Sistema de IA de alto riesgo

Un sistema de IA de alto riesgo es una aplicación que el EU AI Act identifica como con riesgo significativo para salud, seguridad o derechos fundamentales, y por ello la somete a requisitos regulatorios amplios. Esta clasificación activa obligaciones extensas para proveedores y entidades usuarias, incluyendo documentación técnica, evaluación de la conformidad, medidas de supervisión humana y vigilancia posterior a la comercialización.

La designación de alto riesgo es el concepto central del reglamento: determina qué sistemas afrontan las obligaciones más estrictas. Los sistemas de alto riesgo deben cumplir los artículos 8 a 15, que cubren gestión de riesgos, gobernanza de datos, documentación técnica, mantenimiento de registros, transparencia, supervisión humana y precisión, robustez y ciberseguridad. El incumplimiento puede implicar multas de hasta 35 millones de euros o el 7% del volumen de negocios anual mundial.

Hay dos vías hacia la clasificación. Primero, el Anexo III lista ocho categorías de aplicaciones consideradas inherentemente de alto riesgo: identificación y categorización biométrica, gestión de infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios y beneficios esenciales, aplicación de la ley, migración y control fronterizo y administración de justicia. Segundo, los sistemas que actúan como componentes de seguridad de productos cubiertos por legislación de seguridad de producto de la UE (listada en el Anexo I) también son de alto riesgo. De forma destacada, el artículo 6(3) prevé una excepción: aunque un sistema esté en una categoría del Anexo III, puede no considerarse de alto riesgo si realiza una tarea procedimental estrecha, mejora el resultado de una actividad humana ya completada, detecta patrones de toma de decisiones sin reemplazar la evaluación humana, o realiza únicamente tareas preparatorias para evaluaciones.

Las organizaciones deben determinar si sus sistemas califican como de alto riesgo. Esto requiere analizar el propósito previsto, no solo capacidades técnicas. Un modelo de scoring de crédito que influye decisiones de préstamo es claramente de alto riesgo bajo el Anexo III(5)(b); un chatbot de atención al cliente con información general normalmente no lo es, salvo que afecte el acceso a servicios esenciales. Una vez clasificado, las obligaciones son sustanciales. Los proveedores deben establecer gestión de riesgos, gobernanza de datos, documentación del Anexo IV, diseñar supervisión humana, asegurar precisión y robustez y completar evaluación de la conformidad antes de comercialización. Las entidades usuarias tienen obligaciones propias, incluyendo supervisión humana, monitorización y FRIA en ciertos contextos. El calendario es crítico: los sistemas del Anexo III deben cumplir para agosto de 2026, mientras que los del Anexo I (componentes de seguridad de producto) tienen hasta agosto de 2027.