Sistemas de IA de alto riesgo: La lista completa del Reglamento de IA
Introducción
La clasificación de un sistema de inteligencia artificial como "de alto riesgo" es la determinación más consecuente que una organización debe realizar bajo el Reglamento (UE) 2024/1689 (Reglamento de IA). Un sistema clasificado como de alto riesgo queda sujeto a un conjunto extenso de obligaciones que abarcan desde la documentación técnica hasta la supervisión humana, pasando por evaluaciones de conformidad y vigilancia poscomercialización. Errar en esta clasificación - ya sea por exceso o por defecto - tiene implicaciones directas: costes innecesarios de cumplimiento o, peor aún, sanciones que pueden alcanzar los 15 millones de euros o el 3 % de la facturación global.
Este artículo desglosa de forma exhaustiva las ocho categorías del Anexo III, proporciona ejemplos concretos de sistemas que caen dentro de cada una y explica las obligaciones específicas que se derivan de la clasificación.
Cómo se determina el alto riesgo: Artículo 6
Antes de examinar la lista del Anexo III, es fundamental comprender el mecanismo de clasificación del Artículo 6, que establece dos vías por las que un sistema de IA puede ser considerado de alto riesgo:
Vía 1: Sistemas de IA como componentes de seguridad (Artículo 6.1)
Un sistema de IA es de alto riesgo si cumple dos condiciones simultáneas:
- Está destinado a ser utilizado como componente de seguridad de un producto regulado por la legislación de armonización de la UE enumerada en el Anexo I (directivas de maquinaria, juguetes, dispositivos médicos, aviación civil, etc.).
- Dicho producto debe someterse a una evaluación de conformidad por parte de un tercero para su comercialización.
Vía 2: Sistemas de IA del Anexo III (Artículo 6.2)
Un sistema de IA es de alto riesgo si está incluido en alguna de las ocho categorías del Anexo III. Sin embargo, el Artículo 6.3 introduce una excepción importante: un sistema no se considerará de alto riesgo si no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales de las personas, incluido el de no influir materialmente en el resultado de la toma de decisiones.
Esta excepción se aplica cuando el sistema de IA:
- Realiza una tarea procedimental limitada
- Mejora el resultado de una actividad humana completada previamente
- Detecta patrones de toma de decisiones sin sustituir la evaluación humana
- Realiza una tarea preparatoria para una evaluación pertinente
Atención: quien invoque esta excepción debe documentarlo y notificarlo a la autoridad nacional competente antes de la comercialización.
Las 8 categorías del Anexo III: análisis detallado
1. Identificación biométrica y categorización de personas físicas
Artículos de referencia: Anexo III, punto 1
Sistemas incluidos:
- Sistemas de identificación biométrica remota (no en tiempo real)
- Sistemas de categorización biométrica que clasifican a personas por atributos sensibles (raza, opiniones políticas, afiliación sindical, creencias religiosas, orientación sexual)
- Sistemas de reconocimiento de emociones en el lugar de trabajo y en centros educativos
Ejemplos prácticos:
- Software de verificación de identidad facial en procesos de alta de clientes (KYC)
- Sistemas que clasifican candidatos de empleo por características inferidas de datos biométricos
- Herramientas de análisis de sentimientos basadas en expresiones faciales en entornos laborales
Lo que NO se incluye:
- Sistemas de verificación biométrica uno a uno utilizados exclusivamente para confirmar la identidad de una persona que ha dado su consentimiento (por ejemplo, desbloqueo facial de un dispositivo personal)
2. Gestión y explotación de infraestructuras críticas
Artículos de referencia: Anexo III, punto 2
Sistemas incluidos:
- Sistemas de IA destinados a ser utilizados como componentes de seguridad en la gestión del tráfico rodado, el suministro de agua, gas, calefacción o electricidad
- Sistemas de IA para la gestión del tráfico aéreo y ferroviario (excluyendo los previstos en el Anexo I)
Ejemplos prácticos:
- Algoritmos de optimización de redes eléctricas inteligentes (smart grids)
- Sistemas de gestión predictiva de infraestructuras de agua potable
- Software de control de tráfico urbano basado en IA
- Sistemas de predicción de demanda energética para operadores de redes
Consideración clave: Si el fallo de estos sistemas puede poner en peligro la vida o la salud de las personas, la clasificación como alto riesgo es inequívoca.
3. Educación y formación profesional
Artículos de referencia: Anexo III, punto 3
Sistemas incluidos:
- Sistemas para determinar el acceso o la admisión de personas a instituciones educativas
- Sistemas para evaluar los resultados de aprendizaje, incluida la determinación del nivel de educación adecuado
- Sistemas para supervisar y detectar comportamientos prohibidos durante exámenes
- Sistemas para evaluar el nivel de educación apropiado para una persona
Ejemplos prácticos:
- Plataformas de admisión universitaria que utilizan IA para filtrar candidatos
- Software de proctoring (vigilancia de exámenes en línea) con detección de comportamientos sospechosos
- Sistemas de evaluación automatizada de ensayos o trabajos académicos
- Herramientas de orientación vocacional basadas en IA que determinan itinerarios formativos
4. Empleo, gestión de trabajadores y acceso al autoempleo
Artículos de referencia: Anexo III, punto 4
Sistemas incluidos:
- Sistemas para la contratación o selección de personas (publicación de ofertas, cribado de candidaturas, evaluación de candidatos, realización de entrevistas)
- Sistemas para tomar decisiones que afecten a las condiciones laborales (promociones, despidos, asignación de tareas, supervisión del rendimiento)
Ejemplos prácticos:
- Sistemas de cribado automático de CV (Applicant Tracking Systems con IA)
- Herramientas de entrevistas por vídeo con análisis automatizado
- Software de gestión de rendimiento que recomienda promociones o despidos
- Algoritmos de asignación de turnos o tareas basados en perfiles de empleados
- Sistemas de monitorización de productividad con IA
Este es uno de los ámbitos más amplios. Cualquier herramienta de IA que influya en decisiones sobre la vida laboral de las personas queda potencialmente incluida.
5. Acceso a servicios esenciales y prestaciones públicas, y disfrute de los mismos
Artículos de referencia: Anexo III, punto 5
Sistemas incluidos:
- Sistemas para evaluar la elegibilidad de personas para prestaciones y servicios públicos, así como para conceder, reducir, revocar o reclamar dichos servicios
- Sistemas para evaluar la solvencia crediticia de personas (excepto detección de fraude financiero)
- Sistemas para la evaluación de riesgos y la fijación de precios en seguros de vida y de salud
- Sistemas para evaluar y clasificar llamadas de emergencia o para el envío de servicios de primera intervención (policía, bomberos, asistencia médica, servicios de triaje de pacientes)
Ejemplos prácticos:
- Modelos de credit scoring para concesión de préstamos al consumo
- Algoritmos de pricing en seguros de vida basados en datos de salud
- Sistemas de triaje en urgencias hospitalarias asistido por IA
- Plataformas de evaluación automatizada de solicitudes de ayudas sociales
Nota importante para el sector financiero: Los sistemas de detección de fraude financiero quedan explícitamente excluidos de esta categoría, pero los sistemas de credit scoring SÍ están incluidos.
6. Aplicación de la ley
Artículos de referencia: Anexo III, punto 6
Sistemas incluidos:
- Sistemas para evaluar el riesgo de que una persona se convierta en víctima de delitos
- Polígrafos o herramientas similares para detectar el estado emocional de personas
- Sistemas para evaluar la fiabilidad de pruebas en investigaciones penales
- Sistemas para evaluar el riesgo de que una persona cometa o reincida en delitos (perfilado)
- Sistemas para la elaboración de perfiles de personas en el contexto de la detección, investigación o enjuiciamiento de infracciones penales
Ámbito: Esta categoría afecta principalmente a organismos públicos y fuerzas de seguridad, pero también a empresas privadas que desarrollen estas herramientas para su uso por las autoridades.
7. Gestión de la migración, el asilo y el control de fronteras
Artículos de referencia: Anexo III, punto 7
Sistemas incluidos:
- Polígrafos y herramientas similares
- Sistemas para evaluar riesgos (seguridad, migración irregular, salud) de personas que deseen entrar en un Estado miembro
- Sistemas para verificar la autenticidad de documentos de viaje
- Sistemas para asistir en el examen de solicitudes de asilo, visado y permisos de residencia
8. Administración de justicia y procesos democráticos
Artículos de referencia: Anexo III, punto 8
Sistemas incluidos:
- Sistemas para asistir a autoridades judiciales en la investigación e interpretación de hechos y la aplicación del Derecho
- Sistemas para influir en el resultado de una elección o referéndum, o en el comportamiento de voto de las personas (excluyendo herramientas de organización, optimización y estructuración de campañas políticas que no interactúan directamente con personas)
Obligaciones para sistemas de alto riesgo: resumen ejecutivo
Una vez clasificado un sistema como de alto riesgo, se activan las siguientes obligaciones:
| Obligación | Artículo | Resumen |
|---|---|---|
| Gestión de riesgos | Art. 9 | Sistema continuo de identificación, análisis y mitigación de riesgos |
| Gobernanza de datos | Art. 10 | Criterios de calidad para datos de entrenamiento, validación y prueba |
| Documentación técnica | Art. 11 | Descripción completa del sistema antes de su comercialización |
| Registro de actividades | Art. 12 | Funciones de logging automático durante el ciclo de vida |
| Transparencia | Art. 13 | Instrucciones de uso claras para los implementadores |
| Supervisión humana | Art. 14 | Diseño que permita la intervención humana efectiva |
| Exactitud y robustez | Art. 15 | Niveles adecuados de precisión, robustez y ciberseguridad |
| Sistema de calidad | Art. 17 | Solo proveedores: sistema de gestión de calidad documentado |
| Evaluación de conformidad | Art. 43 | Evaluación previa a la comercialización |
| Declaración de conformidad | Art. 47 | Declaración formal del proveedor |
| Marcado CE | Art. 48 | Marcado visible en el sistema o documentación |
| Registro UE | Art. 49 | Inscripción en la base de datos de la UE |
Cómo realizar la clasificación en la práctica
La clasificación de riesgos no es un ejercicio puntual. Debe revisarse periódicamente y documentarse de forma rigurosa. Recomendamos seguir este proceso:
- Inventario: Catalogue todos los sistemas de IA en uso o desarrollo.
- Mapeo funcional: Para cada sistema, identifique su finalidad prevista y el contexto de uso.
- Contraste con el Anexo III: Compare cada sistema con las ocho categorías.
- Evaluación de la excepción del Artículo 6.3: Si el sistema encaja en una categoría, evalúe si puede acogerse a la excepción.
- Documentación: Registre el resultado de la clasificación y los criterios utilizados.
- Revisión periódica: Actualice la clasificación cuando cambien las funciones o el contexto de uso del sistema.
Matproof automatiza gran parte de este proceso mediante su módulo de clasificación de riesgos de IA, que guía a las organizaciones paso a paso a través del análisis del Anexo III y genera la documentación necesaria. Puede comenzar con nuestra Evaluación gratuita de conformidad IA para obtener una primera valoración de sus sistemas.
Preguntas frecuentes
Q: ¿Un chatbot de atención al cliente es un sistema de alto riesgo?
A: Generalmente no. Un chatbot que responde consultas generales se clasifica como riesgo limitado bajo el Artículo 50, con la única obligación de informar al usuario de que está interactuando con un sistema de IA. Sin embargo, si el chatbot toma decisiones que afectan al acceso a servicios esenciales (por ejemplo, deniega una reclamación de seguro), podría clasificarse como alto riesgo bajo el punto 5 del Anexo III.
Q: ¿Los sistemas de IA internos que no se comercializan también están regulados?
A: Sí. El Reglamento se aplica tanto a proveedores como a implementadores. Si su organización utiliza internamente un sistema de IA de alto riesgo (por ejemplo, para la selección de personal), tiene obligaciones como implementador bajo el Artículo 26, independientemente de si el sistema ha sido desarrollado internamente o adquirido a un tercero.
Q: ¿Cómo afecta la clasificación a los sistemas de IA ya existentes?
A: Los sistemas de IA de alto riesgo que ya se hayan comercializado antes del 2 de agosto de 2026 deberán cumplir las nuevas obligaciones si se modifican sustancialmente después de esa fecha. Los sistemas que no se modifiquen no están exentos si se siguen comercializando o poniendo en servicio.
Q: ¿Puede un sistema pasar de alto riesgo a riesgo limitado?
A: Sí, si cambia su finalidad prevista de modo que ya no encaje en ninguna categoría del Anexo III. Sin embargo, este cambio debe documentarse y comunicarse a la autoridad competente. Del mismo modo, una modificación sustancial puede hacer que un sistema previamente no regulado pase a ser de alto riesgo.
Q: ¿Quién decide si un sistema es de alto riesgo, la empresa o la autoridad reguladora?
A: La clasificación inicial es responsabilidad del proveedor. Sin embargo, las autoridades nacionales de supervisión tienen potestad para revisar y cuestionar esa clasificación. Si un proveedor invoca la excepción del Artículo 6.3 para excluir un sistema del alto riesgo, debe notificarlo a la autoridad competente, que puede rebatir esa decisión.
Q: ¿Los sistemas de IA generativa (como GPT) son de alto riesgo?
A: Los modelos de IA de propósito general (GPAI) como GPT están regulados por el Capítulo V del Reglamento, no por el Anexo III. Tienen obligaciones propias (documentación, transparencia, política de derechos de autor). Sin embargo, si un sistema construido sobre un GPAI se utiliza para una finalidad de alto riesgo (por ejemplo, evaluar la solvencia crediticia), el sistema resultante sí se clasificaría como de alto riesgo.
Conclusión
La clasificación de riesgos es el punto de partida de todo el proceso de cumplimiento del Reglamento de IA. Una clasificación incorrecta puede acarrear sanciones severas o inversiones innecesarias. Dedique el tiempo necesario a analizar cada sistema de IA de su organización a la luz de los criterios del Artículo 6 y el Anexo III, y documente cada decisión de forma rigurosa.
Si desea una evaluación preliminar automatizada de sus sistemas, comience con la Evaluación gratuita de conformidad IA de Matproof. Para gestionar todo el ciclo de cumplimiento del Reglamento de IA, pruebe Matproof de forma gratuita.