IA de alto riesgo en la Ley de IA de la UE: clasificación y obligaciones

El enfoque basado en el riesgo

La Ley de IA de la UE (Reglamento UE 2024/1689) entró en vigor el 1 de agosto de 2024 y clasifica los sistemas de IA en cuatro niveles de riesgo: prácticas prohibidas, alto riesgo, riesgo limitado (sujeto a obligaciones de transparencia) y riesgo mínimo. Las obligaciones más exigentes recaen sobre los sistemas de alto riesgo.

Qué se considera alto riesgo

Se consideran de alto riesgo, por un lado, los casos de uso enumerados en el Anexo III (entre otros, empleo y selección de personal, educación, evaluación de solvencia crediticia, acceso a servicios esenciales, biometría, infraestructura crítica, aplicación de la ley, migración y administración de justicia) y, por otro, la IA integrada como componente de seguridad en productos ya regulados por la legislación de la UE (Anexo I).

Obligaciones para los sistemas de alto riesgo

Los proveedores deben implantar un sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registro de eventos (logs), transparencia e información para los responsables del despliegue, supervisión humana y niveles adecuados de precisión, robustez y ciberseguridad, además de superar una evaluación de la conformidad y registrar el sistema en la base de datos de la UE.

Calendario actualizado (Omnibus, mayo de 2026)

Las prácticas prohibidas se aplican desde el 2 de febrero de 2025 y las obligaciones para modelos de IA de uso general desde el 2 de agosto de 2025. Tras el acuerdo provisional Digital Omnibus del 7 de mayo de 2026 (pendiente de adopción formal y de publicación en el Diario Oficial), las obligaciones de alto riesgo del Anexo III se aplazan al 2 de diciembre de 2027 y las del Anexo I al 2 de agosto de 2028. Las obligaciones de transparencia (artículo 50) se mantienen a partir del 2 de agosto de 2026, con un breve periodo de gracia para el marcado de contenido generado por IA hasta el 2 de diciembre de 2026.

Sanciones y alcance extraterritorial

Las infracciones más graves (prácticas prohibidas) pueden sancionarse con hasta 35 millones de euros o el 7 % de la facturación mundial anual; otras obligaciones, con hasta 15 millones o el 3 %. El Reglamento tiene alcance extraterritorial: se aplica cuando el resultado del sistema se utiliza en la UE, aunque el proveedor esté establecido en España, Latinoamérica o cualquier otro lugar.

Qué hacer ahora

El aplazamiento no es motivo para esperar. La parte difícil no es la documentación, sino inventariar todos los sistemas de IA, clasificarlos según el Anexo III y mantener ese inventario actualizado. Empezar ahora deja margen para refinar; empezar a finales de 2027 deja semanas.

Fuentes

Reglamento (UE) 2024/1689 (EUR-Lex) · Marco regulador de la IA — Comisión Europea · Análisis del Digital Omnibus (mayo de 2026). Información general, no asesoramiento jurídico; verifique siempre con las fuentes oficiales y con asesoramiento cualificado.