AnuncioCronograma de implementación del EU AI Act: fechas clave para los implementadores
KLA Digital Logo
KLA Digital
EU AI Act6 de enero de 202620 min de lectura

Clasificación de la IA de alto riesgo en virtud del Reglamento Europeo de Inteligencia Artificial

La metodología definitiva de clasificación: dos vías hacia la calificación de alto riesgo, el marco de excepciones del artículo 6(3), la anulación por elaboración de perfiles que elimina todas las excepciones, y un proceso de clasificación paso a paso preparado para auditoría.

Antonella Serine

La clasificación de riesgos es la decisión más trascendental en el cumplimiento del Reglamento Europeo de Inteligencia Artificial. Una clasificación correcta permite seguir una ruta de cumplimiento definida con requisitos claros. Una clasificación incorrecta provoca fallos en cascada: ya sea malgastando recursos en obligaciones innecesarias o, mucho peor, descubriendo la exposición regulatoria solo después del despliegue. Con la entrada en vigor plena de los requisitos de alto riesgo el 2 de agosto de 2026, las organizaciones deben dominar este marco de clasificación desde ahora.

La arquitectura fundamental: dos vías hacia la clasificación de alto riesgo

El artículo 6 del Reglamento Europeo de IA establece dos vías independientes por las cuales un sistema de IA se convierte en sistema de alto riesgo. Comprender estas vías es esencial, ya que activan distintos plazos de cumplimiento y procedimientos de evaluación de conformidad.

  • Vía 1 (artículo 6(1)): Sistemas de IA destinados a ser utilizados como componentes de seguridad de productos cubiertos por la legislación de armonización del anexo I que requieren una evaluación de conformidad por terceros
  • Vía 2 (artículo 6(2)): Sistemas de IA desplegados en ocho categorías específicas de casos de uso del anexo III en las que el potencial de daño es intrínsecamente elevado

Vía 1: Componentes de seguridad en productos regulados

Un sistema de IA se clasifica automáticamente como de alto riesgo cuando se cumplen dos condiciones acumulativas. En primer lugar, el sistema de IA debe estar destinado a ser utilizado como componente de seguridad de un producto, o el propio sistema de IA debe ser un producto, cubierto por la legislación de armonización de la UE incluida en el anexo I. En segundo lugar, el producto debe estar sometido a una evaluación de conformidad por terceros en virtud de dicha legislación.

El anexo I abarca más de treinta directivas y reglamentos que cubren maquinaria, juguetes, el Reglamento de Productos Sanitarios, productos sanitarios para diagnóstico in vitro, aviación civil, vehículos de motor, equipos marinos, sistemas ferroviarios y más.

  • Robots quirúrgicos con IA cubiertos por el Reglamento de Productos Sanitarios
  • IA de vehículos autónomos para mantenimiento de carril y frenado de emergencia conforme a la normativa de seguridad vehicular
  • Sistemas de vuelo controlados por IA sujetos a las normas de seguridad aérea de la UE
  • Sistemas de IA que monitorizan la presión en plantas industriales en virtud de la legislación de seguridad de maquinaria

Vía 2: Las ocho categorías del anexo III

La segunda vía abarca los sistemas de IA desplegados en ocho categorías específicas de casos de uso en las que el potencial de daño a la salud, la seguridad o los derechos fundamentales se considera intrínsecamente elevado. Estas categorías operan con independencia de si el sistema de IA está integrado en un producto regulado.

  • Categoría 1 - Biometría: Identificación biométrica remota, categorización biométrica que infiere atributos sensibles, reconocimiento de emociones
  • Categoría 2 - Infraestructuras críticas: Componentes de seguridad en infraestructura digital, tráfico vial, suministro de agua, gas, calefacción y electricidad
  • Categoría 3 - Educación: Determinación de acceso y admisión, evaluación de resultados de aprendizaje, supervisión de exámenes
  • Categoría 4 - Empleo: Contratación, selección, promoción, despido, asignación de tareas, supervisión del rendimiento
  • Categoría 5 - Servicios esenciales: Elegibilidad para prestaciones públicas, evaluación de solvencia, tarificación de riesgos de seguros, triaje en el despacho de emergencias
  • Categoría 6 - Aplicación de la ley: Evaluación del riesgo de las víctimas, evaluación de la fiabilidad de las pruebas, evaluación del riesgo de reincidencia, elaboración de perfiles delictivos
  • Categoría 7 - Migración: Evaluación de riesgos para la entrada fronteriza, evaluación de solicitudes de asilo y visados, detección e identificación de personas
  • Categoría 8 - Justicia y democracia: Asistencia a la investigación judicial, herramientas de influencia en elecciones y referendos

El marco de excepciones: cuándo los sistemas del anexo III escapan del alto riesgo

El artículo 6(3) establece una vía de escape limitada para los sistemas que nominalmente entran en las categorías del anexo III pero que demostrablemente no plantean un riesgo significativo de daño. Esta excepción se aplica únicamente cuando el sistema de IA no plantea un riesgo significativo de daño a la salud, la seguridad o los derechos fundamentales, en particular al no influir materialmente en el resultado de la toma de decisiones.

  • Condición 1: El sistema de IA realiza una tarea procedimental limitada: funciones administrativas acotadas y bien definidas sin juicio discrecional
  • Condición 2: El sistema de IA mejora el resultado de una actividad humana previamente completada: análisis que ayuda a las personas a revisar su propio trabajo previo
  • Condición 3: El sistema de IA detecta patrones en la toma de decisiones sin sustituir ni influir en la evaluación humana sin una revisión adecuada
  • Condición 4: El sistema de IA realiza una tarea preparatoria para una evaluación pertinente: recopilación preliminar de datos que alimenta el juicio humano posterior

La anulación por elaboración de perfiles: la excepción que elimina todas las excepciones

Aquí es donde muchas organizaciones cometen errores de clasificación de graves consecuencias. El artículo 6(3) contiene una anulación absoluta: independientemente de que se cumplan las condiciones de excepción, un sistema de IA contemplado en el anexo III siempre se considerará de alto riesgo cuando el sistema de IA elabore perfiles de personas físicas.

La elaboración de perfiles se refiere a todo tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir el rendimiento profesional, la situación económica, la salud, las preferencias, los intereses, la fiabilidad, el comportamiento, la ubicación o los desplazamientos.

Esta anulación tiene implicaciones de gran alcance. Una herramienta de contratación podría realizar únicamente una tarea procedimental limitada de análisis de currículos, pero si evalúa a los candidatos para predecir su rendimiento laboral, elabora perfiles de personas físicas y es automáticamente de alto riesgo. Una herramienta de precalificación crediticia podría simplemente realizar evaluaciones preparatorias, pero si analiza datos personales para predecir la solvencia, elabora perfiles y es automáticamente de alto riesgo.

Metodología de clasificación paso a paso

Dada la complejidad del marco de clasificación, las organizaciones necesitan un enfoque sistemático que documente cada paso analítico para una clasificación preparada para auditoría.

  • Paso 1 - Determinación del alcance: Confirmar que el sistema cumple la definición de sistema de IA del artículo 3(1)
  • Paso 2 - Verificación de prácticas prohibidas: Comprobar que el sistema no está prohibido en virtud del artículo 5
  • Paso 3 - Análisis de la vía 1: Evaluar el estatus de componente de seguridad conforme a la legislación del anexo I
  • Paso 4 - Análisis de la vía 2: Contrastar la finalidad prevista con las ocho categorías del anexo III
  • Paso 5 - Análisis de excepciones: Si se aplica el anexo III, evaluar las condiciones del artículo 6(3)
  • Paso 6 - Verificación de la anulación por elaboración de perfiles: Determinar si el sistema elabora perfiles de personas físicas (elimina todas las excepciones)
  • Paso 7 - Documentación: Registrar el análisis completo de clasificación con la fundamentación correspondiente

Errores comunes de clasificación que se deben evitar

La experiencia en investigación y asesoramiento revela patrones recurrentes de errores de clasificación contra los que las organizaciones deben protegerse activamente.

  • Análisis centrado en la tecnología: La clasificación depende de la finalidad prevista, no de las capacidades tecnológicas subyacentes
  • Subestimar el alcance de la elaboración de perfiles: Todo sistema que procese datos personales para hacer predicciones sobre personas probablemente active la anulación
  • Asumir que la intervención humana elimina el alto riesgo: Si los resultados de la IA influyen significativamente en las decisiones humanas, el sistema sigue siendo de alto riesgo
  • Ignorar la evolución del caso de uso: Las adiciones de funcionalidades y la ampliación del despliegue pueden cruzar los umbrales de clasificación
  • Aplicar incorrectamente las excepciones sectoriales: Las excepciones limitadas (p. ej., detección de fraude) pueden no aplicarse cuando se activa la anulación por elaboración de perfiles
  • Asumir que el B2B reduce el riesgo: El despliegue empresarial no afecta a la clasificación: las personas afectadas siguen estando protegidas

Qué implica la clasificación de alto riesgo

La clasificación de alto riesgo activa el marco de cumplimiento completo del capítulo III: sistemas continuos de gestión de riesgos, requisitos de gobernanza de datos para conjuntos de datos de entrenamiento, documentación técnica del anexo IV, sistemas de gestión de la calidad, obligaciones de supervisión humana, procedimientos de evaluación de conformidad, registro en la base de datos de la UE, vigilancia poscomercialización e información sobre incidentes graves.

La carga de cumplimiento es considerable pero está definida. Las organizaciones que clasifican con precisión sus sistemas pueden desarrollar programas de cumplimiento específicos. Las organizaciones que clasifican erróneamente se enfrentan a recursos desperdiciados en cumplimiento innecesario o a exposición regulatoria por cumplimiento insuficiente.

Preguntas frecuentes

¿Qué ocurre si mi sistema encaja parcialmente en una categoría de alto riesgo?

En los casos limítrofes en los que la clasificación resulta incierta, el enfoque conservador consiste en tratar el sistema como de alto riesgo. Las consecuencias de una sobreclasificación —costes de cumplimiento innecesarios pero asumibles— son mucho menos graves que las de una infraclasificación: sanciones que pueden alcanzar los 15 millones de EUR o el 3 % del volumen de negocios mundial.

¿Añadir revisión humana elimina la clasificación de alto riesgo?

No. La supervisión humana no reduce automáticamente la clasificación. Si los resultados de la IA influyen significativamente en las decisiones humanas —si las personas habitualmente siguen las recomendaciones de la IA sin un análisis independiente—, el sistema influye materialmente en los resultados y sigue siendo de alto riesgo.

¿Puede un sistema pasar de no ser de alto riesgo a ser de alto riesgo?

Sí. Los sistemas desplegados inicialmente para aplicaciones de riesgo limitado pueden evolucionar hacia casos de uso de alto riesgo. Las adiciones de funcionalidades, la ampliación de los contextos de despliegue y la integración con otros sistemas pueden cruzar los umbrales de clasificación. Las organizaciones necesitan una vigilancia continua de la clasificación, no evaluaciones puntuales.

¿Cuándo proporcionará la Comisión orientaciones sobre la clasificación?

La Comisión Europea se comprometió a publicar directrices con ejemplos prácticos de sistemas de IA de alto riesgo y de riesgo no alto para febrero de 2026. Sin embargo, las organizaciones no pueden esperar: el análisis de clasificación debe comenzar ahora para cumplir el plazo de agosto de 2026.

Conclusiones clave

La clasificación no es un ejercicio puntual. A medida que los sistemas de IA evolucionan, los contextos de despliegue cambian y surgen orientaciones regulatorias, las organizaciones deben mantener una vigilancia continua de la clasificación. Desarrollar esta capacidad ahora —antes del plazo de agosto de 2026— posiciona a las organizaciones para afrontar los requisitos del Reglamento Europeo de IA con confianza. Ante la duda, opte por la prudencia: los controles exigidos para los sistemas de alto riesgo son también buenas prácticas de gobernanza.

Recursos relacionados

Guía de requisitos del Reglamento Europeo de IAGuía de documentación del anexo IVLista de verificación para auditorías de IAComprobador de preparación para el Reglamento Europeo de IACentro de recursos sobre el Reglamento Europeo de IAEjemplo de paquete de evidenciasSolicitar una demostración

Artículos relacionados

Más sobre EU AI Act

Francia y prEN 18286: Qué implica el debate nacional para los proveedores en la UE

Un análisis neutral del debate del comité espejo francés sobre prEN 18286 y lo que indica en materia de proporcionalidad para pymes, calidad de las normas y estrategia de implementación en los Estados miembros de la UE.

Ecosistema de normas del Reglamento Europeo de IA: por qué prEN 18286 no es una norma aislada

Un mapa práctico de las normas complementarias a prEN 18286, incluyendo gestión de riesgos, fiabilidad, ciberseguridad, gobernanza de datos y dependencias en la evaluación de conformidad.

Mapeo del Artículo 17 en prEN 18286: Cobertura, Lagunas e Implicaciones para la Auditoría

Cómo interpretar el mapeo del Anexo ZA en el borrador de consulta prEN 18286, dónde la cobertura es sólida, qué dependencias persisten y cómo construir evidencia de cumplimiento defendible.

Artículo anterior

Guía de documentación del Anexo IV

Artículo siguiente

Requisitos del Reglamento Europeo de IA: Lo que los responsables de cumplimiento deben saber en 2026

Véalo en acción

¿Listo para automatizar su evidencia de cumplimiento normativo?

Reserve una demostración de 20 minutos para ver cómo KLA le ayuda a demostrar la supervisión humana y exportar documentación de Annex IV lista para auditoría.

Reserve una demostración Ver Evidence Pack