Sistemas de IA de Alto Riesgo: ¿Cómo identificar si tu empresa tiene alguno?

Una de las preguntas más frecuentes que recibimos es: '¿Mi chatbot es de alto riesgo?', '¿Necesito documentar mi CRM?'. La respuesta depende del contexto de uso, y el Anexo III del EU AI Act es meridianamente claro en las categorías.

¿Qué hace que un sistema de IA sea de alto riesgo?

El Artículo 6 del AI Act establece dos vías por las que un sistema de IA puede ser considerado de alto riesgo:

• Vía 1 (Anexo I): Si el sistema de IA es un componente de seguridad de un producto regulado por la legislación de la UE (juguetes, máquinas, dispositivos médicos, etc.)
• Vía 2 (Anexo III): Si el sistema se utiliza en alguna de las 8 áreas de alto riesgo listadas

Las 8 categorías de alto riesgo del Anexo III

1. Identificación biométrica y categorización de personas

Reconocimiento facial, huellas dactilares, análisis de voz para identificar personas. Si usas control de acceso biométrico o fichaje por rostro, entra aquí.

2. Gestión y explotación de infraestructuras críticas

IA para gestionar redes de energía, agua, transporte o telecomunicaciones. Incluye mantenimiento predictivo en infraestructuras esenciales.

3. Educación y formación profesional

Sistemas que determinan acceso a instituciones educativas, evalúan estudiantes o detectan comportamiento prohibido durante exámenes.

4. Empleo, gestión de trabajadores y acceso al autoempleo

Esta es la categoría que más sorprende a las PYMEs. Incluye:

• Filtrado o clasificación de CVs y candidaturas
• Publicación de ofertas de empleo dirigidas con IA
• Evaluación de candidatos en entrevistas
• Decisiones de ascenso, despido o asignación de tareas basadas en IA
• Monitorización del rendimiento de empleados

5. Acceso a servicios públicos y privados esenciales

Scoring crediticio, evaluación de riesgo en seguros, priorización en servicios de emergencia, y sistemas que evalúen la elegibilidad para prestaciones públicas.

6. Aplicación de la ley

Sistemas de evaluación individual de riesgo de reincidencia, polígrafos con IA, análisis de pruebas, o perfilado de personas.

7. Migración, asilo y control de fronteras

Evaluación de riesgo de seguridad, verificación de autenticidad de documentos, o examen de solicitudes de asilo.

8. Administración de justicia y procesos democráticos

Sistemas que asistan a autoridades judiciales en investigar e interpretar hechos y la ley, o que influyan en resultados de elecciones.

Ejemplos prácticos para PYMEs

Veamos ejemplos concretos de sistemas que una PYME española podría estar usando sin saber que son de alto riesgo:

• ChatGPT integrado en atención al cliente → Riesgo limitado (solo transparencia)
• HubSpot scoring de leads → Depende: si es B2B, generalmente riesgo limitado. Si afecta a consumidores para crédito o seguros, alto riesgo.
• Workable para filtrar CVs → Alto riesgo (categoría 4: empleo)
• Google Analytics 4 → Riesgo mínimo
• Factorial con módulo de evaluación de rendimiento IA → Alto riesgo si determina decisiones sobre empleados
• DeepL para traducción → Riesgo mínimo

¿Qué documentación necesitas?

Si tienes un sistema de alto riesgo, necesitarás preparar:

• Sistema de gestión de riesgos (Art. 9)
• Plan de gobernanza de datos (Art. 10)
• Documentación técnica completa (Art. 11 + Anexo IV)
• Sistema de registro de actividades (Art. 12)
• Información de transparencia para usuarios (Art. 13)
• Protocolo de supervisión humana (Art. 14)
• Declaración de conformidad UE (Art. 47)
• Evaluación de impacto en derechos fundamentales (Art. 27, si eres deployer)