 5 con un sistema de moderación?

Un sistema de moderación de contenidos que infringe una prohibición del Artículo 5 — por ejemplo, realizando identificación biométrica remota en tiempo real en espacios públicos o clasificando a los usuarios mediante categorías biométricas sensibles — afronta multas de hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total, si esta última cifra es mayor (Artículo 99, apartado 3, del Reglamento (UE) 2024/1689). Estas prohibiciones están en vigor desde el 2 de febrero de 2025. Para las empresas por debajo del umbral de pyme, el Artículo 99, apartado 6, limita la multa al menor del porcentaje o el importe fijo.

¿Necesitamos una evaluación de impacto relativa a los derechos fundamentales del Artículo 27 para la moderación de contenidos?

En la mayoría de los casos, no. El Artículo 27 se aplica a los responsables del despliegue que son organismos públicos o que despliegan sistemas en las categorías de solvencia (Anexo III, punto 5, letra b)) o de seguros de vida y salud (punto 5, letra c)). Una plataforma del sector privado que despliega un sistema de moderación de contenidos no entra en esas categorías, por lo que no se exige EIDF. Si la plataforma es un organismo público que utiliza la moderación en un contexto de servicio público, el análisis cambia — consulte directamente las condiciones del Artículo 27.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.