5 Min. de lectura<\/p>\n
El 2 de agosto de 2026 sigue siendo la fecha l\u00edmite legalmente vinculante para las IA de alto riesgo del Anexo III seg\u00fan la Ley de IA de la UE. Ocho de los 27 Estados miembros han designado formalmente puntos de contacto nacionales, la Comisi\u00f3n Europea ha incumplido su plazo de orientaci\u00f3n de febrero, el Consejo vot\u00f3 el 13 de marzo de 2026<\/a> a favor de un aplazamiento hasta el 2 de diciembre de 2027 (independiente) y el 2 de agosto de 2028 (sistemas integrados en productos). Quien hoy opera una herramienta de selecci\u00f3n de recursos humanos o un modelo de puntuaci\u00f3n crediticia, planifica contra una fecha l\u00edmite incierta con plena obligaci\u00f3n de cumplimiento.<\/strong><\/p>\n \u00bfQu\u00e9 es un sistema del Anexo III seg\u00fan la Ley de IA de la UE?<\/strong> El Anexo III enumera ocho \u00e1reas en las que la IA se clasifica como de alto riesgo: identificaci\u00f3n biom\u00e9trica, infraestructura cr\u00edtica, educaci\u00f3n y formaci\u00f3n profesional, empleo y gesti\u00f3n de personal, acceso a servicios esenciales como puntuaci\u00f3n crediticia y prestaciones sociales, aplicaci\u00f3n de la ley, migraci\u00f3n y administraci\u00f3n de justicia. Los sistemas de alto riesgo del Anexo III deben cumplir con todas las obligaciones del reglamento, incluyendo gesti\u00f3n de riesgos, gobernanza de datos, documentaci\u00f3n t\u00e9cnica y evaluaci\u00f3n de conformidad con marcado CE.<\/p>\n El Consejo justific\u00f3 su posici\u00f3n el 13 de marzo de 2026: sin orientaci\u00f3n t\u00e9cnica oficial y sin estructuras nacionales de supervisi\u00f3n funcionales en la mayor\u00eda de los Estados miembros, la aplicaci\u00f3n de las obligaciones de alto riesgo a partir del 2 de agosto de 2026 impondr\u00eda una norma en el vac\u00edo. La Comisi\u00f3n Europea hab\u00eda incumplido su plazo de febrero para la orientaci\u00f3n.<\/p>\n Al 28 de abril: ocho Estados miembros han nombrado formalmente puntos de contacto nacionales para la IA. Diecinueve no lo han hecho. El nombramiento formal dice poco sobre la capacidad operativa de la supervisi\u00f3n del mercado; es, sin embargo, un requisito previo para los pasos siguientes. Las negociaciones del Trilogo sobre el Paquete Digital Omnibus est\u00e1n en curso, y se busca aprobar el texto final bajo la presidencia cipriota del Consejo en mayo de 2026.<\/p>\n Hasta que eso ocurra, el 2 de agosto de 2026 sigue siendo la fecha de aplicaci\u00f3n vigente. Alemania apuesta, seg\u00fan la Ley de Supervisi\u00f3n del Mercado de IA, por un modelo h\u00edbrido de supervisi\u00f3n: la Agencia Federal de Redes asume la coordinaci\u00f3n como autoridad central, complementada por autoridades sectoriales seg\u00fan el contexto del sistema. La BfDI es competente para sistemas de alto riesgo relacionados con protecci\u00f3n de datos, la BaFin para la IA financiera, y el BSI refuerza con enfoques en ciberseguridad y infraestructuras cr\u00edticas. Las competencias de supervisi\u00f3n del mercado incluyen multas, prohibiciones de operaci\u00f3n y \u00f3rdenes de retirada.<\/p>\n El Anexo III del Reglamento de la UE sobre IA<\/a> define ocho \u00e1mbitos de alto riesgo con relevancia concreta en la regi\u00f3n DACH: identificaci\u00f3n y categorizaci\u00f3n biom\u00e9trica, infraestructuras cr\u00edticas, educaci\u00f3n y formaci\u00f3n profesional (por ejemplo, evaluaci\u00f3n de ex\u00e1menes), empleo y gesti\u00f3n de recursos humanos (screening de RRHH, gesti\u00f3n del rendimiento), acceso a servicios esenciales (score crediticio, prestaciones sociales), persecuci\u00f3n penal, migraci\u00f3n y justicia.<\/p>\n En la pr\u00e1ctica de implementaci\u00f3n en la regi\u00f3n DACH, tres obligaciones suelen quedar fuera de la red. La gesti\u00f3n de riesgos seg\u00fan el art\u00edculo 9 suele existir como un documento de auditor\u00eda \u00fanico, no como un proceso continuo durante todo el ciclo de vida. La gobernanza de la calidad de los datos seg\u00fan el art\u00edculo 10 se formula como una pol\u00edtica, pero rara vez se verifica mediante m\u00e9tricas de representatividad, propiedades estad\u00edsticas y detecci\u00f3n de sesgos. El monitoreo posterior al mercado seg\u00fan el art\u00edculo 72 no est\u00e1 establecido en la mayor\u00eda de las implementaciones.<\/p>\n Esa es la esencia de la brecha operativa. La brecha regulatoria en el aparato de supervisi\u00f3n europeo podr\u00eda retrasar la fecha l\u00edmite hasta 16 meses. Pero la brecha operativa dentro de las empresas no desaparece por ello.<\/p>\n \nLa aplicaci\u00f3n de las obligaciones de alto riesgo sin orientaci\u00f3n oficial y sin infraestructura de supervisi\u00f3n en la mayor\u00eda de los Estados miembros impondr\u00eda una norma en el vac\u00edo. Las obligaciones pueden resumirse en una lista m\u00ednima de artefactos que deben estar disponibles antes del 2 de agosto de 2026. Solo entonces ser\u00e1n aplicables de manera coherente las normas y orientaciones armonizadas.<\/p>\n Tres obligaciones operativas impactan directamente en el \u00e1mbito del CISO y la conformidad. En primer lugar: el sistema de gesti\u00f3n de riesgos conforme al art\u00edculo 9 debe documentarse como un proceso continuo, no como una instant\u00e1nea de auditor\u00eda. Identificaci\u00f3n, evaluaci\u00f3n y medidas contra riesgos para la salud, la seguridad y los derechos fundamentales a lo largo de todo el ciclo de vida.<\/p>\n En segundo lugar: la gobernanza de la calidad de datos conforme al art\u00edculo 10. Los datos de entrenamiento, validaci\u00f3n y prueba deben ser relevantes, suficientemente representativos y libres de errores en la medida de lo posible. Deben demostrarse las propiedades estad\u00edsticas de los conjuntos de datos respecto a los grupos de personas afectados.<\/p>\n En tercer lugar: el monitoreo post-mercado conforme al art\u00edculo 72. Los proveedores deben establecer un sistema documentado de monitoreo para el per\u00edodo posterior a la puesta en el mercado, incluyendo registro, reporte de incidentes y medidas correctivas.<\/p>\nLo m\u00e1s importante en resumen<\/h2>\n
\n
La fricci\u00f3n no reside principalmente en las empresas<\/h2>\n
Qu\u00e9 significa el Anexo III y d\u00f3nde realmente se abre la brecha operativa<\/h2>\n
\n– Posici\u00f3n del Consejo de la Uni\u00f3n Europea, 13.03.2026 (resumen sustancial, fuente: consilium.europa.eu<\/a>)<\/cite>\n<\/p><\/blockquote>\nLo que necesitan los equipos de seguridad y cumplimiento en los pr\u00f3ximos 90 d\u00edas<\/h2>\n
\n