Guías de cumplimiento del Reglamento de IA de la UE por sector para sanidad, recursos humanos, sector público, transporte, seguros, comercio minorista, pymes y educación.
Cómo determina el sector la exposición al Reglamento de IA de la UE
El Reglamento de IA de la UE es legislación horizontal: se aplica a los sistemas de IA comercializados o puestos en servicio en todos los sectores de la economía de la Unión Europea. No obstante, la carga práctica de cumplimiento no es uniforme. El sector determina qué categorías de alto riesgo del Annex III son pertinentes, qué marcos regulatorios preexistentes generan obligaciones superpuestas y qué autoridades supervisoras, nacionales o de la UE, tendrán jurisdicción sobre los despliegues de IA.
El Reglamento establece una arquitectura de riesgo escalonada: prácticas prohibidas en el Art. 5, IA de alto riesgo en el Art. 6 y en el Annex III, obligaciones de IA de uso general (GPAI) en los Art. 51 a Art. 55, y obligaciones de transparencia en el Art. 50. Todos los sectores están sujetos a la prohibición de prácticas prohibidas y a la capa de transparencia del Art. 50. Las obligaciones de alto riesgo del Annex III se aplican de forma selectiva, en función de qué IA despliega la organización y con qué finalidad.
Comprender la exposición sectorial comienza por mapear los casos de uso operacional de la IA frente a las categorías del Annex III. Las organizaciones también deben evaluar si la IA desplegada constituye un modelo GPAI conforme al Art. 3(63), y si alguna relación con proveedores genera obligaciones como responsable del despliegue o proveedor de GPAI.
Comprensión del Annex III por sector
El Annex III del Reglamento de IA de la UE define 8 categorías de IA de alto riesgo independientes. Cada categoría se corresponde con industrias y casos de uso de IA específicos.
Categoría 1 — Biometría (transversal a todos los sectores)
El Art. 6 en relación con el Annex III punto 1 abarca los sistemas de IA para identificación biométrica y categorización biométrica de personas físicas. La identificación biométrica remota en tiempo real en espacios de acceso público por parte de los cuerpos de seguridad está prohibida en virtud del Art. 5(1)(h), y no meramente considerada de alto riesgo. Los sistemas de identificación biométrica a posteriori y los sistemas de categorización biométrica utilizados en el ámbito laboral, el control fronterizo, los cuerpos de seguridad (dentro de los límites permitidos) y el control de acceso permanecen en la categoría de alto riesgo. Cualquier organización que despliegue reconocimiento facial, verificación de huellas dactilares, reconocimiento de voz o sistemas similares para decisiones con consecuencias significativas está dentro del ámbito de aplicación.
Categoría 2 — Infraestructuras críticas (transporte, energía, agua)
El Annex III punto 2 abarca la IA utilizada como componente de seguridad en la gestión y operación de infraestructuras digitales críticas, el tráfico vial, el suministro de agua, el gas, la calefacción y la electricidad. Los operadores de transporte, los gestores de redes energéticas, las empresas de suministro de agua y los proveedores de infraestructuras digitales deben evaluar si sus sistemas de IA cumplen los criterios. El Annex I del Reglamento de IA también intersecta en este punto: los componentes de seguridad de IA integrados en productos regulados por el Annex I (maquinaria, vehículos, equipos de aviación civil, sistemas ferroviarios) son de alto riesgo conforme al Art. 6(1), no conforme al Annex III.
Categoría 3 — Educación y formación profesional
El Annex III punto 3 abarca la IA que determina el acceso a establecimientos educativos, asigna a los estudiantes itinerarios formativos, evalúa el rendimiento en exámenes o pruebas, valora logros de aprendizaje que afectan sustancialmente a las oportunidades futuras, y supervisa el comportamiento de los estudiantes durante las evaluaciones. Las plataformas EdTech, las universidades, los proveedores de formación profesional y los organismos de examinación deben evaluar sus herramientas basadas en IA frente a estos criterios.
Categoría 4 — Empleo y recursos humanos
El Annex III punto 4 abarca la IA utilizada en procesos de contratación y selección (cribado de currículums, clasificación de candidatos, análisis automatizado de entrevistas), decisiones sobre promoción, rescisión, asignación de tareas para trabajadores de plataformas, supervisión del comportamiento de los empleados y evaluación del rendimiento. Esta categoría es una de las más amplias en cuanto a su alcance: prácticamente toda organización que utilice procesos de recursos humanos asistidos por IA debe evaluar su cumplimiento. La obligación se aplica a la IA utilizada por empleadores, empresas de selección de personal y plataformas de economía bajo demanda (gig economy).
Categoría 5 — Servicios privados y públicos esenciales (finanzas, seguros, ámbito adyacente a la sanidad, prestaciones sociales)
El Annex III punto 5 es la categoría más amplia, y engloba la IA utilizada en la evaluación de la solvencia crediticia y la puntuación de crédito de personas físicas, la evaluación del riesgo y la fijación de precios en seguros, la determinación de la elegibilidad para prestaciones públicas y servicios sociales, y las decisiones de despacho de servicios de emergencia. Esta categoría afecta directamente a bancos, aseguradoras, administraciones públicas y proveedores de servicios sociales. La IA relacionada con la salud que evalúa a personas para determinar su elegibilidad en seguros también se incluye aquí, creando un solapamiento entre las obligaciones de los servicios financieros y las de la sanidad.
Categorías 6, 7 y 8 — Orden público, migración y justicia
Los Annex III puntos 6, 7 y 8 se dirigen a las autoridades del sector público y a sus proveedores tecnológicos. La IA para cuerpos de seguridad (puntuación de riesgo, predicción de reincidencia, predicción de delitos, evaluación de pruebas), la IA para migración y control fronterizo (evaluación del riesgo en solicitudes de asilo, verificación de documentos, tramitación de solicitudes) y la IA para la justicia y procesos democráticos (herramientas de investigación judicial, IA relacionada con elecciones) son todas de alto riesgo. Estas categorías afectan principalmente a las fuerzas y cuerpos de seguridad, los organismos fronterizos, los tribunales de asilo e inmigración, los órganos judiciales y sus proveedores de IA contratados.
Guías sectoriales
Cada una de las siguientes guías especializadas mapea las obligaciones del Reglamento de IA de la UE en el contexto regulatorio específico, los casos de uso de IA más habituales y la arquitectura de supervisión del sector correspondiente.
Sanidad y ciencias de la vida
La IA sanitaria opera en la intersección del Reglamento de IA de la UE y el Reglamento de Dispositivos Médicos (MDR) y el Reglamento de Diagnóstico In Vitro (IVDR). Los sistemas de IA que se califican como productos sanitarios se regulan principalmente conforme al MDR/IVDR, pero siguen sujetos a las obligaciones del Reglamento de IA en materia de derechos fundamentales y transparencia. El Annex III punto 5 incluye la IA utilizada para la puntuación del riesgo de salud en seguros y para la determinación de la elegibilidad en prestaciones públicas. Los sistemas de apoyo a la decisión clínica, la IA de diagnóstico, las herramientas de triaje de pacientes y la IA para el descubrimiento de fármacos tienen obligaciones específicas en función de su clasificación regulatoria.
Recursos humanos y selección de personal
El Annex III punto 4 sitúa prácticamente todos los procesos de recursos humanos asistidos por IA en la categoría de alto riesgo. Las herramientas de cribado de currículums, las plataformas de evaluación psicométrica, el análisis automatizado de entrevistas en vídeo, los sistemas de gestión del rendimiento y la IA de planificación de plantillas deben cumplir las obligaciones aplicables a proveedores y responsables del despliegue. Esta guía aborda las obligaciones de los empleadores como responsables del despliegue conforme al Art. 26, los requisitos de gobernanza de datos conforme al Art. 10 y la interacción con las restricciones de elaboración de perfiles del GDPR.
Sector público y justicia
Las autoridades públicas son al mismo tiempo responsables del despliegue de IA de alto riesgo y las entidades que las autoridades nacionales competentes supervisarán con mayor atención. Los Annex III puntos 5 a 8 cubren colectivamente una parte significativa de la IA del sector público: determinación de la elegibilidad en prestaciones, IA para servicios de emergencia, herramientas para cuerpos de seguridad, sistemas de gestión fronteriza e IA judicial. Esta guía aborda las obligaciones específicas de los responsables del despliegue públicos, los mandatos de transparencia en las decisiones automatizadas que afectan a los ciudadanos y la interacción con el GDPR y la Directiva de aplicación de la ley en materia de protección de datos.
Transporte e infraestructuras críticas
Los operadores de transporte deben navegar tanto el Annex III punto 2 (componentes de seguridad en infraestructuras críticas) como la regulación de seguridad de productos del Annex I. La IA en sistemas de vehículos autónomos, gestión del tráfico ferroviario, gestión del tráfico aéreo, operaciones portuarias y planificación logística puede activar la clasificación de alto riesgo por múltiples vías. Esta guía aborda la interacción con los reglamentos de EASA, la Directiva de seguridad ferroviaria y el papel de los organismos notificados en la evaluación de la conformidad.
Pymes
Las pequeñas y medianas empresas tienen las mismas obligaciones derivadas del Reglamento de IA de la UE que las grandes organizaciones cuando son proveedoras de IA de alto riesgo o responsables del despliegue que utilizan IA de alto riesgo. Sin embargo, el Reglamento prevé mecanismos de proporcionalidad. Esta guía explica las opciones de documentación técnica simplificada, el acceso a los sandboxes regulatorios conforme a los Art. 57 a Art. 63 y cómo estructurar un programa de cumplimiento mínimo pero jurídicamente suficiente. También aborda la exposición de las pymes como responsables del despliegue de herramientas de IA de terceros.
Seguros
La IA en seguros está sujeta al Annex III punto 5(b) (evaluación del riesgo y fijación de precios en seguros de vida y salud de personas físicas) y se cruza con los requisitos de Solvencia II en materia de gobernanza de modelos y uso de modelos internos. La IA de tarificación en seguros de automóvil, salud, hogar y vida, las herramientas de decisión en suscripción y los sistemas automatizados de liquidación de siniestros requieren todos evaluación. Esta guía aborda los roles de EIOPA y los supervisores nacionales de seguros junto al marco de ANC del Reglamento de IA.
Comercio minorista y centros de atención al cliente
Las operaciones de comercio minorista y atención al cliente se ven afectadas principalmente por las obligaciones de transparencia del Art. 50 —divulgación de contenido generado por IA, identificación de chatbots y etiquetado de deepfakes— y por la IA relacionada con el empleo conforme al Annex III punto 4. Los sistemas de reconocimiento de emociones utilizados en contextos de cara al cliente están expresamente regulados. Esta guía aborda la IA en el comercio electrónico, los motores de recomendación, la atención al cliente automatizada y la gestión de plantillas en centros de contacto.
Educación y EdTech
El Annex III punto 3 sitúa la IA educativa en la categoría de alto riesgo cuando determina o influye sustancialmente en el acceso a itinerarios formativos o en la evaluación de logros. Esta guía aborda las obligaciones de los proveedores de EdTech, las universidades, los organismos de formación profesional y las autoridades públicas de examinación. Cubre las plataformas de aprendizaje adaptativo, el software de supervisión de exámenes (proctoring), la corrección automatizada de redacciones y las herramientas de predicción de riesgo de abandono escolar.
Sector financiero (banca)
La guía del sector bancario aborda la puntuación crediticia y la evaluación de la solvencia del Annex III punto 5(b), la IA de detección de fraude, los sistemas de negociación algorítmica, las herramientas de AML/KYC y las plataformas de asesoramiento automatizado (robo-advisory). Examina la superposición de las obligaciones del Reglamento de IA de la UE sobre DORA, MiFID II, CRR/CRD y las directrices de la EBA. La intersección entre los requisitos de gobernanza de modelos del Reglamento de IA y los marcos preexistentes de gestión del riesgo de modelos conforme a las directrices de la EBA es un foco principal.
Obligaciones transversales
Varias obligaciones del Reglamento de IA de la UE se aplican con independencia del sector. Toda organización que opere en la UE debe conocer estos requisitos de referencia.
Prácticas prohibidas — Art. 5
El Art. 5 establece prohibiciones absolutas vigentes desde el 2 de febrero de 2025. Estas se aplican a todos los sectores sin excepción: técnicas de manipulación subliminal que causen daño, explotación de las vulnerabilidades de personas físicas, puntuación social por parte de autoridades públicas, identificación biométrica remota en tiempo real por parte de los cuerpos de seguridad en espacios públicos (salvo excepciones estrictamente tasadas), reconocimiento de emociones en entornos laborales y educativos (fuera de los usos especificados), categorización biométrica mediante características sensibles, y predicción policial basada exclusivamente en la elaboración de perfiles. Ninguna exención sectorial específica puede dejar sin efecto estas prohibiciones.
Obligaciones de transparencia — Art. 50
El Art. 50 exige a los proveedores y responsables del despliegue de sistemas de IA que interactúen con personas físicas que divulguen la naturaleza artificial de la interacción. Esto se aplica a chatbots, asistentes virtuales, sistemas automatizados de atención telefónica y cualquier sistema de IA diseñado para aparentar ser humano. El contenido generado por IA —medios sintéticos, deepfakes, texto— debe estar etiquetado de forma legible por máquina. Estas obligaciones se aplican al comercio minorista, los servicios financieros, las herramientas sanitarias de atención al paciente, los servicios públicos de atención ciudadana y cualquier otro sector que despliegue IA conversacional o generativa.
Obligaciones de los modelos GPAI — Art. 51 a Art. 55
Las organizaciones que despliegan modelos GPAI —grandes modelos de lenguaje, modelos de base (foundation models), IA multimodal— deben evaluar si actúan como responsables del despliegue de un modelo GPAI de terceros o como proveedoras de un sistema integrado con GPAI. Los proveedores de GPAI asumen obligaciones conforme al Art. 53 (transparencia hacia los proveedores descendentes, política de derechos de autor, resumen de los datos de entrenamiento). Los modelos GPAI con riesgo sistémico asumen obligaciones adicionales conforme al Art. 55. Todo sector que utilice APIs de modelos de base comerciales o modelos de base alojados en local debe evaluar estas obligaciones.
Pymes y obligaciones de proporcionalidad
Las pymes representan la mayoría de las empresas de la UE y una proporción creciente de los proveedores y responsables del despliegue de sistemas de IA. El Reglamento de IA de la UE no establece una exención general para las pymes, pero los Art. 9(5), Art. 11 y Art. 16 exigen que las obligaciones de los proveedores sean proporcionales al tamaño y la capacidad de la organización.
El marco de sandboxes regulatorios (Art. 57 a Art. 63) está diseñado específicamente para proporcionar a las pymes y startups entornos de desarrollo supervisados, menor incertidumbre regulatoria y acceso directo a la orientación de las autoridades nacionales competentes. La participación no garantiza la autorización de cumplimiento, pero proporciona una vía estructurada hacia la comercialización de productos de IA innovadores.
Para las pymes que actúan como responsables del despliegue de IA de alto riesgo proporcionada por un tercero, se aplican las obligaciones del Art. 26: evaluación del caso de uso, implementación de supervisión humana y evaluación de impacto en derechos fundamentales. La escala de documentación y supervisión requerida es proporcional, pero las obligaciones legales no quedan dispensadas.
La guía para pymes dedicada ofrece una hoja de ruta de cumplimiento adaptada a las organizaciones de menor tamaño, y cubre la priorización, la documentación mínima viable, la diligencia debida con proveedores y los procedimientos de acceso a los sandboxes.
Supervisión y aplicación
El Reglamento de IA de la UE crea una arquitectura de aplicación multinivel con dimensiones sectoriales de especial relevancia.
Autoridades nacionales competentes
Cada Estado miembro de la UE designa una o más autoridades nacionales competentes (ANC) conforme al Art. 70. Las ANC son responsables de autorizar los sandboxes regulatorios, llevar a cabo la vigilancia del mercado, recibir los datos de seguimiento post-comercialización de los proveedores, investigar las presuntas infracciones e imponer sanciones administrativas conforme a los Art. 99 a Art. 101. Las sanciones máximas alcanzan 35 millones de euros o el 7 % de la facturación anual global por infracciones de las prácticas prohibidas del Art. 5.
Reguladores sectoriales como autoridades de vigilancia del mercado
Los Art. 74(8) y Art. 74(9) permiten a los reguladores sectoriales actuar como autoridades de vigilancia del mercado para la IA en sus ámbitos. La Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA), la Autoridad Europea de Valores y Mercados (ESMA), la Agencia Europea de Medicamentos (EMA) y la Agencia de la Unión Europea para la Seguridad Aérea (EASA) tienen cada una su papel en la supervisión de la IA dentro de su perímetro regulatorio. Esto genera una exposición de doble vía en la aplicación: la IA de puntuación crediticia de un banco puede ser examinada tanto por un regulador financiero nacional que aplique las obligaciones del Annex III como por una ANC que lleve a cabo la vigilancia del mercado conforme al Reglamento de IA.
La Oficina Europea de IA
La Oficina Europea de IA, creada conforme a los Art. 64 a Art. 70, ostenta autoridad directa de aplicación sobre los proveedores de modelos GPAI. Para las organizaciones que despliegan modelos GPAI con riesgo sistémico, la Oficina de IA es el interlocutor regulatorio principal, no la ANC nacional. Los reguladores sectoriales no tienen jurisdicción directa sobre los modelos GPAI como tales, aunque los sistemas de IA descendentes que integren GPAI siguen sujetos a la supervisión nacional y sectorial.
Calendario de aplicación
La prohibición de las prácticas conforme al Art. 5 se aplica desde el 2 de febrero de 2025. Las obligaciones de GPAI conforme a los Art. 51 a Art. 55 entraron en vigor el 2 de agosto de 2025. Las obligaciones completas para los sistemas de IA de alto riesgo del Annex III —que cubren las ocho categorías y todos los deberes de proveedores y responsables del despliegue— se aplican desde el 2 de diciembre de 2027 (plazo ampliado desde la fecha original del 2 de agosto de 2026 por la enmienda del Ómnibus Digital de 2025). Las organizaciones de todos los sectores deben considerar el período hasta diciembre de 2027 como una ventana de cumplimiento activa, no como un período de gracia.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sí. El Reglamento de IA de la UE se aplica de forma uniforme en toda la UE, pero su impacto práctico varía sustancialmente según el sector. El Annex III del Reglamento asigna las categorías de IA de alto riesgo directamente a industrias concretas: la IA en el ámbito del empleo se dirige a los departamentos de recursos humanos y a las empresas de selección de personal; la IA de evaluación de solvencia crediticia se dirige a los sectores financiero y asegurador; los sistemas biométricos se dirigen a los cuerpos de seguridad y al control fronterizo. Los operadores en sectores fuertemente regulados (sanidad, finanzas, transporte) también se enfrentan al Reglamento de IA superpuesto a la legislación sectorial preexistente, lo que puede generar obligaciones adicionales o requerir coordinación entre autoridades supervisoras.
La sanidad, los servicios financieros y el sector público acumulan las obligaciones más elevadas. La IA sanitaria se cruza con el Reglamento de Dispositivos Médicos (MDR) y el Reglamento de Diagnóstico In Vitro (IVDR); la IA en el sector financiero se cruza con DORA, MiFID II y Solvencia II; la IA del sector público abarca las categorías 5 a 8 del Annex III (servicios esenciales, orden público, migración y justicia). Cada uno de estos sectores debe cumplir tanto con el marco del Reglamento de IA de la UE como con la regulación sectorial preexistente, con algunas obligaciones que se aplican simultáneamente.
Las pymes no están exentas, pero el Reglamento establece medidas de proporcionalidad. El Art. 9(5) exige que los sistemas de gestión de riesgos sean proporcionados al tamaño y la naturaleza del proveedor. Los Art. 11 y Art. 16 permiten documentación técnica simplificada para las pymes. Los Art. 57 a Art. 63 establecen espacios controlados de prueba (sandboxes regulatorios) a los que las pymes pueden acceder bajo la supervisión de la autoridad nacional competente. Las obligaciones de los responsables del despliegue conforme al Art. 26 también se aplican a las pymes que utilicen IA de alto riesgo, aunque con requisitos procedimentales más reducidos que los aplicables a los proveedores.
Los Art. 70 a Art. 77 del Reglamento de IA de la UE establecen una arquitectura de supervisión multinivel. Cada Estado miembro designa una autoridad nacional competente (ANC) responsable de la aplicación del Reglamento de IA. Cuando los sistemas de IA operan en sectores regulados —servicios financieros, sanidad, aviación, ferroviario— los reguladores sectoriales (EBA, EIOPA, ESMA, EMA, EASA) se coordinan con las ANC. La Oficina Europea de IA proporciona supervisión central para los modelos de IA de uso general (GPAI). Esta estructura paralela implica que el sistema de IA de una entidad financiera puede ser auditado tanto por una ANC como por un regulador del sector financiero que aplique marcos distintos pero con solapamientos.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.