AI Act: Bruselas fija la frontera jurídica de la IA de alto riesgo

El 19 de mayo de 2026, la Comisión Europea publicó el borrador de directrices que debe ayudar a proveedores, deployers y autoridades de vigilancia a clasificar los sistemas de inteligencia artificial de alto riesgo bajo el artículo 6 del Reglamento de Inteligencia Artificial. La consulta, abierta hasta el 23 de junio de 2026 a las 22:00 CET, no es un trámite menor: es el primer gran ensayo interpretativo con el que Bruselas empieza a ordenar la frontera entre la IA ordinaria y la IA jurídicamente sensible.

La Comisión marca el terreno del artículo 6

El documento llega en un momento delicado para el mercado europeo. Tras meses de incertidumbre sobre estándares, guías sectoriales y calendario de aplicación, la Comisión no pretende resolver todo el cumplimiento del AI Act, sino algo previo y decisivo: cuándo un sistema entra en el perímetro de alto riesgo. Esa respuesta condiciona documentación técnica, gestión de riesgos, supervisión humana, calidad de datos, registro, transparencia, contratación y responsabilidad. Por eso el borrador, aunque no sea vinculante y aunque el Tribunal de Justicia de la Unión Europea conserve la última palabra, ya opera como una brújula práctica para cualquier compañía que diseñe, compre o despliegue IA en Europa.

La clave está en no leer las directrices como una mera colección de ejemplos. Su verdadera relevancia reside en la metodología. La Comisión insiste en que la clasificación depende de la finalidad prevista, del contexto de uso y de la función real del sistema. Esto desplaza el debate desde el eslogan comercial hacia la arquitectura jurídica del producto. No basta decir que una herramienta “asiste” o “optimiza”. Habrá que acreditar qué hace, sobre quién actúa, qué decisión influye, qué materiales la presentan y qué riesgo puede activar.

Dos rutas para llegar al alto riesgo

El artículo 6 conserva una estructura de doble vía. La primera, prevista en el artículo 6.1, se refiere a sistemas que son productos regulados o componentes de seguridad de productos cubiertos por la legislación de armonización de la Unión incluida en el Anexo I, siempre que el producto deba someterse a una evaluación de conformidad por tercero. Es la ruta industrial: maquinaria, dispositivos, productos sometidos a controles técnicos y software que, por su función, puede comprometer la salud, la seguridad o los bienes.

El matiz es importante. No toda IA incorporada a un producto regulado será automáticamente de alto riesgo. Pero tampoco quedará fuera por presentarse como complemento de eficiencia, confort o productividad. Si cumple una función de seguridad o si su fallo puede generar un peligro relevante, la etiqueta contractual no servirá para neutralizar la calificación. El proveedor tendrá que examinar el sistema dentro de la seguridad global del producto y no como un módulo aislado de apariencia inocua.

La segunda vía, la del artículo 6.2, remite al Anexo III y a los sistemas standalone desplegados en ámbitos socialmente sensibles. Biometría, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, migración, asilo, fronteras, justicia y procesos democráticos componen el mapa donde la IA deja de ser solo automatización y empieza a afectar oportunidades vitales, derechos, acceso a prestaciones o posiciones jurídicas. La idea es sencilla: el alto riesgo no equivale a prohibición, pero sí a obligación reforzada de gobierno.

(Imagen: Pablo Sáez)

El filtro del 6.3 no es una puerta trasera

La parte relevante del borrador quizá sea la lectura restrictiva del filtro del artículo 6.3. Un sistema incluido formalmente en un caso de uso del Anexo III podrá quedar fuera de la clasificación si realiza una tarea procedimental limitada, mejora un resultado humano previamente completado, detecta patrones o desviaciones sin sustituir la evaluación humana, o ejecuta una tarea preparatoria. Pero la excepción no puede convertirse en ingeniería de evasión regulatoria.

La Comisión exige mirar si el sistema influye materialmente en el resultado. Clasificar documentos, convertir formatos o detectar duplicados puede ser auxiliar. Ordenar candidatos, puntuar solicitudes, jerarquizar expedientes o sugerir decisiones ya cambia el terreno. Además, la supervisión humana no altera por sí sola la clasificación. Un humano en el circuito puede ser requisito de cumplimiento, pero no transforma en bajo riesgo un sistema cuyo propósito encaja en el Anexo III.

El proveedor que invoque el filtro deberá documentar su autoevaluación antes de poner el sistema en el mercado o en servicio y registrar la herramienta en la base de datos europea cuando proceda. Para los despachos, esto abre una línea de trabajo: revisar evidencias, contratos, documentación precontractual y trazabilidad de decisiones. Para las empresas compradoras, introduce una diligencia mínima: verificar si el proveedor ha usado correctamente la excepción y si esa excepción resiste una revisión de autoridad.

‘Profiling’, agentes y contratos: el nuevo punto crítico

La línea roja más clara es el profiling. Si un sistema del Anexo III realiza elaboración de perfiles en el sentido del RGPD o de los instrumentos europeos equivalentes, el filtro del 6.3 queda bloqueado. Este punto tendrá impacto directo en empleo, scoring crediticio, seguros, migración, investigación penal, selección de personal y cualquier herramienta que evalúe características personales para inferir comportamientos, solvencia, desempeño, riesgo o idoneidad.

También emerge una advertencia de alcance para los agentes de IA y las arquitecturas modulares. La Comisión no acepta que una solución compleja se fragmente artificialmente para rebajar su riesgo. Cuando varios módulos, agentes o componentes coordinados comparten finalidad y sus salidas conjuntas influyen materialmente en una decisión individual, el sistema debe evaluarse como conjunto. Esta lectura será decisiva para proveedores que integren modelos fundacionales, agentes especializados, conectores documentales, sistemas de recomendación y paneles de decisión humana.

La finalidad prevista se convierte, así, en el gran expediente probatorio. Instrucciones de uso, documentación técnica, contratos, políticas de uso, materiales comerciales y demostraciones de venta pueden definir el destino jurídico del producto. Los disclaimers genéricos ya no bastarán si la comunicación comercial promueve usos de alto riesgo o si el diseño funcional permite desplegarlos de forma previsible. El marketing tecnológico entra, por tanto, en la sala de compliance. Para los juristas, la consecuencia es clara: cada pliego, anexo técnico y matriz de riesgos deberá incorporar una pregunta previa, sencilla y determinante: si el proveedor desapareciera de la conversación, ¿seguiría siendo posible justificar, documentalmente y ante un supervisor, por qué el sistema no es de alto riesgo en Europa?

(Imagen: Pablo Sáez)

La consulta no es ornamental

La consulta pública no debe verse como una formalidad burocrática. Es la oportunidad para discutir las zonas donde se jugará buena parte de la litigiosidad futura: la frontera entre tarea preparatoria y recomendación sustantiva, la lectura del componente de seguridad, el alcance del profiling, la evaluación de sistemas multipropósito y el tratamiento de herramientas que combinan IA generativa con flujos decisionales.

España, además, tiene especial interés en esta fase. La AESIA, la AEPD, los departamentos jurídicos, los proveedores nacionales y los despachos especializados tienen una ventana para influir en una interpretación que acabará proyectándose sobre contratación pública, recursos humanos, edtech, legaltech, fintech, insurtech y administración digital. La calidad del feedback no será irrelevante: las directrices finales podrán ajustar ejemplos, matices y umbrales de interpretación.

La nueva gramática del cumplimiento

El mensaje de fondo es nítido. La pregunta relevante ya no será si una herramienta usa IA, sino qué decide, a quién afecta, con qué finalidad se comercializa, qué documentación la respalda y qué huella deja en derechos fundamentales. El AI Act inaugura una etapa en la que clasificar bien será tan importante como cumplir bien, porque un error inicial contaminará contratos, auditorías, registros y responsabilidades.

Las directrices no cierran el debate; lo abren con precisión. Pero ya obligan a revisar producto, lenguaje comercial, mapas de riesgo, due diligence de proveedores y gobierno interno. En la nueva frontera europea de la inteligencia artificial, el cumplimiento no empieza cuando el sistema falla. Empieza mucho antes: en la forma en que la empresa decide nombrarlo, venderlo, limitarlo, documentarlo y desplegarlo.

(Imagen: Pablo Sáez)

• La Comisión Europea publicó la página oficial de las directrices el 19 de mayo de 2026; allí indica que buscan apoyar a proveedores, deployers y autoridades de vigilancia de mercado en la clasificación de sistemas de IA de alto riesgo y resume las dos vías del artículo 6: artículo 6.1/Anexo I y artículo 6.2/Anexo III.
• La consulta oficial consta como abierta el 19 de mayo de 2026 y cerrada el 23 de junio de 2026, con envío de aportaciones hasta las 22:00 CET; la Comisión señala que el feedback se considerará para la versión final de las directrices.
• El borrador de principios generales indica que las directrices son aún un documento en consulta, que aclaran la clasificación de alto riesgo conforme al artículo 6 y que se presentan en la AI Act Single Information Platform.
• La base técnica del artículo se apoya en el borrador de Anexo I sobre productos regulados y componentes de seguridad, y en el borrador de Anexo III sobre áreas sensibles, filtro del artículo 6.3, profiling, sistemas complejos y registro/autoevaluación.