¿Cuáles son los 4 niveles de riesgo del AI Act europeo?

El AI Act clasifica los sistemas de IA en cuatro niveles: riesgo inaceptable (prácticas prohibidas como la puntuación social o la vigilancia biométrica masiva en tiempo real), alto riesgo (sistemas del Anexo III como biometría, infraestructuras críticas, empleo o justicia), riesgo limitado (chatbots, detección de emociones, deepfakes — con obligaciones de transparencia) y riesgo mínimo (sin obligaciones específicas).

¿Qué prácticas de IA están completamente prohibidas por el AI Act?

El AI Act prohíbe: la puntuación social (social scoring), la manipulación subliminal o engañosa, la explotación de vulnerabilidades de grupos específicos, la evaluación de riesgo de delincuencia basada en perfilado, el scraping masivo no dirigido de imágenes faciales, la inferencia de emociones en el trabajo y la educación (salvo seguridad), y la identificación biométrica remota en tiempo real en espacios públicos (con excepciones para delitos graves).

¿Cuándo se aplican las sanciones del AI Act y cuánto son?

Las prohibiciones de prácticas inaceptables son ejecutables desde febrero de 2025. Las sanciones máximas son: 35 millones de euros o el 7% de la facturación global por prácticas prohibidas, 15 millones o el 3% por incumplimiento de obligaciones de alto riesgo, y 7,5 millones o el 1,5% por suministrar información incorrecta.

¿Qué es la AESIA y qué papel tiene en España?

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, es la autoridad nacional competente para supervisar el cumplimiento del AI Act en España. Gestiona el sandbox regulatorio de IA, coordina con el Comité Europeo de Inteligencia Artificial y supervisa las obligaciones de proveedores y deployers de sistemas de IA en territorio español.

¿Cómo puede un perito informático ayudar con el cumplimiento del AI Act?

El perito informático puede realizar auditorías técnicas de sistemas de IA para verificar el cumplimiento del AI Act: clasificar el nivel de riesgo del sistema, evaluar la documentación técnica obligatoria, analizar sesgos algorítmicos, verificar los mecanismos de supervisión humana, auditar los registros automáticos (logs) y emitir informes periciales para procedimientos sancionadores o judiciales.

AI Act: clasificación de riesgo de sistemas de IA

¿Qué es la clasificación de riesgo del AI Act?

El Reglamento (UE) 2024/1689, conocido como AI Act o Ley de Inteligencia Artificial, es la primera legislación integral del mundo que regula los sistemas de inteligencia artificial. Su mecanismo central es un sistema de clasificación por niveles de riesgo que determina qué obligaciones legales se aplican a cada sistema de IA en función del peligro que supone para los derechos fundamentales, la salud, la seguridad y la democracia.

Esta clasificación sigue un enfoque piramidal: cuanto mayor es el riesgo del sistema de IA, más estrictas son las obligaciones y mayores las sanciones por incumplimiento.

Entrada en vigor escalonada

El AI Act entró en vigor el 1 de agosto de 2024, pero su aplicación es escalonada: las prohibiciones de prácticas inaceptables son ejecutables desde febrero de 2025, las obligaciones para modelos de IA de propósito general (GPAI) desde agosto de 2025, y la aplicación completa del reglamento — incluidas las obligaciones para sistemas de alto riesgo — desde agosto de 2026.

Visión general de los 4 niveles de riesgo

┌─────────────────────────────────────────────────────┐
│                 RIESGO INACEPTABLE                   │
│              ████████████████████████                │
│           Prácticas PROHIBIDAS (Art. 5)              │
│         Sanciones: 35M€ o 7% facturación            │
├─────────────────────────────────────────────────────┤
│                    ALTO RIESGO                       │
│              ██████████████████                      │
│        Sistemas del Anexo III (Art. 6-49)            │
│     Obligaciones estrictas de cumplimiento           │
│         Sanciones: 15M€ o 3% facturación            │
├─────────────────────────────────────────────────────┤
│                  RIESGO LIMITADO                     │
│              ████████████████                        │
│       Obligaciones de transparencia (Art. 50)        │
│     Chatbots, deepfakes, detección emociones         │
│         Sanciones: 7,5M€ o 1,5% facturación         │
├─────────────────────────────────────────────────────┤
│                  RIESGO MÍNIMO                       │
│              ██████████████                          │
│         Sin obligaciones específicas                 │
│       Filtros de spam, videojuegos, etc.             │
│              Código de conducta voluntario            │
└─────────────────────────────────────────────────────┘

Nivel	Artículos	Ejemplos	Obligación principal
Inaceptable	Art. 5	Social scoring, vigilancia biométrica masiva	PROHIBICIÓN total
Alto	Arts. 6-49, Anexo III	Biometría, infraestructura crítica, empleo, justicia	Conformidad, auditoría, documentación
Limitado	Art. 50	Chatbots, deepfakes, emotion AI	Transparencia e información
Mínimo	Art. 95	Filtros spam, IA en videojuegos, recomendadores	Código de conducta voluntario

Nivel 1: Riesgo inaceptable — Prácticas prohibidas (Artículo 5)

Descripción general

El artículo 5 del AI Act establece una lista cerrada de prácticas de IA completamente prohibidas en la Unión Europea. Estas prácticas se consideran tan peligrosas para los derechos fundamentales que ninguna excepción de interés público justifica su uso (salvo excepciones muy limitadas para la identificación biométrica).

Aplicación desde febrero de 2025

Las prohibiciones del artículo 5 son las primeras disposiciones del AI Act que entraron en aplicación efectiva, el 2 de febrero de 2025. Cualquier empresa u organización que utilice o desarrolle estos sistemas puede ser sancionada con hasta 35 millones de euros o el 7% de su facturación global anual.

Prácticas prohibidas en detalle

1. Manipulación subliminal o engañosa (Art. 5.1.a)

Prohibición: Sistemas de IA que utilicen técnicas subliminales, manipuladoras o engañosas — más allá de la conciencia del individuo — para distorsionar materialmente su comportamiento, causándole o pudiendo causarle un perjuicio significativo.

Ejemplos concretos:

Ejemplo	Por qué está prohibido
IA que modula frecuencias de audio para inducir compras	Manipulación subliminal que el usuario no puede detectar
Chatbot que simula empatía humana para explotar vulnerabilidades emocionales	Engaño deliberado que distorsiona decisiones
Interfaz con patrones oscuros potenciados por IA para forzar consentimientos	Manipulación del comportamiento del usuario
Sistema de precios dinámicos basado en estado emocional detectado	Explotación de estado psicológico para beneficio comercial

Análisis técnico: Para que se active esta prohibición, deben concurrir tres elementos: (1) técnica subliminal o manipuladora, (2) distorsión material del comportamiento, y (3) perjuicio significativo real o potencial. La IA que simplemente persuade (como un recomendador de productos) no entra en esta categoría si el usuario es consciente de la recomendación.

2. Explotación de vulnerabilidades (Art. 5.1.b)

Prohibición: Sistemas de IA que exploten las vulnerabilidades de personas o grupos específicos derivadas de su edad, discapacidad o situación social o económica, con el fin de distorsionar materialmente su comportamiento de forma perjudicial.

Grupos protegidos:

Grupo vulnerable	Ejemplo de explotación prohibida
Personas mayores	IA que identifica deterioro cognitivo para vender productos financieros complejos
Menores	Algoritmos que explotan la impulsividad infantil para maximizar tiempo de pantalla
Personas con discapacidad	Asistentes de IA que manipulan a personas con discapacidad intelectual
Personas en situación económica precaria	Préstamos predatorios dirigidos por IA a personas con dificultades financieras

Prohibición: Sistemas de IA utilizados por autoridades públicas (o en su nombre) para evaluar o clasificar a personas físicas durante un período de tiempo basándose en su comportamiento social o en características personales conocidas, inferidas o previstas, cuando dicha puntuación conduzca a un trato perjudicial injustificado o desproporcionado.

Contexto: Esta prohibición está inspirada directamente en el Sistema de Crédito Social chino, que asigna puntuaciones a ciudadanos basándose en su comportamiento social y puede restringir su acceso a servicios públicos, transporte o crédito.

Elementos clave:

La prohibición aplica a autoridades públicas y entidades que actúen en su nombre
No se limita a un “sistema de crédito social” formal; cualquier puntuación social basada en IA está incluida
La evaluación debe producir un trato perjudicial injustificado o desproporcionado en contextos diferentes al que generó los datos

Sector privado y social scoring

La prohibición del artículo 5.1.c se dirige principalmente a autoridades públicas. Sin embargo, el uso de puntuación social por entidades privadas podría entrar en la prohibición general de manipulación (art. 5.1.a) o en las obligaciones de alto riesgo si se usa para decisiones que afectan a derechos fundamentales.

4. Evaluación de riesgo de delincuencia por perfilado (Art. 5.1.d)

Prohibición: Sistemas de IA que evalúen o predigan el riesgo de que una persona física cometa un delito basándose únicamente en el perfilado o en la evaluación de rasgos y características de personalidad, salvo cuando se use para complementar evaluaciones humanas basadas en hechos objetivos verificables directamente vinculados a actividad delictiva.

Implicaciones forenses: Los sistemas de “predictive policing” (policía predictiva) que perfilan a individuos basándose en su raza, barrio, historial crediticio u otros proxies están prohibidos. Sin embargo, los sistemas que analizan patrones delictivos geográficos o temporales (sin perfilar individuos) no entran en la prohibición.

5. Scraping masivo de imágenes faciales (Art. 5.1.e)

Prohibición: Sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la recopilación no dirigida de imágenes faciales de Internet o de grabaciones de CCTV.

Caso de referencia: Esta prohibición aborda directamente la práctica de empresas como Clearview AI, que recopiló más de 30.000 millones de imágenes faciales de redes sociales e Internet sin consentimiento para crear una base de datos de reconocimiento facial vendida a fuerzas de seguridad.

Práctica	¿Prohibida?
Scraping masivo de fotos de redes sociales para reconocimiento facial	Sí — Art. 5.1.e
Base de datos policial de fotos de detenidos	No — recopilación dirigida, no masiva
Empresa que usa fotos de empleados para control de acceso	No — consentimiento + finalidad específica
Recopilación de imágenes CCTV para entrenar modelo de reconocimiento	Sí — Art. 5.1.e

6. Inferencia de emociones en trabajo y educación (Art. 5.1.f)

Prohibición: Sistemas de IA que infieran las emociones de una persona física en el ámbito laboral y en las instituciones educativas, salvo cuando el sistema de IA esté destinado a ser puesto en servicio o utilizado por razones médicas o de seguridad.

Contexto: Esta prohibición aborda el creciente mercado de “emotion AI” o “affective computing” que analiza expresiones faciales, tono de voz y lenguaje corporal para inferir estados emocionales.

Uso	¿Prohibido?
Cámara que analiza expresiones de empleados para medir satisfacción	Sí
Software que monitoriza estrés de alumnos durante exámenes	Sí
Sistema médico que detecta dolor en pacientes no comunicativos	No — excepción médica
Detector de fatiga para conductores profesionales	No — excepción de seguridad
IA que analiza tono de voz en call center para evaluar rendimiento	Sí

7. Categorización biométrica por datos sensibles (Art. 5.1.g)

Prohibición: Sistemas de categorización biométrica que clasifiquen individualmente a personas basándose en sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, creencias religiosas o filosóficas, vida sexual u orientación sexual.

Excepción: Se permite el etiquetado o filtrado de conjuntos de datos biométricos adquiridos legalmente en el ámbito de la aplicación de la ley.

8. Identificación biométrica remota en tiempo real (Art. 5.1.h)

Prohibición: Uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de aplicación de la ley.

Excepciones estrictas (requieren autorización judicial previa):

Excepción	Condiciones
Búsqueda de víctimas	Secuestro, trata de personas, explotación sexual
Amenaza terrorista	Amenaza específica, sustancial e inminente
Delitos graves	Búsqueda de sospechosos de delitos del Anexo II (pena máxima ≥4 años)

Videovigilancia masiva

Esta prohibición es especialmente relevante en España, donde existen miles de cámaras de CCTV en espacios públicos. El uso de reconocimiento facial en tiempo real sobre estas cámaras — salvo las excepciones autorizadas judicialmente — está prohibido desde febrero de 2025. Las fuerzas de seguridad españolas deben obtener autorización judicial previa caso por caso.

Sanciones por prácticas prohibidas

Infractor	Sanción máxima
Empresa grande	35 millones € o 7% de la facturación global anual (lo que sea mayor)
PYME	Hasta 35 millones € (proporcional a tamaño)
Startup	Sanciones proporcionadas para no obstaculizar la innovación
Administración pública	Competencia de la autoridad nacional (AESIA en España)

Nivel 2: Alto riesgo — Sistemas del Anexo III (Artículos 6-49)

¿Qué es un sistema de IA de alto riesgo?

Un sistema de IA se clasifica como alto riesgo cuando cumple una de estas dos condiciones:

Condición A (Art. 6.1): Es un producto o componente de seguridad de un producto cubierto por la legislación de armonización de la UE listada en el Anexo I (maquinaria, dispositivos médicos, juguetes, ascensores, equipos de protección individual, etc.) Y requiere una evaluación de conformidad por un tercero.

Condición B (Art. 6.2): Está incluido en una de las ocho categorías del Anexo III.

El Anexo III: las 8 categorías de alto riesgo

Categoría 1: Biometría (Anexo III, punto 1)

Sistema	Ejemplo	Obligaciones específicas
Identificación biométrica remota (no en tiempo real)	Reconocimiento facial post-evento en grabaciones CCTV	Evaluación de conformidad, registro EU, supervisión humana
Categorización biométrica	Clasificar personas por género, edad, etnia mediante IA	Documentación técnica, pruebas de no discriminación
Detección de emociones (fuera de trabajo/educación)	Análisis de emociones en publicidad, atención al cliente	Transparencia, logs, supervisión humana

Relevancia forense: El perito informático puede ser requerido para auditar sistemas de reconocimiento facial utilizados por empresas de seguridad privada, verificar la precisión y ausencia de sesgos raciales, y documentar el cumplimiento de las obligaciones del Anexo III.

Categoría 2: Infraestructuras críticas (Anexo III, punto 2)

Sistemas de IA utilizados como componentes de seguridad en la gestión y operación de:

Infraestructura	Ejemplo de IA de alto riesgo
Tráfico rodado	IA que controla semáforos adaptativos
Suministro de agua	Sistemas de IA para detección de contaminación
Suministro de gas y calefacción	IA para gestión de redes de distribución
Suministro eléctrico	Algoritmos de balanceo de carga en smart grids
Internet	IA para gestión de tráfico en redes troncales
Transporte digital	Vehículos autónomos, control de tráfico aéreo

Directiva NIS2 y AI Act

Los sistemas de IA de alto riesgo en infraestructuras críticas están sujetos tanto al AI Act como a la Directiva NIS2 (seguridad de redes y sistemas de información). Las empresas afectadas deben cumplir ambas normativas de forma simultánea, lo que aumenta la complejidad del cumplimiento y la demanda de auditorías especializadas.

Categoría 3: Educación y formación profesional (Anexo III, punto 3)

Sistema	Riesgo específico
Acceso a instituciones educativas	IA que decide admisiones en universidades
Evaluación de estudiantes	Corrección automática de exámenes con consecuencias académicas
Evaluación del nivel de educación	Sistemas que determinan el nivel educativo apropiado
Supervisión de exámenes	Proctoring automatizado con IA
Detección de comportamiento prohibido	IA que detecta plagio o trampas en exámenes

Caso relevante: Los sistemas de proctoring (supervisión remota de exámenes) con IA, utilizados masivamente durante la pandemia COVID-19, son clasificados como alto riesgo. Deben cumplir obligaciones de transparencia, no discriminación y supervisión humana.

Categoría 4: Empleo y gestión de trabajadores (Anexo III, punto 4)

Sistema	Ejemplo	Riesgo
Contratación y selección	IA que filtra CVs o realiza entrevistas automatizadas	Discriminación por género, edad, raza
Decisiones sobre ascensos	Algoritmos que recomiendan promociones	Sesgo algorítmico
Terminación de contratos	IA que identifica candidatos a despido	Discriminación indirecta
Asignación de tareas	Sistemas que distribuyen trabajo basándose en perfiles	Explotación laboral
Monitorización de rendimiento	People analytics con IA	Vigilancia excesiva

Impacto laboral en España

España tiene una de las tasas de uso de IA en RRHH más altas de Europa. Herramientas como HireVue, Pymetrics, Eightfold AI y similares que se utilizan para selección de personal son sistemas de alto riesgo bajo el AI Act. Las empresas que las utilicen sin cumplir las obligaciones del AI Act se exponen a sanciones de hasta 15 millones de euros o el 3% de su facturación global. Los sindicatos pueden solicitar informes periciales sobre estos sistemas.

Categoría 5: Acceso a servicios esenciales (Anexo III, punto 5)

Servicio	Sistema de IA de alto riesgo
Prestaciones públicas	IA que decide elegibilidad para ayudas sociales
Servicios de emergencia	Sistemas de priorización de llamadas al 112
Puntuación crediticia	Scoring bancario automatizado
Seguros de vida y salud	IA para evaluación de riesgo actuarial
Calificación crediticia	Sistemas de evaluación de solvencia

Implicación en España: Los sistemas de scoring bancario utilizados por entidades financieras españolas (CaixaBank, Santander, BBVA, etc.) para decisiones de crédito son sistemas de alto riesgo. Los consumidores tienen derecho a explicaciones sobre las decisiones automatizadas (art. 22 RGPD + AI Act).

Categoría 6: Aplicación de la ley (Anexo III, punto 6)

Sistema	Uso policial
Evaluación de riesgo de victimización	Predecir probabilidad de que una persona sea víctima
Polígrafos y herramientas de detección	Detectar estados emocionales en interrogatorios
Evaluación de fiabilidad de pruebas	IA que evalúa veracidad de declaraciones
Perfilado de sospechosos	Predicción de reincidencia o comportamiento delictivo
Análisis forense de imágenes	Reconocimiento facial en investigaciones

Relevancia forense: El perito informático puede ser llamado a evaluar la fiabilidad técnica de sistemas de IA utilizados por las fuerzas de seguridad, verificar la ausencia de sesgos discriminatorios y documentar si se respetó la supervisión humana obligatoria.

Categoría 7: Migración, asilo y control de fronteras (Anexo III, punto 7)

Sistema	Aplicación
Detección de riesgos	IA que evalúa riesgo de seguridad de viajeros
Evaluación de solicitudes	IA que ayuda a procesar solicitudes de asilo
Verificación de documentos	Detección de documentos falsificados con IA
Vigilancia fronteriza	Sistemas de detección en fronteras

Categoría 8: Administración de justicia y procesos democráticos (Anexo III, punto 8)

Sistema	Aplicación
Asistencia judicial	IA que sugiere resultados judiciales o interpreta legislación
Resolución alternativa de disputas	Sistemas de mediación automatizada
Procesos electorales	IA que influye en resultados electorales

IA en la justicia española

La Instrucción CGPJ 2/2026 regula el uso de herramientas de IA en la administración de justicia española. Los jueces pueden usar asistentes de IA para investigación jurídica, pero las decisiones judiciales deben ser siempre humanas. Los sistemas de IA que asistan a jueces en la toma de decisiones son de alto riesgo bajo el AI Act.

Obligaciones para sistemas de alto riesgo

Los proveedores y deployers de sistemas de IA de alto riesgo deben cumplir un extenso conjunto de obligaciones:

Obligaciones del proveedor (Arts. 8-25)

Sistema de gestión de riesgos (Art. 9): Implementar un sistema continuo de identificación, análisis, evaluación y mitigación de riesgos durante todo el ciclo de vida del sistema de IA. Incluir medidas de prueba para identificar las medidas de gestión de riesgos más adecuadas.
Gobernanza de datos (Art. 10): Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad: ser relevantes, representativos, libres de errores y completos. Se deben examinar los posibles sesgos y adoptar medidas para prevenirlos.
Documentación técnica (Art. 11): Elaborar documentación técnica detallada antes de comercializar el sistema, que incluya: descripción del sistema, elementos del diseño, procesos de desarrollo, requisitos de infraestructura, análisis de rendimiento, medidas de gestión de riesgos y descripción del sistema de supervisión humana.
Registro automático de eventos (Art. 12): El sistema debe permitir el registro automático de eventos (logs) durante todo su período de uso. Los logs deben permitir la trazabilidad del funcionamiento del sistema y facilitar la supervisión posterior al despliegue.
Transparencia e información (Art. 13): Proporcionar instrucciones de uso claras y comprensibles al deployer, que incluyan: capacidades y limitaciones del sistema, nivel de precisión esperado, circunstancias de uso previstas, especificaciones de los datos de entrada y medidas de supervisión humana.
Supervisión humana (Art. 14): Diseñar el sistema para que pueda ser supervisado eficazmente por personas humanas. El supervisor humano debe poder comprender las capacidades y limitaciones del sistema, interpretar correctamente su output, decidir no usar el sistema o descartar su resultado, e intervenir o interrumpir el sistema en cualquier momento.
Precisión, robustez y ciberseguridad (Art. 15): Lograr un nivel adecuado de precisión, robustez frente a errores y perturbaciones, y ciberseguridad. El sistema debe ser resiliente frente a intentos de manipulación adversarial.
Evaluación de conformidad (Art. 43): Someterse a una evaluación de conformidad antes de la comercialización. Según la categoría, puede ser autoevaluación o evaluación por un organismo notificado.
Marcado CE y registro (Arts. 48-49): Tras superar la evaluación de conformidad, colocar el marcado CE y registrar el sistema en la base de datos de la UE.

Obligaciones del deployer (Arts. 26-27)

Obligación	Detalle
Uso conforme a instrucciones	Utilizar el sistema según las instrucciones del proveedor
Supervisión humana	Garantizar que la supervisión humana se realiza efectivamente
Datos de entrada	Asegurar que los datos de entrada son relevantes y representativos
Monitorización	Supervisar el funcionamiento del sistema y reportar incidentes
DPIA	Realizar una evaluación de impacto en protección de datos cuando proceda
Información a trabajadores	Informar a los representantes de los trabajadores y a los afectados
Evaluación de impacto en derechos fundamentales	Los deployers del sector público y entidades privadas que presten servicios públicos

Evaluación de conformidad

El proceso de evaluación de conformidad varía según la categoría:

Tipo de evaluación	Cuándo aplica	Proceso
Autoevaluación (Anexo VI)	La mayoría de sistemas de alto riesgo del Anexo III	El proveedor evalúa internamente el cumplimiento
Organismo notificado (Anexo VII)	Sistemas biométricos de identificación remota	Un organismo independiente certifica el cumplimiento
Legislación sectorial	Productos del Anexo I	Evaluación según la normativa sectorial aplicable

Registro en la base de datos de la UE

Todos los sistemas de IA de alto riesgo deben registrarse en la base de datos pública de la UE antes de su comercialización o puesta en servicio. El registro incluye:

Nombre del proveedor y sus datos de contacto
Descripción del sistema de IA
Estado del sistema (activo, retirado, revocado)
Países donde se comercializa
Declaración de conformidad
Instrucciones de uso

Nivel 3: Riesgo limitado — Obligaciones de transparencia (Artículo 50)

¿Qué sistemas tienen riesgo limitado?

Los sistemas de riesgo limitado no están prohibidos ni requieren las extensas obligaciones de los sistemas de alto riesgo, pero deben cumplir obligaciones específicas de transparencia para que los usuarios sepan que interactúan con IA.

Obligaciones de transparencia por tipo de sistema

Chatbots e interfaces conversacionales (Art. 50.1)

Obligación	Detalle
Informar de la interacción con IA	El usuario debe saber que interactúa con un sistema de IA antes de la interacción
Excepción	Cuando sea evidente por las circunstancias (contexto de uso claramente automatizado)
Formato	Claro, comprensible, accesible. No se requiere formato específico

Ejemplo práctico: Un chatbot de atención al cliente en un e-commerce español debe incluir un mensaje como: “Estás hablando con un asistente de inteligencia artificial. Un agente humano está disponible si lo solicitas.”

Sistemas de detección de emociones (Art. 50.3)

Obligación	Detalle
Informar a las personas expuestas	Antes de activar el sistema, informar que se está analizando su estado emocional
Excepciones	Usos médicos o de seguridad, y prevención de delitos con autorización judicial

Deepfakes y contenido generado por IA (Art. 50.4)

Tipo de contenido	Obligación
Deepfakes de vídeo/imagen	Etiquetar de forma clara que el contenido ha sido generado o manipulado por IA
Audio generado por IA	Informar que el audio ha sido generado artificialmente
Texto generado por IA	Informar cuando el texto trate asuntos de interés público y se publique para informar al público
Excepciones	Uso artístico, satírico o de ficción (con limitaciones); revisión humana editorial

Impacto en medios de comunicación y marketing

Las agencias de marketing y medios de comunicación en España deben etiquetar el contenido generado por IA cuando se publique para informar al público. Esto incluye textos, imágenes y vídeos generados o sustancialmente modificados por IA. El incumplimiento conlleva sanciones de hasta 7,5 millones de euros o el 1,5% de la facturación global.

Formato del etiquetado

El AI Act establece que el etiquetado debe ser:

Legible por máquina: Metadatos embebidos en el archivo (estándares como C2PA, IPTC)
Legible por humanos: Información visible para el usuario final
Persistente: Debe mantenerse a lo largo de la cadena de distribución
Interoperable: Compatible con estándares técnicos europeos

Estándares técnicos relevantes:

Estándar	Descripción	Aplicación
C2PA (Coalition for Content Provenance and Authenticity)	Metadatos de procedencia de contenido	Imágenes, vídeos, audio
IPTC (International Press Telecommunications Council)	Metadatos de noticias y medios	Texto periodístico, fotografías
EXIF modificado	Metadatos en imágenes	Fotografías manipuladas por IA
SynthID (Google)	Marca de agua imperceptible	Imágenes y audio generados por IA

Nivel 4: Riesgo mínimo — Sin obligaciones específicas

Sistemas de riesgo mínimo

La gran mayoría de sistemas de IA actualmente en uso se clasifican como riesgo mínimo. No tienen obligaciones específicas bajo el AI Act, aunque se les anima a adherirse a códigos de conducta voluntarios.

Ejemplos de IA de riesgo mínimo:

Sistema	Uso
Filtros de spam	Clasificación automática de correo no deseado
Recomendadores de contenido	Sugerencias en plataformas de streaming
Correctores ortográficos con IA	Corrección y sugerencias de escritura
IA en videojuegos	NPCs, generación procedural de contenido
Asistentes de navegación	Google Maps, Waze con predicción de tráfico
Optimización de inventario	IA para gestión de stock
Sistemas de traducción	DeepL, Google Translate

Códigos de conducta (Art. 95)

El AI Act incentiva la creación de códigos de conducta para sistemas de riesgo mínimo que cubran:

Sostenibilidad medioambiental (eficiencia energética)
Accesibilidad para personas con discapacidad
Participación de stakeholders en el diseño
Diversidad en equipos de desarrollo
Formación en alfabetización de IA

Modelos de IA de propósito general (GPAI) — Título IIIA

Régimen especial para modelos fundacionales

Además de la clasificación por niveles de riesgo, el AI Act establece un régimen separado para los modelos de IA de propósito general (GPAI), también conocidos como modelos fundacionales (GPT-4, Claude, Gemini, Llama, Mistral, etc.).

Aplicación desde agosto de 2025

Las obligaciones para modelos GPAI son aplicables desde el 2 de agosto de 2025, un año antes de la aplicación general del AI Act. Los proveedores de modelos fundacionales (OpenAI, Anthropic, Google, Meta, Mistral) ya deben cumplir estas obligaciones.

Clasificación de modelos GPAI

Tipo	Criterio	Obligaciones
GPAI estándar	Cualquier modelo de propósito general	Documentación técnica, política de derechos de autor, resumen de datos de entrenamiento
GPAI con riesgo sistémico	Modelos con >10^25 FLOP de entrenamiento o designados por la Comisión	Todas las anteriores + evaluación adversarial, monitorización de incidentes, ciberseguridad, eficiencia energética

Obligaciones de proveedores GPAI

Modelos GPAI estándar (Art. 53)

Obligación	Detalle
Documentación técnica	Incluyendo proceso de entrenamiento y evaluación
Información a proveedores downstream	Para que puedan cumplir sus obligaciones del AI Act
Política de derechos de autor	Cumplir la Directiva de derechos de autor (opt-out del text mining)
Resumen de datos de entrenamiento	Publicar un resumen de los datos usados para entrenamiento

Modelos GPAI con riesgo sistémico (Art. 55)

Obligación adicional	Detalle
Evaluación del modelo	Tests adversariales (red teaming), evaluación de capacidades peligrosas
Monitorización de incidentes	Registro y reporte de incidentes graves
Ciberseguridad	Nivel adecuado de protección del modelo y su infraestructura
Eficiencia energética	Documentar y publicar el consumo energético del modelo
Informe a la Comisión	Reportes periódicos sobre el cumplimiento

Impacto en empresas españolas

Las empresas españolas que usen modelos GPAI (ChatGPT, Claude, Gemini) para crear sistemas de IA de alto riesgo son “deployers” bajo el AI Act. Deben:

Verificar que el proveedor del modelo GPAI cumple sus obligaciones
Realizar su propia evaluación de conformidad para el sistema final
Documentar cómo el modelo GPAI se integra en su sistema
Garantizar la supervisión humana del sistema completo

Cronología de aplicación del AI Act

Fecha	Hito	Artículos aplicables
1 agosto 2024	Entrada en vigor del reglamento	—
2 febrero 2025	Prohibiciones de prácticas inaceptables	Art. 5
2 febrero 2025	Obligaciones de alfabetización en IA	Art. 4
2 agosto 2025	Obligaciones para modelos GPAI	Arts. 51-56
2 agosto 2025	Gobernanza: Comité Europeo de IA	Arts. 64-68
2 agosto 2025	Sanciones por incumplimiento GPAI	Art. 99
2 agosto 2026	Aplicación completa: alto riesgo, limitado, mínimo	Todos los artículos
2 agosto 2027	Obligaciones para sistemas de alto riesgo del Anexo I	Art. 6.1

Agosto de 2026: fecha crítica

El 2 de agosto de 2026 es la fecha de aplicación completa del AI Act. A partir de esa fecha, las empresas que utilicen sistemas de IA de alto riesgo sin cumplir las obligaciones del reglamento se exponen a sanciones de hasta 15 millones de euros o el 3% de su facturación global anual. Las empresas deben prepararse ahora para cumplir en plazo.

Sanciones del AI Act

Estructura sancionadora

Infracción	Sanción máxima (empresa grande)	Sanción máxima (PYME/startup)
Prácticas prohibidas (Art. 5)	35M€ o 7% facturación global	Proporcionalmente menor
Incumplimiento obligaciones alto riesgo	15M€ o 3% facturación global	Proporcionalmente menor
Información incorrecta a autoridades	7,5M€ o 1,5% facturación global	Proporcionalmente menor

Comparativa con RGPD

Aspecto	AI Act	RGPD
Sanción máxima	35M€ o 7% facturación	20M€ o 4% facturación
Autoridad supervisora	AESIA (España) + Comisión Europea	AEPD (España)
Enfoque	Clasificación por riesgo del sistema	Protección de datos personales
Sujetos obligados	Proveedores, deployers, importadores, distribuidores	Responsables y encargados del tratamiento
Evaluación de impacto	Evaluación de conformidad (Art. 43)	DPIA (Art. 35 RGPD)
Registro	Base de datos UE de IA de alto riesgo	Registro de actividades de tratamiento

Criterios para determinar la sanción

Las autoridades supervisoras considerarán:

La naturaleza, gravedad y duración de la infracción
Si la infracción fue intencionada o negligente
Las medidas adoptadas para mitigar el daño
El grado de responsabilidad, considerando las medidas técnicas y organizativas implementadas
Infracciones previas del mismo infractor
El grado de cooperación con la autoridad supervisora
La manera en que se tuvo conocimiento de la infracción
El tamaño, la cuota de mercado y la facturación del infractor

AESIA: la autoridad española de supervisión de IA

¿Qué es la AESIA?

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es la autoridad nacional competente designada por España para supervisar el cumplimiento del AI Act. Fue creada por Real Decreto 729/2023 y tiene su sede en A Coruña.

Competencias de la AESIA

Competencia	Detalle
Supervisión del AI Act	Vigilar el cumplimiento del reglamento en España
Sandbox regulatorio	Gestionar el entorno controlado de pruebas de IA
Investigación	Iniciar investigaciones de oficio o por denuncia
Sanciones	Imponer sanciones por infracciones del AI Act
Coordinación europea	Representar a España en el Comité Europeo de IA
Asesoramiento	Orientar a empresas sobre el cumplimiento
Certificación	Designar organismos notificados para evaluación de conformidad

Sandbox regulatorio de IA

El sandbox regulatorio es un entorno controlado donde empresas e innovadores pueden probar sistemas de IA bajo la supervisión de la AESIA, con flexibilidad regulatoria temporal. España fue uno de los primeros países de la UE en poner en marcha su sandbox.

Beneficios del sandbox:

Probar sistemas de IA sin riesgo de sanciones durante el período de prueba
Recibir orientación directa de la AESIA sobre cumplimiento
Acceder a datos de prueba proporcionados por el sandbox
Validar la clasificación de riesgo del sistema antes de la comercialización

Papel del perito informático forense

Servicios periciales relacionados con el AI Act

El perito informático forense tiene un papel creciente en el ecosistema del AI Act:

Servicio	Descripción
Auditoría de clasificación de riesgo	Evaluar técnicamente si un sistema de IA está correctamente clasificado según los criterios del Anexo III
Evaluación de sesgos algorítmicos	Analizar conjuntos de datos y modelos para detectar sesgos discriminatorios (género, raza, edad, discapacidad)
Verificación de supervisión humana	Auditar si los mecanismos de supervisión humana son efectivos y no meramente formales
Análisis de logs y trazabilidad	Verificar que el sistema registra adecuadamente sus decisiones y permite la trazabilidad
Auditoría de documentación técnica	Evaluar si la documentación técnica cumple los requisitos del AI Act
Peritaje en procedimientos sancionadores	Informes periciales para defender o acusar en expedientes sancionadores de la AESIA
Detección de deepfakes	Análisis forense de contenido potencialmente generado por IA
Evaluación de transparencia	Verificar que los sistemas de riesgo limitado cumplen las obligaciones de etiquetado

Metodología pericial para auditoría AI Act

Identificación del sistema de IA: Determinar qué sistemas de IA utiliza la organización y cuál es su finalidad. Documentar proveedores, versiones, datos de entrada y salida, y usuarios del sistema.
Clasificación de riesgo: Aplicar los criterios del artículo 6 y del Anexo III para determinar el nivel de riesgo de cada sistema. Verificar si el proveedor ha realizado correctamente la autoclasificación.
Evaluación de cumplimiento por nivel: Para cada sistema de alto riesgo, verificar el cumplimiento de los artículos 8-15 (gestión de riesgos, gobernanza de datos, documentación, logs, transparencia, supervisión humana, precisión y ciberseguridad).
Análisis de sesgos: Ejecutar pruebas técnicas para detectar sesgos en los datos de entrenamiento y en las salidas del modelo. Utilizar métricas estándar como disparate impact, equalized odds y demographic parity.
Verificación de supervisión humana: Evaluar si los mecanismos de supervisión humana son efectivos. Verificar que los operadores humanos tienen la formación, las herramientas y la autoridad para intervenir. Comprobar que existe un proceso documentado para desactivar el sistema.
Auditoría de logs: Verificar que el sistema registra automáticamente las decisiones, los datos de entrada, los resultados y los timestamps. Comprobar la integridad de los logs y su período de retención.
Informe pericial: Emitir un informe con los hallazgos, el nivel de cumplimiento de cada obligación, las no conformidades detectadas y las recomendaciones de remediación. El informe debe ser comprensible para la AESIA, para un tribunal y para la dirección de la empresa.

Ejemplo de informe pericial: estructura recomendada

Un informe pericial sobre cumplimiento del AI Act debería contener las siguientes secciones:

Sección	Contenido
1. Objeto de la pericia	Definición del sistema de IA auditado y alcance del informe
2. Metodología	Herramientas utilizadas, estándares aplicados, proceso de auditoría
3. Descripción del sistema	Arquitectura, datos de entrada/salida, modelo, proveedor
4. Clasificación de riesgo	Nivel asignado con justificación basada en el Anexo III
5. Evaluación de cumplimiento	Análisis artículo por artículo (arts. 8-15 para alto riesgo)
6. Análisis de sesgos	Resultados de las pruebas de equidad y no discriminación
7. Supervisión humana	Evaluación de la efectividad de los mecanismos implementados
8. No conformidades	Lista priorizada de incumplimientos detectados
9. Recomendaciones	Plan de remediación con plazos estimados
10. Conclusiones	Resumen ejecutivo del nivel de cumplimiento

Herramientas para auditoría de IA

Herramienta	Uso	Licencia
IBM AI Fairness 360	Detección y mitigación de sesgos en modelos de IA	Open source
Google What-If Tool	Exploración visual de modelos de ML	Open source
Microsoft Fairlearn	Evaluación y mejora de equidad en modelos	Open source
Aequitas	Auditoría de sesgo y equidad	Open source
SHAP	Explicabilidad de modelos (SHapley Additive exPlanations)	Open source
LIME	Explicaciones locales interpretables de modelos	Open source
Alibi Explain	Explicabilidad de modelos black-box	Open source
LangSmith / LangFuse	Monitorización y trazabilidad de LLMs	Freemium

Impacto sectorial en España

Sector financiero

Sistema de IA	Clasificación AI Act	Impacto
Scoring crediticio	Alto riesgo (Anexo III.5)	Obligación de explicabilidad, auditoría de sesgos
Detección de fraude	Alto riesgo (Anexo III.5)	Supervisión humana, documentación técnica
Asesoramiento automatizado	Alto riesgo (Anexo III.5)	Transparencia, información al cliente
Chatbot de atención al cliente	Riesgo limitado	Informar que es IA
Trading algorítmico	Regulación sectorial (MiFID II)	Doble regulación

Sector sanitario

Sistema de IA	Clasificación	Impacto
Diagnóstico asistido por IA	Alto riesgo (Anexo I — dispositivos médicos)	Certificación CE + AI Act
Triaje automatizado	Alto riesgo	Supervisión humana obligatoria
Análisis de imágenes médicas	Alto riesgo (dispositivo médico)	Evaluación por organismo notificado
Gestión de citas	Riesgo mínimo	Sin obligaciones específicas

Sector público

Sistema de IA	Clasificación	Impacto
Asistentes virtuales AAPP	Riesgo limitado	Transparencia
Sistemas de ayudas sociales	Alto riesgo (Anexo III.5)	Evaluación de impacto en derechos fundamentales
Policía predictiva	Alto riesgo (Anexo III.6) o prohibido	Restricciones estrictas
Reconocimiento facial policial	Prohibido (tiempo real) o alto riesgo (diferido)	Autorización judicial

Sector legal

Sistema de IA	Clasificación	Impacto
Asistentes jurídicos IA	Alto riesgo (Anexo III.8) si se usan en procesos judiciales	Supervisión humana, transparencia
Revisión documental	Riesgo mínimo-limitado	Código de conducta recomendado
Predicción de resultados judiciales	Alto riesgo (Anexo III.8)	Documentación técnica, auditoría de sesgos
Chatbot de consultas legales	Riesgo limitado	Informar de la interacción con IA

Relación con otras normativas

AI Act y RGPD

El AI Act complementa al RGPD pero no lo sustituye. Cuando un sistema de IA procesa datos personales, debe cumplir ambas normativas simultáneamente:

Aspecto	AI Act	RGPD
Enfoque	Seguridad y derechos fundamentales del sistema	Protección de datos personales
Evaluación	Evaluación de conformidad	DPIA (Evaluación de impacto)
Transparencia	Sobre el sistema de IA en sí	Sobre el tratamiento de datos personales
Supervisión	AESIA	AEPD
Sanciones	Hasta 7% facturación	Hasta 4% facturación
Acumulación	Sí — las sanciones pueden ser acumulativas

AI Act y Directiva NIS2

Los sistemas de IA de alto riesgo en infraestructuras críticas están sujetos a:

Las obligaciones de ciberseguridad del AI Act (Art. 15)
Las obligaciones de seguridad de la Directiva NIS2
Las obligaciones del Esquema Nacional de Seguridad (ENS) en España

AI Act y Directiva de Responsabilidad por IA

La Directiva de Responsabilidad por IA (propuesta) facilitará las reclamaciones civiles por daños causados por sistemas de IA de alto riesgo, invirtiendo la carga de la prueba en determinadas circunstancias.

Estándares técnicos y normas armonizadas

ISO/IEC 42001:2023 — Sistema de gestión de IA

La norma ISO/IEC 42001:2023 es el primer estándar internacional para sistemas de gestión de inteligencia artificial. Es altamente relevante para el cumplimiento del AI Act porque:

Aspecto	Relación con el AI Act
Gestión de riesgos	Complementa las obligaciones de gestión de riesgos del Art. 9
Gobernanza de datos	Alineada con los requisitos de gobernanza de datos del Art. 10
Documentación	Facilita el cumplimiento de los requisitos de documentación técnica del Art. 11
Auditoría	Proporciona marco de auditoría certificable
Mejora continua	Ciclo PDCA compatible con la monitorización post-despliegue

Otras normas relevantes

Norma	Descripción	Aplicación AI Act
ISO/IEC 23894:2023	Gestión de riesgos de IA	Art. 9 (sistema de gestión de riesgos)
ISO/IEC TR 24027:2021	Sesgo en sistemas de IA	Art. 10 (gobernanza de datos, no discriminación)
ISO/IEC 24029-1:2021	Robustez de redes neuronales	Art. 15 (robustez y ciberseguridad)
ISO/IEC 38507:2022	Gobernanza de IA para organizaciones	Marco general de gobernanza
ISO/IEC 22989:2022	Conceptos y terminología de IA	Definiciones alineadas con el AI Act
ISO/IEC 23053:2022	Framework para sistemas de ML	Arquitectura de referencia
IEEE 7010-2020	Bienestar ético en IA	Evaluación de impacto ético

Normas armonizadas europeas (en desarrollo)

El CEN-CENELEC está desarrollando normas armonizadas específicas para el AI Act. Cuando se publiquen, su cumplimiento generará una presunción de conformidad con los requisitos del reglamento:

Norma en desarrollo	Artículo AI Act	Estado estimado
Sistema de gestión de riesgos de IA	Art. 9	Borrador 2025, publicación 2026
Gobernanza de datos	Art. 10	Borrador 2025, publicación 2026
Documentación técnica	Art. 11	Borrador 2025, publicación 2026
Transparencia	Art. 13	Borrador 2025, publicación 2026
Supervisión humana	Art. 14	Borrador 2026
Precisión y robustez	Art. 15	Borrador 2026

Evaluación de impacto en derechos fundamentales (FRIA)

¿Qué es la FRIA?

El artículo 27 del AI Act establece que determinados deployers deben realizar una Evaluación de Impacto en Derechos Fundamentales (Fundamental Rights Impact Assessment — FRIA) antes de desplegar sistemas de IA de alto riesgo. Es diferente de la DPIA del RGPD y adicional a ella.

¿Quién debe realizarla?

Organismos de derecho público
Entidades privadas que prestan servicios públicos
Deployers de sistemas de scoring crediticio
Deployers de sistemas de evaluación de riesgos en seguros de vida y salud

Contenido de la FRIA

Elemento	Descripción
Descripción del uso	Finalidad, contexto, alcance geográfico y temporal
Personas afectadas	Grupos potencialmente impactados e identificación de riesgos para cada grupo
Derechos fundamentales en riesgo	Dignidad, no discriminación, privacidad, protección de datos, libertad de expresión, educación, trabajo, tutela judicial efectiva
Medidas de mitigación	Para cada derecho identificado como en riesgo
Supervisión humana	Descripción del proceso de intervención humana
Plan de monitorización	Seguimiento continuo de los riesgos identificados
Comunicación a la AESIA	Notificación del resultado al supervisor nacional

FRIA + DPIA = Evaluación integral

Cuando un sistema de IA de alto riesgo procesa datos personales, el deployer debe realizar tanto la FRIA (AI Act, art. 27) como la DPIA (RGPD, art. 35). Aunque son evaluaciones distintas con finalidades diferentes, pueden realizarse de forma conjunta para optimizar recursos, siempre que se cubran todos los requisitos de ambas normativas.

Preguntas frecuentes adicionales

¿Un chatbot de empresa es de alto riesgo?

No necesariamente. Un chatbot de atención al cliente que responde preguntas generales es de riesgo limitado (obligación de transparencia). Solo sería de alto riesgo si se usa para tomar decisiones que afecten a derechos fundamentales (por ejemplo, aprobar o denegar un crédito).

¿Las herramientas de IA generativa como ChatGPT son de alto riesgo?

Los modelos fundacionales (GPT-4, Claude, Gemini) están regulados como modelos GPAI, con su propio régimen. El sistema final que use el modelo puede ser de alto riesgo dependiendo de su aplicación. Por ejemplo, usar ChatGPT para charlar es riesgo mínimo, pero integrarlo en un sistema de selección de personal es alto riesgo.

¿Cómo afecta el AI Act a las PYMES y startups?

El AI Act incluye medidas de apoyo para PYMES: acceso prioritario al sandbox regulatorio, tasas reducidas para la evaluación de conformidad, sanciones proporcionadas al tamaño, y guías simplificadas de cumplimiento. Sin embargo, las obligaciones sustantivas son las mismas independientemente del tamaño de la empresa.

¿Qué pasa si mi proveedor de IA no cumple el AI Act?

Si el proveedor del sistema de IA no cumple sus obligaciones, el deployer puede ser responsable si era conocedor del incumplimiento o si no realizó la debida diligencia. Es recomendable incluir cláusulas de cumplimiento del AI Act en los contratos con proveedores de IA.

¿El AI Act se aplica a la IA desarrollada internamente?

Sí. El AI Act se aplica a cualquier sistema de IA puesto en servicio o utilizado en la UE, independientemente de si fue desarrollado internamente o adquirido a un proveedor externo. Una empresa que desarrolla su propio modelo de IA para uso interno actúa como “proveedor” y “deployer” simultáneamente.

¿Qué diferencia hay entre “proveedor” y “deployer” en el AI Act?

El proveedor (provider) es quien desarrolla o pone en el mercado el sistema de IA. El deployer es quien lo utiliza en su actividad profesional. Las obligaciones son diferentes: el proveedor es responsable del diseño, documentación y evaluación de conformidad; el deployer es responsable del uso conforme a instrucciones, la supervisión humana y la monitorización. Una misma empresa puede ser proveedor y deployer si desarrolla y usa su propio sistema.

¿Qué ocurre si clasifico incorrectamente mi sistema de IA?

La clasificación incorrecta (por ejemplo, clasificar como riesgo mínimo un sistema que es de alto riesgo) constituye una infracción del AI Act. La AESIA puede investigar de oficio o por denuncia, reclasificar el sistema y aplicar las sanciones correspondientes. Un informe pericial puede ser determinante para establecer la clasificación correcta.

¿Los sistemas de IA existentes deben adaptarse al AI Act?

Sí. Los sistemas de IA ya en uso antes de la entrada en vigor deben cumplir con el AI Act a partir de las fechas de aplicación correspondientes. No hay una cláusula de “grandfathering” que exima a los sistemas preexistentes. Las empresas deben auditar sus sistemas actuales y adaptarlos antes de agosto de 2026.

¿Cómo se relaciona el AI Act con la Ley de Servicios Digitales (DSA)?

La DSA y el AI Act son complementarios. Las plataformas en línea que usen sistemas de recomendación basados en IA deben cumplir con las obligaciones de transparencia de ambas normativas. Los sistemas de moderación de contenido con IA también pueden estar sujetos al AI Act si se utilizan para decisiones que afecten a derechos fundamentales.

¿El AI Act regula el uso de IA en investigaciones penales?

Sí, específicamente en el Anexo III.6 (aplicación de la ley). Los sistemas de IA usados para evaluación de riesgo de delincuencia, detección de engaño, evaluación de pruebas y reconocimiento facial en investigaciones son de alto riesgo con obligaciones estrictas. Además, el reconocimiento facial en tiempo real en espacios públicos está generalmente prohibido (art. 5.1.h), con excepciones limitadas que requieren autorización judicial.

Casos prácticos de clasificación de riesgo

Caso 1: Sistema de selección de personal con IA

Escenario: Una empresa de RRHH española desarrolla una herramienta de IA que analiza CVs, realiza entrevistas por vídeo con análisis de expresión facial, y genera una puntuación de idoneidad para cada candidato.

Clasificación:

Componente	Nivel de riesgo	Justificación
Análisis de CVs con IA	Alto riesgo (Anexo III.4)	Decisión sobre contratación
Entrevista por vídeo con análisis facial	Alto riesgo (Anexo III.4) + posible prohibición (art. 5.1.f)	Empleo + inferencia de emociones
Puntuación de idoneidad	Alto riesgo (Anexo III.4)	Impacto directo en acceso al empleo

Obligaciones: Evaluación de conformidad, DPIA, documentación técnica, pruebas de no discriminación (género, edad, raza, discapacidad), supervisión humana efectiva, información a candidatos.

Caso 2: Chatbot bancario con funciones de crédito

Escenario: Un banco español implementa un chatbot de IA que atiende consultas generales, pero también puede pre-aprobar microcréditos de hasta 3.000€ basándose en el perfil del cliente.

Funcionalidad	Nivel de riesgo	Artículo
Consultas generales (saldo, horarios)	Riesgo limitado	Art. 50 (transparencia)
Pre-aprobación de microcréditos	Alto riesgo	Anexo III.5 (scoring crediticio)

Análisis pericial necesario: Un perito puede evaluar si el algoritmo de pre-aprobación discrimina por edad, género, código postal (como proxy de raza) u otros factores protegidos. También verificar que la supervisión humana es efectiva y no meramente nominal.

Caso 3: Sistema de vigilancia con reconocimiento facial

Escenario: Una empresa de seguridad privada en España instala cámaras con reconocimiento facial en un centro comercial para identificar a personas con orden de alejamiento.

Uso	Clasificación	Análisis
Identificación biométrica en tiempo real en espacio público	Prohibido (Art. 5.1.h)	Solo permitido para fuerzas de seguridad con autorización judicial
Identificación biométrica post-evento (revisión de grabaciones)	Alto riesgo (Anexo III.1)	Permitido con obligaciones estrictas
Empresa privada operando el sistema	Prohibido	Las excepciones solo aplican a fuerzas de seguridad

Conclusión pericial: El sistema está prohibido para una empresa de seguridad privada. El perito documenta la infracción, que puede conllevar una sanción de hasta 35M€ o el 7% de la facturación global.

Checklist de cumplimiento del AI Act para empresas

Fase 1: Inventario (inmediato)

Tarea	Responsable	Estado
Inventariar todos los sistemas de IA en uso	CTO / CIO	☐
Identificar proveedores de IA y sus términos de servicio	Legal + TI	☐
Clasificar cada sistema según los niveles de riesgo del AI Act	CISO + Legal	☐
Identificar datos personales procesados por cada sistema	DPO	☐
Documentar las decisiones de clasificación	Comité de IA	☐

Fase 2: Evaluación (antes de agosto 2026)

Tarea	Responsable	Estado
Realizar DPIA para sistemas de alto riesgo que procesan datos personales	DPO	☐
Evaluar sesgos algorítmicos en sistemas de alto riesgo	Perito / Auditor IA	☐
Verificar mecanismos de supervisión humana	Operadores del sistema	☐
Comprobar documentación técnica del proveedor	TI + Legal	☐
Evaluar cumplimiento de transparencia (chatbots, deepfakes)	Marketing + TI	☐
Verificar registro de sistemas de alto riesgo en base de datos UE	Legal	☐

Fase 3: Implementación (continua)

Tarea	Responsable	Estado
Implementar sistema de logs y trazabilidad	TI	☐
Formar a operadores humanos de sistemas de alto riesgo	RRHH + TI	☐
Establecer proceso de monitorización post-despliegue	CISO	☐
Crear protocolo de notificación de incidentes a AESIA	Legal + CISO	☐
Auditoría periódica de cumplimiento (anual recomendada)	Perito / Auditor externo	☐
Actualizar RAT (Registro de Actividades de Tratamiento) con sistemas de IA	DPO	☐

Guía de decisión: ¿mi sistema es de alto riesgo?

¿El sistema de IA toma o asiste en decisiones
que afectan a derechos fundamentales de personas?
    │
    ├── SÍ → ¿Está incluido en el Anexo III?
    │         │
    │         ├── SÍ → ALTO RIESGO
    │         │        Obligaciones Arts. 8-49
    │         │
    │         └── NO → ¿Es un componente de seguridad
    │                   de un producto del Anexo I?
    │                   │
    │                   ├── SÍ → ALTO RIESGO
    │                   │
    │                   └── NO → RIESGO LIMITADO o MÍNIMO
    │                            Evaluar transparencia (Art. 50)
    │
    └── NO → ¿Es un chatbot, genera deepfakes o detecta emociones?
              │
              ├── SÍ → RIESGO LIMITADO
              │        Obligaciones de transparencia (Art. 50)
              │
              └── NO → RIESGO MÍNIMO
                       Sin obligaciones específicas
                       Código de conducta voluntario (Art. 95)

Diferencias entre el AI Act y enfoques regulatorios internacionales

AI Act (UE) vs. Orden Ejecutiva de Biden (EE.UU., revocada)

Aspecto	AI Act (UE)	EO 14110 Biden (EE.UU.)
Naturaleza	Reglamento vinculante	Orden ejecutiva (revocada por Trump en 2025)
Enfoque	Clasificación por riesgo, obligaciones legales	Voluntario, basado en estándares
Sanciones	Hasta 35M€ / 7% facturación	Sin sanciones directas
Alcance	Cualquier sistema de IA en la UE	Modelos con >10^26 FLOP
Prohibiciones	8 prácticas prohibidas	Sin prohibiciones
Estado	En vigor y aplicándose	Revocada en enero 2025

AI Act vs. Reglamento chino de IA generativa

Aspecto	AI Act (UE)	China (múltiples regulaciones)
Enfoque	Protección de derechos fundamentales	Control de contenido + seguridad nacional
Registro	Base de datos UE para alto riesgo	Registro obligatorio de todos los modelos de IA generativa
Contenido	No regula contenido específico	Prohibición de contenido que subvierta el orden socialista
Transparencia	Etiquetado de deepfakes y contenido IA	Etiquetado obligatorio de todo contenido generado por IA

Referencias y fuentes

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (AI Act) — Diario Oficial de la Unión Europea, 12 de julio de 2024
Annexes I-XIII del Reglamento (UE) 2024/1689 — Listas de legislación armonizada, sistemas de alto riesgo y documentación técnica
Comisión Europea — “Artificial Intelligence Act: Questions and Answers” (2024)
Real Decreto 729/2023 — Creación de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA)
Instrucción CGPJ 2/2026 — Uso de herramientas de inteligencia artificial en la administración de justicia
NIST AI RMF 1.0 (2024) — AI Risk Management Framework
ISO/IEC 42001:2023 — Sistema de gestión de inteligencia artificial
AEPD — Guía sobre el uso de inteligencia artificial y protección de datos
Comité Europeo de Protección de Datos (EDPB) — Directrices sobre IA y RGPD
Future of Life Institute — EU AI Act Explorer (base de datos interactiva del reglamento)
Stanford HAI — AI Index Report 2025
Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) — Guías de cumplimiento del AI Act

Conclusión

La clasificación de riesgo del AI Act representa un cambio fundamental en la regulación de la inteligencia artificial en Europa y, por extensión, a nivel global. Con un sistema de cuatro niveles — desde prácticas absolutamente prohibidas hasta IA de riesgo mínimo sin obligaciones — el reglamento busca equilibrar la innovación tecnológica con la protección de los derechos fundamentales.

Para las empresas españolas, la fecha clave es el 2 de agosto de 2026, cuando la aplicación completa del reglamento hará que los sistemas de IA de alto riesgo deban cumplir todas las obligaciones de documentación, transparencia, supervisión humana y evaluación de conformidad. Las empresas que no se preparen a tiempo se enfrentan a sanciones que pueden alcanzar los 35 millones de euros o el 7% de su facturación global.

El perito informático forense desempeña un papel esencial en este nuevo ecosistema: desde la auditoría técnica de cumplimiento (clasificación de riesgo, sesgos algorítmicos, trazabilidad) hasta la emisión de informes periciales en procedimientos sancionadores ante la AESIA o en litigios judiciales. La demanda de peritos especializados en IA aumentará significativamente a medida que el AI Act entre en plena aplicación.

La combinación del AI Act con el RGPD crea un marco regulatorio sin precedentes. Las empresas deben adoptar un enfoque integral de gobernanza de IA que cubra tanto la seguridad del sistema como la protección de datos personales, con auditorías periódicas y documentación exhaustiva.

Última actualización: 30 de marzo de 2026 Categoría: Marco Legal Código: LEG-039