§1 Biometría
Intersectorial- Identificación biométrica remota (no prohibida por el Artículo 5)
- Categorización biométrica (excluidos los atributos sensibles)
- Reconocimiento de emociones en contextos no prohibidos
El Reglamento de IA de la UE (Reglamento (UE) 2024/1689) clasifica los sistemas de IA en cuatro niveles de riesgo: prohibido, alto riesgo, riesgo limitado y riesgo mínimo. La categoría de alto riesgo — definida en el Artículo 6 más las listas del Anexo I y el Anexo III — es donde se concentran la mayoría de las obligaciones de IA empresarial.
El Anexo III contiene ocho categorías de casos de uso de alto riesgo: biometría, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración y justicia/democracia. Si su IA encaja en alguna de ellas, se enfrenta a todo el conjunto de requisitos de evaluación de la conformidad, documentación técnica, supervisión humana y vigilancia poscomercialización — y a sanciones de hasta 15 millones EUR o el 3 % del volumen de negocio mundial.
Las obligaciones de alto riesgo se aplican a partir del 2 de agosto de 2026. El Artículo 6(3) prevé una excepción restringida si la IA solo realiza una "tarea procedimental específica", mejora el resultado de una actividad humana previamente completada, detecta desviaciones respecto a un patrón de decisión sin reemplazarlo, o realiza una tarea preparatoria.
El Reglamento de IA de la UE es la primera regulación horizontal e integral de la IA a nivel mundial. Se aplica a los proveedores que introducen sistemas de IA en el mercado de la UE y a los responsables del despliegue que utilizan sistemas de IA en la UE — incluidas las empresas no pertenecientes a la UE cuyos resultados se utilizan en la UE (Artículo 2).
Al igual que el RGPD, el Reglamento de IA es extraterritorial. Al igual que el RGPD, su incumplimiento conlleva sanciones basadas en un porcentaje del volumen de negocio. A diferencia del RGPD, contiene categorías explícitas de casos de uso prohibidos y un volumen mucho mayor de requisitos previos a la comercialización para los sistemas de alto riesgo.
La mayoría de la IA empresarial encaja en alto riesgo (por casos de uso de RR. HH., crédito o biometría) o en riesgo limitado (por despliegues de chatbots).
El Artículo 6 clasifica un sistema de IA como de alto riesgo si cumple cualquiera de estas condiciones:
Muchos sistemas cumplen ambas pruebas; la vía del Anexo III es la que la mayoría de los equipos de producto necesitan comprender.
El Artículo 6(3) establece una exención restringida. Un sistema de IA enumerado en el Anexo III no es de alto riesgo si no plantea un riesgo significativo de causar perjuicios a la salud, la seguridad o los derechos fundamentales de las personas físicas, también por no influir sustancialmente en el resultado de la toma de decisiones. Las condiciones del Artículo 6(3) son:
La excepción no se aplica si el sistema de IA realiza elaboración de perfiles de personas físicas. Cuando un proveedor concluye que un sistema del Anexo III no es de alto riesgo, debe documentar la evaluación (Artículo 6(4)) y registrar el sistema en la base de datos de la UE (Artículo 49).
Las obligaciones de alto riesgo son amplias. Los proveedores deben:
Los responsables del despliegue — las personas físicas o jurídicas que utilizan un sistema de IA bajo su autoridad — tienen obligaciones más livianas, pero reales:
Normalmente no. Un chatbot genérico es de riesgo limitado conforme al Artículo 50 — debe divulgar que los usuarios están interactuando con una IA. Pero un chatbot que evalúe candidatos a un empleo, solicitudes de crédito o solicitudes de asilo sería de alto riesgo conforme al Anexo III §4, §5 o §7.
Los modelos de IA de uso general tienen su propio conjunto de normas conforme a los Artículos 51–55 (documentación técnica, política de derechos de autor, resumen de los datos de entrenamiento y normas más estrictas para la GPAI con riesgo sistémico). Las obligaciones de la GPAI se aplican desde el 2 de agosto de 2025.
Parcialmente. El Artículo 2(12) excluye la IA libre y de código abierto de muchos requisitos — salvo que el sistema sea de alto riesgo, esté prohibido o esté sujeto a los deberes de transparencia del Artículo 50. Efecto práctico: los modelos de código abierto pueden utilizarse libremente, pero los responsables del despliegue en contextos de alto riesgo siguen asumiendo las obligaciones de alto riesgo.
Operan en paralelo. La IA que trata datos personales debe cumplir tanto el RGPD (base jurídica, DPIA, decisiones automatizadas conforme al Artículo 22) como el Reglamento de IA (evaluación de la conformidad, EIDF, vigilancia poscomercialización). Los proveedores de IA de alto riesgo suelen necesitar tanto una DPIA como un expediente de documentación técnica del Reglamento de IA.
En realidad no. El Artículo 2(1) abarca a los proveedores que introducen sistemas de IA en el mercado de la UE, a los proveedores de terceros países cuyos resultados se utilizan en la UE y a los responsables del despliegue en la UE. La mayoría de los proveedores de IA relevantes están dentro del ámbito de aplicación.
RegulatoryBridge gestiona la evaluación de la conformidad, la EIDF, la documentación técnica y la vigilancia poscomercialización de los sistemas de IA de alto riesgo — para que su equipo de producto se centre en el modelo, no en el papeleo.