Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
6 Min. de lectura

Cómo clasificar los sistemas de IA según el AI Act

Cómo clasificar los sistemas de IA según el AI Act

El Reglamento Europeo de Inteligencia Artificial (AI Act) no impone las mismas obligaciones a todas las empresas ni a todos los sistemas de IA. El primer paso para cumplir la normativa consiste en clasificar correctamente cada sistema de inteligencia artificial según el riesgo que presenta y el papel que desempeña la empresa. Una clasificación incorrecta puede provocar que se apliquen controles insuficientes o, por el contrario, obligaciones innecesarias. Antes de implantar cualquier solución de IA conviene analizar su finalidad, el tipo de datos utilizados, el impacto sobre las personas y la posición que ocupa la empresa dentro de la cadena de suministro del sistema.

La clasificación de un sistema de IA es el punto de partida del cumplimiento

Muchas empresas creen que cumplir el AI Act consiste en redactar una política interna o revisar los contratos con los proveedores tecnológicos. Sin embargo, todas esas actuaciones dependen de una cuestión previa: determinar correctamente qué tipo de sistema de inteligencia artificial se está utilizando.

No todas las herramientas presentan el mismo nivel de riesgo ni generan las mismas obligaciones. Una solución que ayuda a redactar documentos internos no exige el mismo nivel de control que otra utilizada para seleccionar candidatos, analizar solvencia financiera o asistir en diagnósticos médicos.

Clasificar correctamente cada sistema permite aplicar únicamente las obligaciones que realmente corresponden y evitar tanto incumplimientos como costes innecesarios.

El AI Act no clasifica empresas, clasifica sistemas de inteligencia artificial

Uno de los errores más habituales consiste en pensar que una empresa «es de alto riesgo». No es así.

Lo que clasifica el Reglamento Europeo de Inteligencia Artificial es cada sistema concreto, atendiendo a factores como:

  • su finalidad;
  • el ámbito en el que se utiliza;
  • el impacto que puede producir sobre personas físicas;
  • el grado de autonomía del sistema;
  • el papel que desempeña la empresa respecto de esa IA.

Por ello, una misma organización puede utilizar simultáneamente sistemas sujetos a obligaciones muy distintas.

Por ejemplo:

  • un asistente para redactar correos electrónicos puede tener unas exigencias limitadas;
  • un algoritmo utilizado para evaluar el rendimiento de empleados puede requerir controles mucho más estrictos.

La clasificación debe hacerse sistema por sistema.

Las categorías de riesgo previstas por el AI Act

Aunque el Reglamento establece distintos niveles regulatorios, desde un punto de vista práctico las empresas deberían analizar sus herramientas siguiendo cuatro grandes categorías.

Sistemas prohibidos

Determinados usos de la inteligencia artificial se consideran incompatibles con los derechos fundamentales y están prohibidos.

Antes de implantar cualquier herramienta conviene verificar que no desarrolla funcionalidades incluidas dentro de estas prácticas.

Aunque muchas empresas piensan que esta categoría solo afecta a grandes tecnológicas, determinados desarrollos internos pueden acercarse a estos supuestos si no se analizan previamente.

Sistemas de alto riesgo

Es la categoría que genera mayores obligaciones.

Aquí se incluyen determinados sistemas utilizados, entre otros ámbitos, en:

  • recursos humanos;
  • empleo;
  • educación;
  • infraestructuras críticas;
  • servicios financieros;
  • sanidad;
  • administración pública;
  • identificación biométrica;
  • determinados productos regulados.

Cuando una empresa utiliza IA en alguno de estos contextos debe realizar un análisis mucho más profundo sobre documentación, supervisión humana, calidad de los datos, gestión de riesgos y trazabilidad.

Sistemas sujetos a obligaciones de transparencia

Existen herramientas que, sin llegar a ser de alto riesgo, exigen informar al usuario de determinadas circunstancias.

Por ejemplo, cuando una persona interactúa directamente con una IA o cuando determinados contenidos han sido generados mediante inteligencia artificial y resulta necesario evitar confusión.

Aunque estas obligaciones son menos intensas, no deben pasarse por alto.

Sistemas con riesgo limitado o mínimo

Gran parte de las herramientas utilizadas actualmente por empresas pueden situarse dentro de esta categoría.

Sin embargo, esto no significa ausencia total de obligaciones.

Aunque el AI Act imponga menos requisitos, seguirán siendo plenamente aplicables otras normas como:

  • Reglamento General de Protección de Datos.
  • LOPDGDD.
  • normativa laboral.
  • normativa de consumidores.
  • propiedad intelectual.
  • secretos empresariales.
  • contratación tecnológica.

Por ello, considerar que una IA es de bajo riesgo no significa que pueda utilizarse sin controles.

El papel de tu empresa también determina las obligaciones

Otra cuestión que suele generar confusión es pensar que únicamente el desarrollador del sistema debe cumplir el AI Act.

En realidad, la normativa distingue distintos operadores.

Una empresa puede actuar como:

  • proveedor;
  • implementador o desplegador;
  • importador;
  • distribuidor;
  • representante autorizado.

Cada uno de estos papeles implica responsabilidades distintas.

Por ejemplo, una empresa que desarrolla internamente una herramienta para sus clientes asumirá obligaciones muy diferentes a otra que simplemente utiliza ChatGPT Enterprise como apoyo para tareas administrativas.

Por ello, además de clasificar el sistema, resulta imprescindible identificar cuál es la posición jurídica de la empresa respecto a esa herramienta.

Qué criterios conviene analizar antes de clasificar una herramienta de IA

La clasificación no puede hacerse únicamente atendiendo al nombre comercial del producto.

Es necesario revisar cuestiones como:

Finalidad real del sistema

No importa únicamente qué hace la herramienta, sino para qué se utiliza dentro de la empresa.

La misma aplicación puede tener un nivel de riesgo completamente distinto dependiendo del caso de uso.

Tipo de decisiones que influye

Debe analizarse si la IA:

  • únicamente genera recomendaciones;
  • propone contenidos;
  • automatiza decisiones;
  • condiciona actuaciones relevantes sobre personas.

Cuanto mayor sea el impacto de sus resultados, mayor será normalmente el nivel de control necesario.

Datos utilizados

Es fundamental conocer:

  • qué información recibe el sistema;
  • si existen datos personales;
  • si se utilizan categorías especiales;
  • si incorpora información confidencial o secretos empresariales.

Este análisis afecta tanto al AI Act como al RGPD.

Nivel de supervisión humana

Una cuestión esencial consiste en determinar si existe intervención humana efectiva.

No basta con afirmar que «siempre hay una persona».

Debe analizarse:

  • quién revisa;
  • cuándo interviene;
  • qué capacidad tiene para corregir el resultado;
  • cómo queda documentada esa supervisión.

Integración con otros sistemas

Muchas soluciones de IA están conectadas con:

  • CRM;
  • ERP;
  • sistemas de recursos humanos;
  • herramientas documentales;
  • plataformas cloud.

Estas integraciones pueden modificar significativamente el análisis jurídico.

Por qué muchas empresas clasifican incorrectamente sus sistemas

En la práctica observamos errores muy repetidos.

Uno de ellos consiste en pensar que utilizar ChatGPT, Copilot o Gemini implica automáticamente un determinado nivel de riesgo.

No es cierto.

Lo relevante no es el nombre de la herramienta, sino el uso concreto que la empresa hace de ella.

También es habitual asumir que un proveedor ya ha realizado todo el análisis jurídico.

Aunque el proveedor tenga determinadas obligaciones, la empresa usuaria sigue siendo responsable de analizar cómo implanta esa herramienta en sus propios procesos.

Otro error frecuente consiste en revisar únicamente el AI Act e ignorar el resto del marco normativo.

La clasificación debe coordinarse con protección de datos, contratación tecnológica, propiedad intelectual, normativa laboral y compliance.

Qué documentación conviene preparar tras la clasificación

Una vez identificado el nivel de riesgo, resulta recomendable elaborar un expediente interno para cada sistema.

Normalmente debería incluir:

  • descripción del caso de uso;
  • finalidad empresarial;
  • clasificación realizada;
  • justificación jurídica;
  • datos tratados;
  • proveedor utilizado;
  • contratos asociados;
  • medidas de seguridad;
  • responsables internos;
  • controles de supervisión;
  • revisiones periódicas.

Esta documentación facilitará futuras auditorías y permitirá demostrar un uso diligente de la inteligencia artificial.

Clasificar correctamente la IA reduce riesgos y facilita su implantación

La clasificación no debe verse como una carga administrativa.

Al contrario.

Permite a la empresa:

  • implantar herramientas con mayor seguridad;
  • evitar inversiones innecesarias;
  • priorizar recursos;
  • preparar auditorías;
  • responder ante clientes y reguladores;
  • demostrar una verdadera gobernanza de la inteligencia artificial.

En definitiva, clasificar correctamente los sistemas es el primer paso para construir un modelo sólido de cumplimiento.

Cómo puede ayudarte RZS Abogados

En RZS Abogados ayudamos a las empresas a identificar y clasificar los sistemas de inteligencia artificial conforme al Reglamento Europeo de IA, analizando el nivel de riesgo de cada herramienta y las obligaciones que realmente resultan aplicables.

Nuestro asesoramiento incluye la auditoría jurídica de soluciones de IA, la elaboración de mapas de riesgos, la revisión de contratos con proveedores tecnológicos, el diseño de políticas internas de uso de IA y la implantación de modelos de gobernanza adaptados a la actividad de cada empresa.

El AI Act no obliga a todas las empresas por igual. Las obligaciones dependerán del tipo de sistema utilizado, del uso previsto, del sector en el que opere la organización y del papel que desempeñe dentro de la cadena de valor de la inteligencia artificial.

Por eso, antes de implantar cualquier herramienta, resulta imprescindible realizar una clasificación jurídica adecuada. Esa decisión condicionará el resto del proceso de cumplimiento y permitirá implantar la inteligencia artificial con mayor seguridad, eficiencia y confianza.

Si tu IA falla, lo más probable es que tu empresa tenga que responder, al menos en parte. El proveedor puede compartir responsabilidad, pero rara vez la asume completamente.

La clave no es evitar usar IA, sino implantarla correctamente: con contratos sólidos, supervisión humana, control de riesgos y evidencias.

En 2026, la diferencia entre una empresa expuesta y una protegida no está en la tecnología que utiliza, sino en cómo la gestiona.

En RZS Abogados te ayudamos a implantar la inteligencia artificial de forma segura, legal y ética. Evaluamos tus riesgos, adaptamos tus políticas internas y te acompañamos en la toma de decisiones.

*Imágenes diseñadas por Freepik

Contacta con RZS

O si prefieres te llamamos nosotros