← Back to perspectives EU AI Act, News

Niveles de Riesgo da la ley IA Europa

EU_AI_Risk

Los 4 niveles de riesgo de la Ley de IA de Europa, explicados a fondo


Introducción

Cuando hablamos de la Ley de IA de Europa (AI Act), lo primero que hay que entender es su idea central: no toda la inteligencia artificial es tratada igual. La ley no le pone las mismas reglas a un videojuego con IA que a un sistema que decide si te dan un crédito. En cambio, organiza todos los sistemas de IA en cuatro niveles de riesgo, como una pirámide, y a cada nivel le asigna un tipo de obligación distinto: desde la prohibición total hasta la libertad casi absoluta.

Entender bien estos cuatro niveles es la base para entender toda la ley, porque de aquí se desprende todo lo demás: qué tiene que hacer una empresa, cuánto le puede costar no cumplir y qué tan estrictamente la van a vigilar.

En este post explicamos, uno por uno y con ejemplos concretos, cada uno de los cuatro niveles de riesgo que define la Ley de IA europea.


🔴 Nivel 1: Riesgo inaceptable — lo que está prohibido

Este es el nivel más alto de la pirámide, y también el más sencillo de entender: son los usos de IA que Europa considera una amenaza tan clara para la seguridad, los derechos y la dignidad de las personas, que decidió prohibirlos por completo. No hay forma de “cumplir” con este nivel; simplemente no se puede hacer.

Están vigentes desde el 2 de febrero de 2025 y la ley identifica ocho prácticas prohibidas:

  1. Manipulación subliminal o engañosa: sistemas que influyen en el comportamiento de una persona por debajo de su nivel de conciencia, o que la engañan deliberadamente, causándole un daño significativo. Por ejemplo, un videojuego con patrones visuales o sonoros ocultos diseñados para empujar a un niño a gastar dinero sin que se dé cuenta.
  2. Explotación de vulnerabilidades: IA que se aprovecha de la edad, una discapacidad o una situación social o económica difícil de alguien para distorsionar su comportamiento y perjudicarlo.
  3. Puntuación social (social scoring): sistemas que evalúan o clasifican a las personas según su comportamiento social, generando un trato injusto o desproporcionado en contextos distintos a los que generaron esos datos.
  4. Predicción de delitos basada en perfiles: IA que intenta calcular si una persona va a cometer un delito basándose únicamente en su perfil o características personales, sin hechos objetivos.
  5. Bases de datos faciales masivas: crear o ampliar bases de datos de reconocimiento facial recolectando imágenes de internet o de cámaras de seguridad sin el consentimiento de las personas.
  6. Reconocimiento de emociones en el trabajo o en la escuela: detectar el estado emocional de empleados o estudiantes con IA, salvo excepciones estrictas de seguridad (como detectar que un conductor se está quedando dormido).
  7. Categorización biométrica sensible: usar datos biométricos (como el rostro o las huellas) para deducir características protegidas de una persona, como su origen étnico, su religión o su orientación sexual.
  8. Identificación biométrica remota “en tiempo real” en espacios públicos con fines policiales, como el reconocimiento facial en la calle. Está prohibida salvo excepciones muy limitadas y con autorización judicial (por ejemplo, para buscar víctimas de secuestro o prevenir un atentado terrorista).

¿Qué pasa si alguien lo hace de todas formas? Las multas son las más altas de toda la ley: hasta 35 millones de euros o el 7% de la facturación global anual de la empresa, lo que sea mayor.


🟠 Nivel 2: Riesgo alto — permitido, pero bajo control estricto

Este es el nivel donde se concentra la mayor parte del texto de la ley, porque agrupa los sistemas de IA que sí se pueden usar, pero que pueden afectar seriamente la salud, la seguridad o los derechos fundamentales de las personas si algo sale mal.

Un sistema se considera de alto riesgo básicamente por dos caminos:

Si tu sistema de IA cae en una de estas categorías, no importa cómo lo llame el proveedor comercialmente: la ley lo trata como alto riesgo. Por ejemplo, una herramienta de análisis de recursos humanos que clasifica candidatos a un empleo es de alto riesgo, así el fabricante la llame simplemente “asistente de productividad”.

¿Qué se le exige a un sistema de alto riesgo? Antes de poder venderse o usarse en la UE, debe cumplir con una lista larga de obligaciones:

Además, en ciertos casos (como créditos, seguros o servicios públicos) quien vaya a usar el sistema debe hacer antes una Evaluación de Impacto en los Derechos Fundamentales, para anticipar cómo podría afectar a las personas.

Tras la reforma de mayo de 2026, las obligaciones más exigentes de este nivel empiezan a regir el 2 de diciembre de 2027 (o el 2 de agosto de 2028 para sistemas integrados en productos ya regulados).

Multas por incumplir estas obligaciones: hasta 15 millones de euros o el 3% de la facturación global anual.


🟡 Nivel 3: Riesgo limitado — la regla es “avisa que eres una IA”

Este nivel es mucho más liviano que el anterior. Aquí no se trata de prohibir ni de exigir certificaciones complejas, sino de garantizar algo mucho más simple: que las personas sepan cuándo están interactuando con una máquina o con un contenido creado por IA.

Entran en este nivel, entre otros:

Estas obligaciones de transparencia empiezan a aplicar en agosto de 2026 (con un pequeño margen extra hasta diciembre de 2026 para los sistemas que ya estaban en uso antes de esa fecha).

Lo importante de este nivel: no exige aprobación previa ni registro en una base de datos europea, como sí pasa con el riesgo alto. El foco está solo en la transparencia. Un chatbot de atención al cliente, por ejemplo, es riesgo limitado: puede operar libremente, pero tiene que decir que es un chatbot.


🟢 Nivel 4: Riesgo mínimo o nulo — la gran mayoría de la IA que usamos

Este es el nivel más bajo, y también el más amplio: aquí cae la inmensa mayoría de los sistemas de inteligencia artificial que existen hoy en el mercado europeo. Son sistemas que no representan una amenaza significativa para la seguridad ni los derechos de las personas.

Ejemplos típicos:

¿Qué obligaciones tienen? Ninguna obligación legal específica. La ley no les exige documentación, registro ni evaluaciones. Eso sí, la Comisión Europea invita a las empresas a adoptar de forma voluntaria códigos de conducta y buenas prácticas —como supervisión humana o no discriminación— aunque no estén obligadas por ley a hacerlo.

Una advertencia importante: la clasificación de un sistema no es fija para siempre. Si una empresa cambia el propósito de una herramienta —por ejemplo, toma un sistema de recomendación de “riesgo mínimo” y lo empieza a usar para filtrar candidatos a un empleo— ese sistema puede pasar a ser de alto riesgo automáticamente. Por eso Europa recomienda que todas las organizaciones, sin importar el nivel de riesgo, mantengan algo de gobernanza interna sobre el uso de IA.


Un quinto grupo que no encaja en la pirámide: los modelos grandes de IA (GPAI)

Además de los cuatro niveles, la ley trata de forma especial a los llamados modelos de IA de propósito general (General Purpose AI o GPAI), como los que están detrás de herramientas como ChatGPT, Gemini o Claude. No encajan perfectamente en la pirámide de riesgo porque no son un solo “uso” de IA, sino una base sobre la que se construyen muchos otros sistemas.


En resumen: la pirámide completa

Nivel¿Qué es?¿Qué se exige?Ejemplo
🔴 InaceptableProhibido por completoNada: no se puede usarPuntuación social de ciudadanos
🟠 AltoPermitido con control estrictoEvaluación de conformidad, documentación, supervisión humanaSoftware que filtra candidatos a un empleo
🟡 LimitadoPermitido con transparenciaAvisar que es IAChatbot de atención al cliente
🟢 MínimoLibreNinguna obligación legalVideojuego con IA, filtro de spam

Entender en qué nivel cae cada sistema de IA que una empresa usa o desarrolla es, según la propia Comisión Europea, el primer paso para saber qué le exige realmente la ley: de esa clasificación depende todo lo demás, desde el presupuesto de cumplimiento hasta el riesgo de una multa millonaria.


Fuente: Comisión Europea, “AI Act” — Shaping Europe’s Digital Future (digital-strategy.ec.europa.eu) y “High-level summary of the AI Act” (artificialintelligenceact.eu), consultado en julio de 2026.

← Risk Levels of Europe's AI Law New Deadlines in the EU AI Act →