Guía para clasificar sistemas de IA sin convertir el AI Act en un proyecto legal interminable ni ignorar obligaciones reales.

📌 En resumen
El AI Act clasifica los sistemas de IA en cuatro niveles de riesgo: inaceptable (prohibido), alto (obligaciones estrictas), limitado (deber de transparencia) y mínimo (sin obligaciones específicas). Evaluar el riesgo de tu pyme consiste en revisar cada sistema de IA que usas y situarlo en uno de esos niveles según su finalidad, porque las obligaciones cambian radicalmente. La mayoría de usos en pymes son de riesgo limitado o mínimo, pero conviene confirmarlo, no asumirlo.
El AI Act no trata igual a todos los sistemas de IA: el nivel de obligaciones depende del riesgo. Por eso, antes de preocuparte por documentación o auditorías, hay que clasificar cada sistema. Para ello necesitas primero el inventario de sistemas de IA; sobre él se evalúa el riesgo.
| Nivel | Qué incluye | Obligación principal |
|---|---|---|
| Inaceptable (prohibido) | Manipulación, social scoring y usos vetados | No se pueden usar |
| Alto riesgo | RRHH/selección, crédito, biometría, infraestructuras críticas | Requisitos estrictos (gestión de riesgo, datos, supervisión) |
| Limitado | Chatbots, contenido generado por IA, deepfakes | Transparencia: informar al usuario |
| Mínimo | La mayoría de usos (filtros, recomendaciones simples) | Sin obligaciones específicas |
La mayoría de usos habituales en pymes (un chatbot de atención, un copilot interno, recomendaciones, automatizaciones) caen en riesgo limitado o mínimo. El alto riesgo aparece sobre todo cuando la IA decide sobre personas en ámbitos sensibles: selección de personal, concesión de crédito o biometría. Conviene confirmarlo caso por caso, porque las obligaciones del AI Act para pymes dependen de esa clasificación.
No evaluar no exime: si usas un sistema de alto riesgo como si fuera mínimo, incumples igual. Y el AI Act prevé sanciones relevantes, sobre todo para los usos prohibidos y de alto riesgo. Por eso la evaluación de riesgo, aunque la mayoría de tus sistemas resulten de bajo riesgo, es la forma de demostrar diligencia. Lo detallamos en sanciones del AI Act.
Siguiente paso recomendado
Catálogo, linaje, responsables y reglas de calidad para datos fiables.
Sin compromiso · Respuesta en < 24h
Autor
Fundador y Consultor de Datos e IA
David Aldomar es fundador y consultor principal de MERIDIAN Data & IA, consultora especializada en ayudar a pymes y empresas medianas en España a tomar mejores decisiones con sus datos. Su trabajo se centra en cuatro áreas: diseño e implantación de plataformas de datos (data warehouses, pipelines ETL con dbt, integración de ERPs y CRMs), reporting y dashboards ejecutivos en Power BI, automatización de procesos de negocio con herramientas como n8n, y desarrollo de soluciones de inteligencia artificial aplicada — desde modelos de forecasting de demanda hasta copilots internos basados en RAG con LangChain y FastAPI. Ha liderado proyectos en sectores como logística y transporte, retail y distribución, servicios financieros, manufacturing y construcción, siempre con un enfoque pragmático: diagnóstico corto, entregables concretos y transferencia de conocimiento al equipo del cliente para que sea autónomo desde el primer día. Antes de fundar MERIDIAN, acumuló experiencia en consultoría de datos y transformación digital trabajando con stacks variados — desde entornos Microsoft (SQL Server, Power BI, Azure) hasta ecosistemas open source (Python, dbt, BigQuery). Su filosofía es que un buen proyecto de datos no se mide por la tecnología que usa, sino por las decisiones de negocio que permite tomar. Escribe regularmente en el blog de MERIDIAN sobre reporting, gobierno del dato, automatización e IA aplicada, con guías prácticas orientadas a responsables de negocio y equipos técnicos de empresas que quieren sacar partido real a sus datos sin depender de grandes consultoras.
Fuentes
Seguir leyendo
8 min lectura
10 min lectura
7 min lectura
7 min lectura
13 min lectura
Última revisión: