Clasificación de riesgos de la Ley de IA de la UE

La Ley de IA de la UE utiliza un enfoque basado en riesgos. No todos los sistemas de IA reciben el mismo tratamiento. Un filtro de spam y un algoritmo de contratación operan bajo reglas completamente distintas porque el potencial de daño es diferente. La regulación clasifica la IA en cuatro niveles, y tus obligaciones dependen de dónde caiga tu sistema.

Nivel 1: Riesgo inaceptable — Prohibido

Algunas aplicaciones de IA están prohibidas directamente. Sin excepciones, sin atajos, sin evaluación de conformidad que las haga aceptables. La prohibición entró en vigor el 2 de febrero de 2025.

Los sistemas prohibidos incluyen:

• Puntuación social por autoridades públicas que derive en trato perjudicial de individuos basado en su comportamiento social o características personales.
• Identificación biométrica remota en tiempo real en espacios accesibles al público por fuerzas del orden, con tres excepciones: búsqueda de menores desaparecidos, prevención de amenazas terroristas inminentes y localización de sospechosos de delitos graves específicos.
• Manipulación subliminal que explote las vulnerabilidades de una persona (edad, discapacidad, situación social) para distorsionar su comportamiento de forma dañina.
• Reconocimiento de emociones en el trabajo y la educación, excepto cuando sea necesario por motivos de seguridad o médicos.
• Recopilación indiscriminada de imágenes faciales de internet o circuitos cerrados de televisión para construir bases de datos de reconocimiento.

Si tu sistema hace alguna de estas cosas, detente. No existe una vía de cumplimiento.

Nivel 2: Riesgo alto — Regulación estricta

Aquí es donde la regulación tiene más peso. Los sistemas de alto riesgo son legales pero vienen con obligaciones extensas que cubren documentación, pruebas, monitorización y supervisión humana.

Dos vías colocan un sistema de IA en la categoría de alto riesgo:

Anexo I: IA en productos regulados

IA integrada en productos ya cubiertos por legislación de seguridad de la UE: dispositivos médicos, vehículos, juguetes, maquinaria, ascensores, sistemas de aviación. Estos pasan por procedimientos de evaluación de conformidad existentes, actualizados ahora para incluir requisitos específicos de IA.

Anexo III: Casos de uso de alto riesgo independientes

Ocho categorías de aplicaciones de IA:

1. Identificación y categorización biométrica de personas físicas (sistemas de identificación remota).
2. Gestión de infraestructuras críticas: IA controlando suministro de agua, gas, calefacción, electricidad o infraestructura digital.
3. Educación y formación profesional: sistemas que determinan acceso, admisión, asignan estudiantes a grupos o evalúan resultados de aprendizaje.
4. Empleo y gestión de trabajadores: herramientas de contratación, decisiones de promoción, asignación de tareas, monitorización del rendimiento, decisiones de despido.
5. Acceso a servicios esenciales: scoring crediticio, fijación de precios de seguros, priorización del despacho de servicios de emergencia.
6. Aplicación de la ley: evaluación de riesgos de individuos, sistemas de polígrafo, evaluación de fiabilidad de pruebas, predicción de delitos.
7. Migración y control de fronteras: evaluación de solicitudes de visado y asilo, vigilancia fronteriza, control de riesgos.
8. Justicia y procesos democráticos: IA que asiste a autoridades judiciales en la investigación de hechos, aplicación del derecho o influencia en resultados electorales.

Para detalles sobre las obligaciones de cumplimiento de estos sistemas, consulta nuestra guía de sistemas de IA de alto riesgo.

Nivel 3: Riesgo limitado — Solo transparencia

Los sistemas de riesgo limitado tienen una obligación principal: informar a las personas de que están interactuando con IA.

Esto se aplica a:

• Chatbots — los usuarios deben saber que hablan con una máquina, no con un humano. Lee nuestro desglose de requisitos para chatbots.
• Deepfakes y contenido generado por IA — deben etiquetarse como generados o manipulados artificialmente.
• Sistemas de reconocimiento de emociones — los usuarios deben ser informados de que se está realizando detección de emociones.

La mayoría de los chatbots de atención al cliente caen aquí. La obligación es directa: revelar la naturaleza de IA de la interacción en el punto de contacto.

Nivel 4: Riesgo mínimo — Sin obligaciones específicas

La gran mayoría de los sistemas de IA en uso hoy caen en esta categoría. Filtros de spam, motores de recomendación de contenido, gestión de inventario asistida por IA, modelos de predicción meteorológica, IA en videojuegos.

La regulación no impone requisitos específicos a estos sistemas. Las empresas pueden adoptar voluntariamente códigos de conducta, pero nada es obligatorio.

Cómo determinar el nivel de riesgo de tu sistema

Sigue esta secuencia:

1. ¿Tu sistema está en la lista de prohibidos? Si sí, no puedes desplegarlo.
2. ¿Está integrado en un producto cubierto por legislación del Anexo I de la UE? Si sí, es de alto riesgo.
3. ¿Cae en una de las ocho categorías del Anexo III? Si sí, es de alto riesgo. Pero nota: una nueva disposición permite que los sistemas del Anexo III escapen de la clasificación de alto riesgo si no representan un riesgo significativo de daño, no influyen materialmente en los resultados de las decisiones o cumplen una tarea preparatoria limitada.
4. ¿Interactúa directamente con personas, genera contenido sintético o detecta emociones? Si sí, es de riesgo limitado.
5. ¿Ninguna de las anteriores? Riesgo mínimo.

Ante la duda, clasifica hacia arriba. Las sanciones por equivocarse superan con creces el coste de un cumplimiento excesivo.

Qué viene después

Una vez que conozcas tu nivel de riesgo, el siguiente paso es asociarlo con obligaciones específicas. Nuestro checklist de cumplimiento recorre lo que requiere cada nivel. Para el calendario regulatorio más amplio, consulta el cronograma de implementación de la Ley de IA.

Para entender cómo encaja esto con las reglas de protección de datos existentes, lee Ley de IA vs RGPD.