Cómo las nuevas directrices de la Comisión Europea clasifican la IA de alto riesgo

Esta vía suele aplicarse a IA integrada en productos físicos, donde un fallo podría generar riesgos para la seguridad.

2. Vía de uso autónomo en ámbitos sensibles (Anexo III)

La segunda vía se aplica a sistemas de IA utilizados en contextos específicos considerados de alto riesgo, definidos en el Anexo III de la ley, incluso cuando no forman parte de un producto regulado.

Entre los ámbitos incluidos se encuentran:

• Identificación biométrica
• Infraestructuras críticas
• Educación y formación profesional
• Empleo y gestión de trabajadores
• Acceso a servicios esenciales (por ejemplo, evaluación de crédito)
• Aplicaciones policiales
• Migración, asilo y control fronterizo
• Administración de justicia y procesos democráticos

Si un sistema de IA está destinado a uno de estos usos, normalmente se clasifica automáticamente como de alto riesgo según el artículo 6(2).

Cuándo un sistema del Anexo III puede evitar la categoría de alto riesgo

La Ley de IA incluye una excepción limitada en el artículo 6(3) que permite que algunos sistemas del Anexo III no se clasifiquen como de alto riesgo.

Para que se aplique esta excepción, el sistema debe no generar un riesgo significativo para la salud, la seguridad o los derechos fundamentales, lo que incluye no influir de forma relevante en el resultado de decisiones que afectan a las personas.

Según el borrador de directrices, esto podría ocurrir cuando la IA:

• Realiza tareas administrativas o procedimentales limitadas
• Mejora o ajusta resultados generados previamente por una actividad humana
• Detecta patrones o anomalías en decisiones sin sustituir el juicio humano
• Cumple funciones preparatorias antes de una decisión principal del proceso

Sin embargo, la excepción no se aplica a sistemas que realicen perfiles de personas físicas, los cuales siguen siendo considerados de alto riesgo cuando pertenecen a ámbitos del Anexo III.

Consulta pública abierta en 2026

Las directrices se publicaron junto con una consulta pública específica abierta del 19 de mayo al 23 de junio de 2026 (22:00 CET).

La Comisión busca recopilar comentarios sobre:

• La claridad del marco de clasificación
• La utilidad de los ejemplos prácticos incluidos en las directrices

Empresas tecnológicas, autoridades regulatorias, organizaciones y otros actores del ecosistema de IA pueden participar mediante un cuestionario estructurado. Los resultados ayudarán a preparar la versión final de las directrices.

Cambios en los plazos con el “AI Act Omnibus”

Al mismo tiempo, las instituciones europeas acordaron posponer la aplicación de las obligaciones más exigentes para sistemas de alto riesgo, dentro de reformas conocidas como AI Act Omnibus.

El nuevo calendario establece fechas fijas:

• 2 de diciembre de 2027: obligaciones para sistemas de alto riesgo autónomos definidos en el artículo 6(2) y el Anexo III
• 2 de agosto de 2028: obligaciones para sistemas de IA integrados en productos regulados según artículo 6(1) y Anexo I

El retraso busca dar tiempo a la industria y a los reguladores para desarrollar estándares técnicos, herramientas de cumplimiento y marcos de certificación necesarios para aplicar la normativa correctamente.

Cómo encajan estas directrices en el despliegue de la Ley de IA

La Ley de IA de la Unión Europea entró en vigor el 1 de agosto de 2024, pero sus normas se están aplicando de forma progresiva.

Entre los hitos principales:

• 2 de febrero de 2025: comenzaron a aplicarse las prohibiciones de ciertas prácticas de IA consideradas inaceptables y las obligaciones de alfabetización en IA.
• Agosto de 2025: entraron en vigor las normas de gobernanza y las obligaciones para modelos de IA de propósito general.
• Agosto de 2026: empezarán a aplicarse las reglas de transparencia.

En paralelo, la UE también está desarrollando herramientas técnicas de apoyo. Por ejemplo, el primer estándar armonizado relacionado con la Ley de IA —sobre sistemas de gestión de calidad— entró en fase de consulta pública en octubre de 2025.

En este contexto, las nuevas directrices no cambian la ley, pero sirven como una capa de interpretación práctica que ayuda a las organizaciones a determinar si sus sistemas entran en la categoría de alto riesgo antes de que comiencen a aplicarse plenamente las obligaciones regulatorias.

Qué deberían hacer ahora las organizaciones

Para empresas que desarrollan o utilizan IA en Europa, las directrices sugieren un proceso práctico de tres pasos:

1. Determinar si el sistema forma parte de un producto regulado incluido en el Anexo I.
2. Evaluar si corresponde a uno de los casos de uso de alto riesgo del Anexo III.
3. Analizar si podría aplicarse la excepción del artículo 6(3) y documentar esa evaluación.

Aunque las obligaciones legales completas tardarán algunos años en aplicarse, el diseño del sistema, su documentación y el uso previsto declarado hoy pueden determinar si la IA quedará finalmente dentro del régimen de alto riesgo de la UE.