Regulationrisk-classificationhigh-riskcompliance

Clasificación de riesgos del Reglamento de IA de la UE: Los cuatro niveles explicados

Análisis detallado del sistema de clasificación de riesgos en cuatro niveles del Reglamento de IA de la UE — inaceptable, alto, limitado y mínimo. Descubra en qué categoría se encuentra su sistema de IA y qué se requiere.

January 25, 202516 min read

El sistema de clasificación basado en riesgos del Reglamento de IA de la UE es la base arquitectónica de todo el reglamento. En lugar de tratar a todos los sistemas de IA por igual, el Reglamento 2024/1689 establece cuatro niveles de riesgo — inaceptable, alto, limitado y mínimo — cada uno con obligaciones proporcionadas. La lógica es sencilla: cuanto mayor sea el daño potencial que un sistema de IA puede causar, más estrictas serán las normas que lo rigen.

Comprender en qué nivel se encuentra su sistema de IA es el primer paso esencial hacia el cumplimiento. Una clasificación errónea puede llevar a una carga innecesaria o, más peligrosamente, al incumplimiento de requisitos que conllevan sanciones significativas.

El marco de riesgo en cuatro niveles

El Reglamento de IA de la UE organiza los sistemas de IA en cuatro categorías según el nivel de riesgo que representan para la salud, la seguridad y los derechos fundamentales. Cada nivel conlleva requisitos regulatorios distintos.

Riesgo inaceptable: Prácticas de IA prohibidas

Unacceptable Risk

En la cúspide de la pirámide de riesgo se encuentran las prácticas de IA consideradas tan perjudiciales que están completamente prohibidas. El Artículo 5 del Reglamento de IA enumera estas prácticas prohibidas, que representan una línea clara que ninguna organización puede cruzar.

Técnicas subliminales, manipuladoras y engañosas (Artículo 5(1)(a)): Sistemas de IA que despliegan técnicas que operan por debajo del umbral de la conciencia, o que son deliberadamente manipuladoras o engañosas, con el objetivo o el efecto de distorsionar materialmente el comportamiento y causar o con probabilidad razonable de causar un daño significativo.

Explotación de vulnerabilidades (Artículo 5(1)(b)): Sistemas de IA que explotan vulnerabilidades específicas de las personas — ya sea por su edad, discapacidad o una situación social o económica particular — para distorsionar materialmente su comportamiento de una manera que cause o pueda causar un daño significativo.

Puntuación social (Artículo 5(1)(c)): Sistemas de IA utilizados por las autoridades públicas (o en su nombre) para evaluar o clasificar a personas físicas basándose en su comportamiento social o características personales conocidas, inferidas o predichas, cuando la puntuación social resultante lleve a un trato perjudicial en contextos no relacionados o un trato desproporcionado.

Policía predictiva basada únicamente en perfiles (Artículo 5(1)(d)): Sistemas de IA que evalúan el riesgo de una persona física de cometer un delito basándose únicamente en la elaboración de perfiles o en la evaluación de rasgos y características de personalidad. Esta prohibición no se aplica cuando la IA se utiliza para complementar evaluaciones humanas ya basadas en hechos objetivos y verificables directamente vinculados a la actividad delictiva.

Recopilación no selectiva de reconocimiento facial (Artículo 5(1)(e)): Sistemas de IA que crean o amplían bases de datos de reconocimiento facial mediante la recopilación no selectiva de imágenes faciales de Internet o de grabaciones de circuito cerrado de televisión.

Reconocimiento de emociones en lugares de trabajo y centros educativos (Artículo 5(1)(f)): Sistemas de IA que infieren emociones de personas físicas en lugares de trabajo o instituciones educativas, salvo que se utilicen por razones médicas o de seguridad.

Categorización biométrica para características sensibles (Artículo 5(1)(g)): Sistemas de IA que categorizan a personas físicas individualmente basándose en datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual. Se aplican excepciones limitadas para las fuerzas del orden.

Identificación biométrica remota en tiempo real en espacios públicos para las fuerzas del orden (Artículo 5(1)(h)): Uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de aplicación de la ley, salvo en situaciones estrictamente necesarias que impliquen búsquedas selectivas de víctimas, prevención de amenazas inminentes específicas o investigación de delitos graves.

Las prácticas prohibidas conllevan las sanciones más elevadas del Reglamento de IA: hasta 35 millones de EUR o el 7 % del volumen de negocios total anual mundial, lo que sea mayor. Estas prohibiciones están en vigor desde el 2 de febrero de 2025.

Implicaciones prácticas

Las organizaciones deben realizar una auditoría inmediata para asegurarse de que no operan ningún sistema que entre en el ámbito del Artículo 5. Aunque muchas de estas prácticas son infrecuentes en las aplicaciones empresariales convencionales, algunos casos límite merecen un análisis cuidadoso. Por ejemplo, los algoritmos de personalización que cruzan la línea de las técnicas manipuladoras, o las herramientas de supervisión de empleados que podrían interpretarse como reconocimiento de emociones en el lugar de trabajo, requieren un examen minucioso.

Alto riesgo: Requisitos integrales

High Risk

Los sistemas de IA de alto riesgo constituyen el foco central del reglamento. Son sistemas que están permitidos pero sujetos a extensos requisitos antes de poder ser introducidos en el mercado o puestos en servicio.

El Reglamento de IA define los sistemas de IA de alto riesgo a través de dos vías en virtud del Artículo 6:

Vía 1 — Componentes de seguridad de productos regulados (Artículo 6(1)): Un sistema de IA es de alto riesgo si es un componente de seguridad de un producto, o es en sí mismo un producto, cubierto por la legislación de armonización de la UE enumerada en el Anexo I, y el producto debe someterse a una evaluación de conformidad por terceros en virtud de dicha legislación. Esto abarca la IA integrada en dispositivos médicos, maquinaria, juguetes, ascensores, vehículos, sistemas de aviación y otros productos regulados.

Vía 2 — Sistemas independientes en áreas sensibles (Artículo 6(2) y Anexo III): Un sistema de IA es de alto riesgo si entra en uno de los casos de uso enumerados en el Anexo III. Las ocho áreas definidas en el Anexo III son:

1. Biometría (Anexo III, punto 1): Sistemas de identificación biométrica remota (excluyendo los prohibidos en virtud del Artículo 5), sistemas de IA para categorización biométrica por atributos sensibles o protegidos, y sistemas de IA para reconocimiento de emociones.

2. Infraestructuras críticas (Anexo III, punto 2): Sistemas de IA utilizados como componentes de seguridad en la gestión y operación de infraestructuras digitales críticas, tráfico rodado y suministro de agua, gas, calefacción y electricidad.

3. Educación y formación profesional (Anexo III, punto 3): Sistemas de IA utilizados para determinar el acceso o la admisión a instituciones educativas, para evaluar los resultados del aprendizaje, para evaluar el nivel educativo apropiado y para supervisar comportamientos prohibidos durante los exámenes.

4. Empleo, gestión de trabajadores y acceso al trabajo por cuenta propia (Anexo III, punto 4): Sistemas de IA utilizados para la contratación (filtrado de solicitudes, evaluación de candidatos), la toma de decisiones que afectan a las condiciones de las relaciones laborales (ascensos, despidos, asignación de tareas) y la supervisión o evaluación del rendimiento y comportamiento de los trabajadores.

5. Acceso a servicios privados esenciales y servicios y prestaciones públicas (Anexo III, punto 5): Sistemas de IA utilizados para evaluar la elegibilidad para prestaciones o servicios de asistencia pública, evaluar la solvencia crediticia (excepto para la detección de fraude financiero), evaluar y clasificar llamadas de emergencia y evaluar riesgos en la fijación de precios de seguros de vida y salud.

6. Aplicación de la ley (Anexo III, punto 6): Sistemas de IA utilizados por las fuerzas del orden para la evaluación individual del riesgo, herramientas de tipo polígrafo, evaluación de la fiabilidad de las pruebas, evaluación del riesgo de reincidencia, elaboración de perfiles durante la detección o investigación y análisis criminal.

7. Gestión de la migración, el asilo y el control de fronteras (Anexo III, punto 7): Sistemas de IA utilizados para herramientas de tipo polígrafo en procedimientos migratorios, evaluación del riesgo de migración irregular, riesgos de seguridad o salud que presentan las personas, examen de solicitudes de asilo, visado o permiso de residencia y detección de personas en la gestión fronteriza.

8. Administración de justicia y procesos democráticos (Anexo III, punto 8): Sistemas de IA utilizados por las autoridades judiciales para investigar e interpretar hechos y el derecho y aplicar el derecho a conjuntos concretos de hechos, o para ser utilizados en la resolución alternativa de conflictos.

No todos los sistemas de IA utilizados en estas áreas son automáticamente de alto riesgo. El Artículo 6(3) establece una excepción importante: un sistema de IA enumerado en el Anexo III no se considerará de alto riesgo si no presenta un riesgo significativo de daño a la salud, la seguridad o los derechos fundamentales. El proveedor debe documentar esta evaluación, y está sujeta a revisión por las autoridades de vigilancia del mercado.

Requisitos para los sistemas de alto riesgo

Los sistemas de IA de alto riesgo deben cumplir con los requisitos establecidos en los Artículos 8 a 15, que abarcan:

  • Sistema de gestión de riesgos (Artículo 9)
  • Datos y gobernanza de datos (Artículo 10)
  • Documentación técnica (Artículo 11)
  • Conservación de registros y registro automático de actividades (Artículo 12)
  • Transparencia y suministro de información a los operadores (Artículo 13)
  • Medidas de supervisión humana (Artículo 14)
  • Precisión, robustez y ciberseguridad (Artículo 15)

Los proveedores también deben implementar un sistema de gestión de la calidad (Artículo 17), someterse a la evaluación de la conformidad (Artículo 43), registrar sus sistemas en la base de datos de la UE (Artículo 49) y llevar a cabo la vigilancia poscomercialización (Artículo 72).

Need auditable AI for compliance?

Ctrl AI provides full execution traces, expert verification, and trust-tagged outputs for every AI decision.

Learn About Ctrl AI

Riesgo limitado: Obligaciones de transparencia

Limited Risk

La categoría de riesgo limitado abarca los sistemas de IA que interactúan con personas o generan contenido de maneras que podrían ser engañosas si no se revela la naturaleza de IA del sistema o sus resultados. El Artículo 50 establece obligaciones de transparencia específicas para estos sistemas.

Quién debe cumplir

Proveedores de sistemas de IA diseñados para interactuar con personas físicas (Artículo 50(1)): Los sistemas como los chatbots deben estar diseñados para garantizar que la persona física sea informada de que está interactuando con un sistema de IA, a menos que sea evidente por las circunstancias y el contexto de uso.

Proveedores de sistemas de IA que generan contenido sintético (Artículo 50(2)): Los sistemas de IA que generan contenido sintético de audio, imagen, vídeo o texto deben marcar la salida en un formato legible por máquina que revele que ha sido generado o manipulado artificialmente. La implementación técnica debe ser eficaz, interoperable, robusta y fiable.

Operadores de sistemas de reconocimiento de emociones o categorización biométrica (Artículo 50(3)): Cuando estos sistemas no estén clasificados como de alto riesgo, los operadores deben informar a las personas físicas expuestas al sistema sobre su funcionamiento y procesar los datos personales de conformidad con la legislación aplicable en materia de protección de datos.

Operadores de sistemas de deepfakes (Artículo 50(4)): Los operadores que publican o facilitan el acceso a contenido generado o manipulado por IA (deepfakes) deben revelar que el contenido ha sido generado o manipulado artificialmente. Existe una excepción para el contenido que forma parte de una obra obviamente artística, creativa, satírica o de ficción, aunque incluso en ese caso la divulgación no debe impedir la visualización del contenido.

Ejemplos prácticos

  • Un chatbot de servicio al cliente en un sitio web de comercio electrónico debe informar a los usuarios de que están chateando con una IA, no con una persona.
  • Una herramienta de IA que genera imágenes de marketing debe incorporar metadatos legibles por máquina que indiquen que las imágenes son generadas por IA.
  • Una empresa que utiliza IA para analizar el tono emocional de las llamadas de los clientes (cuando no sea de alto riesgo) debe informar a los llamantes.
  • Un medio de comunicación que publica artículos generados por IA debe etiquetarlos como tales.

Las obligaciones de transparencia pueden parecer sencillas, pero los requisitos técnicos — en particular el marcado legible por máquina del contenido generado por IA — requieren un esfuerzo de implementación. Las organizaciones deberían planificar estos requisitos con suficiente antelación al plazo de agosto de 2026.

Riesgo mínimo: Cumplimiento voluntario

Minimal Risk

La gran mayoría de los sistemas de IA entran en la categoría de riesgo mínimo. Son aplicaciones de IA que presentan poco o ningún riesgo para los derechos fundamentales y la seguridad. El Reglamento de IA de la UE no impone requisitos obligatorios a estos sistemas más allá de la legislación existente.

Ejemplos de IA de riesgo mínimo

  • Filtros de correo no deseado
  • Sistemas de recomendación basados en IA (para servicios no esenciales)
  • Videojuegos mejorados con IA
  • Sistemas de gestión de inventario
  • Correctores ortográficos y gramaticales asistidos por IA
  • Sistemas de mantenimiento predictivo para equipos de fabricación
  • Motores de búsqueda con IA (de uso general)

Códigos de conducta voluntarios

Aunque los sistemas de IA de riesgo mínimo no se enfrentan a requisitos obligatorios en virtud del Reglamento de IA, el Artículo 95 anima a los proveedores y operadores a aplicar voluntariamente los requisitos para los sistemas de alto riesgo o a desarrollar sus propios códigos de conducta. Estos códigos pueden abordar cuestiones como:

  • La sostenibilidad medioambiental de los sistemas de IA
  • La alfabetización en IA entre las partes interesadas
  • El diseño inclusivo y diverso
  • La accesibilidad para las personas con discapacidad

La Comisión y los Estados miembros facilitan el desarrollo de estos códigos voluntarios, y su adhesión puede servir como diferenciador de mercado para las organizaciones que deseen demostrar prácticas responsables de IA.

Cómo clasificar su sistema de IA

Clasificar correctamente su sistema de IA requiere un enfoque sistemático. A continuación se presenta un marco práctico para trabajar en el proceso de clasificación.

Paso 1: Verificar frente a las prácticas prohibidas

Revise su sistema de IA comparándolo con cada práctica prohibida del Artículo 5. Si su sistema entra en alguna de estas categorías, debe ser descontinuado de inmediato — ninguna excepción o solución alternativa logrará el cumplimiento.

Paso 2: Verificar el Anexo I (Legislación de seguridad de productos)

Si su sistema de IA es un componente de seguridad de un producto, o es en sí mismo un producto, regulado por la legislación de armonización de la UE enumerada en el Anexo I, compruebe si ese producto requiere una evaluación de conformidad por terceros. Si es así, el sistema de IA es de alto riesgo en virtud del Artículo 6(1).

Paso 3: Verificar el Anexo III (Casos de uso sensibles)

Revise si el propósito previsto de su sistema de IA entra en alguna de las ocho categorías del Anexo III. Aquí es donde surgen la mayoría de las clasificaciones de alto riesgo para sistemas independientes.

Paso 4: Aplicar la excepción del Artículo 6(3)

Si su sistema está enumerado en el Anexo III pero no presenta un riesgo significativo de daño, puede argumentar que no es de alto riesgo en virtud de la excepción del Artículo 6(3). Sin embargo, esto requiere una justificación documentada y está sujeto a revisión regulatoria. La excepción no se aplica si el sistema de IA realiza perfiles de personas físicas.

Paso 5: Verificar las obligaciones de transparencia

Si su sistema no es de alto riesgo, determine si interactúa con personas físicas, genera contenido sintético, realiza reconocimiento de emociones o produce contenido deepfake. Si es así, está sujeto a las obligaciones de transparencia de riesgo limitado.

Paso 6: Clasificar por defecto como riesgo mínimo

Si su sistema no entra en ninguna de las categorías anteriores, se clasifica como riesgo mínimo sin obligaciones obligatorias en virtud del Reglamento de IA.

La clasificación de riesgos no es un ejercicio estático. Si modifica el propósito previsto de su sistema de IA, amplía su alcance o cambia el contexto en el que opera, debe reevaluar su clasificación. El Artículo 6(3) exige explícitamente que la evaluación se actualice cuando se produzca un cambio en el propósito previsto del sistema de IA.

Casos especiales y consideraciones

Modelos de IA de uso general

Los modelos de IA de uso general (GPAI) se regulan por separado en el Capítulo V del Reglamento de IA. Un modelo GPAI no se clasifica en sí mismo dentro del sistema de cuatro niveles de riesgo. Sin embargo, cuando un modelo GPAI se integra en un sistema de IA, ese sistema de IA se clasifica según su propósito previsto y caso de uso.

Por ejemplo, un gran modelo de lenguaje está regulado por las disposiciones de GPAI. Pero si ese modelo se utiliza para alimentar una herramienta de selección de personal, el sistema de IA resultante se clasificaría como de alto riesgo en virtud del Anexo III, punto 4.

Sistemas de IA con múltiples usos

Algunos sistemas de IA pueden servir para múltiples propósitos. La clasificación debe basarse en cada propósito previsto individualmente. Un sistema de IA que se utiliza tanto para aplicaciones de riesgo mínimo (como análisis general de clientes) como para aplicaciones de alto riesgo (como evaluación de solvencia crediticia) debe cumplir con los requisitos de alto riesgo para este último uso.

Cambios después de la introducción en el mercado

Si un proveedor modifica sustancialmente un sistema de IA después de que haya sido introducido en el mercado, el sistema modificado puede necesitar ser reclasificado y someterse a una nueva evaluación de la conformidad. Del mismo modo, los operadores que utilicen un sistema de IA para un propósito no previsto por el proveedor deberían realizar su propia evaluación de riesgos.

Conclusión

El sistema de clasificación de riesgos en cuatro niveles del Reglamento de IA de la UE proporciona un marco regulatorio proporcionado que concentra las obligaciones de cumplimiento donde más importan. Al distinguir entre sistemas de IA de riesgo inaceptable, alto, limitado y mínimo, el reglamento evita imponer cargas innecesarias a las aplicaciones de bajo riesgo, al tiempo que garantiza protecciones sólidas cuando la IA puede afectar significativamente la vida de las personas.

Para las organizaciones que navegan por este marco, una clasificación precisa es la base de cada decisión de cumplimiento que sigue. Determina qué requisitos se aplican, qué plazos priorizar y qué recursos asignar. Dedicar el tiempo necesario para clasificar correctamente sus sistemas de IA — y documentar esa clasificación exhaustivamente — ahorrará un esfuerzo e incertidumbre significativos en el futuro.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Artículos relacionados

Regulation21 min read

Sistemas de IA de alto riesgo: Requisitos completos del Reglamento de IA de la UE

Guía detallada de los requisitos para los sistemas de IA de alto riesgo en virtud del Reglamento de IA de la UE — gestión de riesgos, gobernanza de datos, documentación, supervisión humana, precisión y ciberseguridad.

Regulation12 min read

Sanciones del Reglamento de IA de la UE: Multas de hasta 35 millones de euros

Desglose completo de las sanciones y multas del Reglamento de IA de la UE — desde 35 millones de euros por prácticas prohibidas hasta 7,5 millones por información incorrecta. Comprenda el régimen sancionador y cómo evitar las sanciones.

Regulation15 min read

Calendario del Reglamento de IA de la UE: Fechas clave de 2024 a 2027

Calendario completo de los hitos de aplicación del Reglamento de IA de la UE — desde la entrada en vigor en agosto de 2024 hasta el cumplimiento total de alto riesgo en agosto de 2027. Conozca exactamente cuándo se aplica cada requisito.