Sistemas de IA de alto riesgo del Reglamento de IA de la UE: Guía completa de clasificación
Los sistemas de IA de alto riesgo en el marco del Reglamento de IA de la UE son sistemas de IA clasificados en una de las 8 categorías del Anexo III — que abarcan biometría, infraestructuras críticas, educación, empleo, servicios esenciales (incluidos la puntuación crediticia y los seguros), las fuerzas del orden, la migración y la justicia — o sistemas de IA que son componentes de seguridad de productos regulados por la legislación de seguridad de productos de la UE existente que figura en el Anexo I. Estos sistemas deben cumplir 14 obligaciones obligatorias del proveedor en virtud de los Art. 9–15 antes del 2 de agosto de 2026, incluidas la gestión de riesgos, la gobernanza de datos, la documentación técnica y la evaluación de conformidad, con multas de hasta 15 millones de euros o el 3% del volumen de negocio anual mundial por incumplimiento (Art. 99). La Comisión Europea estima que el 15% de todos los sistemas de IA en la UE serán clasificados como de alto riesgo según estas disposiciones — aproximadamente 300.000 sistemas.
Esta guía proporciona el desglose definitivo de cada categoría de alto riesgo, explica ambas vías de clasificación, detalla todas las obligaciones e incluye un diagrama de decisión para determinar si tu sistema de IA está afectado.
Realiza la evaluación gratuita de preparación para el AI Act para clasificar tus sistemas de IA de forma interactiva.
Dos vías hacia la clasificación de alto riesgo (Art. 6)
El Reglamento de IA define los sistemas de IA de alto riesgo a través de dos vías distintas en virtud del Artículo 6.
Vía 1: Legislación de seguridad de productos (Art. 6(1), Anexo I)
Sistemas de IA que son componentes de seguridad de productos cubiertos por la legislación de armonización de la UE que figura en el Anexo I — incluidos maquinaria, juguetes, productos sanitarios, aviación civil, vehículos de motor, equipos marinos, sistemas ferroviarios y equipos de protección individual. Estos sistemas de IA deben someterse a una evaluación de conformidad en virtud de la legislación de productos pertinente.
Ejemplo: Un sistema de IA que controla el frenado en vehículos autónomos es un componente de seguridad en virtud del Reglamento de Vehículos de Motor.
Vía 2: Alto riesgo autónomo (Art. 6(2), Anexo III)
Sistemas de IA listados en el Anexo III en 8 categorías de uso. Estas son clasificaciones autónomas de alto riesgo basadas en el propósito previsto del sistema de IA.
La excepción del Art. 6(3)
Un sistema de IA listado en el Anexo III no es de alto riesgo si:
- No presenta un riesgo significativo de daño para la salud, la seguridad o los derechos fundamentales
- No influye materialmente en el resultado de la toma de decisiones
- Está destinado a realizar una tarea procedimental limitada
- Está destinado a mejorar el resultado de una actividad humana previamente completada
- Está destinado a detectar patrones de toma de decisiones sin reemplazar la evaluación humana
Importante: Los proveedores que invoquen esta excepción deben documentar su evaluación antes de comercializar el sistema y notificar a la autoridad nacional competente correspondiente.
Las 8 categorías del Anexo III
Categoría 1: Identificación y categorización biométricas
Sistemas afectados:
- Sistemas de identificación biométrica remota (reconocimiento facial para identificación)
- Sistemas de categorización biométrica que clasifican a personas por atributos sensibles
- Sistemas de reconocimiento de emociones (cuando se usan en contextos que no caen bajo las prohibiciones del Art. 5)
Ejemplos del mundo real:
- Reconocimiento facial en aeropuertos para verificación de identidad
- Sistemas de monitorización de emociones de empleados (contextos limitados)
- Sistemas de estimación de edad en punto de venta
Distinción clave: La identificación biométrica en tiempo real en espacios públicos con fines policiales está prohibida en virtud del Art. 5, salvo en excepciones estrictas (terrorismo, niños desaparecidos, delitos específicos con autorización judicial).
Estadística: La Asociación Europea de Biometría estima que más de 12.000 sistemas de IA biométricos operan en la UE, de los cuales aproximadamente 3.000 probablemente se clasificarán como de alto riesgo.
Categoría 2: Gestión de infraestructuras críticas
Sistemas afectados:
- Sistemas de IA utilizados como componentes de seguridad en la gestión y operación de infraestructuras digitales críticas, tráfico rodado y suministro de agua/gas/calefacción/electricidad
Ejemplos del mundo real:
- IA que controla el equilibrio de carga de la red eléctrica
- IA de gestión del tráfico que optimiza la sincronización de semáforos
- Sistemas de IA que supervisan los procesos de tratamiento de aguas
- IA de mantenimiento predictivo para infraestructuras energéticas
Solapamiento regulatorio: Estos sistemas a menudo también caen bajo los requisitos de NIS2 para infraestructuras críticas y DORA para la infraestructura de mercados financieros.
Categoría 3: Educación y formación profesional
Sistemas afectados:
- IA que determina el acceso a o la asignación en instituciones educativas
- IA que evalúa los resultados de aprendizaje
- IA que evalúa los niveles de educación apropiados
- IA que supervisa comportamientos prohibidos durante los exámenes (proctoring)
Ejemplos del mundo real:
- IA de preselección de solicitudes universitarias
- Sistemas automatizados de calificación de ensayos
- Proctoring de exámenes con IA para detectar trampas
- Sistemas de predicción del rendimiento estudiantil
Estadística clave: Un estudio de la UNESCO de 2025 reveló que el 47% de las universidades europeas utilizan al menos un sistema de IA que se clasificaría como de alto riesgo en virtud del Anexo III.
Categoría 4: Empleo y gestión de trabajadores
Sistemas afectados:
- IA para reclutamiento y selección (cribado de CV, evaluación de entrevistas)
- IA que toma decisiones sobre promoción, despido o asignación de tareas
- IA que supervisa y evalúa el rendimiento y comportamiento de los trabajadores
- Sistemas de IA en relaciones laborales
Ejemplos del mundo real:
- Herramientas de filtrado de candidaturas
- Calificación de entrevistas en vídeo asistida por IA
- Análisis del rendimiento de empleados
- IA de optimización de la planificación de la plantilla
- Supervisión de productividad impulsada por IA
Estadística clave: LinkedIn informa que el 67% de los responsables de contratación europeos usan herramientas asistidas por IA, la mayoría de las cuales requerirán el cumplimiento de los Art. 9–15.
Categoría 5: Acceso a servicios esenciales
Sistemas afectados:
- IA que evalúa la elegibilidad para prestaciones de asistencia pública
- IA utilizada en la puntuación crediticia y la evaluación de la solvencia
- IA para la evaluación de riesgos y la fijación de precios en seguros de vida y salud
- IA para la priorización de despacho de servicios de emergencia
Ejemplos del mundo real:
- Modelos de puntuación crediticia de bancos
- Algoritmos de fijación de precios de riesgos de seguros
- Determinación de elegibilidad para prestaciones gubernamentales
- IA de priorización de despacho de emergencias
Esta es la categoría más amplia para los servicios financieros. Todos los bancos, aseguradoras y fintechs que utilicen IA para decisiones de crédito o fijación de precios deben cumplir.
Estadística clave: La ABE estima que más del 85% de los bancos de la UE utilizan IA en la evaluación del riesgo de crédito, lo que la convierte en la categoría más afectada por volumen.
Categoría 6: Fuerzas del orden
Sistemas afectados:
- IA que evalúa el riesgo de que una persona física cometa o reincida en un delito
- IA utilizada como polígrafo o herramientas similares
- IA que evalúa la fiabilidad de las pruebas
- IA que evalúa el riesgo de que una persona física sea víctima
Importante: La policía predictiva basada únicamente en la elaboración de perfiles está prohibida en virtud del Art. 5. Las herramientas de IA utilizadas por las fuerzas del orden con fines investigativos específicos pueden ser de alto riesgo en lugar de prohibidas.
Categoría 7: Migración, asilo y control fronterizo
Sistemas afectados:
- IA utilizada como polígrafo o para detección de emociones en fronteras
- IA que evalúa los riesgos que presentan las personas en los pasos fronterizos
- IA que asiste en el examen de solicitudes de asilo o visado
- IA utilizada para la verificación de identidad en contextos migratorios
Categoría 8: Administración de justicia y procesos democráticos
Sistemas afectados:
- IA que asiste a las autoridades judiciales en la investigación e interpretación de hechos y derecho
- IA que asiste a las autoridades judiciales en la aplicación del derecho a hechos concretos
- IA utilizada para influir en el resultado de elecciones o referéndums
Nota: Los sistemas de IA puramente para tareas administrativas (programación, gestión documental) no están cubiertos.
¿Es tu sistema de IA de alto riesgo? Diagrama de decisión
INICIO: Desarrollas/despliegas un sistema de IA en la UE
│
▼
¿Es un componente de seguridad de un producto del Anexo I?
│
├── SÍ → ALTO RIESGO (Vía 1)
│
└── NO
│
▼
¿Cae en alguna de las 8 categorías del Anexo III?
│
├── NO → No es de alto riesgo (verificar Art. 50 para transparencia)
│
└── SÍ
│
▼
¿Se aplica la excepción del Art. 6(3)?
(tarea procedimental limitada, sin riesgo significativo,
sin influencia material en las decisiones)
│
├── SÍ → No es de alto riesgo (documentar y notificar a la autoridad)
│
└── NO → ALTO RIESGO (Vía 2)
→ Debe cumplir Art. 9-15
→ Evaluación de conformidad requerida (Art. 43)
→ Registro en base de datos de la UE (Art. 49)
Obligaciones del proveedor para IA de alto riesgo (Art. 9–15)
| Obligación | Artículo | Resumen |
|---|---|---|
| Gestión de riesgos | Art. 9 | Identificación, análisis, evaluación y mitigación continua de riesgos |
| Gobernanza de datos | Art. 10 | Calidad de datos de entrenamiento, representatividad, examen de sesgos |
| Documentación técnica | Art. 11 | Documentación del Anexo IV antes de la comercialización |
| Mantenimiento de registros | Art. 12 | Registro automático de eventos, conservación mínima de 6 meses |
| Transparencia | Art. 13 | Instrucciones de uso proporcionadas a los deployers |
| Supervisión humana | Art. 14 | Diseño para supervisión e intervención humana efectiva |
| Precisión y robustez | Art. 15 | Niveles de precisión apropiados, resiliencia frente a errores y ataques |
| Gestión de la calidad | Art. 17 | Sistema de gestión de la calidad que cubra los procesos de cumplimiento |
| Evaluación de conformidad | Art. 43 | Autoevaluación (Anexo VI) o tercero (Anexo VII) |
| Declaración UE de conformidad | Art. 47 | Declaración formal conforme al Anexo V |
| Marcado CE | Art. 48 | Colocar el marcado CE en el sistema o la documentación |
| Registro | Art. 49 | Registro en la base de datos de la UE antes de la comercialización |
| Supervisión poscomercialización | Art. 72 | Sistema de supervisión proporcionado para los sistemas desplegados |
| Notificación de incidentes | Art. 73 | Notificar incidentes graves en un plazo de 15 días |
Obligaciones del deployer (Art. 26)
Los deployers (usuarios) de IA de alto riesgo también tienen obligaciones:
- Utilizar el sistema de acuerdo con las instrucciones de uso
- Asignar personal de supervisión humana competente
- Supervisar el funcionamiento del sistema y notificar los fallos
- Realizar una evaluación de impacto en la protección de datos cuando corresponda (vinculación con el RGPD Art. 35)
- Informar a las personas afectadas de que están sujetas a la toma de decisiones de IA de alto riesgo
Preguntas frecuentes
¿Cómo sé si mi sistema de IA es de alto riesgo?
Sigue el diagrama de decisión anterior. Primero comprueba si es un componente de seguridad de un producto del Anexo I. Luego comprueba si cae en alguna de las 8 categorías del Anexo III. Si es así, comprueba si se aplica la excepción del Art. 6(3). En caso de duda, clasifica como de alto riesgo — las consecuencias de una clasificación insuficiente son mucho más graves que el coste del cumplimiento.
¿Qué pasa si mi sistema de IA abarca varias categorías del Anexo III?
Solo necesita clasificarse como de alto riesgo una vez. Las obligaciones son las mismas independientemente de qué categoría desencadene la clasificación. Sin embargo, tu sistema de gestión de riesgos debe abordar los riesgos de todas las categorías aplicables.
¿Puede mi sistema de IA convertirse en de alto riesgo después del despliegue?
Sí. Si cambias el propósito previsto o el contexto de despliegue de un sistema de IA de tal manera que ahora cae dentro del Anexo III, se convierte en de alto riesgo y debe cumplir todas las obligaciones. Por eso es importante la supervisión continua y la revisión de la clasificación.
¿Cuál es la diferencia entre IA de alto riesgo e IA prohibida?
La IA prohibida (Art. 5) no puede usarse en absoluto — está completamente prohibida. La IA de alto riesgo (Art. 6, Anexo III) puede usarse pero debe cumplir requisitos de cumplimiento estrictos. La línea puede ser delgada: la policía predictiva basada únicamente en la elaboración de perfiles está prohibida, pero la IA que ayuda a investigaciones policiales específicas es de alto riesgo.
¿Cuánto cuesta el cumplimiento de IA de alto riesgo por sistema?
La Comisión Europea estima entre 6.000 y 7.500 euros para la configuración del sistema de gestión de riesgos y entre 3.000 y 7.500 euros para la evaluación de conformidad por sistema de IA de alto riesgo. Los costes totales de cumplimiento del primer año suelen oscilar entre 20.000 y 45.000 euros por sistema, aunque la automatización a través de plataformas como Matproof puede reducir esto entre un 40 y un 70%.