El EU AI Act clasifica los sistemas de inteligencia artificial en cuatro niveles de riesgo: prohibido, alto, limitado y mínimo. La categoría de alto riesgo es la que genera más obligaciones regulatorias y afecta al mayor número de empresas. El Anexo III del reglamento enumera las áreas concretas donde un sistema de IA se considera automáticamente de alto riesgo.
Entender este anexo es fundamental para cualquier empresa que desarrolle o despliegue IA en Europa, porque determina si tu sistema necesita pasar por una evaluación de conformidad completa, mantener documentación técnica detallada, e implementar sistemas de gestión de riesgos.
Los dos caminos hacia el alto riesgo
Un sistema de IA puede ser clasificado como de alto riesgo por dos vías:
- Anexo I: Cuando el sistema de IA es un componente de seguridad de un producto que ya está sujeto a legislación existente (maquinaria, dispositivos médicos, juguetes, automóviles, etc.).
- Anexo III: Cuando el sistema de IA se utiliza en una de las 8 áreas que el reglamento considera intrínsecamente de alto riesgo.
Este artículo se centra en el Anexo III, que es el que afecta a la mayoría de las empresas tecnológicas.
Las 8 categorías del Anexo III
1. Identificación biométrica y categorización de personas
Incluye sistemas de IA destinados a:
- Identificación biométrica remota (reconocimiento facial, de voz, etc.).
- Categorización biométrica que infiera atributos sensibles (raza, orientación política, estado de salud).
- Reconocimiento de emociones.
2. Gestión y operación de infraestructuras críticas
Sistemas utilizados como componentes de seguridad en la gestión de:
- Tráfico vial.
- Suministro de agua, gas, calefacción y electricidad.
- Infraestructura digital crítica.
3. Educación y formación profesional
Sistemas que determinan:
- El acceso o admisión a instituciones educativas.
- La evaluación de estudiantes (corrección automática de exámenes).
- El nivel educativo apropiado para una persona.
- El monitoreo de comportamiento prohibido durante exámenes.
4. Empleo, gestión de trabajadores y acceso al autoempleo
Sistemas utilizados para:
- Selección y filtrado de candidatos para empleo.
- Decisiones sobre promociones, despidos o asignación de tareas.
- Monitoreo y evaluación del rendimiento laboral.
- Publicación selectiva de ofertas de empleo.
5. Acceso y disfrute de servicios públicos y privados esenciales
Sistemas que determinan:
- La elegibilidad para prestaciones y servicios públicos.
- La concesión, reducción o revocación de dichos servicios.
- La evaluación de solvencia crediticia (scoring).
- La evaluación de riesgo y fijación de precios en seguros de vida y salud.
- Los servicios de emergencia (priorización de llamadas de emergencia).
6. Aplicación de la ley
Sistemas utilizados por autoridades policiales para:
- Evaluación del riesgo de que una persona cometa un delito.
- Polígrafos y herramientas para detectar emociones.
- Detección de deepfakes como evidencia.
- Evaluación de la fiabilidad de pruebas.
- Predicción de delitos basándose en perfiles.
7. Gestión de migración, asilo y control de fronteras
Sistemas empleados para:
- Evaluación de riesgo de seguridad que presenten personas que entren en el territorio UE.
- Asistencia en el examen de solicitudes de asilo.
- Detección, reconocimiento o identificación de personas en el contexto de migración.
8. Administración de justicia y procesos democráticos
Sistemas que asisten a:
- Autoridades judiciales en la interpretación de hechos y derecho.
- Resolución alternativa de disputas.
- Influencia en el resultado de elecciones o referéndums.
Obligaciones para sistemas de alto riesgo
Si tu sistema cae en alguna de estas 8 categorías, debes cumplir un extenso conjunto de requisitos definidos en los Artículos 9 al 15 del EU AI Act:
| Artículo | Requisito |
| ---------- | ----------- |
| Art. 9 | Sistema de gestión de riesgos documentado y actualizado |
| Art. 10 | Gobernanza de datos de entrenamiento, validación y prueba |
| Art. 11 | Documentación técnica completa del sistema |
| Art. 12 | Registro automático de actividad (logging) |
| Art. 13 | Transparencia suficiente para los usuarios |
| Art. 14 | Mecanismos de supervisión humana efectiva |
| Art. 15 | Precisión, robustez y ciberseguridad adecuadas |
Además, el Artículo 27 exige una evaluación de impacto en los derechos fundamentales antes del despliegue del sistema.
La excepción importante
El Artículo 6(3) establece una excepción: un sistema de IA listado en el Anexo III puede no considerarse de alto riesgo si:
- No presenta un riesgo significativo de causar daño a la salud, seguridad o derechos fundamentales.
- No influye materialmente en el resultado de la toma de decisiones.
El proveedor debe documentar esta evaluación y notificarla a la autoridad nacional antes de comercializar el sistema.
Cómo determinar si tu sistema está incluido
El proceso de clasificación requiere:
- Describir el propósito del sistema: ¿Qué hace exactamente y en qué contexto se usa?
- Mapear contra el Anexo III: ¿Encaja en alguna de las 8 categorías?
- Evaluar el impacto: ¿El sistema toma o influye en decisiones sobre personas?
- Documentar la conclusión: Independientemente del resultado, documentar el análisis.
Conclusión
El Anexo III del EU AI Act es el punto de partida para cualquier evaluación de cumplimiento. Si tu sistema de IA opera en alguna de las 8 áreas definidas — desde biometría hasta empleo, credit scoring o educación — estás ante un sistema de alto riesgo con obligaciones regulatorias significativas. El primer paso es identificar correctamente la clasificación; el segundo, documentar y demostrar cumplimiento antes de que el enforcement completo entre en vigor en agosto de 2026.