Esta es la pregunta mas importante de la Ley de IA de la UE: ¿es tu sistema de IA de alto riesgo?

Si la respuesta es si, necesitas tener un paquete de cumplimiento completo — gestion de riesgos, documentacion tecnica, evaluacion de conformidad, supervision humana, monitorizacion post-mercado — listo para el 2 de agosto de 2026. Si la respuesta es no, tus obligaciones son mucho mas ligeras.

El problema es que el marco de clasificacion no siempre es sencillo. La Comision Europea estaba legalmente obligada a publicar directrices practicas sobre la clasificacion de alto riesgo antes del 2 de febrero de 2026. No cumplio ese plazo. Las directrices finales se esperan ahora para marzo o abril de 2026, dejando a las empresas navegando el reglamento por su cuenta.

Asi es como funciona realmente la clasificacion.

Dos vias hacia el alto riesgo

El Articulo 6 de la Ley de IA define dos vias independientes. Tu sistema es de alto riesgo si entra en cualquiera de las dos.

Via 1: Seguridad de productos (Anexo I)

Si tu sistema de IA es un componente de seguridad de un producto — o es el producto en si — cubierto por la legislacion de seguridad de productos de la UE (dispositivos medicos, maquinaria, juguetes, vehiculos, ascensores, aviacion), y ese producto requiere una evaluacion de conformidad por terceros, el sistema de IA es automaticamente de alto riesgo.

Esta via aplica a partir del 2 de agosto de 2027 (un ano despues que los sistemas del Anexo III).

Via 2: Alto riesgo independiente (Anexo III)

Esta es la via que preocupa a la mayoria de empresas de IA ahora mismo. El Anexo III enumera ocho dominios. Si tu sistema de IA esta destinado a usarse en cualquiera de estas areas, se presume de alto riesgo:

Dominio Ejemplos
1. Biometria Identificacion biometrica remota, categorizacion biometrica, reconocimiento de emociones
2. Infraestructura critica IA gestionando redes electricas, suministro de agua, sistemas de transporte, redes digitales
3. Educacion Decisiones de admision, calificacion, supervision de examenes, evaluacion del aprendizaje
4. Empleo Seleccion de CVs, clasificacion de candidatos, asignacion de tareas, monitorizacion del rendimiento, decisiones de despido
5. Servicios esenciales Puntuacion crediticia, precios de seguros, elegibilidad para prestaciones sociales, triaje de llamadas de emergencia
6. Aplicacion de la ley Evaluacion de fiabilidad de pruebas, perfilado de riesgo, prediccion de reincidencia
7. Migracion y fronteras Evaluacion de solicitudes de asilo, evaluacion de riesgos en fronteras, deteccion de migracion irregular
8. Justicia y democracia IA que asiste a jueces en la interpretacion de la ley, herramientas para influir en elecciones

La clasificacion se basa en el proposito previsto, no en la capacidad tecnica. El mismo modelo de procesamiento de lenguaje natural puede ser de riesgo minimo o alto riesgo dependiendo de para que se utilice.

La excepcion: Articulo 6(3)

No todo sistema de IA que toque un dominio del Anexo III es automaticamente de alto riesgo. El Articulo 6(3) ofrece una via de escape: un sistema no es de alto riesgo si no plantea un riesgo significativo de dano y no influye materialmente en los resultados de la toma de decisiones.

Para calificar, tu sistema debe cumplir al menos una de estas condiciones:

  1. Tarea procedimental limitada — ordena documentos, convierte formatos u organiza datos sin evaluar individuos (ej: extraer datos de contacto de CVs sin clasificar candidatos)
  2. Mejora una actividad humana completada — refina o pule trabajo ya realizado por una persona (ej: reescribir texto para mejorar la claridad o el tono)
  3. Detecta patrones para revision humana — senala anomalias sin actuar por su cuenta (ej: senalar calificaciones atipicas para que un profesor las revise)
  4. Tarea preparatoria — maneja una funcion de apoyo como traduccion o gestion de archivos para una evaluacion que hara un humano

Pero hay una excepcion absoluta: si tu sistema realiza perfilado de personas fisicas — es decir, evalua aspectos de un individuo como rendimiento laboral, situacion economica, salud, preferencias, fiabilidad, comportamiento o ubicacion — es siempre de alto riesgo, sin importar si cumple las condiciones anteriores.

Esta es la linea que hace tropezar a la mayoria de empresas. Un analizador de CVs que extrae fechas de graduacion no es de alto riesgo. En el momento en que clasifica candidatos o recomienda a quien entrevistar, es perfilado, y es de alto riesgo.

Debes documentar la excepcion

Si reclamas la excepcion del Articulo 6(3), estas obligado bajo el Articulo 6(4) a preparar una evaluacion por escrito explicando por que tu sistema califica — antes de ponerlo en el mercado. Las autoridades nacionales pueden solicitar esta documentacion en cualquier momento. Tambien debes registrar el sistema bajo el Articulo 49(2).

Reclamar la excepcion sin documentacion es en si mismo una violacion del cumplimiento.

Ejemplos reales

Claramente de alto riesgo:

  • Una plataforma de contratacion que puntua y clasifica candidatos
  • Un algoritmo de puntuacion crediticia usado por un banco para decisiones de prestamos
  • Una IA de imagen medica que recomienda diagnosticos
  • Un sistema de IA que evalua el rendimiento de estudiantes en examenes
  • Un sistema de deteccion de fraude que congela cuentas automaticamente
  • Una herramienta de IA que asiste a jueces en investigacion legal

No es de alto riesgo (pero a menudo se malinterpreta):

  • Una herramienta de transcripcion que convierte notas de voz medicas a texto (tarea procedimental limitada)
  • Un filtro de spam (tarea procedimental, sin perfilado)
  • Un analizador de CVs que extrae datos de contacto sin clasificar (tarea procedimental)
  • Un panel de analitica interno que informa estrategia empresarial sin decisiones a nivel individual
  • Un corrector gramatical con IA (mejora actividad humana completada)

Zonas grises que necesitan analisis cuidadoso:

  • Un chatbot de atencion al cliente — no es de alto riesgo a menos que tome decisiones sobre acceso a servicios esenciales
  • Una IA que senala interacciones medicamentosas — depende de si solo alerta al farmaceutico o realmente bloquea recetas
  • Un sistema de prediccion de mantenimiento — depende de si controla directamente funciones criticas de seguridad

Errores comunes de clasificacion

Habiendo trabajado extensamente con el reglamento, estos son los errores que veo mas frecuentemente:

  1. Clasificar demasiado tarde. La clasificacion debe hacerse durante el diseno del sistema, no despues del desarrollo. Adaptar el cumplimiento a un sistema terminado es mucho mas caro y puede requerir cambios arquitectonicos.

  2. Subestimar que cuenta como perfilado. Cualquier evaluacion de caracteristicas individuales — puntuacion de rendimiento, prediccion de comportamiento, evaluacion de personalidad — activa la excepcion del perfilado. Esto atrapa mas sistemas de los que la gente espera.

  3. Asumir que la geografia protege. La Ley de IA aplica segun donde se usa el sistema, no donde se construyo. Una empresa estadounidense que vende una herramienta de contratacion con IA a empresas de la UE esta dentro del ambito.

  4. No documentar la excepcion. Aunque tu sistema genuinamente califique bajo el Articulo 6(3), necesitas la evaluacion escrita antes de ponerlo en el mercado. Sin documentacion significa incumplimiento.

  5. Tratar la clasificacion como algo unico. La clasificacion debe reevaluarse cuando cambia el proposito previsto, cuando se hacen modificaciones significativas, o cuando la Comision actualiza el Anexo III (lo que puede hacer mediante actos delegados bajo el Articulo 7).

  6. Ignorar la reclasificacion del lado del operador. Puedes suministrar un sistema como no alto riesgo, pero si un cliente lo usa para un proposito del Anexo III, alguien necesita asumir las obligaciones de proveedor.

¿Y el Digital Omnibus?

La propuesta Digital Omnibus podria potencialmente retrasar la aplicacion de las obligaciones de alto riesgo si los estandares armonizados no estan listos para agosto de 2026. Pero la clasificacion en si no cambia — tu sistema es de alto riesgo o no lo es. El Omnibus solo afecta cuando debes cumplir completamente, no si necesitas cumplir.

Un cambio notable en la propuesta: los proveedores que reclamen la excepcion del Articulo 6(3) ya no necesitarian registrar esos sistemas en la base de datos de la UE. El EDPB ha desaconsejado este cambio, argumentando que socavaria la rendicion de cuentas.

Evaluacion de conformidad: ¿autoevaluacion o terceros?

Buenas noticias para la mayoria de empresas: el mecanismo por defecto para sistemas del Anexo III es la autoevaluacion (control interno bajo el Anexo VI). Realizas tu propia evaluacion, firmas una declaracion de conformidad de la UE y aplicas el marcado CE.

La evaluacion por terceros por un organismo notificado solo se requiere en dos casos:

  • Tu sistema realiza identificacion biometrica remota (siempre requiere terceros)
  • No has aplicado los estandares armonizados o especificaciones comunes relevantes

Como los estandares armonizados todavia se estan desarrollando (los organismos de normalizacion no cumplieron sus plazos de 2025), esta segunda condicion puede afectar a mas empresas de lo esperado.

Que hacer ahora

  1. Clasifica tu sistema. Revisa los dominios del Anexo III y determina si tu proposito previsto esta dentro del ambito. Si no estas seguro, la herramienta gratuita de clasificacion de riesgo de Annexa puede guiarte a traves de la clasificacion en minutos — sin registro necesario.

  2. Si reclamas el Articulo 6(3), documentalo. Escribe la evaluacion ahora. Explica que condicion cumple tu sistema y por que no aplica el perfilado. Esta documentacion debe existir antes de poner el sistema en el mercado.

  3. Si eres de alto riesgo, empieza tu documentacion del Anexo IV. Los requisitos de documentacion tecnica cubren siete secciones: descripcion del sistema, metodologia de desarrollo, gobernanza de datos, pruebas, metricas de rendimiento, supervision humana y monitorizacion. Empezar ahora te da seis meses — ajustado pero alcanzable.

  4. No esperes a las directrices de la Comision. Llegan tarde y puede que no lleguen hasta abril de 2026. El texto del reglamento y el Anexo III son lo suficientemente claros para clasificar la mayoria de sistemas hoy.

La AESIA de Espana ya ha publicado 16 documentos de orientacion que cubren evaluacion de conformidad, gestion de riesgos, gobernanza de datos y documentacion tecnica. Si necesitas orientacion practica mientras esperas a la Comision, empieza por ahi.