IAuditAI
Volver al blog

Los 4 niveles de riesgo de la Ley de IA explicados

La Ley de IA clasifica los sistemas en cuatro niveles de riesgo con obligaciones distintas. Te explicamos cada uno con ejemplos prácticos para PYMEs.

Un enfoque basado en el riesgo

El pilar central de la Ley de IA europea es su enfoque basado en el riesgo: cuanto mayor es el riesgo que un sistema de IA puede suponer para la salud, la seguridad o los derechos fundamentales de las personas, mayores son las obligaciones que debe cumplir.

El Reglamento establece cuatro niveles de riesgo, cada uno con un régimen regulatorio diferente.

Nivel 1: Riesgo inaceptable (prohibido)

Estos sistemas de IA están completamente prohibidos en la UE. No hay excepciones comerciales.

Ejemplos:

  • Puntuación social (social scoring): evaluar a ciudadanos y asignarles una puntuación de confianza basada en su comportamiento social
  • Manipulación subliminal: sistemas diseñados para manipular el comportamiento de personas sin que sean conscientes
  • Explotación de vulnerabilidades: IA que se aproveche de la edad, discapacidad o situación económica de personas para influir en sus decisiones
  • Vigilancia biométrica masiva en tiempo real en espacios públicos (con excepciones muy limitadas para seguridad nacional)

¿Qué debe hacer tu PYME?

Verificar que ningún sistema de IA que utilices o contrates realice estas prácticas. Esta obligación ya está en vigor desde febrero de 2025.

Nivel 2: Alto riesgo

Los sistemas de IA de alto riesgo son aquellos que pueden tener un impacto significativo sobre la salud, la seguridad o los derechos fundamentales. El Anexo III del Reglamento enumera las categorías específicas.

Ejemplos relevantes para PYMEs:

  • Selección y contratación de personal: sistemas que filtran CVs, clasifican candidatos o toman decisiones automatizadas sobre empleados
  • Evaluación crediticia: scoring para concesión de créditos o evaluación de solvencia
  • Seguros: sistemas que determinan primas o cobertura basándose en perfilado de IA
  • Educación: herramientas que evalúan automáticamente a estudiantes o determinan su acceso a programas formativos
  • Control de acceso a servicios esenciales: sistemas que deciden si una persona puede acceder a prestaciones públicas

Obligaciones principales:

  • Sistema de gestión de riesgos documentado
  • Gobernanza de datos de entrenamiento y validación
  • Documentación técnica exhaustiva
  • Registro de actividad (logs) del sistema
  • Transparencia e información a los usuarios
  • Supervisión humana efectiva
  • Exactitud, robustez y ciberseguridad
  • Registro en la base de datos de la UE

¿Qué debe hacer tu PYME?

Si utilizas alguno de estos sistemas, deberás cumplir con las obligaciones de implementador de alto riesgo a partir de agosto de 2026. Empieza a prepararte ahora.

Nivel 3: Riesgo limitado

Los sistemas de riesgo limitado tienen obligaciones de transparencia específicas. El objetivo es que las personas sepan cuándo están interactuando con una IA.

Ejemplos:

  • Chatbots: si tu empresa usa un chatbot de atención al cliente, debes informar claramente de que el usuario está hablando con una IA
  • Generación de contenido sintético: si generas textos, imágenes o vídeos con IA (deep fakes, contenido generado), debes etiquetarlo como generado artificialmente
  • Sistemas de reconocimiento de emociones: si se utilizan (fuera de contextos de alto riesgo), se debe informar a las personas afectadas

¿Qué debe hacer tu PYME?

Si usas chatbots o generas contenido con IA, implementa avisos claros para tus usuarios. Es una obligación sencilla de cumplir y mejora la confianza del cliente.

Nivel 4: Riesgo mínimo

La gran mayoría de los sistemas de IA en el mercado se clasifican como de riesgo mínimo. El Reglamento no impone obligaciones específicas para estos sistemas, más allá de las obligaciones transversales (Art. 4 sobre alfabetización y Art. 5 sobre prácticas prohibidas).

Ejemplos:

  • Filtros de spam en el correo electrónico
  • Correctores ortográficos con IA
  • Sistemas de recomendación de productos (e-commerce)
  • Herramientas de productividad como asistentes de escritura o traducción automática
  • Análisis de datos sin impacto en derechos fundamentales

¿Qué debe hacer tu PYME?

Aunque la ley no exige obligaciones específicas para estos sistemas, sigue siendo obligatorio cumplir con la alfabetización en IA (Art. 4) y verificar que no se realizan prácticas prohibidas (Art. 5).

¿Cómo clasificar tus sistemas?

Para clasificar correctamente cada sistema de IA que utiliza tu empresa:

  1. Consulta el Anexo III del Reglamento para ver si tu sistema encaja en alguna de las categorías de alto riesgo
  2. Evalúa el uso previsto: un mismo software puede ser de alto riesgo o no según cómo se utilice
  3. Documenta tu análisis: registra por qué has clasificado cada sistema en un nivel determinado
  4. Revisa periódicamente: la clasificación puede cambiar si cambia el uso del sistema

La clasificación correcta es fundamental porque determina todas las obligaciones que deberás cumplir.