El Reglamento (UE) 2024/1689 organiza las obligaciones por nivel de riesgo. Antes de planificar nada, una empresa necesita una clasificación documentada del sistema, porque cada nivel dispara obligaciones, plazos y multas distintos. La clasificación no es opcional ni reversible sin consecuencias.
Primer corte: el sistema está en el artículo 5? Si el caso de uso es manipulación subliminal, explotación de vulnerabilidades, puntuación social pública, raspado masivo facial, reconocimiento de emociones en trabajo o educación, categorización biométrica por atributos sensibles o identificación biométrica remota en tiempo real con propósitos prohibidos, el sistema está prohibido. Fin del análisis.
Segundo corte: cae en el Anexo III? Si la tarea principal aparece en uno de los ocho ámbitos del Anexo III, el sistema es de alto riesgo. Tercer corte: aplica la excepción del artículo 6.3? Solo si el sistema realiza una tarea procedimental, mejora un resultado humano previo, detecta patrones de decisión sin reemplazarlos o ejecuta una tarea preparatoria. La excepción debe documentarse y notificarse.
Cuarto corte: dispara obligaciones del artículo 50? Chatbots, deepfakes y contenido generado deben informar al usuario. Si nada de lo anterior aplica, el sistema es de riesgo mínimo y no tiene obligaciones específicas.
El Anexo III lista ocho ámbitos. Biometría (identificación, categorización, reconocimiento de emociones fuera de lo prohibido). Infraestructuras críticas (gestión y operación de tráfico, agua, gas, electricidad, calor). Educación y formación profesional (acceso, evaluación, detección de comportamiento). Empleo (contratación, asignación, evaluación, terminación). Acceso a servicios privados y públicos esenciales (crédito, salud, emergencias, seguros de vida y salud).
Aplicación de la ley (perfilado, evaluación de pruebas, predicción de delitos en personas individuales con cautelas). Migración, asilo y control de fronteras (riesgo migratorio, evaluación de solicitudes). Administración de justicia y procesos democráticos (asistencia a la decisión judicial, influencia en elecciones).
El proveedor de un sistema de alto riesgo debe diseñar e implementar siete elementos. Sistema de gestión de riesgos (artículo 9). Gobernanza de datos con calidad y representatividad (artículo 10). Documentación técnica del Anexo IV (artículo 11). Registros automáticos durante el ciclo de vida (artículo 12). Transparencia para el desplegador (artículo 13). Supervisión humana eficaz (artículo 14). Precisión, robustez y ciberseguridad (artículo 15). Sobre todo eso, el artículo 17 exige un sistema de gestión de calidad y el artículo 72 exige monitorización post-mercado.
El desplegador asume obligaciones del artículo 26: usar el sistema según las instrucciones, asegurar la supervisión humana, vigilar el funcionamiento, conservar los registros automáticos, informar al proveedor de incidentes graves y, en algunos casos, realizar una evaluación de impacto en derechos fundamentales (artículo 27).
Cuatro patrones repetidos. Primero, asumir que un chatbot interno no está en alto riesgo cuando, en realidad, asiste decisiones de contratación o evaluación. Segundo, no documentar la justificación de la excepción del artículo 6.3 y dejar el sistema en limbo. Tercero, clasificar como riesgo limitado un sistema que automatiza decisiones con efecto sustancial sobre la persona. Cuarto, no reclasificar cuando se modifica sustancialmente el sistema, lo que reactiva obligaciones de proveedor.
La regla práctica: cuando hay duda sobre el nivel, escribir un memorándum corto con la decisión y el porqué. Ese documento es el primero que pedirá la autoridad si el caso aparece en una inspección.
Ready to scope your project? Submit a short brief and we reply within one business day.
Cuéntanos qué quieres construir. Respondemos en un día hábil.