Anexo III Ley de IA de la UE: Lista de Sistemas de Alto Riesgo

Concepto clave: El Anexo III de la Ley de IA de la UE lista las ocho áreas de aplicación donde los sistemas de IA se consideran de alto riesgo, determinando qué organizaciones deben cumplir el conjunto más exigente de obligaciones del reglamento.

Qué es el Anexo III de la Ley de IA de la UE

El Anexo III del Reglamento (UE) 2024/1689 enumera las categorías específicas de sistemas de IA que se clasifican como de alto riesgo por su potencial impacto sobre la seguridad y los derechos fundamentales. Es la lista de referencia que deben consultar proveedores y usuarios para determinar si sus sistemas caen bajo las obligaciones más exigentes del reglamento.

La Comisión Europea tiene potestad para actualizar este Anexo mediante actos delegados, añadiendo nuevas categorías cuando la evolución tecnológica o la evidencia de impacto lo justifiquen.

Las Ocho Categorías del Anexo III

1. Biometría

Sistemas de identificación biométrica remota (con las estrictas condiciones y excepciones aplicables), sistemas de categorización biométrica que infieren características sensibles, y sistemas de reconocimiento de emociones.

2. Infraestructuras Críticas

Sistemas usados como componentes de seguridad en la gestión y operación de infraestructuras críticas: redes de suministro de agua, gas, electricidad y calefacción, y transporte.

3. Educación y Formación

Sistemas que determinan el acceso o la admisión a instituciones educativas y de formación profesional, que evalúan resultados de aprendizaje, detectan comportamientos de trampa o guían la trayectoria educativa de los estudiantes.

4. Empleo y Gestión de Trabajadores

  • Sistemas de cribado o filtrado de CVs en procesos de selección.
  • Sistemas de evaluación o puntación de candidatos en entrevistas de trabajo.
  • Sistemas de toma de decisiones sobre la promoción, terminación y asignación de tareas.
  • Sistemas de monitoreo del rendimiento o comportamiento de los trabajadores.

5. Acceso a Servicios Esenciales

Sistemas que evalúan la solvencia crediticia o establecen la puntuación de crédito de personas físicas, sistemas de evaluación de riesgos y fijación de precios en seguros de vida y salud, sistemas que evalúan y clasifican solicitudes de ayudas y beneficios públicos.

6. Aplicación de la Ley

Sistemas para evaluación de riesgos individuales, detección de emociones, detección de deepfakes, evaluación de pruebas, predicción de comportamientos delictivos, análisis de ADN, o reconocimiento de voz.

7. Migración, Asilo y Control de Fronteras

Sistemas de evaluación de riesgos para personas que solicitan asilo o visado, sistemas de detección de emociones en controles fronterizos, verificación de documentos de viaje.

8. Administración de Justicia y Procesos Democráticos

Sistemas de apoyo a decisiones judiciales en procedimientos, sistemas que influyen en los resultados de elecciones y referéndums, sistemas de micro-targeting electoral.

Cómo Determinar si tu Sistema Aplica

Para determinar si un sistema de IA cae en el Anexo III, se recomienda:

  1. Identificar el propósito principal del sistema y sus casos de uso reales.
  2. Comparar con las categorías del Anexo III, considerando no solo el título de la categoría sino las descripciones específicas dentro de cada una.
  3. Evaluar si el sistema toma decisiones, recomienda acciones o clasifica personas en los contextos listados.
  4. Consultar las guías de la Comisión Europea y, si hay duda, buscar asesoramiento jurídico especializado.

Ejemplo Empresarial Relevante

Una empresa de software que desarrolla un sistema de puntuación automática de candidatos para procesos de selección de personal debe verificar que su sistema cae en la categoría 4 del Anexo III. Esto activa la obligación de evaluación de conformidad, documentación técnica, supervisión humana y registro en la base de datos europea antes de comercializar el producto en la UE.

Knowlee apoya a sus clientes en la comprensión de qué flujos de trabajo automatizados pueden caer dentro del ámbito del Anexo III, y proporciona la infraestructura de registro y trazabilidad necesaria para el cumplimiento.

Preguntas Frecuentes

¿El Anexo III es una lista cerrada o puede ampliarse? La Comisión Europea puede ampliarla mediante actos delegados cuando nuevas tecnologías o evidencias de impacto lo justifiquen. Organizaciones del sector de IA deben monitorear estas actualizaciones regularmente.

¿Un sistema de IA que solo hace recomendaciones (sin decidir) está en el Anexo III? Puede estarlo. El Anexo III incluye tanto sistemas que toman decisiones como sistemas de apoyo a la decisión cuando el contexto de uso cae dentro de las categorías listadas. La influencia material sobre las decisiones es el criterio relevante, no solo la autonomía formal del sistema.

¿Existen excepciones dentro de las categorías del Anexo III? Sí. Por ejemplo, los sistemas de seguridad en infraestructuras críticas tienen una excepción para sistemas de ciberseguridad con propósito exclusivo de ciberseguridad. Cada categoría tiene matices que requieren análisis detallado.