Anexo III

El Anexo III del EU AI Act define ocho categorías de sistemas de IA que se clasifican automáticamente como de alto riesgo por su posible impacto en la salud, la seguridad y los derechos fundamentales. Si un sistema entra en una de estas categorías y toma o influye decisiones significativas sobre personas, activa el conjunto completo de obligaciones de cumplimiento de los artículos 8 a 15, incluyendo documentación técnica, gestión de riesgos, supervisión humana y evaluación de la conformidad.

Las ocho categorías del Anexo III son: (1) Biometría: sistemas de identificación biométrica remota y categorización biométrica de personas físicas; (2) Infraestructuras críticas: sistemas de IA usados como componentes de seguridad en la gestión y operación de infraestructuras digitales críticas, tráfico vial y suministro de agua, gas, calefacción y electricidad; (3) Educación y formación profesional: sistemas que determinan acceso a educación, evalúan resultados de aprendizaje o asignan niveles educativos; (4) Empleo y gestión de trabajadores: sistemas para reclutamiento, decisiones de promoción, asignación de tareas y monitorización o evaluación de trabajadores; (5) Acceso a servicios esenciales: sistemas que evalúan solvencia, fijan precios de seguros de vida y salud, determinan elegibilidad para prestaciones públicas o priorizan el despacho de servicios de emergencia; (6) Aplicación de la ley: sistemas para evaluaciones individuales de riesgo, polígrafo, evaluación de fiabilidad de pruebas o predicción del delito; (7) Migración, asilo y control fronterizo: sistemas para evaluación de riesgos, verificación de autenticidad de documentos o tramitación de visados y permisos de residencia; (8) Administración de justicia: sistemas que asisten a autoridades judiciales en la investigación e interpretación de hechos y derecho, o en la aplicación del derecho a los hechos.

Determinar si un sistema cae bajo el Anexo III es el primer paso crítico en la planificación de cumplimiento. La clasificación determina todo el camino de conformidad. Los sistemas del Anexo III afrontan requisitos extensos de documentación (Anexo IV), sistemas obligatorios de gestión de riesgos, obligaciones de supervisión humana y procedimientos de evaluación de la conformidad antes de poder ponerse en el mercado de la UE o ponerse en servicio. El umbral de “decisión significativa” es importante: un sistema solo se considera de alto riesgo si toma o influye materialmente decisiones con efectos relevantes sobre las personas, no si únicamente proporciona información general o realiza funciones auxiliares.

Las organizaciones deben realizar un inventario sistemático de todos los sistemas de IA en uso o en desarrollo, mapeando cada uno frente a las categorías del Anexo III. En casos límite, evalúe si la salida del sistema influye directamente en decisiones sobre acceso a servicios, empleo, educación o asuntos legales. Documente cuidadosamente la justificación de clasificación, ya que las autoridades pueden cuestionar clasificaciones que parezcan minimizar obligaciones. Para sistemas claramente de alto riesgo, comience la planificación de inmediato: el plazo de agosto de 2026 exige cumplimiento operativo, no solo documentación en curso.