Regulación
¿Cuáles de tus flujos de trabajo acaban de volverse 'Alto Riesgo' bajo el EU AI Act?
22 abr 2026 · 11 min de lectura
Por Marcos Maceo, Fundador, OpSprint
Punto clave
La clasificación de alto riesgo no es un veredicto — es un checklist. Saber cuáles de tus flujos caen en el Anexo III te dice exactamente qué documentación, registros y supervisión debes añadir antes del 2 de agosto.
Cómo define la UE el concepto de 'Alto Riesgo'
El EU AI Act no clasifica los sistemas de IA por qué tan sofisticados son — los clasifica por lo que hacen y a quién afectan. El Artículo 6 establece una prueba de doble filtro: un sistema de IA es de alto riesgo si (1) cae en una de las ocho categorías listadas en el Anexo III de la Ley y (2) representa un riesgo significativo de daño a la salud, la seguridad o los derechos fundamentales.
Las ocho categorías del Anexo III son: identificación y categorización biométrica, gestión de infraestructura crítica, educación y formación profesional, empleo y gestión de personal, acceso a servicios esenciales privados y públicos, aplicación de la ley, migración y control de fronteras, y administración de justicia. La mayoría de las PyMEs no toca las últimas tres — pero las categorías de empleo, servicios esenciales y educación atrapan un número sorprendentemente alto de flujos de trabajo cotidianos.
Un matiz importante del Artículo 6(3): la Comisión Europea puede actualizar el Anexo III mediante acto delegado — es decir, la lista puede crecer. El trabajo de cumplimiento que hagas hoy debe construirse para acomodar incorporaciones, no tratar la lista actual como definitiva.
Clasificación flujo por flujo
La tabla siguiente mapea flujos de trabajo comunes de PyMEs y agencias a su categoría bajo la Ley. Cada entrada referencia el artículo o sección del Anexo III correspondiente. Úsala como inventario inicial — tu implementación específica puede modificar la categoría según el alcance y la configuración.
| Flujo de trabajo | Categoría | Fundamento |
|---|---|---|
| Filtrado de CVs / ranking de candidatos | Alto Riesgo | Anexo III §4(a) |
| Análisis de video de entrevistas (sin emociones) | Alto Riesgo | Anexo III §4(a) |
| Reconocimiento de emociones en contratación | Prohibido | Artículo 5(1)(f) |
| Categorización biométrica por rasgos protegidos | Prohibido | Artículo 5(1)(b) |
| Segmentación de anuncios de empleo por IA | Alto Riesgo | Anexo III §4(b) |
| Monitoreo de desempeño / scoring de productividad | Alto Riesgo | Anexo III §4(c) |
| Credit scoring / decisiones de préstamo | Alto Riesgo | Anexo III §5(b) |
| Lead scoring / perfilamiento de clientes | Limitado o Mínimo | Artículo 50 si condiciona servicios esenciales; de lo contrario, Mínimo |
| Detección de fraude | Exento (explícitamente) | Artículo 6(2) + nota al Anexo III §5 |
| Chatbot de soporte al cliente | Limitado | Artículo 50 (divulgación requerida) |
| Enrutamiento de tickets de soporte | Mínimo | Sin coincidencia en el Anexo III; sin disparador del Artículo 50 |
| Moderación de contenido | Limitado (puede escalar) | Artículo 50; puede escalar si las decisiones de bloqueo de cuentas son automatizadas |
| Filtrado de spam | Mínimo | Sin coincidencia en el Anexo III |
| Pronóstico de inventario | Mínimo | Sin coincidencia en el Anexo III |
Las entradas siguientes explican el razonamiento detrás de las clasificaciones menos obvias.
Filtrado de CVs y ranking de candidatos (Anexo III §4(a)). Cualquier sistema de IA usado para "tomar o influir sustancialmente" en decisiones de reclutamiento está listado explícitamente en el Anexo III §4(a). "Influir sustancialmente" es la frase crítica — aunque un humano tome la decisión final, un sistema de IA que genera una lista rankeada está moldeando esa decisión de forma material. Este es uno de los flujos de alto riesgo más comunes en los stacks operativos de las PyMEs hoy.
Análisis de video de entrevistas (Anexo III §4(a); reconocimiento de emociones prohibido bajo el Artículo 5(1)(f)). El análisis por IA de entrevistas grabadas — puntuar tono, lenguaje o señales conductuales — cae bajo las decisiones de empleo del §4(a). El reconocimiento de emociones en específico está prohibido por el Artículo 5(1)(f) cuando se usa en contextos laborales. Si tu plataforma de video-entrevistas usa análisis de emociones como insumo de puntuación, esa funcionalidad específica está prohibida, sin importar si el flujo general es de alto riesgo.
Segmentación de anuncios de empleo por IA (Anexo III §4(b)). Los sistemas de IA que determinan qué candidatos ven qué anuncios de empleo están cubiertos por el §4(b). Si tu flujo de reclutamiento usa segmentación algorítmica para distribuir publicaciones — incluso a través de una plataforma de terceros — el desplegador (tú) puede cargar con obligaciones de cumplimiento.
Monitoreo de desempeño y scoring de productividad (Anexo III §4(c)). Esto atrapa una categoría que muchos equipos de operaciones no esperan: registro de tiempo con IA, monitoreo de actividad y dashboards de productividad que generan puntuaciones usadas en decisiones laborales. Si el output influye en evaluaciones de desempeño, promociones o despidos, es de alto riesgo.
Credit scoring (Anexo III §5(b)). Cualquier sistema de IA usado para evaluar solvencia crediticia — incluyendo elegibilidad para buy-now-pay-later, factoring de facturas y líneas de crédito B2B — es de alto riesgo bajo el §5(b). Los equipos de fintech y de billing SaaS que están construyendo evaluaciones de crédito asistidas por IA necesitan planificar las obligaciones completas de alto riesgo.
Lead scoring y perfilamiento de clientes. El lead scoring genérico — rankear prospectos de ventas por probabilidad de conversión — no dispara automáticamente el Anexo III porque no determina acceso a servicios esenciales ni toma decisiones de empleo. Típicamente cae como Mínimo. Sin embargo, si tu modelo de puntuación condiciona el acceso a servicios financieros, pricing de seguros u otros servicios esenciales, el §5 puede aplicar, y estás en territorio Limitado o de Alto Riesgo. La distinción importa: debes saber para qué se usa el output de tu scoring.
Detección de fraude (exenta). El Artículo 6(2) y las notas al Anexo III §5 excluyen explícitamente la detección de fraude de la clasificación de alto riesgo. Esta es una de las pocas exenciones explícitas de la Ley. Si usas IA puramente para detección de patrones de fraude — no para decisiones más amplias de solvencia o de acceso — estás en territorio Mínimo. No confundas la detección de fraude con el credit scoring; se tratan de manera distinta.
Chatbot de soporte al cliente (Artículo 50). Un chatbot que responde preguntas, enruta tickets o brinda soporte no dispara el Anexo III. Pero el Artículo 50 exige divulgación: hay que decirle al usuario que está interactuando con un sistema de IA. La obligación de divulgación aplica aunque el chatbot nunca tome una decisión consecuente. No revelarlo es una infracción en la categoría de riesgo limitado.
Moderación de contenido (Artículo 50; puede escalar). La moderación de contenido asistida por IA que marca o filtra contenido es de riesgo limitado con obligación de divulgación. Escala hacia Alto Riesgo si el sistema de moderación toma decisiones automatizadas que condicionan acceso a cuentas o a servicios esenciales sin revisión humana efectiva. Revisa la cadena del output antes de asumir que estás en la categoría segura.
Lo que el alto riesgo realmente exige
La clasificación de alto riesgo no significa que tengas que apagar el flujo de trabajo — significa que tienes que cumplir con las obligaciones del Capítulo III, Sección 2 de la Ley. Esto es lo que implica a alto nivel.
Sistema de gestión de riesgos (Artículo 9). Debes establecer, implementar, documentar y mantener un sistema de gestión de riesgos a lo largo del ciclo de vida del sistema de IA. No es una evaluación única — es un proceso continuo que identifica y evalúa riesgos conocidos y previsibles, y prueba el sistema contra esos riesgos antes del despliegue y tras cambios materiales.
Gobernanza de datos (Artículo 10). Los conjuntos de datos de entrenamiento, validación y prueba deben cumplir criterios de calidad: relevancia, representatividad, ausencia de errores y completitud apropiada al propósito previsto. Si usas un modelo comercial, debes documentar lo que sepas sobre los datos de entrenamiento utilizados.
Documentación técnica (Artículo 11 + Anexo IV). Antes del despliegue debes preparar documentación técnica que cubra el propósito del sistema, la arquitectura, la metodología de entrenamiento, las métricas de desempeño, las limitaciones y las medidas de supervisión humana implementadas. El Anexo IV define la estructura requerida.
Registros y pistas de auditoría (Artículo 12). Los sistemas de alto riesgo deben registrar eventos automáticamente en la medida técnicamente viable, con registros retenidos por el periodo apropiado al propósito previsto del sistema — y, como mínimo, por el periodo exigido por la ley aplicable.
Transparencia hacia los desplegadores (Artículo 13). Los proveedores deben asegurar que los sistemas de alto riesgo vengan con instrucciones que le digan al desplegador qué hace el sistema, qué no hace, qué datos espera y qué supervisión humana se requiere.
Supervisión humana (Artículo 14). Los sistemas de alto riesgo deben diseñarse de modo que personas naturales puedan supervisarlos efectivamente — incluyendo la capacidad de entender el output del sistema, sobreescribirlo y apagarlo. "Un humano lo revisó" no es suficiente si esa persona no tiene capacidad práctica de cuestionar o anular el output de la IA.
Precisión, robustez y ciberseguridad (Artículo 15). Los sistemas de alto riesgo deben alcanzar niveles apropiados de precisión para el propósito previsto y ser resilientes frente a errores, fallas e inconsistencias. Los benchmarks dependen del caso de uso.
Para una introducción práctica a estas obligaciones y a cómo funciona el sistema de categorías de la Ley en general, lee nuestro artículo complementario: El EU AI Act en lenguaje claro.
Cómo bajar de categoría el riesgo
La clasificación de alto riesgo está impulsada por lo que tu sistema de IA hace con su output — no por el modelo subyacente o la tecnología. Esto significa que existen caminos legítimos para reducir la categoría de riesgo de un flujo de trabajo, si estás dispuesto a cambiar cómo opera.
Acota el output de la IA. Si tu IA genera una lista rankeada de candidatos que un humano usa después para tomar una decisión, eso es alto riesgo. Si, en cambio, la IA marca posibles problemas para revisión humana — sin rankear ni puntuar — la influencia sobre la decisión es menor y el disparador del Anexo III §4(a) puede no aplicar. Replantear el output de la IA como "insumo para el juicio humano" en lugar de "recomendación" cambia la huella de cumplimiento, siempre que la revisión humana sea genuina.
Saca la decisión del alcance de la IA. Si un flujo usa IA para automatizar una decisión laboral, crediticia o de acceso, remover esa decisión final del alcance de la IA y exigir que un humano la tome de forma independiente puede mover el sistema fuera de la categoría de alto riesgo. La palabra clave es "independiente" — un humano que sella de goma una recomendación de la IA no cuenta como supervisión humana bajo el Artículo 14.
Añade revisión humana efectiva. Para flujos donde bajar de categoría no es práctico, la calidad de la supervisión humana importa tanto para el cumplimiento como para la robustez del sistema. El Artículo 14 exige que los mecanismos de supervisión permitan anular el output. Construir un flujo donde un humano pueda cuestionar y revertir el output de la IA — y donde esa anulación quede registrada — satisface el espíritu del requerimiento y crea una pista de auditoría.
Limita la población afectada. Algunos disparadores de alto riesgo dependen de que el sistema afecte a "personas naturales" de formas que produzcan efectos legales o significativos. Si puedes reestructurar un flujo para que opere solo sobre datos agregados o anonimizados — y no derive ninguna decisión a nivel individual — puedes salir completamente de la categoría de alto riesgo. Esto requiere un análisis legal cuidadoso, pero es una opción de diseño real.
Un árbol de decisiones simple
- ¿El flujo involucra datos biométricos, reconocimiento de emociones o puntuación social? Si sí → revisa primero el Artículo 5. Si cae bajo el Artículo 5(1)(a)-(g), está Prohibido. Detente aquí.
- ¿El flujo toma o influye sustancialmente en una decisión sobre el empleo, promoción, despido o asignación de tareas de una persona? Si sí → Anexo III §4. Aplican obligaciones de Alto Riesgo.
- ¿El flujo determina o influye sustancialmente en el acceso a crédito, seguros u otros servicios esenciales? Si sí → Anexo III §5. Aplican obligaciones de Alto Riesgo (salvo que sea puramente detección de fraude, que está exenta).
- ¿El flujo determina acceso a educación, formación o evaluación de estudiantes? Si sí → Anexo III §3. Aplican obligaciones de Alto Riesgo.
- ¿El flujo interactúa con usuarios en formato conversacional o genera medios sintéticos? Si sí → Artículo 50. Se requiere divulgación (riesgo limitado).
- ¿Ninguna de las anteriores? El flujo probablemente es de riesgo mínimo. No aplican obligaciones específicas de la Ley más allá de las buenas prácticas generales.
Este árbol de decisiones es un punto de partida, no un sustituto de trabajar con el texto de la Ley. Para flujos específicos, usa el EU AI Act Risk Checker — aplica la lógica del Anexo III y del Artículo 5 a tu caso de uso concreto y devuelve las referencias a los artículos correspondientes.
Si eres una empresa con base en Estados Unidos y te preguntas si algo de esto aplica a tus flujos, empieza por: Lo que los fundadores estadounidenses no entienden sobre el EU AI Act.
Para el contexto regulatorio completo — fechas límite, sanciones y la visión general de las categorías — lee: El EU AI Act en lenguaje claro.
Una vez que sepas cuáles de tus flujos son de alto riesgo, el siguiente paso es construir la infraestructura de cumplimiento — documentación de gestión de riesgos, registros y mecanismos de supervisión — antes del 2 de agosto. Si quieres un enfoque estructurado para ese trabajo, empieza con un AI Readiness Assessment para mapear tu stack actual contra los requisitos de la Ley, o reserva un Sprint para construir la base de cumplimiento en cinco días enfocados.
Usa el EU AI Act Risk Checker gratuito → — mapea tus flujos de trabajo a las categorías de la Ley en 5 minutos.
Para más información sobre el EU AI Act, visita el Hub de la Ley de IA de la UE de OpSprint.
Guía pragmática de preparación — no constituye asesoramiento legal. Para casos específicos, consulta a un asesor legal en la UE.
¿Necesitas ayuda para aplicar esto en tu operación? Empieza con una llamada y mapeamos los próximos pasos.