Cumplimiento y ética

Sistema de IA de alto riesgo

Un sistema de IA de alto riesgo, según el AI Act, es uno que se usa en ámbitos sensibles del Anexo III (empleo, educación, crédito, servicios esenciales, biometría, justicia, migración, infraestructuras críticas) o como componente de seguridad de productos regulados. Desde el 2 de agosto de 2026 estos sistemas tienen un régimen completo de obligaciones bajo riesgo de sanciones de hasta 15 M € o 3% del volumen mundial.

Por Ana María González Actualizado: 9 de mayo de 2026

Definición rápida

Respuesta directa

Explicación ampliada

El AI Act clasifica los sistemas de IA en cuatro niveles: riesgo inaceptable (prohibidos), alto riesgo, riesgo limitado, riesgo mínimo. La categoría de alto riesgo es la más exigente para empresas, porque afecta a usos relativamente comunes. El Anexo III enumera ocho áreas: (1) biometría —identificación remota, categorización biométrica, reconocimiento de emociones; (2) infraestructuras críticas —agua, gas, electricidad, tráfico; (3) educación —decidir admisión, evaluar aprendizaje; (4) empleo —cribado de CV, gestión de personal; (5) servicios privados o públicos esenciales —scoring crediticio, evaluación de seguros, ayudas públicas; (6) aplicación de la ley; (7) migración y control fronterizo; (8) justicia y procesos democráticos. La Comisión Europea aclaró en abril de 2026 que los agentes de IA quedan plenamente cubiertos por el Reglamento sin necesidad de reforma. Las obligaciones para alto riesgo (Capítulo III, Sección 3): sistema de gestión de riesgos, gobernanza de datos, documentación técnica detallada, registro de eventos, transparencia, supervisión humana efectiva, precisión y robustez, ciberseguridad, marcado CE, registro en base de datos UE, y monitorización post-comercialización durante toda la vida del sistema.

Por qué importa para tu empresa

Aplicación práctica

Para una empresa española, la pregunta clave a contestar antes del 2 de agosto de 2026 es: "¿alguno de los sistemas IA que usamos cae en alto riesgo?". Si una empresa usa IA para cribar candidatos a un puesto, evaluar morosidad de clientes, decidir tarifas de seguro por perfil, o cualquier sistema biométrico —aunque sea SaaS contratado a un tercero— puede ser deployer de un sistema de alto riesgo, con obligaciones propias incluso si el proveedor es americano. La sanción puede llegar a 15 M € o 3% del volumen mundial, además del riesgo reputacional. AESIA es la autoridad que supervisará en España. La práctica recomendada: hacer ya el inventario y la clasificación de cada sistema IA en uso, con asesoría legal especializada para los casos dudosos.

Ejemplo concreto

Caso real

Una empresa de RR. HH. española contrataba en 2024 un servicio SaaS estadounidense que cribaba CVs de candidatos con IA. En la auditoría interna de cara al AI Act descubrieron que ese sistema entraba en el Anexo III (decisiones de empleo) y, como deployers, debían cumplir varias obligaciones del Artículo 26: información al candidato de la decisión asistida por IA, supervisión humana real, evaluación de impacto en derechos fundamentales. El proveedor americano no proporcionaba la documentación técnica necesaria. Decisión: cambiar a un proveedor europeo certificado y reformar el flujo para añadir revisión humana antes de cada rechazo. Coste de transición: 18.000 €. Coste estimado de no haberlo hecho: hasta 3% del volumen anual.