El Anexo III del Reglamento de IA de la UE recoge los casos de uso de alto riesgo más relevantes para las empresas, especialmente en empleo, educación, servicios esenciales, aplicación de la ley, migración, justicia y procesos democráticos.

Los sistemas de IA de alto riesgo del Anexo III son los enumerados en el Anexo III del Reglamento de IA de la UE. Abarcan usos específicos en empleo, educación, servicios esenciales, aplicación de la ley, migración, justicia y procesos democráticos, donde la IA puede influir de manera significativa en decisiones que afectan los derechos fundamentales de las personas, su seguridad o sus oportunidades.[1][2]

Si tu sistema de IA clasifica candidatos a un puesto, puntúa exámenes, evalúa la solvencia crediticia, calcula riesgos de seguros, supervisa el rendimiento de los trabajadores para decisiones de ascenso o despido, o respalda resoluciones judiciales, es probable que sea de alto riesgo según el Anexo III. Ello activa obligaciones como gestión de riesgos, conjuntos de datos de alta calidad, documentación técnica, supervisión humana, trazabilidad y —para determinados usuarios— una evaluación de impacto en los derechos fundamentales (FRIA). Según la normativa vigente, estas disposiciones se aplicarán a partir del 2 de agosto de 2026 para los sistemas del Anexo III.[3]

El Anexo III se distingue del Anexo I (IA integrada en productos regulados como dispositivos médicos o maquinaria que requieren evaluación de conformidad por terceros). El Anexo III se centra en el propósito y contexto de uso en áreas sensibles de la sociedad, más que en la categoría del producto.[1]

Cuadro sobre el estado normativo Normativa vigente (abril de 2026): Las normas para sistemas de IA de alto riesgo listados en el Anexo III se aplican a partir del 2 de agosto de 2026. Los proveedores deben cumplir los requisitos del Capítulo III antes de introducir los sistemas en el mercado o ponerlos en servicio. Los usuarios tienen obligaciones continuas de supervisión y, cuando proceda, de realización de una FRIA. Los sistemas ya existentes en el mercado antes de esa fecha suelen acogerse a las normas transitorias, salvo que sufran modificaciones significativas.[4][5]

Propuesta en negociación: El paquete Digital Omnibus propone vincular la aplicación de las normas de alto riesgo a la disponibilidad de normas armonizadas, guías y otras herramientas de apoyo. Esto podría ajustar los plazos, con una posible aplicación plena para sistemas del Anexo III a finales de 2027 en algunos escenarios. Estos cambios siguen siendo propuestas y no son todavía ley. Consulta fuentes oficiales de la UE para conocer las actualizaciones.[3][6]

Esta matriz se deriva del Anexo III del Reglamento de IA y de la orientación de la Comisión. La clasificación depende del propósito previsto y del contexto específico de uso. Una herramienta meramente procedimental que no influya materialmente en la decisión final puede acogerse a una derogación, pero debes documentar esa evaluación.[1]

Utiliza estas preguntas para analizar tu caso de uso. Responde con honestidad según el propósito previsto del sistema y los usos indebidos razonablemente previsibles.

Si respondes «sí» a cualquier pregunta y la salida puede influir materialmente en una decisión con efectos jurídicos o igualmente significativos, el sistema es probablemente de alto riesgo según el Anexo III. Documenta tu razonamiento. Las guías sobre la definición de sistema de IA y la clasificación de alto riesgo ofrecen más ejemplos prácticos.[2]

El Anexo III contiene una lista exhaustiva de casos de uso de alto riesgo fuera de los clasificados automáticamente por la legislación de seguridad de productos (Anexo I). Se centra en contextos donde la IA puede perjudicar la salud, la seguridad o los derechos fundamentales protegidos por la Carta de la UE. Las áreas incluidas son empleo, educación, servicios y prestaciones esenciales, aplicación de la ley, migración y gestión de fronteras, y administración de justicia y procesos democráticos.[1]

Por qué se distingue del Anexo I: los sistemas de alto riesgo del Anexo I son componentes de seguridad —o los propios productos— ya regulados por la legislación de armonización de la UE (dispositivos médicos, maquinaria, juguetes, ascensores, etc.) que requieren evaluación de conformidad por terceros. Los sistemas del Anexo III se clasifican por cómo se utilizan en la sociedad, no por formar parte de un producto regulado. La mayoría del software empresarial, plataformas SaaS y herramientas internas caen bajo el análisis del Anexo III y no del Anexo I.[1]

La lista puede actualizarse por la Comisión mediante actos delegados para reflejar los avances tecnológicos y sociales.

La clasificación depende del propósito. Pregúntate:

• ¿Cuál es el propósito previsto declarado por el proveedor?
• ¿En qué contexto se desplegará?
• ¿Evalúa, puntúa, predice o influye la IA en características personales, comportamientos, elegibilidad o resultados de personas físicas en alguna de las áreas del Anexo III?
• ¿La salida influye materialmente en una decisión que genera efectos jurídicos o igualmente significativos (por ejemplo, denegación de crédito, pérdida de empleo, exclusión educativa, denegación de prestaciones o impacto en la libertad o el derecho a un juicio justo)?

Los casos límite son importantes. Una herramienta simple de coincidencia de palabras clave que marca CV para revisión humana probablemente no califique. Un modelo predictivo de ranking cuyo resultado sea el filtro principal para entrevistas sí lo hará. La supervisión automatizada de exámenes que marca «comportamiento sospechoso» y afecta directamente a la calificación es de alto riesgo. Un motor de recomendaciones que solo sugiere cursos sin determinar admisiones normalmente no lo es.[1]

Ejemplo realista – herramienta de ranking para reclutamiento Una empresa desarrolla un sistema de IA que ingiere currículos, datos de rendimiento anteriores y transcripciones de entrevistas para generar una lista corta ordenada, con puntuaciones de confianza y notas explicativas. Se comercializa como herramienta para reducir sesgos inconscientes, pero su salida se utiliza como filtro principal antes de cualquier entrevista humana. Se trata de un caso clásico de empleo del Anexo III. El proveedor debe aplicar todos los requisitos de alto riesgo. La empresa usuaria (como usuario) debe asegurarse de que se utilice conforme a las instrucciones, monitorizar anomalías y realizar una FRIA cuando el uso cumpla los criterios correspondientes.[2]

Ejemplo realista – supervisión de exámenes Un proveedor de edtech ofrece monitorización remota de exámenes mediante visión artificial y análisis conductual para detectar trampas y asignar una puntuación de riesgo que influye en la aceptación del resultado. Esto cae dentro de educación y formación profesional del Anexo III. Son obligatorias la supervisión humana, la robustez ante distintas condiciones de iluminación o discapacidades, y el registro de actividades.

Ejemplo realista – scoring crediticio o apoyo a riesgos de seguros Una herramienta fintech que combina fuentes de datos alternativas para generar una puntuación de solvencia utilizada por bancos para aprobar o denegar préstamos se clasifica en servicios privados esenciales. La calidad de los datos, las pruebas de sesgos y la transparencia hacia el usuario (el banco) son obligaciones centrales.

Existen derogaciones (Artículo 6.3): si el sistema realiza únicamente tareas procedimentales limitadas, mejora actividades humanas previas sin sustituir la evaluación, detecta patrones sin influir en los resultados o prepara un uso posterior de alto riesgo sin tomar decisiones por sí mismo, puede no considerarse de alto riesgo. Los proveedores deben documentar estas evaluaciones y, en algunos casos, registrarlas.[1]

Empleo y gestión de trabajadores es la preocupación más inmediata para la mayoría de las organizaciones. Las herramientas que filtran candidatos, predicen rendimiento, monitorizan productividad o recomiendan ascensos o despidos son de alto riesgo cuando influyen materialmente en las decisiones. Los sesgos pueden vulnerar las normas de no discriminación y exponer a la organización a riesgos regulatorios y reputacionales relevantes. Comienza con un inventario de casos de uso en los equipos de RRHH, adquisición de talento y analítica de personas. Consulta IA en Reclutamiento: Sistemas de Alto Riesgo según el Reglamento de IA de la UE y Reglamento de IA de la UE para software de RRHH.

Educación y exámenes/supervisión afecta tanto a proveedores de edtech consolidados como a empresas con plataformas de formación interna. Cualquier sistema que puntúe alumnos, determine progresión o detecte irregularidades en evaluaciones está dentro del ámbito de aplicación. La equidad ante poblaciones estudiantiles diversas (idioma, discapacidad, origen cultural) es un requisito técnico fundamental.

Servicios privados y públicos esenciales (incluida puntuación crediticia y seguros) resulta especialmente relevante para entidades financieras, aseguradoras, utilities y prestadores de servicios públicos. Los algoritmos de crédito y seguros llevan años bajo escrutinio; el Reglamento de IA añade una gestión estructurada de riesgos, documentación de conjuntos de datos y obligaciones de supervisión humana. Consulta Puntuación crediticia y seguros: sistemas de IA de alto riesgo según el Reglamento de IA de la UE.

Las categorías de aplicación de la ley, migración, justicia y procesos democráticos son más pertinentes para autoridades públicas y proveedores especializados, aunque las empresas privadas que suministran estas herramientas asumen obligaciones de proveedor.

El estatus de alto riesgo según el Anexo III impone un régimen de cumplimiento estructurado orientado a garantizar la seguridad, los derechos fundamentales, la transparencia y la rendición de cuentas durante todo el ciclo de vida del sistema.

Para proveedores (desarrolladores que introducen el sistema en el mercado):

• Implantar un sistema de gestión de riesgos (identificar, analizar, evaluar y mitigar riesgos para la salud, la seguridad y los derechos fundamentales).
• Garantizar conjuntos de datos de entrenamiento, validación y prueba de alta calidad, relevantes, representativos, libres de errores y completos, con mitigación adecuada de sesgos.
• Elaborar y mantener documentación técnica suficiente para que las autoridades evalúen el cumplimiento.
• Habilitar el registro automático de actividades (logs) que permita la trazabilidad.
• Facilitar instrucciones e información claras a los usuarios.
• Diseñar el sistema para permitir una supervisión humana adecuada (capacidad de comprender, interpretar e intervenir).
• Cumplir estándares de exactitud, robustez y ciberseguridad acordes con el riesgo.
• Establecer un sistema de gestión de la calidad (QMS) que cubra lo anterior, más acciones correctivas y monitorización poscomercialización.
• Redactar una declaración de conformidad UE, aplicar el marcado CE e inscribir el sistema en la base de datos de la UE (para la mayoría de sistemas del Anexo III).

Para usuarios (que ponen el sistema en servicio):

• Utilizar el sistema conforme a las instrucciones del proveedor.
• Supervisar su funcionamiento, conservar los registros cuando sea obligatorio e informar de incidentes graves o disfunciones.
• Realizar una evaluación de impacto en los derechos fundamentales (FRIA) antes del despliegue en muchos casos, especialmente para organismos públicos o usos de alto impacto. La Comisión está preparando guías y una plantilla.[2]
• Asegurar que el personal reciba formación adecuada en alfabetización en IA.

Estas obligaciones son considerablemente más exigentes que las normas de transparencia de riesgo limitado (Artículo 50) o los sistemas de riesgo mínimo. Requieren evidencias, documentación y procesos continuos, no meras divulgaciones puntuales. La preparación debe comenzar con antelación suficiente a la fecha de aplicación de 2026 para realizar análisis de gaps, debida diligencia de proveedores en contrataciones e integración en los marcos existentes de riesgo y cumplimiento. Las normas armonizadas en desarrollo (por ejemplo, sobre sistemas de gestión de la calidad y gestión de riesgos) ofrecerán presunción de conformidad una vez publicadas en el Diario Oficial.[3]

• Considerar que toda herramienta de RRHH o analítica es automáticamente de alto riesgo en vez de analizar su propósito concreto y el grado de influencia material en las decisiones.
• Confundir los roles de proveedor y usuario; muchas empresas actúan como ambos al personalizar o reentrenar sistemas.
• Asumir que un «humano en el bucle» es suficiente por defecto sin diseñar una supervisión significativa que permita comprender e intervenir.
• Empezar la documentación solo cuando comience la aplicación; las autoridades esperarán evidencias de un enfoque sistemático desde la fase de diseño.
• Pasar por alto las obligaciones de FRIA para los usuarios, especialmente en empleo, educación o servicios públicos.
• Confiar únicamente en declaraciones de proveedores de «cumple con el Reglamento de IA» sin solicitar documentación técnica ni realizar tu propio mapeo.
• Ignorar las normas transitorias para sistemas ya comercializados antes de agosto de 2026.

Lista de acciones

• Elaborar un inventario de todos los casos de uso de IA por departamentos y mapearlos frente a las categorías del Anexo III y las preguntas de cribado anteriores.
• Documentar las decisiones de clasificación (incluidas las posibles derogaciones) y conservarlas para las autoridades.
• Determinar si tu organización es proveedor, usuario o ambas cosas para cada sistema.
• Para sistemas de alto riesgo, priorizar las hojas de ruta de gestión de riesgos, gobernanza de datos y documentación técnica.
• Revisar contratos de adquisición y documentación de proveedores para verificar que cumplen sus obligaciones.
• Planificar y realizar (o actualizar) una FRIA cuando sea necesario; comienza con la plantilla en Plantilla de FRIA: Evaluación de impacto en derechos fundamentales (Artículo 27 del Reglamento de IA).
• Desarrollar alfabetización interna en IA para el personal involucrado en despliegues de alto riesgo.
• Seguir las orientaciones oficiales de la Oficina de IA y del Service Desk del Reglamento de IA sobre normas armonizadas y plantillas de FRIA a medida que se publiquen.
• Ejecutar una evaluación piloto con una herramienta estructurada de evidencias para identificar brechas antes del plazo de 2026.

¿Preparado para mapear tus casos de uso? Utiliza el Escáner de Evidencia gratuito para clasificar sistemas frente al Anexo III y generar una lista inicial de obligaciones, o descarga el informe de muestra de FRIA para ver cómo se presenta una evaluación completa en la práctica. Comienza en Plantilla de FRIA: Evaluación de impacto en derechos fundamentales (Artículo 27 del Reglamento de IA).

Fuentes Todas las afirmaciones legales proceden del Reglamento de IA (UE) 2024/1689, de las páginas de cronograma y Artículo 113 del Service Desk del Reglamento de IA, y de las visiones generales oficiales de la Comisión en digital-strategy.ec.europa.eu y ai-act-service-desk.ec.europa.eu. Esta página ofrece únicamente orientación operativa y no constituye asesoramiento jurídico.