Anexo III del Reglamento de IA de la UE: las ocho categorías de alto riesgo explicadas
El Anexo III del Reglamento de IA de la UE enumera ocho categorías de usos de la IA que se clasifican como de alto riesgo en virtud del Capítulo III. Si su sistema de IA se encuadra en alguna de estas categorías, se aplican las obligaciones más exigentes del Reglamento: evaluación de la conformidad, documentación técnica, gobernanza de datos, supervisión humana, exactitud y robustez, seguimiento posterior a la comercialización y notificación de incidentes. La sanción por incumplimiento de las obligaciones de alto riesgo es de 15 M€ o el 3 % del volumen de negocios global en virtud del artículo 99, apartado 4. Las obligaciones del Anexo III son aplicables a partir del 2 de diciembre de 2027, fecha que el AI Omnibus adelantó respecto al 2 de agosto de 2026 originalmente previsto. El contenido del régimen de alto riesgo no se modificó; únicamente se desplazó la fecha de aplicación.
Las ocho categorías del Anexo III
- Identificación biométrica y categorización (identificación biométrica remota, categorización biométrica que infiere atributos sensibles, reconocimiento de emociones).
- Infraestructuras críticas (IA para la gestión del tráfico por carretera, el agua, el gas, la calefacción, el suministro de electricidad y las infraestructuras digitales).
- Educación y formación profesional (decisiones de admisión, calificación, evaluación del nivel educativo, supervisión durante las pruebas).
- Empleo, gestión de trabajadores y acceso al autoempleo (contratación, filtrado de candidatos, evaluación, asignación de tareas, seguimiento).
- Acceso a servicios privados y públicos esenciales (puntuación crediticia, fijación de precios de seguros de vida y salud, evaluación de la elegibilidad para prestaciones públicas, despacho de emergencias).
- Aplicación de la ley (evaluación del riesgo de personas físicas, evaluación de la fiabilidad de las pruebas, elaboración de perfiles).
- Migración, asilo y control fronterizo (decisiones de elegibilidad, evaluación del riesgo de seguridad, verificación de identidad).
- Administración de justicia y procesos democráticos (herramientas de investigación judicial, resolución alternativa de litigios, influencia en los resultados electorales).
Qué categorías afectan con mayor frecuencia al SaaS
Las categorías 3 (educación), 4 (empleo) y 5 (servicios esenciales) concentran la mayor parte de la exposición de alto riesgo en el SaaS. La categoría 1 (biométrica) afecta a un conjunto más reducido, principalmente herramientas de verificación de identidad y análisis de emociones. Las categorías 6, 7 y 8 se aplican mayoritariamente a la IA del sector público, pero el SaaS comercial vendido a organismos de aplicación de la ley, agencias de inmigración o tribunales hereda dichas obligaciones. La categoría 2 (infraestructuras críticas) afecta a la IA de IoT y SCADA, pero raramente al SaaS B2B. Las implicaciones específicas por sectores se recogen en nuestras páginas de Industria.
La exención prevista en el artículo 6, apartado 3
El artículo 6, apartado 3, establece una exención estricta: un sistema de IA incluido en el ámbito del Anexo III NO se considera de alto riesgo si realiza únicamente una de las siguientes funciones: una tarea de procedimiento de alcance limitado; una mejora de una actividad humana ya completada; la detección de patrones de toma de decisiones o de desviaciones sin intención de sustituir o influir en la valoración humana; o una tarea preparatoria a la decisión real. La exención es específica para cada caso concreto y de interpretación restrictiva. La mayoría del SaaS que activa una categoría del Anexo III será de alto riesgo en virtud del artículo 6, apartado 1, y no estará exento conforme al apartado 6(3).
Obligaciones para los sistemas de alto riesgo
Si su sistema está incluido en el Anexo III y no está exento en virtud del artículo 6, apartado 3, se aplica el Capítulo III en su totalidad: artículo 9 sistema de gestión de riesgos, artículo 10 gobernanza de datos, artículo 11 documentación técnica, artículo 12 registro de actividades, artículo 13 instrucciones de uso, artículo 14 supervisión humana, artículo 15 exactitud y robustez, artículo 17 sistema de gestión de la calidad, artículo 43 evaluación de la conformidad, artículo 47 declaración UE de conformidad, artículo 48 marcado CE, artículo 49 registro en la base de datos de la UE, artículo 61 gestión de la calidad para proveedores, artículo 72 seguimiento posterior a la comercialización, artículo 73 notificación de incidentes. La carga de cumplimiento supone varios cientos de horas de ingeniería y cumplimiento normativo por sistema.
Vías de evaluación de la conformidad
El artículo 43 prevé dos vías de evaluación de la conformidad para los sistemas del Anexo III: (a) control interno (Anexo VI) para la mayoría de los casos, en el que el proveedor se autoevalúa con respecto a las normas aplicables; (b) intervención de un organismo notificado (Anexo VII) para los sistemas contemplados en los puntos 1(a), 1(b) y 1(c) del Anexo III (la mayoría de los usos biométricos) y cuando aún no se disponga de normas armonizadas. La mayor parte del SaaS utiliza la vía de autoevaluación. La capacidad de los organismos notificados es el factor limitante para el reducido número de casos que requieren evaluación externa: los plazos de espera son actualmente de 9 a 18 meses.
Frequently asked questions
¿Cuándo entra en vigor el Anexo III?
El 2 de diciembre de 2027 para la mayoría de las categorías del Anexo III. El AI Omnibus desplazó la fecha respecto al 2 de agosto de 2026 originalmente previsto. El régimen de alto riesgo sigue siendo la mayor carga única de cumplimiento del Reglamento, y los dieciocho meses que median entre ahora y diciembre de 2027 constituyen el mínimo realista para llevar a cabo el trabajo de forma adecuada.
¿Cuál es la sanción por incumplimiento del Anexo III?
Hasta 15 M€ o el 3 % del volumen de negocios global en virtud del artículo 99, apartado 4, por incumplimiento de las obligaciones de alto riesgo.
¿El artículo 6, apartado 3, me exime del Anexo III?
Raramente: la exención es estricta y de interpretación restrictiva. La mayoría del SaaS que activa una categoría del Anexo III seguirá siendo de alto riesgo. La exención se aplica principalmente a la automatización de procedimientos de alcance limitado y no a funcionalidades sustantivas de IA.
¿Necesito un organismo notificado?
Solo en casos específicos, principalmente identificación biométrica y categorización cuando aún no se disponga de normas armonizadas. La mayoría del SaaS del Anexo III utiliza la autoevaluación mediante control interno del artículo 43.
¿Puede cambiar mi clasificación en el Anexo III?
Sí: la Comisión Europea puede añadir o eliminar casos de uso del Anexo III mediante actos delegados. Manténgase al día con las orientaciones de la Oficina Europea de Inteligencia Artificial.
Sources
Last updated: 2026-06-09