Sistema de IA de Alto Riesgo — Clasificacion y Obligaciones del EU AI Act
Definición
Definición técnica
¿Qué es un sistema de IA de alto riesgo bajo el EU AI Act?
Bajo el EU AI Act, un sistema de IA de alto riesgo es aquel clasificado como que presenta riesgos significativos para la salud, la seguridad o los derechos fundamentales. La clasificación se determina por el uso previsto del sistema, no por su arquitectura técnica. Los sistemas de alto riesgo se definen de dos formas: sistemas de IA que son componentes de seguridad de productos regulados bajo legislación europea existente (listados en el Anexo I) y sistemas de IA autónomos utilizados en las áreas listadas en el Anexo III.
El Anexo III cubre ocho áreas: identificación y categorización biométrica de personas físicas; gestión y operación de infraestructuras críticas; educación y formación profesional; empleo, gestión de trabajadores y acceso al autoempleo; acceso y disfrute de servicios privados esenciales y servicios y prestaciones públicas esenciales; aplicación de la ley; migración, asilo y control de fronteras; y administración de justicia y procesos democráticos.
Los sistemas de alto riesgo enfrentan las obligaciones más estrictas del Reglamento: sistema documentado de gestión de riesgos, gobernanza y calidad de datos, documentación técnica conforme al Anexo IV, capacidades de registro automático, transparencia e información a los desplegadores, medidas de supervisión humana, precisión, robustez y ciberseguridad. Deben someterse a una evaluación de conformidad antes de su puesta en el mercado.
Por qué importa operativamente
¿Por qué importa la clasificación de alto riesgo?
La clasificación de alto riesgo es el umbral crítico que determina si un sistema de IA enfrenta una evaluación de conformidad obligatoria o solo obligaciones mínimas. Clasificar correctamente importa: clasificar por debajo un sistema de alto riesgo expone a la organización a medidas de aplicación coercitiva; clasificar por encima genera carga de cumplimiento innecesaria.
Para los proveedores de sistemas de alto riesgo, las obligaciones son sustanciales y previas al despliegue: evaluación de conformidad, documentación técnica, sistema de gestión de riesgos y registro en la base de datos europea de sistemas de IA de alto riesgo deben estar completados antes de la puesta en el mercado. Tras el despliegue, las obligaciones continuas incluyen vigilancia post-mercado, notificación de incidentes y mantenimiento del expediente técnico.
Para los desplegadores (organizaciones que utilizan sistemas de alto riesgo desarrollados por terceros), las obligaciones incluyen asegurar que los sistemas se usen conforme a las instrucciones, designar responsabilidades de supervisión humana y monitorizar el desempeño del sistema. El EU AI Act crea responsabilidad compartida entre proveedores y desplegadores, lo que significa que un cliente no escapa de las obligaciones simplemente porque no construyó el modelo.
Marco regulatorio / Regulatory Framework
¿Qué marcos aplican a los sistemas de IA de alto riesgo?
| Framework | Aplicación al alto riesgo | | — | — | | EU AI Act — Anexo III | Define las categorías de sistemas de alto riesgo. Las obligaciones del Capítulo III aplican en su totalidad. | | ISO/IEC 42001 | El sistema de gestión para cumplir los requisitos del EU AI Act. La certificación ISO 42001 proporciona evidencia estructurada para la evaluación de conformidad de alto riesgo. | | ISO 23894 | Proporciona la metodología detallada de gestión de riesgos de IA que los sistemas de alto riesgo deben implementar. | | NIST AI RMF | Marco de gobernanza de riesgos alineado con los requisitos del EU AI Act para sistemas de alto riesgo, especialmente en entornos con operaciones en EE.UU. | | GDPR | Los sistemas de alto riesgo que procesan datos biométricos o personales crean obligaciones superpuestas GDPR + EU AI Act. |
Cómo lo evalúa Zertia
¿Cómo audita Zertia los sistemas de IA de alto riesgo?
Zertia realiza auditorías técnicas independientes de sistemas de IA de alto riesgo frente a los requisitos de conformidad del EU AI Act. La Auditoría de Sistemas de Alto Riesgo evalúa documentación técnica, procesos de gestión de riesgos, gobernanza de datos, mecanismos de supervisión humana, capacidades de logging y controles operativos. El resultado es un informe de auditoría estructurado presentable ante reguladores, organismos notificados, clientes corporativos e inversores como evidencia de que el sistema ha sido revisado de forma independiente.
Para organizaciones que necesitan entender primero su exposición antes de comprometerse con una auditoría completa, la Evaluación de Conformidad EU AI Act proporciona un diagnóstico: clasificación de riesgo, identificación de brechas y hoja de ruta de remediación.
Auditoría de Sistemas de Alto Riesgo →
FAQ
P: ¿Cómo sé si mi sistema de IA es de alto riesgo bajo el EU AI Act?
La respuesta está en el Reglamento, no en las especificaciones técnicas del sistema. El Anexo III define ocho áreas donde el uso de IA dispara la clasificación de alto riesgo: biometría, infraestructuras críticas, educación, empleo, servicios públicos y privados esenciales, aplicación de la ley, migración y control de fronteras, y administración de justicia. Si tu sistema se utiliza en cualquiera de estas áreas, la clasificación es probable. La pregunta decisiva es el uso previsto, no el modelo subyacente. Un modelo de lenguaje de propósito general no es alto riesgo por sí mismo; el mismo modelo desplegado para filtrar candidatos a empleo se convierte en sistema de alto riesgo en el momento en que entra en ese caso de uso. La Evaluación EU AI Act de Zertia incluye la clasificación de riesgo formal como primer entregable.
P: ¿Qué ocurre si se despliega un sistema de alto riesgo sin evaluación de conformidad?
Las autoridades nacionales de vigilancia del mercado pueden prohibir la comercialización del sistema en el mercado de la UE u ordenar su retirada, e imponer multas de hasta el 3% de la facturación anual global. Las prácticas de IA prohibidas, una categoría distinta, conllevan multas de hasta el 6%. Más allá de la exposición financiera, la consecuencia operativa suele ser mayor: un sistema retirado del mercado activa efectos en cascada sobre clientes, contratos e ingresos. La exposición a responsabilidad civil añade otra capa si el sistema causa daños. La multa es el coste visible; la disrupción operativa y el impacto reputacional son normalmente mayores.
P: ¿Es lo mismo una auditoría de sistemas de alto riesgo que una evaluación de conformidad?
No. Una evaluación de conformidad es el procedimiento regulatorio formal que confirma que un sistema cumple los requisitos del EU AI Act antes del despliegue. Para la mayoría de categorías del Anexo III, la realiza el proveedor como autoevaluación; para ciertas categorías requiere intervención de un organismo notificado. Una auditoría técnica independiente realizada por un organismo acreditado como Zertia proporciona la base de evidencia estructurada sobre la que se apoya la evaluación de conformidad. La auditoría no sustituye la evaluación, la refuerza. Sin auditoría independiente, la evaluación de conformidad descansa enteramente sobre la documentación interna, que es la posición más débil posible cuando las autoridades o los clientes corporativos examinan el expediente.
P: ¿Cuáles son los sistemas de IA más comunes clasificados como alto riesgo?
Los más frecuentes en contextos empresariales incluyen sistemas de selección de CV y evaluación de candidatos (empleo), sistemas de scoring crediticio (servicios financieros), sistemas de triaje o diagnóstico asistido (sanidad), sistemas de moderación de contenido con impacto en el acceso a servicios, y sistemas biométricos de identificación. La clasificación depende del uso previsto, no del modelo utilizado. Una organización puede operar decenas de sistemas de IA y solo un puñado disparar el Anexo III, pero esos pocos cargan con el grueso de la carga regulatoria.
P: ¿Quién es responsable cuando un sistema de IA de alto riesgo falla?
El EU AI Act distribuye la responsabilidad a lo largo de la cadena de valor. Los proveedores son responsables del diseño del sistema, la conformidad y la vigilancia post-mercado. Los desplegadores son responsables de usar el sistema dentro de su ámbito previsto, asegurar la supervisión humana y monitorizar su operación. Cuando algo falla, los reguladores examinan ambos extremos. Un desplegador no puede deflectar la responsabilidad enteramente al proveedor; un proveedor no puede deflectarla al desplegador. Esta responsabilidad compartida es lo que convierte la clasificación de alto riesgo en un asunto de cadena de valor, no en un asunto de una sola organización.
CTA contextual
¿Están tus sistemas de IA correctamente clasificados bajo el EU AI Act?
Si tu sistema de IA opera en selección de personal, crédito, sanidad, aplicación de la ley o infraestructura crítica, probablemente está clasificado como de alto riesgo bajo el EU AI Act. Una auditoría independiente confirma si tus controles están listos.
Por qué importa operativamente
Por que importa la clasificacion de alto riesgo?
Marco regulatorio
Que marcos se aplican a los sistemas de IA de alto riesgo?
Cómo lo evalúa Zertia
Como audita Zertia los sistemas de IA de alto riesgo?
Definiciones que se sostienen ante un auditor.
¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.
