Anexo III: cuándo tu funcionalidad SaaS es realmente de alto riesgo según el Reglamento de IA de la UE

# Anexo III: cuándo tu funcionalidad SaaS es realmente de alto riesgo según el Reglamento de IA de la UE

El error más costoso que veo cometer a los equipos SaaS es calificar una funcionalidad de alto riesgo como de «riesgo limitado» para evitar la evaluación de conformidad. El segundo error más costoso es el contrario: calificar todo como de alto riesgo porque la norma parece intimidante, y enterrarse en papeleo que en realidad no necesitan.

El Anexo III del Reglamento de IA de la UE enumera ocho áreas de alto riesgo. Si tu funcionalidad de IA se encuadra en alguna de ellas, estás sujeto a un conjunto de obligaciones distinto y más exigente que los deberes de transparencia del artículo 50. Si tu funcionalidad no se encuadra en ninguna de ellas, probablemente sea de riesgo limitado o mínimo, y la carga de cumplimiento será mucho menor.

Esta entrada recoge el árbol de decisión que el equipo de Disclos utiliza en cada auditoría, junto con ocho ejemplos de SaaS reales que hemos auditado.

Las ocho áreas del Anexo III, en lenguaje sencillo

  1. Identificación biométrica y categorización. Reconocimiento facial, reconocimiento de voz para identificación, reconocimiento de la marcha. No incluye la verificación biométrica (correspondencia uno a uno, como el desbloqueo por huella dactilar).
  2. Infraestructuras críticas. Agua, gas, electricidad, gestión del tráfico. Mayormente fuera del ámbito SaaS.
  3. Educación y formación profesional. Admisiones, calificación, supervisión durante exámenes, predicción de resultados académicos.
  4. Empleo y gestión de trabajadores. Cribado de currículums, evaluación del rendimiento, asignación de tareas, decisiones de despido, supervisión.
  5. Acceso a servicios públicos y privados esenciales. Puntuación de solvencia crediticia, elegibilidad para prestaciones públicas, despacho de servicios de emergencia, decisiones de precio o cobertura de seguros de salud y de vida.
  6. Aplicación de la ley. Evaluación del riesgo de personas, sistemas similares al polígrafo, evaluación de la fiabilidad de las pruebas.
  7. Migración, asilo y control fronterizo. Evaluación del riesgo, verificación de documentos, tramitación de visados.
  8. Administración de justicia y procesos democráticos. Investigación de hechos, interpretación de leyes, influencia sobre los votantes.

En el ámbito SaaS, las áreas que aparecen con mayor frecuencia son la 1, 3, 4 y 5. Las demás raramente se aplican salvo que vendas a sectores específicos.

El árbol de decisión

Someto cada funcionalidad de IA a tres preguntas:

Pregunta 1: ¿La funcionalidad toma una decisión sobre una persona, o es simplemente una herramienta que la persona utiliza?

Si la funcionalidad recomienda, clasifica, puntúa o categoriza a una persona, probablemente te encuentras en el ámbito del Anexo III. Si la funcionalidad ayuda a la persona a redactar un documento, resumir su propio texto o generar una imagen, probablemente no.

Un corrector gramatical no es de alto riesgo. Un corrector gramatical que puntúa la calidad de la redacción de un candidato y alimenta esa puntuación en una decisión de contratación, sí lo es.

Pregunta 2: ¿La decisión afecta al acceso de la persona a algo significativo?

Significativo quiere decir: un empleo, una prestación, una plaza educativa, crédito, seguro, atención sanitaria. Si la respuesta es afirmativa, estás ante un riesgo alto. Si la IA ayuda a la persona a decidir en qué restaurante comer, no lo estás.

Pregunta 3: ¿Es la persona consciente de que se está tomando la decisión y puede impugnarla?

Si la respuesta es negativa en cualquiera de los dos aspectos, te encuentras en una zona de alto riesgo más profunda y probablemente también en territorio prohibido conforme al artículo 5 (IA manipuladora). El riesgo derivado del artículo 5 no guarda relación con el Anexo III, pero conviene señalarlo en la misma auditoría.

Ocho ejemplos de auditorías reales de SaaS

Son casos anonimizados pero reales. He auditado cada uno de ellos en los últimos seis meses.

A: SaaS de selección de personal con cribado de currículums mediante IA. Anexo III(4) empleo. Alto riesgo. Requiere evaluación de conformidad, expediente técnico, política de supervisión humana e inscripción en la base de datos de la UE.

B: SaaS de RRHH con descripciones de puestos generadas por IA. La IA ayuda al responsable de selección a redactar la descripción del puesto. El responsable la publica. No se toma ninguna decisión sobre los candidatos. Riesgo limitado conforme al artículo 50(2) (divulgación de contenido sintético). No es de alto riesgo.

C: SaaS de atención al cliente con sugerencias de respuesta automática por IA. La IA sugiere respuestas y el agente de soporte humano elige una. No se toma ninguna decisión automatizada sobre el cliente. Riesgo limitado conforme al artículo 50(1) si la respuesta del agente de soporte se envía como redactada por IA; de lo contrario, riesgo mínimo.

D: Plataforma de préstamos con puntuación crediticia mediante IA. Anexo III(5) solvencia crediticia. Alto riesgo. Este caso es inequívoco. Se requiere evaluación de conformidad completa.

E: Plataforma EdTech con tutoría de IA que no califica. La IA explica conceptos a los estudiantes. No hay calificación, ni decisiones de admisión, ni supervisión de exámenes. Riesgo limitado conforme al artículo 50(1). Divulgar el uso de IA, y listo.

F: Plataforma EdTech con calificación de redacciones mediante IA. Anexo III(3) educación. Alto riesgo. Aunque un docente revise la calificación de la IA antes de la entrega final, la IA está realizando el trabajo de calificación sustantivo, y eso activa el Anexo III.

G: SaaS de HealthTech que ayuda a los médicos a redactar notas clínicas. El médico revisa y firma cada nota. La IA no diagnostica ni recomienda tratamientos. Riesgo limitado conforme al artículo 50(2) para contenido sintético. No es de ámbito Anexo III.

H: SaaS de HealthTech que clasifica síntomas de pacientes y recomienda un nivel de urgencia. Este caso es fronterizo. Si la recomendación no es vinculante y un profesional sanitario toma la decisión final, puede ser de riesgo limitado. Si la recomendación determina quién es atendido y en qué orden, es Anexo III(5) acceso a servicios esenciales. En la auditoría lo clasificamos como alto riesgo y recomendamos al equipo que implementara correctamente el mecanismo de supervisión humana antes del lanzamiento.

La diferencia de costes entre hacerlo bien y hacerlo mal

Si clasificas correctamente una funcionalidad como de riesgo limitado, publicas una divulgación y documentas la decisión. Inversión de tiempo: medio día.

Si clasificas correctamente una funcionalidad como de alto riesgo, construyes un sistema de gestión de riesgos, un expediente técnico conforme al artículo 11, una política de supervisión humana, pruebas de exactitud y robustez, seguimiento postcomercialización, y te inscribes en la base de datos de la UE. Inversión de tiempo: de 6 a 12 semanas para un equipo pequeño.

Si clasificas incorrectamente una funcionalidad de alto riesgo como de riesgo limitado, estás operando en incumplimiento. El artículo 99(3) establece la sanción por incumplimiento de las obligaciones de alto riesgo: hasta 15 millones de euros o el 3 por ciento del volumen de negocios anual mundial.

Si clasificas incorrectamente una funcionalidad de riesgo limitado como de alto riesgo, malgastas seis semanas de tiempo de ingeniería que no necesitabas gastar.

El paso de clasificación es el paso de mayor apalancamiento en todo el proceso de cumplimiento del Reglamento de IA de la UE. Hazlo bien.

Cómo lo hace el equipo de Disclos

Cada auditoría de 5 días que realizamos comienza con el mapeo de cada funcionalidad de IA del producto frente al Anexo III. Utilizamos el mismo árbol de decisión descrito anteriormente, aplicado funcionalidad por funcionalidad y documentado por escrito para que puedas entregar el expediente a un supervisor o a un miembro del consejo sin necesidad de reconstruir el razonamiento de memoria.

La clasificación figura en el informe en PDF. El razonamiento figura en el informe en PDF. La justificación de cada decisión tomada figura en el informe en PDF. Por eso pagas 997 euros. Reembolso garantizado si tu SaaS no cumple la normativa antes del 2 de agosto de 2026.

También puedes realizar la misma clasificación por tu cuenta con el script classify.py de nuestro repositorio de código abierto. Gratuito, con licencia MIT, responde a cinco preguntas y devuelve la categoría de riesgo. Úsalo para un primer cribado y decide después si quieres que realicemos la auditoría formal.

Cualquiera de los dos caminos: realiza el paso de clasificación antes de hacer cualquier otra cosa. Cambia todo lo que viene después.

Last updated: 2026-06-04