Back to blog
    Requisitos de Sistemas de Alto Riesgo del EU AI Act: Que Exigen y Que No Te Dicen
    eu-ai-acthigh-risk-aicomplianceai-governanceenterprise-ai

    Requisitos de Sistemas de Alto Riesgo del EU AI Act: Que Exigen y Que No Te Dicen

    El Anexo III del EU AI Act define las categorias de IA de alto riesgo. Si estas desplegando en salud, legal, finanzas o RRHH, casi seguro estas dentro del alcance. Esto es lo que realmente requiere el cumplimiento.

    EErtas Team·

    La mayoria de las empresas que estaran sujetas a los requisitos de sistemas de alto riesgo del EU AI Act aun no lo saben. Las categorias son mas amplias de lo que sugieren los titulares, y las obligaciones de cumplimiento son mas sustantivas que un marco simple de aviso y consentimiento tipo GDPR.

    Esto es lo que realmente requiere el reglamento, cuando aplica y donde es mayor la brecha de cumplimiento para los despliegues tipicos de IA empresarial.

    Las Ocho Categorias de Alto Riesgo (Anexo III)

    El EU AI Act define los sistemas de IA de alto riesgo en el Anexo III. Cualquier sistema de IA que caiga en una de estas categorias esta sujeto al conjunto completo de requisitos de sistemas de alto riesgo en los Articulos 9-16.

    1. Biometria — Sistemas para identificacion biometrica en tiempo real o post-procesamiento de personas naturales. Sistemas de identificacion biometrica remota. Categorizacion biometrica basada en atributos sensibles. Sistemas de reconocimiento de emociones. Esta categoria es la razon por la que la IA de reconocimiento facial en monitoreo de empleados o verificacion de clientes esta casi seguramente dentro del alcance.

    2. Infraestructura critica — IA utilizada en la gestion u operacion de infraestructura critica (energia, agua, gas, calefaccion, transporte). Una IA de mantenimiento predictivo para una red electrica califica. Un sistema SCADA asistido por IA califica. Esto no se limita a IA que toma decisiones criticas de seguridad directamente — incluye IA que informa esas decisiones.

    3. Educacion y formacion profesional — IA que determina acceso a instituciones educativas, evalua estudiantes, monitorea y detecta trampa, determina trayectorias de aprendizaje. Si vendes IA a escuelas o universidades en Europa para admisiones, evaluacion o supervision de examenes, estas dentro del alcance.

    4. Empleo y trabajadores — IA utilizada en reclutamiento, seleccion, evaluacion durante el proceso de contratacion, decisiones de promocion y terminacion, asignacion de tareas, monitoreo de rendimiento y comportamiento de trabajadores. Esta es la categoria que atrapa a mas empresas que cualquier otra. IA para filtrado de curriculos, analisis de entrevistas con IA, herramientas de gestion de rendimiento con IA — todas dentro del alcance.

    5. Acceso a servicios esenciales — Sistemas de IA para decisiones crediticias, suscripcion de seguros y evaluacion de reclamaciones, despacho de servicios de emergencia, determinaciones de elegibilidad para beneficios. IA de scoring crediticio, IA de seguros, procesamiento automatizado de beneficios — todos dentro del alcance. Si tu IA afecta quien obtiene acceso a credito, seguros o servicios gubernamentales, es de alto riesgo por definicion.

    6. Aplicacion de la ley — IA utilizada para evaluaciones de riesgo de individuos, fiabilidad de evidencia, perfiles de riesgo individual, elaboracion de perfiles, analitica y prediccion de crimenes. La mayoria de la IA de aplicacion de la ley dentro del alcance con excepciones muy limitadas.

    7. Gestion de migracion y asilo — IA para control fronterizo, examen de solicitudes de asilo, evaluacion de riesgos de migracion irregular. Principalmente gubernamental, pero afecta a proveedores que venden a autoridades fronterizas.

    8. Administracion de justicia y procesos democraticos — IA que asiste a tribunales en investigacion, interpretacion y aplicacion de la ley; IA utilizada en contextos electorales. Herramientas legales de IA usadas por tribunales, IA adyacente a elecciones dentro del alcance.

    Por Que Mas Empresas Estan Dentro del Alcance de lo Que Piensan

    La categoria de empleo por si sola es expansiva. Si tu funcion de RRHH empresarial usa cualquiera de los siguientes, casi seguramente estas desplegando un sistema de IA de alto riesgo:

    • Filtrado de curriculos o seguimiento de candidatos asistido por IA
    • Analisis de entrevistas en video asistido por IA
    • Evaluacion de habilidades o pruebas cognitivas basadas en IA
    • Gestion de rendimiento o monitoreo de productividad con IA
    • Planificacion de fuerza laboral impulsada por IA que afecta decisiones de plantilla

    "Pero lo usamos solo como herramienta para ayudar a RRHH a tomar decisiones, no para tomar decisiones automaticamente" no es una exencion. El Anexo III cubre sistemas de IA que se "usan" en estos procesos, independientemente de si la IA tiene autoridad de decision final. La IA en el bucle para decisiones de empleo sigue estando dentro del alcance.

    De manera similar, la categoria de servicios esenciales atrapa cualquier IA que influya en decisiones crediticias — no solo sistemas automatizados de scoring crediticio, sino suscripcion asistida por IA, deteccion de fraude con IA que resulta en restricciones de cuenta, e IA que produce evaluaciones de riesgo utilizadas en flujos de trabajo de prestamos.

    Que Requieren Realmente los Articulos 9-16

    Articulo 9: Sistema de Gestion de Riesgos

    No una evaluacion de riesgos unica — un sistema continuo de gestion de riesgos. El Articulo 9 requiere que los proveedores de IA de alto riesgo: identifiquen y analicen riesgos conocidos y previsibles, estimen y evaluen riesgos que puedan surgir del uso, adopten medidas de gestion de riesgos, prueben el sistema para verificar que las medidas de gestion de riesgos funcionen, y documenten el proceso de gestion de riesgos de forma continua.

    "Continuo" es la palabra clave aqui. Esto no es una lista de verificacion pre-despliegue. Es un programa continuo que se actualiza a medida que el sistema opera en el campo, a medida que surgen nuevos riesgos y a medida que cambia el contexto de despliegue.

    Articulo 10: Datos de Entrenamiento, Validacion y Prueba

    Este es el articulo para el que la mayoria de las empresas estan menos preparadas. El Articulo 10 requiere que los datasets de entrenamiento, validacion y prueba:

    • Cumplan con criterios de calidad apropiados para su proposito previsto
    • Se examinen en busca de sesgos que puedan afectar a personas en el contexto de uso
    • Tengan en cuenta caracteristicas especificas del entorno geografico, conductual o funcional
    • Sean relevantes, representativos, completos y suficientemente libres de errores
    • Tengan linaje de datos — origen, metodo de recopilacion, operaciones de preparacion

    El Articulo 10 no trata sobre cumplimiento del GDPR para datos personales en conjuntos de entrenamiento. Trata sobre gobernanza de datos de entrenamiento. Requiere criterios de calidad documentados, examen de sesgo y seguimiento de procedencia para cada dataset utilizado para entrenar o validar un sistema de alto riesgo.

    La mayoria de las empresas que usan APIs de IA en la nube no pueden proporcionar esta documentacion porque no prepararon sus datos de entrenamiento con capacidad de auditoria. Si ajustaste un modelo con datos propietarios y no puedes producir documentacion de como se recopilaron, examinaron en busca de sesgo y procesaron esos datos — no cumples con el Articulo 10.

    Articulo 11: Documentacion Tecnica

    Antes de desplegar un sistema de IA de alto riesgo, los proveedores deben preparar documentacion tecnica que cubra 11 elementos especificados en el Anexo IV:

    1. Descripcion general del sistema de IA y su proposito previsto
    2. Descripcion detallada incluyendo componentes, arquitectura y algoritmos
    3. Descripcion del proceso de desarrollo — metodologia, decisiones de diseno, supuestos
    4. Descripcion de las medidas de monitoreo, funcionamiento y control
    5. Descripcion de los procedimientos de validacion y prueba, incluyendo datos de prueba y resultados
    6. Documentacion de gestion de riesgos (Articulo 9)
    7. Descripcion de los cambios realizados a lo largo del ciclo de vida
    8. Lista de estandares aplicados y documentacion de cumplimiento
    9. Copia de la declaracion de conformidad de la UE
    10. Medidas de seguridad de la informacion implementadas
    11. Instrucciones de uso

    Este es un requisito de documentacion pre-despliegue, no un requisito de reporte post-despliegue. Necesitas la documentacion antes de desplegar, no despues de que algo salga mal.

    Articulo 13: Transparencia y Provision de Informacion a Usuarios

    Los sistemas de IA de alto riesgo deben ser transparentes para sus implementadores (las empresas que los usan) sobre: el proposito y limitaciones del sistema, el nivel de precision, robustez y ciberseguridad contra el que se probo, las circunstancias bajo las cuales el sistema puede no operar de forma fiable, las medidas de supervision humana y los recursos computacionales requeridos.

    Esta es transparencia ascendente — de proveedores a implementadores. Si estas comprando IA de alto riesgo de un proveedor, tienes derecho a esta informacion. Si la estas vendiendo, debes proporcionarla.

    Articulo 14: Supervision Humana

    Los sistemas de IA de alto riesgo deben disenarse y desarrollarse para permitir una supervision humana efectiva. Esto significa que el sistema debe permitir a los operadores comprender completamente las capacidades y limitaciones del sistema, monitorear su operacion, poder identificar y abordar anomalias y mal funcionamiento, y poder ignorar, anular o intervenir en la operacion del sistema.

    Criticamente: la capacidad de detener el sistema debe estar disponible. Un sistema de IA de alto riesgo que no puede ser apagado o anulado por un operador humano no cumple con el Articulo 14 independientemente de lo que diga la documentacion tecnica.

    Articulo 15: Precision, Robustez y Ciberseguridad

    Los sistemas de IA de alto riesgo deben alcanzar un nivel apropiado de precision para su proposito previsto, funcionar de forma consistente a lo largo de su ciclo de vida y ser resilientes contra errores, fallos e intentos no autorizados de alterar su comportamiento. La precision debe declararse en la documentacion tecnica — cuantificada, no descrita cualitativamente.

    "Nuestro modelo es altamente preciso" no satisface el Articulo 15. "Nuestro modelo logra 94.3% de precision en el conjunto de validacion descrito en el Anexo IV, con 91.7% de precision en el subgrupo demografico subrepresentado" si lo hace.

    La Realidad de la Fecha Limite

    Los requisitos de sistemas de alto riesgo bajo el EU AI Act aplican desde agosto de 2026. Si estas desplegando sistemas de IA de alto riesgo hoy, tienes tiempo para construir cumplimiento — pero no mucho, y el alcance de lo que necesita construirse es sustancial.

    El cronograma de cumplimiento se comprime aun mas por los requisitos de documentacion. El Articulo 11 requiere documentacion pre-despliegue. No puedes documentar retroactivamente la gobernanza de datos de entrenamiento del Articulo 10 si no rastreaste la procedencia en el momento de la preparacion de datos.

    El Requisito de Registro del Articulo 30

    El Articulo 30 requiere que los proveedores de sistemas de IA de alto riesgo mantengan registros de la operacion del sistema por el periodo apropiado al proposito previsto. Esto no se trata de registrar llamadas API. Se trata de registrar el proceso de decision — que hizo el sistema, con que entradas, con que parametros, para producir que salidas.

    El requisito de registro es por la vida del sistema para la mayoria de los usos regulados. Las decisiones financieras pueden requerir registro por 10+ anos bajo regulacion financiera existente. Las aplicaciones de salud pueden requerir los registros por la duracion de la retencion de expedientes de pacientes.

    La Ventaja On-Premise para el Cumplimiento del Articulo 10

    Asi se ve el cumplimiento del Articulo 10 en la practica: necesitas poder producir documentacion mostrando el origen de cada dataset utilizado en entrenamiento, los criterios de calidad aplicados, el examen de sesgo realizado y las operaciones de preprocesamiento ejecutadas. Esta documentacion debe existir antes del despliegue.

    Un pipeline de preparacion de datos on-premise con registro de auditoria integrado es la solucion arquitectonicamente correcta para el cumplimiento del Articulo 10. Cada paso de transformacion registrado con marca de tiempo, ID del operador y parametros. Cada fuente de datos documentada. Cada puerta de calidad registrada. Cada salida de examen de sesgo preservada.

    Esto es precisamente lo que proporciona Ertas Data Suite — una aplicacion de escritorio nativa Tauri 2.0 para preparacion de datos de IA con rastro de auditoria integrado en cada paso del pipeline: Ingest, Clean, Label, Augment, Export. El registro de auditoria se exporta en formatos adecuados para la documentacion tecnica del Articulo 30 del EU AI Act, con cada transformacion rastreable a un operador y marca de tiempo especificos.

    El EU AI Act no prescribe implementaciones tecnicas — solo resultados. Tienes flexibilidad en COMO logras el cumplimiento, pero no en SI lo haces. La pregunta es si tu infraestructura actual hace alcanzables los resultados requeridos.

    Para empresas dentro del alcance de los requisitos de sistemas de alto riesgo — especialmente las de salud, finanzas, RRHH y dominios legales — la IA basada en API en la nube sin seguimiento de linaje de datos es el punto de partida arquitectonicamente incorrecto para el cumplimiento. Los requisitos de documentacion no pueden satisfacerse retroactivamente.

    Agenda una llamada de descubrimiento con Ertas → para entender como se ve el cumplimiento del Articulo 10 y Articulo 30 en la practica, y si el pipeline on-premise con registro de auditoria de Ertas Data Suite se ajusta a tus requisitos de cumplimiento.

    Para el contexto mas amplio de lo que requiere el despliegue de IA de alto riesgo mas alla del cumplimiento del EU AI Act, consulta la guia completa →.

    Turn unstructured data into AI-ready datasets — without it leaving the building.

    On-premise data preparation with full audit trail. No data egress. No fragmented toolchains. EU AI Act Article 30 compliance built in.

    Book a Discovery CallSee how Ertas Data Suite works →

    Keep reading

    EU AI Act Article 30 Documentation Checklist: What High-Risk AI Providers Must Log
    Enterprise AI

    EU AI Act Article 30 Documentation Checklist: What High-Risk AI Providers Must Log

    EU AI Act Article 30 requires providers of high-risk AI systems to maintain detailed logs. This checklist covers every requirement with practical implementation guidance.

    EU AI Act Compliance Timeline: What's Due by August 2026
    Enterprise AI

    EU AI Act Compliance Timeline: What's Due by August 2026

    A clear timeline of EU AI Act enforcement dates, what's already in effect, what's coming in August 2026, and what enterprises need to have in place for training data compliance.

    Data Lineage Is Now a Legal Requirement — Are You Ready?
    Enterprise AI

    Data Lineage Is Now a Legal Requirement — Are You Ready?

    The EU AI Act makes data lineage mandatory for high-risk AI systems. Most enterprise pipelines have lineage gaps at every tool boundary. Here's what needs to change.