Situación normativa actual del IA Act - Entrada 3 — Cómo identificar si un sistema es de alto riesgo

Situación normativa actual del IA Act

Entrada 3 — Cómo identificar si un sistema es de alto riesgo

Qué significa “alto riesgo” en el IA Act

Un sistema es de alto riesgo cuando su uso puede afectar de manera significativa a la seguridad, los derechos fundamentales o el acceso a servicios esenciales. El reglamento no deja esta categoría abierta a interpretación: si un sistema encaja en alguno de los supuestos del Anexo III, es alto riesgo por definición, sin necesidad de análisis adicional.

El Anexo III agrupa estos sistemas en áreas como:

·       Biometría: identificación remota, categorización por atributos sensibles o reconocimiento de emociones .

·       Infraestructuras críticas: gestión de redes digitales, tráfico, agua, gas o electricidad .

·       Educación y formación: admisión, evaluación, asignación de niveles o supervisión de exámenes .

·       Empleo y gestión laboral: reclutamiento, filtrado de CV, evaluación de desempeño, asignación de tareas o decisiones contractuales .

·       Acceso a servicios esenciales: crédito, seguros, servicios públicos o privados esenciales (según interpretaciones consolidadas).

·       Aplicación de la ley: prevención, investigación o detección de delitos.

·       Migración y fronteras: control fronterizo, asilo, visados.

·       Justicia y procesos democráticos: apoyo a decisiones judiciales o administrativas.

La lógica es clara: son ámbitos donde un error, sesgo o fallo puede tener consecuencias graves para la vida de las personas.

 

Cómo determinar si tu sistema entra en esta categoría

La clasificación exige un análisis estructurado, no una intuición. El proceso recomendado es:

·       Describir con precisión el caso de uso: qué hace el sistema, quién lo usa, sobre quién actúa y con qué efectos.

·       Mapear el caso de uso contra las categorías del Anexo III: si coincide con alguna de ellas, el sistema es alto riesgo.

·       Analizar si el sistema forma parte de un producto regulado (Anexo II): por ejemplo, maquinaria, juguetes, dispositivos médicos.

·       Identificar si el sistema toma decisiones o influye en decisiones que afectan derechos fundamentales: acceso a educación, empleo, crédito, servicios esenciales, etc.

·       Documentar la clasificación: justificar por qué se considera alto riesgo o por qué no.

Una guía práctica lo resume así: si el sistema interviene en reclutamiento, crédito, educación, salud, migración, justicia o infraestructuras críticas, es muy probable que sea alto riesgo .

 

Ejemplos claros y casos fronterizos

Ejemplos inequívocos de alto riesgo:

·       Un algoritmo que filtra candidaturas o evalúa entrevistas.

·       Un sistema que decide admisiones universitarias.

·       Un modelo que determina el riesgo crediticio de un cliente.

·       Un sistema que gestiona el tráfico o la red eléctrica.

·       Un software que analiza solicitudes de asilo.

Casos fronterizos que requieren análisis:

·       Herramientas de productividad interna que incluyen módulos de evaluación de desempeño.

·       Sistemas de recomendación educativa que influyen indirectamente en itinerarios formativos.

·       Modelos de scoring comercial que no determinan acceso a servicios esenciales, pero sí influyen en condiciones.

En estos casos, la clave es determinar si el sistema toma decisiones o influye significativamente en ámbitos cubiertos por el Anexo III.

 

Qué debe hacer una organización una vez clasificado

Si un sistema es alto riesgo, se activan obligaciones estrictas:

·       Sistema de gestión de riesgos.

·       Gobernanza de datos.

·       Documentación técnica exhaustiva.

·       Supervisión humana.

·       Requisitos de precisión, robustez y ciberseguridad.

·       Registro en la base de datos europea.

·       Evaluación de conformidad y marcado CE.

·       Vigilancia post-mercado y reporting de incidentes.

Estas obligaciones se desarrollarán en la entrada 4.