3 min read

Cómo saber si un sistema de IA es de alto riesgo según el AI Act

Guía práctica para empresas que necesitan clasificar sistemas de IA bajo el AI Act: usos de alto riesgo, datos, proveedores, supervisión humana y evidencias.

Muchas empresas empiezan a mirar el AI Act preguntándose si su herramienta es "inteligencia artificial". La pregunta práctica suele ser otra: si ese sistema puede afectar a personas, derechos, acceso a servicios, empleo, educación, crédito, seguridad o decisiones relevantes.

Clasificar un sistema de IA no es un trámite teórico. Sirve para saber qué controles hacen falta, qué documentación conviene conservar y qué usos requieren una revisión más cuidadosa.

1. Identificar el caso de uso real

No basta con mirar el nombre comercial de la herramienta. Hay que describir cómo se usa dentro de la empresa.

Conviene documentar:

  • Qué herramienta se utiliza.
  • Quién la usa.
  • Para qué proceso.
  • Qué datos entran.
  • Qué resultado genera.
  • Si el resultado influye en una decisión.
  • Si afecta a clientes, empleados, candidatos, alumnos, pacientes o usuarios.

Una misma tecnología puede tener riesgos distintos según el contexto. Un asistente de redacción interna no plantea el mismo problema que una herramienta que filtra candidatos o prioriza reclamaciones.

2. Revisar si entra en ámbitos sensibles

El AI Act presta especial atención a sistemas que pueden afectar de forma relevante a las personas. La empresa debería revisar si la IA se usa en ámbitos como:

  • Selección de personal, evaluación de empleados o decisiones laborales.
  • Educación, formación o acceso a programas.
  • Crédito, seguros o evaluación económica de personas.
  • Servicios esenciales.
  • Sanidad o asistencia social.
  • Seguridad, biometría o control de accesos.
  • Justicia, cumplimiento normativo o investigación de conductas.
  • Infraestructuras críticas.

Si el uso toca alguno de estos ámbitos, no conviene asumir que es de bajo riesgo sin revisar el caso concreto.

3. Distinguir asistencia de decisión

Una clave práctica es saber si la IA solo ayuda a una persona o si condiciona la decisión.

Preguntas útiles:

  • ¿La persona revisa de verdad el resultado?
  • ¿Puede apartarse de la recomendación de la IA?
  • ¿Existe criterio documentado para corregir errores?
  • ¿La IA ordena, clasifica, puntúa o excluye personas?
  • ¿El resultado se comunica directamente al afectado?

La supervisión humana no existe solo porque haya una persona en el proceso. Debe ser una revisión real, con capacidad de entender, corregir y decidir.

4. Mirar datos, proveedores y contratos

La clasificación no depende solo de la finalidad. También importa qué datos se tratan y quién controla el sistema.

La empresa debería revisar:

  • Si hay datos personales o categorías especiales.
  • Si el proveedor usa datos para entrenar o mejorar modelos.
  • Dónde se aloja el tratamiento.
  • Qué documentación técnica facilita el proveedor.
  • Qué garantías ofrece sobre seguridad, precisión y trazabilidad.
  • Qué responsabilidades asume cada parte.

Cuando el proveedor no permite entender mínimamente el funcionamiento o las garantías del sistema, aumenta el riesgo operativo y jurídico.

5. Separar riesgo jurídico de riesgo empresarial

Puede haber usos que no sean formalmente de alto riesgo bajo el AI Act, pero que sigan siendo sensibles para la empresa.

Ejemplos:

  • Generar respuestas a clientes sobre reclamaciones.
  • Analizar contratos con información confidencial.
  • Redactar comunicaciones públicas sin revisión.
  • Automatizar decisiones internas con impacto económico.
  • Usar IA con datos personales en cuentas no empresariales.

Aunque no encajen en una categoría de alto riesgo, pueden requerir política interna, revisión RGPD, control de proveedores y formación.

6. Conservar evidencias mínimas

La empresa debería poder explicar qué ha revisado y por qué ha clasificado un uso de una forma determinada.

Evidencias útiles:

  • Inventario de herramientas de IA.
  • Ficha de cada caso de uso.
  • Finalidad y usuarios internos.
  • Tipo de datos tratados.
  • Evaluación inicial de riesgo.
  • Proveedor y contrato.
  • Medidas de supervisión humana.
  • Responsable interno.
  • Fecha de revisión.

No hace falta empezar con una documentación enorme. Pero sí conviene dejar rastro suficiente para demostrar diligencia.

Conviene revisar el caso antes de escalar el uso si:

  • La IA afecta a empleados, candidatos, clientes o usuarios.
  • Hay datos personales o información confidencial.
  • La herramienta clasifica, puntúa, recomienda o decide.
  • Se usa en un sector regulado.
  • El proveedor no da garantías claras.
  • El uso puede generar reclamaciones o impacto reputacional.

La clasificación temprana evita implantar una herramienta y descubrir después que faltaban contratos, información, supervisión o medidas de control.

Conclusión

Para saber si un sistema de IA es de alto riesgo, la empresa debe mirar el uso real, no solo la herramienta.

El orden razonable es:

  • Inventariar sistemas.
  • Describir casos de uso.
  • Identificar ámbitos sensibles.
  • Revisar datos y proveedores.
  • Confirmar si hay supervisión humana real.
  • Documentar la clasificación.
  • Priorizar medidas.

Una auditoría legal de IA permite ordenar este mapa y decidir qué usos pueden seguir, cuáles necesitan ajustes y cuáles requieren una revisión más profunda antes de crecer.

Para revisar un caso concreto, puede plantearse una consulta o auditoría inicial desde /contacto/.

Servicios relacionados

Published by:

Javier Ferrando Pérez