IA Alto Riesgo: Prepare sus Sistemas para el AI Act

Los sistemas de inteligencia artificial de alto riesgo son aquellos enumerados en el Anexo III del Reglamento (UE) 2024/1689 (AI Act) que, por su potencial impacto sobre los derechos fundamentales, están sujetos a un régimen de obligaciones reforzado: gestión de riesgos (art. 9), documentación técnica exhaustiva (Anexo IV), supervisión humana (art. 14), evaluación de conformidad y registro en la base de datos de la UE antes de su comercialización. Las ocho categorías del Anexo III incluyen sistemas de identificación biométrica, gestión de infraestructuras críticas, selección de personal, scoring crediticio, evaluación educativa, aplicación de la ley, gestión de la migración y administración de justicia. Las obligaciones para estos sistemas son aplicables desde el 2 de agosto de 2026, con sanciones por incumplimiento de hasta 15 millones de euros o el 3% de la facturación global anual.

Sistemas de IA de alto riesgo (Anexo III): las 8 categorías que más empresas ignoran

El Anexo III del AI Act es la lista que más empresas necesitan conocer y menos han leido con detenimiento. Ocho categorías de sistemas de IA — selección de personal, scoring crediticio, gestión de infraestructuras críticas, sistemas educativos, aplicación de la ley, migración, administración de justicia e identificación biométrica — están sujetas a un régimen de obligaciones sustancialmente más exigente que el resto del Reglamento. Las sanciones por incumplimiento pueden alcanzar 15 millones de euros o el 3% de la facturación global, con fecha efectiva el 2 de agosto de 2026.

Muchas empresas desconocen que sus sistemas caen en el Anexo III: un sistema de puntuacion de empleados que determina promociones, una herramienta de cribado de CVs, o un modelo de scoring crediticio pueden estar en esta categoría sin que el equipo jurídico lo haya identificado.

Clasificación, documentación Anexo IV y evaluación de conformidad

Nuestro equipo comienza por la confirmación de clasificación: verificamos si el sistema cae en el Anexo III analizando el caso de uso real, la población afectada y el grado de autonomía del sistema. La clasificación incorrecta es la fuente más frecuente de riesgo regulatorio. A partir de la clasificación confirmada, gestionamos el ciclo completo: sistema de gestión de riesgos del artículo 9, documentación técnica del Anexo IV, evaluación de conformidad, marcado CE cuando procede, y sistema de monitoreo post-mercado.

Coordinamos con el equipo técnico que desarrollo o integro el sistema y con el área de protección de datos para alinear el AI Act con las obligaciones del RGPD cuando el sistema trata datos personales.

Contexto regulatorio: AI Act e interseccion con RGPD y EIPD

El AI Act (Reglamento UE 2024/1689), Artículo 6 y Anexo III, clasifica los sistemas de IA de alto riesgo. Las obligaciones para estos sistemas entran en vigor el 2 de agosto de 2026. La evaluación de conformidad puede ser autoevaluacion por el proveedor (mayoría de los casos del Anexo III) o por organismo notificado externo (biometria, infraestructuras críticas, aplicación de la ley en algunas categorías).

Las evaluaciones de impacto sobre derechos fundamentales del AI Act deben coordinarse con las EIPD del RGPD cuando el sistema trata datos personales. Un proceso integrado con nuestros equipos de governance de IA evita duplicidades y garantiza coherencia entre los dos marcos regulatorios.

Resultados que puedes esperar

• Clasificación formal y documentada del sistema en la taxonomia del AI Act
• Sistema de gestión de riesgos del artículo 9 implementado y operativo
• Documentación técnica completa del Anexo IV lista para revisión por el organismo supervisor
• Evaluación de conformidad gestionada con el procedimiento correcto para cada tipo de sistema
• Registro en la base de datos de la UE antes de la comercialización
• Sistema de monitoreo post-mercado con indicadores de rendimiento y equidad

El Anexo III del AI Act es la lista que más empresas necesitan conocer y menos han leido con detenimiento. Ocho categorías de sistemas de IA están sujetas a un régimen de obligaciones sustancialmente más exigente que el resto del Reglamento. La pregunta no es teorica: si su empresa usa IA para tomar o influir en decisiones sobre personas en alguno de estos contextos, las obligaciones de agosto de 2026 le afectan directamente.

La clasificación de un sistema como de alto riesgo no depende solo de la tecnología, sino del uso concreto que se hace de ella. Un sistema de reconocimiento facial usado internamente para control de acceso en una instalación puede no ser de alto riesgo; el mismo sistema usado para identificar personas en espacios públicos probablemente si lo es. Un modelo de machine learning que ayuda a los gestores a preparar evaluaciones de desempeño puede estar en una zona gris; el mismo modelo que genera puntuaciones que determinan directamente promociones o despidos probablemente cae en el Anexo III. La confirmación de clasificación es el primer servicio que ofrecemos porque es la base de todo lo demas.

La documentación técnica exigida por el Anexo IV es extensa y específica. No se trata de un documento descriptivo generico, sino de un conjunto de evidencias técnicas sobre como funciona el sistema, con que datos fue entrenado, como se evaluo su rendimiento, que sesgos fueron detectados y como se mitigaron, y como se garantiza la supervisión humana en su uso operativo. Preparar esta documentación requiere la colaboración entre el equipo legal y el equipo técnico que desarrolló o integró el sistema, un proceso que coordinamos de forma integral.

Para los sistemas de IA de alto riesgo que tratan datos personales —lo que incluye prácticamente todos los sistemas de selección de personal, scoring financiero e identificación biométrica—, el cumplimiento del AI Act debe coordinarse con las obligaciones del RGPD y la protección de datos. Las evaluaciones de impacto sobre derechos fundamentales del AI Act y las evaluaciones de impacto sobre la protección de datos (EIPD) del RGPD no son redundantes pero si se superponen: un proceso integrado evita duplicaciones y garantiza que los dos marcos de cumplimiento sean coherentes entre si.

El monitoreo post-mercado es quizá la obligación más subestimada del AI Act para sistemas de alto riesgo. No basta con cumplir al momento del despliegue: el Reglamento exige un sistema continuo de recogida y análisis de datos sobre el funcionamiento real del sistema. Esto implica definir indicadores de rendimiento y equidad, establecer umbrales de alerta que activen revisiones, y mantener registros que demuestren que el sistema sigue funcionando conforme a la evaluación de conformidad original. Diseñamos estos sistemas de monitoreo para que sean operativamente viables sin generar una carga desproporcionada sobre los equipos técnicos.

Marco regulador: AI Act Reglamento (UE) 2024/1689 y su estructura normativa

El Reglamento (UE) 2024/1689, publicado en el Diario Oficial de la UE el 12 de julio de 2024, es la primera regulación integral de la inteligencia artificial en el mundo. Su estructura de obligaciones para los sistemas de alto riesgo se articula en los siguientes preceptos clave:

Artículo 6 y Anexo III (clasificación de alto riesgo): define las ocho categorías de sistemas de IA de alto riesgo y los criterios de clasificación. La interpretación del Anexo III debe hacerse a la luz de las Directrices de Clasificación que la Comisión Europea está desarrollando (previstas para el segundo semestre de 2025).

Artículo 9 (sistema de gestión de riesgos): obliga a los proveedores de sistemas de alto riesgo a establecer, implementar, documentar y mantener un sistema de gestión de riesgos durante todo el ciclo de vida del sistema de IA, identificando, analizando y evaluando los riesgos razonablemente previsibles.

Artículo 10 (datos y gobernanza de datos): exige que los datos de entrenamiento, validación y prueba sean pertinentes, representativos, libres de errores en la medida de lo posible y completos. Para sistemas que tratan datos de grupos específicos, obliga a analizar y gestionar posibles sesgos que puedan dar lugar a riesgos.

Artículo 13 (transparencia e información a los usuarios): obliga a diseñar el sistema de forma que sus instrucciones de uso permitan a los usuarios comprender las capacidades y limitaciones del sistema y interpretar correctamente sus resultados.

Artículo 14 (supervisión humana): exige que los sistemas de IA de alto riesgo sean diseñados para permitir que personas físicas supervisen eficazmente su funcionamiento durante el período de uso, con la posibilidad de detener, ignorar, anular o revertir los resultados del sistema.

Artículo 17 (sistema de gestión de calidad): los proveedores deben contar con un sistema de gestión de calidad que cubra toda la cadena de desarrollo, desde el diseño hasta la post-comercialización, con documentación actualizada y procedimientos de gestión de incidentes graves.

Anexo IV (documentación técnica): establece el contenido mínimo de la documentación técnica que debe prepararse antes de la comercialización y mantenerse actualizada, incluyendo descripción del sistema, datos de entrenamiento, evaluación de rendimiento, análisis de riesgos y medidas de supervisión humana.

Las sanciones máximas para el incumplimiento de las obligaciones aplicables a los sistemas de alto riesgo son de 15 millones de euros o el 3% de la facturación anual global total del ejercicio anterior (art. 99.3 AI Act), el importe que sea más elevado.

Procedimiento de conformidad: del diagnóstico a la certificación

El ciclo completo de cumplimiento para un sistema de IA de alto riesgo sigue las siguientes fases:

Total estimado: 16-32 semanas para un sistema de tamaño mediano con documentación técnica parcialmente existente. Sistemas con documentación inexistente o datos de entrenamiento no documentados pueden requerir plazos adicionales.

Juzgado y autoridad supervisora competente

La autoridad nacional competente para la supervisión del AI Act en España aún no ha sido designada formalmente en el momento de la publicación de este contenido (la LO española de adaptación está en proceso). La Agencia Española de Protección de Datos (AEPD) ha sido identificada como supervisora para los aspectos relacionados con el RGPD, y la Secretaría de Estado de Digitalización está coordinando la designación de la autoridad de mercado para el AI Act.

En el plano europeo, la Oficina de IA (AI Office) de la Comisión Europea tiene competencia para supervisar los sistemas de IA de propósito general (GPAIs) y actuar como supervisora de las autoridades nacionales en el marco del AI Act.

En caso de litigio por sanciones, la competencia recae en los Juzgados Centrales de lo Contencioso-Administrativo para resoluciones del ámbito nacional, y en el Tribunal de Justicia de la UE para impugnaciones de decisiones de la Comisión Europea o de la Oficina de IA.

Caso práctico: sistema de IA para evaluación de crédito al consumo en una fintech española

Situación: fintech española con 85 empleados que opera una plataforma de préstamos personales digitales. Su sistema de scoring crediticio basado en machine learning analiza más de 200 variables para aprobar o rechazar solicitudes de crédito de hasta 15.000€ en tiempo real. El sistema lleva en producción desde 2023 con un volumen de 45.000 decisiones/mes.

Clasificación: el sistema cae claramente en el Anexo III, categoría 5 (sistemas de IA utilizados para evaluar la solvencia de personas físicas o establecer su puntuación de crédito), con fecha de cumplimiento obligatorio el 2 de agosto de 2026.

Gap analysis: cinco brechas críticas identificadas — (1) ausencia de sistema de gestión de riesgos documentado conforme al art. 9; (2) datos de entrenamiento históricos (2019-2022) con subrepresentación de solicitantes menores de 30 años y autónomos, incumpliendo el art. 10; (3) interfaz de usuario sin explicación comprensible del resultado para el solicitante rechazado, incumpliendo el art. 13; (4) proceso de revisión humana sin documentación del procedimiento ni responsable designado, incumpliendo el art. 14; (5) documentación técnica inexistente conforme al Anexo IV.

Solución implementada: sistema de gestión de riesgos del art. 9 diseñado en 5 semanas, con 12 riesgos identificados y planes de mitigación documentados. Reentramiento del modelo con datos de 2022-2025 con distribución más representativa, reduciendo el diferencial de tasa de rechazo entre grupos a menos del 5%. Rediseño de la interfaz para mostrar al solicitante rechazado las tres variables de mayor impacto negativo (sin revelar el modelo). Designación de un equipo de revisión humana para los casos en rango de incertidumbre (0,45-0,55 de probabilidad). Documentación técnica del Anexo IV completada en 8 semanas.

Resultado: sistema en conformidad 4 meses antes de la fecha límite. La empresa evitó sanciones potenciales de hasta 15M€ y documentó el proceso para futuras auditorías del supervisor nacional.

Cinco errores comunes que BMC corrige

1. Asumir que la IA interna de gestión no cae en el Anexo III: sistemas de scoring de empleados para decisiones de promoción o despido (categoría 4 del Anexo III) o de evaluación de riesgo de absentismo caen en la clasificación de alto riesgo aunque sean de uso interno. Muchas empresas descartan el análisis sin haberlo verificado.

2. Confundir el proveedor con el deployer: el AI Act distingue entre el proveedor (quien desarrolla o pone en el mercado el sistema) y el deployer (quien lo usa en un contexto profesional). Cada uno tiene obligaciones distintas. Usar un sistema de IA de tercero no exime de las obligaciones del deployer, que incluyen el art. 26 (garantizar la supervisión humana) y la notificación de incidentes graves.

3. Tratar la documentación técnica como burocracia, no como herramienta de defensa: el Anexo IV no es un trámite formal. En caso de investigación regulatoria o litigio con un usuario afectado, la documentación técnica es la principal evidencia de que el sistema cumplía los requisitos de diseño. Una documentación incompleta o inconsistente con el funcionamiento real del sistema agrava la posición de la empresa.

4. No coordinar AI Act y RGPD: el 80% de los sistemas de IA de alto riesgo que caen en el Anexo III también tratan datos personales y están sujetos al RGPD. Gestionar los dos marcos de cumplimiento de forma aislada genera inconsistencias y duplicidades costosas. La evaluación de impacto sobre derechos fundamentales del AI Act y la EIPD del RGPD deben hacerse de forma integrada.

5. Subestimar el monitoreo post-mercado: el art. 72 del AI Act exige un sistema continuo de monitoreo que no termina con la certificación inicial. Los proveedores que tratan el cumplimiento como un proyecto de un solo disparo se encontrarán fuera de conformidad en la primera actualización del modelo o en el primer cambio significativo de las condiciones de uso.