La semana pasada hablamos de los cuatro niveles de riesgo del AI Act. Hoy vamos un paso más allá: dentro del nivel 2, el alto riesgo, hay un listado concreto de sistemas que el reglamento ya tiene identificados. Se llama Anexo III. Y cuando la gente lo lee por primera vez, la reacción más habitual es siempre la misma: "espera, eso lo tenemos nosotros".
Vamos a verlo.
El Anexo III: ocho categorías, muchas sorpresas
El AI Act no define el alto riesgo de forma vaga. El Anexo III lista ocho categorías concretas: biometría, infraestructuras críticas, educación y formación profesional, empleo y gestión de trabajadores, acceso a servicios esenciales públicos y privados, aplicación de la ley, migración y control fronterizo, y administración de justicia y procesos democráticos.
De todas ellas, hay tres que se repiten constantemente en las empresas españolas con las que trabajo: empleo, servicios esenciales y educación.
Empleo: el terreno donde más empresas se sorprenden
Cualquier sistema que se use para publicar ofertas, filtrar candidaturas, analizar entrevistas, evaluar el rendimiento o decidir promociones y despidos entra aquí. Herramientas como HireVue, o sistemas propios de cribado de currículums, son alto riesgo por definición si toman o influyen decisiones sobre personas.
Servicios esenciales: banca, seguros y suministros
El scoring crediticio, el cálculo de primas de seguros y la evaluación de solvencia son los ejemplos más claros. También entra aquí cualquier sistema que decida el acceso a ayudas o prestaciones públicas.
Educación: admisión y evaluación
Sistemas que deciden el acceso a un centro educativo, que evalúan exámenes de forma automatizada, o que asignan a estudiantes a determinados itinerarios formativos también están dentro del Anexo III.
Lo que cambia si estás dentro
Estar en el Anexo III no significa que no puedas usar el sistema. Significa que tienes que gestionarlo con un nivel de exigencia distinto: evaluación de conformidad antes de ponerlo en marcha, documentación técnica, registro en la base de datos europea, supervisión humana efectiva y un sistema de gestión de riesgos activo, no un documento que se firma una vez y se archiva.
El matiz que casi nadie explica bien
El reglamento distingue entre proveedor, quien desarrolla o comercializa el sistema, y deployer, quien lo utiliza dentro de su organización. La mayoría de las empresas españolas son deployers. Aunque no hayan construido el sistema, deben revisar la información e instrucciones que el proveedor está obligado a entregar, usarlo conforme a su finalidad prevista y cumplir sus propias obligaciones de supervisión y control.
Contratar una herramienta de IA de alto riesgo sin revisar su documentación técnica te expone a ti, no solo al proveedor.
Por dónde empezar
Coge el listado de sistemas de IA que hiciste la semana pasada y pregúntate, para cada uno, si encaja en alguna de estas categorías. Si tienes dudas, ese es exactamente el trabajo de un diagnóstico de riesgo: en 90 minutos tenemos el inventario completo y el semáforo de cumplimiento.
Continúa con la guía sobre roles y responsabilidades para gestionar estos sistemas sin crear una estructura innecesaria.
¿Reconoces alguno de estos sistemas en tu empresa?
- Reglamento (UE) 2024/1689
- Consejo de la UE: simplificación y nuevos plazos de alto riesgo
- Recursos y guías de AESIA
Contenido informativo. No sustituye asesoramiento jurídico adaptado al caso concreto.
Convierte el contenido en un plan para tu empresa
Revisamos sistemas, usos, responsables y evidencias para priorizar lo que realmente necesita atención.
Solicitar diagnóstico inicial
