Sign in Subscribe
IA

IA de alto riesgo: la parte del AI Act que de verdad puede cambiar cómo se usa la inteligencia artificial

Javier Monzón

3 min read
IA de alto riesgo: la parte del AI Act que de verdad puede cambiar cómo se usa la inteligencia artificial

La Comisión Europea acaba de abrir una consulta sobre las directrices para clasificar sistemas de IA de alto riesgo, y ahí está una de las piezas más importantes del reglamento. No hablamos de poner una etiqueta a un chatbot, sino de decidir cuándo una IA puede afectar a empleo, educación, servicios públicos, crédito, infraestructuras o justicia. En la práctica, esta clasificación marcará qué sistemas podrán desplegarse con controles reforzados.

Qué ha pasado ahora

El 19 de mayo de 2026, la Comisión Europea publicó un borrador de directrices para aclarar cuándo un sistema debe considerarse de alto riesgo dentro del AI Act. La consulta estará abierta hasta el 23 de junio de 2026 y busca comentarios sobre la claridad de las guías y la utilidad de sus ejemplos. Bruselas no está reabriendo el reglamento, pero sí está trasladando el texto legal a casos prácticos.  

Esto importa porque “alto riesgo” no es un adjetivo decorativo. De esa categoría dependen obligaciones técnicas, documentales y organizativas. La propia Comisión indica que las directrices ayudarán a proveedores y desplegadores a determinar si un sistema entra o no en esa clasificación. Para quien desarrolle, compre o integre IA, la respuesta cambia costes, plazos y responsabilidades.

Qué significa “IA de alto riesgo”

El AI Act distingue dos grandes vías para que un sistema sea considerado de alto riesgo. La primera afecta a sistemas incorporados a productos regulados por legislación europea de seguridad: ciertos equipos industriales, sanitarios, juguetes, ascensores, radioequipos o transporte, entre otros. Si la IA actúa como componente de seguridad y el producto exige evaluación de conformidad por terceros, entra en el radar.  

La segunda vía está en el Anexo III del reglamento. Ahí aparecen usos que pueden impactar en derechos fundamentales, seguridad o salud: biometría, infraestructuras críticas, educación, empleo, servicios públicos esenciales, crédito, seguros, emergencias, fuerzas de seguridad, migración, justicia y procesos democráticos. La AESIA resume bien la lógica: son sistemas capaces de afectar a derechos o salud y, por tanto, deben cumplir requisitos específicos.  

La clave está en el uso, no en la tecnología

Una misma técnica de IA puede ser inocua en un contexto y muy sensible en otro. Un modelo que resume texto para uso interno no plantea el mismo riesgo que un sistema que filtra candidatos a un empleo, prioriza llamadas de emergencia o ayuda a decidir si una persona recibe una prestación. La regulación no mira solo si hay machine learning, redes neuronales o modelos generativos. Mira para qué se usa y qué consecuencias puede producir.

Este enfoque es razonable desde el punto de vista técnico. Regular “la IA” en bloque sería inútil. Lo importante es la función dentro del proceso. ¿El sistema informa, recomienda, ordena, decide o sustituye una valoración humana? ¿Puede una persona verse perjudicada de forma relevante? ¿Hay posibilidad real de revisión? En mi opinión, ahí estará la batalla práctica: demostrar que la IA es auxiliar y no una decisión automatizada encubierta.

No todo lo que parece alto riesgo lo será

El reglamento introduce una excepción importante. Un sistema incluido en un ámbito del Anexo III puede no considerarse de alto riesgo si no supone un riesgo significativo para la salud, la seguridad o los derechos fundamentales, especialmente si no influye materialmente en el resultado de una decisión. El artículo 6 menciona tareas procedimentales estrechas, mejoras sobre una actividad humana ya completada, detección de patrones sin reemplazar la revisión humana o tareas preparatorias.  

Pero esa excepción no es barra libre. Si el proveedor considera que su sistema no es de alto riesgo, deberá documentarlo antes de comercializarlo o ponerlo en servicio. Además, el reglamento dice que cuando haya perfilado de personas físicas, el sistema será siempre de alto riesgo si cae dentro del Anexo III. Este matiz es clave para recursos humanos, educación, banca, seguros y servicios públicos: no basta con decir que “solo ayuda”.

Qué obligaciones trae consigo

Ser alto riesgo no significa estar prohibido. Significa operar con controles reforzados. La AESIA enumera bloques como gestión de riesgos, gobernanza de datos, documentación técnica, conservación de registros, transparencia, supervisión humana, precisión, robustez y ciberseguridad. Traducido a lenguaje operativo: no vale desplegar un modelo porque “funciona bastante bien” en una demo.  

Habrá que documentar el propósito previsto, los datos usados, los límites conocidos, los mecanismos de supervisión, los registros de funcionamiento y las medidas de seguridad. El AI Act se aplica, con carácter general, desde el 2 de agosto de 2026, aunque la vía específica de sistemas integrados en productos del artículo 6.1 y sus obligaciones correspondientes se desplaza al 2 de agosto de 2027.  

En España, esto afectará tanto a empresas proveedoras como a administraciones que usen IA en trámites, ayudas, atención ciudadana, inspección o clasificación de expedientes. Conviene leer esto junto con lo que ya comentamos en Tecnoic sobre la obligación de avisar cuando hablas con una IA: transparencia y clasificación de riesgo son dos caras de la misma tendencia regulatoria.  

Conclusión

La IA de alto riesgo es probablemente la parte más importante del AI Act para organizaciones reales. No busca frenar toda la innovación, sino obligar a tratar como críticos los sistemas que pueden condicionar vidas, derechos o servicios esenciales. La pregunta ahora es si las directrices finales serán lo bastante claras para evitar dos errores: sobrerregular herramientas menores y dejar pasar sistemas que sí deciden demasiado.