Volver al blogArquitectura de Agentes IA

Sistemas de IA de alto riesgo bajo la Ley de IA de la UE

GuruSup

Los sistemas de IA de alto riesgo están en el centro del marco regulatorio de la Ley de IA de la UE. Son legales de desplegar pero llevan la carga de cumplimiento más pesada: gestión de riesgos, documentación técnica, gobernanza de datos, supervisión humana, registro y evaluación de conformidad. Equivocarse en esta clasificación, en cualquier dirección, cuesta dinero.

Clasifica demasiado bajo y te enfrentas a sanciones. Clasifica demasiado alto y gastas recursos en cumplimiento innecesario. Esta guía cubre exactamente qué califica como alto riesgo y qué exige la designación.

Dos vías hacia la clasificación de alto riesgo

Vía 1: IA en productos regulados (Anexo I)

Si tu sistema de IA es un componente de seguridad de un producto cubierto por legislación de armonización existente de la UE, o si el propio sistema de IA es dicho producto, es de alto riesgo. Esto cubre IA en:

  • Dispositivos médicos (Reglamento 2017/745)
  • Dispositivos de diagnóstico in vitro (Reglamento 2017/746)
  • Vehículos a motor (Reglamento 2019/2144)
  • Aviación (Reglamento 2018/1139)
  • Maquinaria (Reglamento 2023/1230)
  • Juguetes, ascensores, equipos a presión, equipos de radio

Estos sistemas siguen los procedimientos existentes de marcado CE, actualizados para incorporar requisitos específicos de IA. Aplicación completa para sistemas del Anexo I: 2 de agosto de 2027.

Vía 2: Casos de uso de alto riesgo independientes (Anexo III)

Ocho categorías de sistemas de IA que son de alto riesgo independientemente del producto en el que funcionen:

1. Biometría

Sistemas de identificación biométrica remota (no en tiempo real en espacios públicos, que está prohibido). Sistemas que categorizan personas basándose en datos biométricos.

2. Infraestructuras críticas

IA gestionando u operando como componentes de seguridad de: tráfico rodado, suministro de agua, gas, calefacción, electricidad e infraestructura digital. Un sistema de IA que optimiza la distribución de carga de la red eléctrica cae aquí.

3. Educación y formación profesional

Sistemas que determinan acceso a la educación, evalúan resultados de aprendizaje, valoran niveles educativos adecuados o monitorizan comportamientos prohibidos durante exámenes. Una herramienta de supervisión de exámenes por IA es de alto riesgo.

4. Empleo y gestión de trabajadores

IA en contratación (filtrado de currículos, evaluación de entrevistas), decisiones de promoción y despido, asignación de tareas basada en características individuales y monitorización del rendimiento. Esta es una de las categorías más relevantes comercialmente.

5. Acceso a servicios esenciales

IA que evalúa solvencia crediticia, fija primas de seguros o evalúa reclamaciones de seguros, prioriza el despacho de servicios de emergencia o evalúa la elegibilidad para beneficios y servicios públicos.

Para equipos de atención al cliente: si tu IA decide si conceder o denegar acceso a un servicio esencial sin revisión humana, cae aquí.

6. Aplicación de la ley

Sistemas de evaluación de riesgos individuales, polígrafos y herramientas de detección similares, evaluación de fiabilidad de pruebas, análisis criminal y elaboración de perfiles de personas físicas.

7. Migración, asilo y control de fronteras

IA que evalúa solicitudes de visado y asilo, sistemas de vigilancia fronteriza y herramientas de evaluación de riesgos para migración irregular.

8. Administración de justicia y procesos democráticos

IA que asiste a autoridades judiciales en la investigación de hechos e interpretación del derecho. Sistemas de IA que podrían influir en resultados electorales.

La cláusula de excepción

No todo sistema del Anexo III se queda automáticamente como alto riesgo. La ley incluye una excepción: un sistema del Anexo III no es de alto riesgo si:

  • Realiza una tarea procedimental limitada (conversión de datos, formateo)
  • Mejora el resultado de una actividad humana previamente completada
  • Detecta patrones de toma de decisiones sin reemplazar la evaluación humana
  • Realiza una tarea preparatoria para una evaluación listada en el Anexo III

Y el sistema de IA no supone un riesgo significativo de daño a la salud, seguridad o derechos fundamentales. Esta excepción requiere documentación. No puedes simplemente afirmar que aplica; debes demostrar por qué.

Obligaciones del proveedor para sistemas de alto riesgo

Los proveedores llevan la carga más pesada. Antes de introducir un sistema de alto riesgo en el mercado:

  • Implementar un sistema de gestión de riesgos (Artículo 9)
  • Cumplir los requisitos de gobernanza de datos (Artículo 10)
  • Crear y mantener documentación técnica (Artículo 11)
  • Incorporar registro automático (Artículo 12)
  • Garantizar transparencia hacia los implementadores (Artículo 13)
  • Diseñar para supervisión humana efectiva (Artículo 14)
  • Alcanzar precisión, robustez y ciberseguridad adecuadas (Artículo 15)
  • Completar la evaluación de conformidad y obtener el marcado CE
  • Registrarse en la base de datos de la UE

Nuestro checklist de cumplimiento desglosa cada uno de estos en pasos concretos.

Obligaciones del implementador

Los implementadores (organizaciones que usan IA de alto riesgo) también tienen requisitos:

  • Usar el sistema según las instrucciones del proveedor
  • Garantizar supervisión humana por individuos competentes y formados
  • Monitorizar el funcionamiento del sistema y reportar fallos al proveedor
  • Realizar una Evaluación de Impacto en la Protección de Datos cuando lo exija el RGPD (consulta Ley de IA vs RGPD)
  • Informar a los individuos afectados de que están sujetos a toma de decisiones por IA de alto riesgo
  • Conservar los registros generados por el sistema durante al menos 6 meses

Proceso de evaluación de conformidad

La mayoría de sistemas del Anexo III pasan por autoevaluación siguiendo el procedimiento del Anexo VI de la regulación. El proveedor evalúa su propio cumplimiento, prepara una declaración de conformidad y coloca el marcado CE.

Excepción: los sistemas de identificación biométrica requieren evaluación por tercero por un organismo notificado.

Los sistemas del Anexo I siguen el procedimiento de evaluación de conformidad de su legislación de producto específica, incorporando ahora los requisitos de IA.

Tras cualquier modificación sustancial de un sistema de alto riesgo, la evaluación de conformidad debe repetirse.

Cronograma

Los requisitos de alto riesgo para sistemas del Anexo III son exigibles desde el 2 de agosto de 2026. Para sistemas del Anexo I, el 2 de agosto de 2027. Consulta el cronograma completo de la Ley de IA para todas las fechas.

Para el resumen regulatorio general, empieza con nuestro resumen de la Ley de IA.

Explorar más

Comparativas IA 2026

ChatGPT vs Claude vs Gemini vs DeepSeek — precios, rendimiento y mejores usos

Ver el producto

Explora cómo nuestros agentes IA gestionan soporte, ventas y ops

Chatbot IA

Despliega chatbots inteligentes que resuelven consultas de forma autónoma

Artículos relacionados