¿Qué sistemas son de alto riesgo según el EU AI Act?

Los sistemas de alto riesgo están listados en el Anexo III del EU AI Act. Incluyen sistemas de identificación biométrica, gestión de infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios esenciales privados y públicos (crédito, seguros), aplicación de la ley, gestión de la migración y asilo, y administración de justicia.

¿Cuáles son las multas del EU AI Act?

Las multas son de hasta el 7% de la facturación global anual por uso de sistemas prohibidos, hasta el 3% por incumplimiento de otras obligaciones, y hasta 15 millones de euros o el 1% por información incorrecta proporcionada a autoridades. Para PYMES y startups los límites se reducen al importe menor.

¿Qué es el Anexo III del EU AI Act?

El Anexo III del EU AI Act lista los ocho dominios de alto riesgo: identificación biométrica y categorización, infraestructuras críticas, educación y formación, empleo, servicios esenciales privados y públicos, aplicación de la ley, migración y asilo, y administración de justicia y procesos democráticos.

¿Cómo ayuda Kaitalog con el EU AI Act?

Kaitalog proporciona un inventario estructurado de sistemas de IA, clasificación automática por categorías de riesgo del EU AI Act (verificación Anexo III), gestión de las obligaciones aplicables a cada sistema con trazabilidad de evidencias, y un dashboard de cumplimiento con seguimiento de plazos regulatorios.

Guía práctica · Reglamento 2024/1689

EU AI Act: guía completa para empresas europeas

Todo lo que necesitas saber sobre el primer reglamento europeo de inteligencia artificial: plazos, categorías de riesgo, obligaciones y multas.

¿Qué es el EU AI Act?

El EU AI Act (Reglamento 2024/1689 del Parlamento Europeo y del Consejo) es el primer marco legal integral del mundo dedicado específicamente a los sistemas de inteligencia artificial. Fue publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024.

El reglamento establece un enfoque basado en el riesgo: cuanto mayor sea el riesgo que un sistema de IA supone para la salud, la seguridad o los derechos fundamentales de las personas, más estrictas son las obligaciones que debe cumplir su proveedor y su desplegador.

El EU AI Act aplica a proveedores que comercializan sistemas de IA en la UE (independientemente de dónde estén establecidos), a desplegadores ubicados en la UE, y a proveedores y desplegadores de terceros países cuando los resultados del sistema se utilicen en la UE.

Calendario de aplicación

El reglamento tiene una aplicación escalonada por plazos que las organizaciones deben tener muy presentes:

1 ago 2024

Entrada en vigor

El Reglamento 2024/1689 entra en vigor. Comienza el período transitorio.

2 feb 2025

Prohibiciones aplicables

Quedan prohibidos los sistemas de IA de riesgo inaceptable (Art. 5): manipulación subliminal, explotación de vulnerabilidades, puntuación social, reconocimiento de emociones en entornos laborales y educativos, y la mayoría de los sistemas de identificación biométrica en tiempo real en espacios públicos.

2 ago 2025

Modelos de IA de uso general (GPAI)

Entran en vigor las obligaciones para modelos de IA de uso general, incluyendo GPT-4, Gemini, Claude y similares: transparencia, documentación técnica y cumplimiento de derecho de autor.

2 ago 2026

Sistemas de alto riesgo (Anexo III)

Obligaciones plenas para todos los sistemas de alto riesgo listados en el Anexo III: gestión de riesgos, gobernanza de datos, documentación técnica, registro de actividades, transparencia, supervisión humana y exactitud.

2 ago 2027

Sistemas de alto riesgo (Anexo I)

Obligaciones para sistemas de IA regulados en la legislación sectorial europea (Anexo I): maquinaria, productos sanitarios, vehículos de motor y otros productos con marcado CE.

Las cuatro categorías de riesgo

El EU AI Act clasifica los sistemas de IA en cuatro niveles de riesgo. Esta clasificación determina qué obligaciones aplican a cada sistema:

Riesgo inaceptable — Prohibido

Sistemas prohibidos (Art. 5)

Sistemas que manipulan el comportamiento humano de forma subliminal, explotan vulnerabilidades de grupos específicos, realizan puntuación social ciudadana con consecuencias perjudiciales, o identifican a personas mediante biometría en tiempo real en espacios públicos (con excepciones muy acotadas).

Alto riesgo — Anexo III

Sistemas de alto riesgo (Arts. 8-15)

Sistemas con impacto significativo en derechos fundamentales, seguridad o acceso a servicios esenciales. Requieren certificación, documentación técnica, registro en base de datos EU, supervisión humana y gestión de riesgos continua. Ejemplos: scoring crediticio, selección de personal, identificación biométrica.

Riesgo limitado — Transparencia

Sistemas de riesgo limitado (Art. 50)

Sistemas que interactúan con personas (chatbots, deepfakes, contenido sintético) y deben informar a los usuarios de que están interactuando con IA. Las obligaciones son principalmente de transparencia e identificación del contenido generado por IA.

Riesgo mínimo

Sistemas de riesgo mínimo

La mayoría de los sistemas de IA actuales: filtros de spam, recomendadores de contenido, videojuegos con IA. No hay obligaciones específicas obligatorias, aunque se fomenta la adhesión a códigos de conducta voluntarios.

Sistemas de alto riesgo: los 8 dominios del Anexo III

El Anexo III del EU AI Act lista de forma exhaustiva los dominios en los que un sistema de IA se considera de alto riesgo. Antes de asumir que un sistema es de riesgo mínimo o limitado, toda organización debe verificar si entra en alguno de estos dominios:

1. Identificación biométrica y categorización: sistemas de identificación biométrica remota (excl. verificación), categorización de personas por características sensibles.
2. Infraestructuras críticas: IA utilizada como componente de seguridad en redes eléctricas, agua, gas, transporte y infraestructura digital crítica.
3. Educación y formación profesional: sistemas que determinan el acceso a instituciones educativas, evalúan el aprendizaje o detectan comportamiento en exámenes.
4. Empleo y gestión de trabajadores: selección de personal (ATS/CV screening), evaluación del desempeño, asignación de tareas, monitorización de trabajadores.
5. Servicios privados y públicos esenciales: scoring crediticio, evaluación de seguros, evaluación de elegibilidad para prestaciones públicas.
6. Aplicación de la ley: evaluación de riesgo de delincuencia, análisis de pruebas, poligrafía digital, predicción de comportamiento.
7. Migración, asilo y control de fronteras: evaluación de riesgo de migrantes, detección de documentos falsos, examen de solicitudes de asilo.
8. Administración de justicia: asistencia a órganos judiciales en la búsqueda e interpretación de la ley, resolución de disputas.

Obligaciones para sistemas de alto riesgo

Los proveedores y desplegadores de sistemas de alto riesgo deben cumplir con un conjunto de obligaciones antes de poner el sistema en servicio (y mantenerlas durante toda su vida útil):

Sistema de gestión de riesgos (Art. 9): proceso continuo de identificación, análisis y mitigación de riesgos a lo largo del ciclo de vida del sistema.
Gobernanza de datos (Art. 10): los datos de entrenamiento, validación y prueba deben cumplir criterios de calidad, representatividad y ausencia de sesgos.
Documentación técnica (Art. 11 + Anexo IV): documentación exhaustiva antes de la puesta en servicio, que debe conservarse durante 10 años.
Registro de actividades / logging (Art. 12): capacidad de registro automático suficiente para verificar el funcionamiento del sistema en caso de incidente.
Transparencia (Art. 13): instrucciones de uso comprensibles para los desplegadores, incluyendo limitaciones y condiciones de funcionamiento.
Supervisión humana (Art. 14): medidas técnicas y organizativas para que personas físicas puedan supervisar, comprender, intervenir y detener el sistema.
Exactitud, robustez y ciberseguridad (Art. 15): niveles apropiados de exactitud durante todo el ciclo de vida.
Registro en base de datos EU (Art. 49): obligación de inscribirse en la base de datos europea de sistemas de alto riesgo antes del lanzamiento.

Multas y sanciones

El EU AI Act establece un régimen sancionador proporcional a la gravedad de la infracción:

Hasta el 7% de la facturación global anual (o 35 M€ el mayor) por comercializar o utilizar sistemas de IA prohibidos (Art. 5).
Hasta el 3% de la facturación global anual (o 15 M€ el mayor) por incumplimiento de cualquier otra obligación del reglamento.
Hasta el 1% de la facturación global anual (o 7,5 M€ el mayor) por proporcionar información incorrecta, incompleta o engañosa a las autoridades.

Para PYMES y startups, los límites de las multas se reducen al importe inferior entre el porcentaje indicado y la cantidad fija. Las autoridades nacionales de supervisión (en España, la AESIA) tienen competencia para investigar e imponer sanciones.

Cómo Kaitalog te ayuda a cumplir el EU AI Act

Kaitalog es la plataforma diseñada específicamente para que los equipos de compliance y los Comités de IA puedan gestionar todas las obligaciones del EU AI Act desde un único sistema auditable:

Inventario estructurado: registra todos tus sistemas de IA con los metadatos requeridos por el Anexo IV (descripción del propósito, lógica, datos utilizados, responsable).
Clasificación automática: el motor de clasificación verifica si cada sistema entra en los 8 dominios del Anexo III y propone el nivel de riesgo con justificación normativa citable.
Gestión de obligaciones: para cada sistema de alto riesgo, Kaitalog despliega las obligaciones de los artículos 9-15 y permite asignar responsables, estados y evidencias.
Seguimiento de plazos: el dashboard del Comité muestra los plazos regulatorios clave y el estado de preparación de tu organización frente a cada uno.
Exportación de evidencias: genera paquetes de documentación listos para presentar ante la autoridad supervisora o en una auditoría de certificación.

Preguntas frecuentes

¿Cuándo entra en vigor el EU AI Act? +

El EU AI Act (Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024. Las prohibiciones de sistemas de riesgo inaceptable son aplicables desde el 2 de febrero de 2025. Las obligaciones para modelos de IA de uso general (GPAI) desde el 2 de agosto de 2025. Las obligaciones plenas para sistemas de alto riesgo del Anexo III desde el 2 de agosto de 2026.

¿Mi empresa tiene que cumplir el EU AI Act aunque no desarrolle IA? +

Sí, si tu organización usa sistemas de IA de alto riesgo como desplegadora (deployer), tienes obligaciones específicas: verificar que el sistema tiene documentación técnica y marcado CE cuando aplica, implementar medidas de supervisión humana, registrar logs de uso, y notificar incidentes graves. No es solo una obligación de los desarrolladores.

¿Qué es el marcado CE para sistemas de IA? +

Los sistemas de IA de alto riesgo que no estén cubiertos por legislación sectorial preexistente (Anexo I) deben pasar por un procedimiento de evaluación de conformidad antes de poner el sistema en servicio, y colocar el marcado CE en la documentación. Los proveedores pueden realizar la autoevaluación o recurrir a organismos notificados acreditados. El marcado CE es la declaración formal de que el sistema cumple el reglamento.

¿Qué diferencia hay entre proveedor y desplegador en el EU AI Act? +

El proveedor (provider) es la entidad que desarrolla y comercializa el sistema de IA. El desplegador (deployer) es la entidad que utiliza el sistema en su propio contexto. Muchas empresas son ambas cosas a la vez (cuando usan IA propia) o solo desplegadoras (cuando usan IA de terceros como herramientas SaaS). Cada rol tiene obligaciones distintas en el reglamento.

¿Cómo ayuda Kaitalog a preparar la documentación técnica del Anexo IV? +

El Anexo IV del EU AI Act especifica los 8 elementos que debe contener la documentación técnica de un sistema de alto riesgo. Kaitalog estructura el inventario de cada sistema para capturar exactamente esos elementos: descripción general, capacidades y limitaciones, datos de entrenamiento, metodología de desarrollo, medidas de supervisión humana, métricas de rendimiento y ciberseguridad. La exportación de evidencias genera un paquete directamente alineado con el Anexo IV.

¿Listo para clasificar tus sistemas?

Kaitalog automatiza la verificación del Anexo III y genera la documentación técnica requerida.

Empezar gratis →