En una frase. Los sistemas de IA de alto riesgo del Anexo III del Reglamento (UE) 2024/1689 —selección de personal, scoring crediticio, educación o biometría— imponen al proveedor un núcleo duro de obligaciones (gestión de riesgos, gobernanza de datos, documentación, supervisión humana) y al implementador deberes de uso y, en muchos casos, una evaluación de impacto sobre los derechos fundamentales (FRIA) que se articula con la EIPD del RGPD.
Los sistemas de IA de alto riesgo concentran casi toda la carga regulatoria del AI Act. Una empresa española que use un algoritmo para cribar currículos, conceder crédito o supervisar exámenes online está manejando, muy probablemente, un sistema del Anexo III, con obligaciones exigibles desde agosto de 2026. Esta guía desmenuza qué usos entran, qué debe hacer cada actor y cómo se conecta con el RGPD.
Puntos clave
- El Reglamento (UE) 2024/1689 enumera ocho ámbitos de alto riesgo en su Anexo III.
- Las obligaciones del Anexo III son exigibles desde el 2 de agosto de 2026.
- El proveedor asume gestión de riesgos, datos, documentación técnica y supervisión humana (arts. 9 a 15).
- El implementador debe usar el sistema conforme a instrucciones y, en su caso, realizar la FRIA del art. 27.
- Cuando hay datos personales, la FRIA se articula con la EIPD del RGPD, no la sustituye.
1. Qué usos son de alto riesgo (Anexo III)
El Anexo III lista ocho categorías. Las más relevantes para la empresa privada española son:
| Ámbito | Ejemplos típicos |
|---|---|
| Empleo y gestión de trabajadores | Cribado de CV, evaluación de candidatos, decisiones de promoción o despido |
| Acceso a servicios esenciales | Scoring crediticio, evaluación del riesgo en seguros de vida y salud |
| Educación y formación | Admisión, evaluación de aprendizaje, detección de fraude en exámenes (proctoring) |
| Biometría | Identificación biométrica remota, categorización, reconocimiento de emociones |
| Infraestructuras críticas, justicia, migración, servicios públicos | Gestión de infraestructuras, apoyo a decisiones administrativas |
Un sistema encuadrado en estas categorías es de alto riesgo salvo que quede acreditado que no plantea un riesgo significativo para la salud, la seguridad o los derechos fundamentales, en los términos del art. 6.3.
2. Obligaciones del proveedor (arts. 9 a 15)
El proveedor —quien desarrolla o comercializa el sistema bajo su nombre— soporta el grueso de la carga:
- Sistema de gestión de riesgos continuo (art. 9).
- Gobernanza de datos: conjuntos de entrenamiento, validación y prueba pertinentes, representativos y sin sesgos indebidos (art. 10).
- Documentación técnica y registro de eventos (arts. 11 y 12).
- Transparencia e instrucciones de uso al implementador (art. 13).
- Supervisión humana efectiva por diseño (art. 14).
- Exactitud, robustez y ciberseguridad (art. 15).
- Registro del sistema en la base de datos de la UE (art. 49).
La gobernanza de datos del art. 10 se solapa de lleno con los principios del RGPD y con un buen registro de actividades de tratamiento: quien ya documenta orígenes y calidad de los datos parte con ventaja.
3. Obligaciones del implementador y la FRIA
El implementador (deployer) usa el sistema en el ejercicio de su actividad. Debe emplearlo conforme a las instrucciones, garantizar la supervisión humana, vigilar su funcionamiento y conservar los registros. La pieza singular es la evaluación de impacto sobre los derechos fundamentales (FRIA) del art. 27, exigible a organismos públicos y a entidades privadas que prestan servicios públicos, así como a quienes usan sistemas de alto riesgo para scoring crediticio y evaluación de riesgos en seguros de vida y salud.
La FRIA no anula la EIPD del RGPD: son evaluaciones distintas con solapamientos. Cuando el sistema trata datos personales —el caso habitual en recursos humanos o crédito— ambas deben coordinarse en un único proceso documental para no repetir análisis. La AEPD ha publicado orientaciones sobre auditoría de tratamientos que incorporan IA y sobre el impacto del uso de estos sistemas en los derechos de los afectados, un material de referencia útil para articular la FRIA con la EIPD sin duplicar el análisis de riesgos.
4. Precedentes españoles en el sector público
España ofrece precedentes ilustrativos de los riesgos que el reglamento quiere gobernar. El algoritmo BOSCO, empleado para conceder el bono social eléctrico, fue objeto de litigio sobre su transparencia y sus errores en la denegación de ayudas. En Cataluña, RISCANVI evalúa el riesgo de reincidencia de personas presas. Ambos ejemplifican por qué el Anexo III somete a escrutinio los sistemas que apoyan decisiones sensibles: sin trazabilidad ni supervisión humana, un algoritmo puede lesionar derechos a gran escala. El sector financiero, con las mayores sanciones de la AEPD a sus espaldas, es especialmente consciente del riesgo de los modelos de scoring.
5. Cómo preparar el cumplimiento
El punto de partida es clasificar cada sistema conforme al reglamento de inteligencia artificial y decidir si se actúa como proveedor o implementador. Después, documentar: instrucciones, supervisión humana, FRIA y EIPD, gobernanza de datos y registro. Las plataformas de software de cumplimiento del AI Act integran inventario, clasificación de riesgo y documentación técnica, y permiten reutilizar el trabajo ya hecho para el RGPD. Ignorar el marco no es una opción: las sanciones por incumplimiento del RGPD y del AI Act pueden acumularse sobre el mismo sistema.
6. La supervisión humana como control central
De todas las obligaciones, la supervisión humana del art. 14 es la que más se malinterpreta. No basta con que exista un humano “en el circuito”: la persona debe tener la formación, la información y la autoridad efectivas para comprender la salida del sistema, detectar cuándo funciona mal y anular o revertir su decisión. Un cribado de currículos en el que el reclutador se limita a validar sin cuestionar el orden que propone el algoritmo no cumple el estándar; es supervisión aparente, no real.
Este matiz explica por qué la mera existencia de un sistema de IA de alto riesgo bien documentado no exime de responsabilidad si su uso cotidiano degrada la supervisión a un trámite. La AEPD y la doctrina europea insisten en que las decisiones que producen efectos jurídicos o significativos sobre las personas —contratar, denegar un crédito, admitir en un centro— exigen una intervención humana cualificada, no simbólica. Diseñar el proceso para que esa intervención sea posible, y formar a quien la ejerce, es tan importante como la documentación técnica del proveedor.
FAQ
¿Un ATS que filtra currículos es un sistema de alto riesgo?
Con carácter general, sí. Los sistemas de IA destinados a la selección de personal —cribado de candidaturas o evaluación de aspirantes— figuran en el ámbito de empleo del Anexo III y se consideran de alto riesgo, salvo que se acredite que no plantean un riesgo significativo para los derechos de las personas.
¿Quién tiene que hacer la FRIA, el proveedor o el implementador?
La FRIA del art. 27 corresponde al implementador: organismos públicos, entidades privadas que prestan servicios públicos y usuarios de sistemas de scoring crediticio y de evaluación de riesgos en seguros de vida y salud. El proveedor aporta la información técnica necesaria, pero la evaluación la realiza quien despliega el sistema.
¿La FRIA sustituye a la evaluación de impacto del RGPD?
No. Son evaluaciones diferentes. Cuando el sistema de alto riesgo trata datos personales, deben realizarse ambas de forma coordinada: la EIPD analiza el riesgo para la protección de datos y la FRIA el impacto sobre el conjunto de derechos fundamentales.
¿Desde cuándo son exigibles las obligaciones de alto riesgo del Anexo III?
Desde el 2 de agosto de 2026 para los sistemas del Anexo III. Los sistemas de alto riesgo vinculados a productos regulados del Anexo I disponen de un plazo adicional, hasta el 2 de agosto de 2027.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial