IA Alto Riesgo: Prepare sus Sistemas para el AI Act

Los sistemas de inteligencia artificial de alto riesgo son aquellos enumerados en el Anexo III del Reglamento (UE) 2024/1689 (AI Act) que, por su potencial impacto sobre los derechos fundamentales, están sujetos a un régimen de obligaciones reforzado: gestión de riesgos (art. 9), documentación técnica exhaustiva (Anexo IV), supervisión humana (art. 14), evaluación de conformidad y registro en la base de datos de la UE antes de su comercialización. Las ocho categorías del Anexo III incluyen sistemas de identificación biométrica, gestión de infraestructuras críticas, selección de personal, scoring crediticio, evaluación educativa, aplicación de la ley, gestión de la migración y administración de justicia. Las obligaciones para estos sistemas son aplicables desde el 2 de agosto de 2026, con sanciones por incumplimiento de hasta 15 millones de euros o el 3% de la facturación global anual.

Sistemas de IA de alto riesgo (Anexo III): las 8 categorías que más empresas ignoran

El Anexo III del AI Act es la lista que más empresas necesitan conocer y menos han leido con detenimiento. Ocho categorías de sistemas de IA — selección de personal, scoring crediticio, gestión de infraestructuras críticas, sistemas educativos, aplicación de la ley, migración, administración de justicia e identificación biométrica — están sujetas a un régimen de obligaciones sustancialmente más exigente que el resto del Reglamento. Las sanciones por incumplimiento pueden alcanzar 15 millones de euros o el 3% de la facturación global, con fecha efectiva el 2 de agosto de 2026.

Muchas empresas desconocen que sus sistemas caen en el Anexo III: un sistema de puntuacion de empleados que determina promociones, una herramienta de cribado de CVs, o un modelo de scoring crediticio pueden estar en esta categoría sin que el equipo jurídico lo haya identificado.

Clasificación, documentación Anexo IV y evaluación de conformidad

Nuestro equipo comienza por la confirmación de clasificación: verificamos si el sistema cae en el Anexo III analizando el caso de uso real, la población afectada y el grado de autonomía del sistema. La clasificación incorrecta es la fuente más frecuente de riesgo regulatorio. A partir de la clasificación confirmada, gestionamos el ciclo completo: sistema de gestión de riesgos del artículo 9, documentación técnica del Anexo IV, evaluación de conformidad, marcado CE cuando procede, y sistema de monitoreo post-mercado.

Coordinamos con el equipo técnico que desarrollo o integro el sistema y con el área de protección de datos para alinear el AI Act con las obligaciones del RGPD cuando el sistema trata datos personales.

Contexto regulatorio: AI Act e interseccion con RGPD y EIPD

El AI Act (Reglamento UE 2024/1689), Artículo 6 y Anexo III, clasifica los sistemas de IA de alto riesgo. Las obligaciones para estos sistemas entran en vigor el 2 de agosto de 2026. La evaluación de conformidad puede ser autoevaluacion por el proveedor (mayoría de los casos del Anexo III) o por organismo notificado externo (biometria, infraestructuras críticas, aplicación de la ley en algunas categorías).

Las evaluaciones de impacto sobre derechos fundamentales del AI Act deben coordinarse con las EIPD del RGPD cuando el sistema trata datos personales. Un proceso integrado con nuestros equipos de governance de IA evita duplicidades y garantiza coherencia entre los dos marcos regulatorios.

Resultados que puedes esperar

• Clasificación formal y documentada del sistema en la taxonomia del AI Act
• Sistema de gestión de riesgos del artículo 9 implementado y operativo
• Documentación técnica completa del Anexo IV lista para revisión por el organismo supervisor
• Evaluación de conformidad gestionada con el procedimiento correcto para cada tipo de sistema
• Registro en la base de datos de la UE antes de la comercialización
• Sistema de monitoreo post-mercado con indicadores de rendimiento y equidad

El Anexo III del AI Act es la lista que más empresas necesitan conocer y menos han leido con detenimiento. Ocho categorías de sistemas de IA están sujetas a un régimen de obligaciones sustancialmente más exigente que el resto del Reglamento. La pregunta no es teorica: si su empresa usa IA para tomar o influir en decisiones sobre personas en alguno de estos contextos, las obligaciones de agosto de 2026 le afectan directamente.

La clasificación de un sistema como de alto riesgo no depende solo de la tecnología, sino del uso concreto que se hace de ella. Un sistema de reconocimiento facial usado internamente para control de acceso en una instalación puede no ser de alto riesgo; el mismo sistema usado para identificar personas en espacios públicos probablemente si lo es. Un modelo de machine learning que ayuda a los gestores a preparar evaluaciones de desempeño puede estar en una zona gris; el mismo modelo que genera puntuaciones que determinan directamente promociones o despidos probablemente cae en el Anexo III. La confirmación de clasificación es el primer servicio que ofrecemos porque es la base de todo lo demas.

La documentación técnica exigida por el Anexo IV es extensa y específica. No se trata de un documento descriptivo generico, sino de un conjunto de evidencias técnicas sobre como funciona el sistema, con que datos fue entrenado, como se evaluo su rendimiento, que sesgos fueron detectados y como se mitigaron, y como se garantiza la supervisión humana en su uso operativo. Preparar esta documentación requiere la colaboración entre el equipo legal y el equipo técnico que desarrolló o integró el sistema, un proceso que coordinamos de forma integral.

Para los sistemas de IA de alto riesgo que tratan datos personales —lo que incluye prácticamente todos los sistemas de selección de personal, scoring financiero e identificación biométrica—, el cumplimiento del AI Act debe coordinarse con las obligaciones del RGPD y la protección de datos. Las evaluaciones de impacto sobre derechos fundamentales del AI Act y las evaluaciones de impacto sobre la protección de datos (EIPD) del RGPD no son redundantes pero si se superponen: un proceso integrado evita duplicaciones y garantiza que los dos marcos de cumplimiento sean coherentes entre si.

El monitoreo post-mercado es quizá la obligación más subestimada del AI Act para sistemas de alto riesgo. No basta con cumplir al momento del despliegue: el Reglamento exige un sistema continuo de recogida y análisis de datos sobre el funcionamiento real del sistema. Esto implica definir indicadores de rendimiento y equidad, establecer umbrales de alerta que activen revisiones, y mantener registros que demuestren que el sistema sigue funcionando conforme a la evaluación de conformidad original. Diseñamos estos sistemas de monitoreo para que sean operativamente viables sin generar una carga desproporcionada sobre los equipos técnicos.