Guia AI Act·startbrain.ai
Guía AI Act: la guía completa para empresas Artículo 4: la obligación de formar a todos los colaboradores en IA Clasificación de sistemas de IA: ¿estás afectado por el alto riesgo? Prácticas de IA prohibidas: lo que tu empresa ya no puede hacer Sanciones del AI Act: multas de hasta 35 millones de euros Calendario del AI Act: todos los plazos de 2024 a 2027 Checklist de cumplimiento AI Act por rol: DPO, RRHH, CIO, Comité de Dirección

Clasificación de sistemas de IA: ¿estás afectado por el alto riesgo?

El AI Act clasifica los sistemas de IA en 4 niveles de riesgo. Reclutamiento, crédito, salud: descubre si tus herramientas de IA se consideran de alto riesgo.

El corazón del dispositivo: un enfoque basado en el riesgo

El Reglamento Europeo sobre Inteligencia Artificial (Reglamento 2024/1689) se sustenta en un principio fundamental: las obligaciones son proporcionales al nivel de riesgo. Cuanto más pueda afectar un sistema de IA a la vida, la salud, los derechos fundamentales o la seguridad de las personas, más estrictos son los requisitos.

Este enfoque gradual diferencia al AI Act de regulaciones más binarias. Permite no frenar la innovación en usos de bajo riesgo, mientras regula firmemente las aplicaciones más sensibles.

Considerando 26Règlement (UE) 2024/1689

Los sistemas de IA que presenten un nivel de riesgo elevado para la salud, la seguridad o los derechos fundamentales de las personas físicas deben estar sujetos a requisitos estrictos antes de poder comercializarse en el mercado de la Unión.

Los cuatro niveles de riesgo

1. Riesgo inaceptable — Sistemas prohibidos

Ciertos usos de la IA están pura y simplemente prohibidos (Artículo 5). El scoring social, la manipulación subliminal, la explotación de vulnerabilidades de las personas y la identificación biométrica en tiempo real en espacios públicos (salvo excepciones) están prohibidos desde el 1 de febrero de 2025.

2. Alto riesgo — Sistemas sujetos a obligaciones reforzadas

Es la categoría que afecta al mayor número de empresas. Los sistemas de IA de alto riesgo están definidos en los Artículos 6 y 7 y enumerados en detalle en el Anexo III del reglamento. Las obligaciones asociadas son sustanciales: evaluación de conformidad, documentación técnica, supervisión humana, gestión de riesgos, gobernanza de datos.

3. Riesgo limitado — Obligaciones de transparencia

Sistemas como chatbots, generadores de contenido (deepfakes, textos) o sistemas de reconocimiento de emociones no cubiertos por la prohibición están sujetos a obligaciones de transparencia. El usuario debe saber que está interactuando con una IA o que el contenido ha sido generado por una IA.

4. Riesgo mínimo — Sin obligaciones específicas

La gran mayoría de los sistemas de IA: filtros antispam, recomendaciones de productos, correctores ortográficos. El AI Act no impone restricciones específicas, aunque el cumplimiento del Artículo 4 sobre competencia en IA sigue aplicándose a todos los responsables del despliegue.

Anexo III: sistemas de alto riesgo, sector por sector

El Anexo III del reglamento enumera los ámbitos en los que un sistema de IA se considera de alto riesgo. Estos son los casos concretos que afectan a la mayoría de las empresas.

Recursos humanos y reclutamiento

Es el área que más sorprende a las empresas. El Anexo III, punto 4 se refiere a los sistemas de IA utilizados en:

Anexo III, punto 4Règlement (UE) 2024/1689

El empleo, la gestión de los trabajadores y el acceso al empleo por cuenta propia, en particular para la contratación y la selección de personas, para la toma de decisiones relativas a las condiciones de la relación laboral, la promoción y la rescisión, y para la asignación de tareas, el seguimiento o la evaluación del rendimiento y el comportamiento de las personas.

En concreto, se consideran de alto riesgo:

  • Scoring de candidatos: cualquier algoritmo que clasifique, puntúe o filtre automáticamente las candidaturas
  • Análisis automatizado de CV: herramientas que preseleccionan perfiles sobre la base de criterios automáticos
  • Chatbots de precualificación: asistentes conversacionales que evalúan a los candidatos durante el proceso de selección
  • Sistemas de evaluación del rendimiento: herramientas de IA que analizan la productividad o el comportamiento de los empleados
  • Herramientas de matching: algoritmos que asocian perfiles con puestos

Si su departamento de RRHH utiliza una herramienta de clasificación automática de CV o un chatbot de reclutamiento, se trata probablemente de un sistema de alto riesgo en el sentido del AI Act.

📄IA para RRHH: guía completa de transformación de las funciones de RRHH

Finanzas y seguros

El Anexo III, punto 5(b) cubre los sistemas de IA utilizados para:

  • Scoring crediticio: modelos que evalúan la solvencia de las personas físicas (exceptuando la detección de fraude)
  • Evaluación de riesgos en seguros de vida y salud
  • Tarificación automatizada basada en perfiles individuales

Cualquier banco o aseguradora que utilice un modelo de IA para decidir la concesión o denegación de un crédito, o para fijar una prima de seguro, está afectado. En España, esto incluye directamente los sistemas de scoring crediticio de BBVA, Santander y CaixaBank, así como los modelos de evaluación de riesgos de las aseguradoras. La detección de fraude está explícitamente excluida del alto riesgo, pero atención: los sistemas de scoring que van más allá de la simple detección pueden entrar en esta categoría.

Sanidad

El Anexo III, punto 1 abarca los sistemas de IA que son productos sanitarios o accesorios de productos sanitarios según los reglamentos europeos de productos sanitarios. Esto incluye:

  • Ayuda al diagnóstico: algoritmos que analizan imágenes médicas o proponen diagnósticos
  • Triaje automatizado: sistemas que orientan a los pacientes hacia vías asistenciales
  • Sistemas de monitorización: dispositivos conectados con componente de IA que monitorizan parámetros vitales
  • Ayuda a la prescripción: herramientas que sugieren tratamientos

Educación y formación profesional

El Anexo III, punto 3 se refiere a los sistemas de IA utilizados para:

  • La admisión en centros educativos
  • La calificación automática de exámenes y evaluaciones
  • La evaluación del nivel adecuado de enseñanza para una persona
  • El control de conductas prohibidas durante exámenes (vigilancia automatizada)

Justicia y fuerzas del orden

El Anexo III, puntos 6, 7 y 8 cubren:

  • Evaluación del riesgo de reincidencia: sistemas utilizados para evaluar la probabilidad de que una persona cometa una infracción
  • Polígrafos y herramientas de detección de emociones durante interrogatorios
  • Evaluación de la fiabilidad de las pruebas
  • Perfilado en el marco de la prevención y detección de delitos

Infraestructuras críticas

El Anexo III, punto 2 cubre los componentes de seguridad en la gestión y explotación de infraestructuras digitales críticas, del tráfico rodado y del suministro de agua, gas, calefacción y electricidad.

Migración y control de fronteras

El Anexo III, punto 7 incluye los sistemas utilizados para la evaluación del riesgo de migración irregular, el examen de solicitudes de visado y permisos de residencia, y la identificación de personas en el contexto de la migración.

Las obligaciones concretas para los sistemas de alto riesgo

Si uno o varios de sus sistemas de IA están clasificados como de alto riesgo, esto es lo que exige el reglamento:

Evaluación de conformidad (Artículos 9 a 15)

Antes de su comercialización o puesta en servicio, el sistema debe ser objeto de una evaluación de conformidad que cubra:

  1. Sistema de gestión de riesgos (Artículo 9): identificación, análisis, estimación y mitigación de riesgos a lo largo del ciclo de vida del sistema
  2. Gobernanza de datos (Artículo 10): los conjuntos de datos de entrenamiento deben ser pertinentes, representativos y estar libres de errores en la medida de lo posible
  3. Documentación técnica (Artículo 11): descripción detallada del sistema, sus finalidades, su rendimiento y sus limitaciones
  4. Mantenimiento de registros (Artículo 12): registro automático de eventos (logs) durante toda la duración del funcionamiento
  5. Transparencia e información (Artículo 13): instrucciones de uso claras para los responsables del despliegue
  6. Supervisión humana (Artículo 14): el sistema debe estar diseñado para permitir una supervisión efectiva por personas físicas
  7. Precisión, robustez y ciberseguridad (Artículo 15)

Obligaciones específicas de los responsables del despliegue (Artículo 26)

Las empresas que utilizan sistemas de IA de alto riesgo (responsables del despliegue) tienen obligaciones propias:

  • Utilizar el sistema conforme a las instrucciones del proveedor
  • Asegurar la supervisión humana por personas competentes y formadas
  • Vigilar el funcionamiento del sistema y notificar cualquier disfunción
  • Realizar una evaluación de impacto sobre derechos fundamentales (para ciertos responsables del despliegue)
  • Conservar los logs generados automáticamente durante al menos seis meses
📄Riesgos de la IA en la empresa: identificar y gestionar eficazmente

Cómo auditar sus herramientas de IA

El primer paso hacia el cumplimiento es saber exactamente qué sistemas de IA utiliza y en qué categoría se encuentran.

1. Realizar un inventario completo

Liste todas las herramientas que incorporan IA en su organización. No olvide:

  • Las herramientas integradas en su software existente (CRM, ERP, SIRH)
  • Las suscripciones SaaS con funcionalidades de IA
  • Los usos informales por parte de los colaboradores (asistentes IA, herramientas de generación)
  • Los desarrollos internos
  • Sistemas automatizados de la Agencia Tributaria o de la Seguridad Social, si aplica

2. Clasificar cada sistema

Para cada herramienta identificada, determine:

  • ¿Es un sistema de IA en el sentido del Artículo 3(1) del reglamento?
  • ¿Entra dentro de alguna de las categorías del Anexo III?
  • ¿Cuál es su nivel de riesgo?

3. Evaluar la brecha de cumplimiento

Para cada sistema de alto riesgo, compare su situación actual con los requisitos de los Artículos 9 a 15 y del Artículo 26. Identifique las brechas y priorice las acciones correctivas.

4. Documentar y trazar

Constituya un expediente de cumplimiento por sistema, incluyendo la clasificación, la documentación técnica, las evaluaciones realizadas y las medidas de control implementadas. Esta documentación estructurada será su referencia en caso de auditoría.

5. Formar a los usuarios

Para cada sistema de alto riesgo, las personas encargadas de la supervisión humana deben tener las competencias necesarias (Artículo 14). Esto se alinea con la obligación del Artículo 4 sobre competencia en IA, pero con un nivel de exigencia superior: estas personas deben comprender las capacidades y limitaciones específicas del sistema que supervisan.

El caso de los sistemas de IA de uso general

Los modelos de IA de uso general (como GPT-4, Claude, Gemini) están sujetos a disposiciones específicas (Artículos 51 a 56). Cuando un modelo de uso general se integra en un sistema de IA clasificado como de alto riesgo, las obligaciones de alto riesgo se aplican al sistema en su conjunto — aunque el modelo subyacente sea, en sí mismo, una herramienta generalista.

Esto significa que utilizar ChatGPT para responder a candidatos en un proceso de selección puede transformar una herramienta “generalista” en un componente de un sistema de alto riesgo.

Ce que ça implique pour vous

La clasificación de sus sistemas de IA no es un ejercicio teórico — es la piedra angular de su cumplimiento con el AI Act. Si utiliza IA en reclutamiento, evaluación del rendimiento, scoring crediticio (como los sistemas de BBVA, Santander o CaixaBank) o ayuda al diagnóstico, probablemente está operando sistemas de alto riesgo. Cada sistema afectado exige una evaluación de conformidad, una documentación técnica, una supervisión humana efectiva y personal formado para asegurarla. Empiece por el inventario. Hoy.