IA de alto riesgo en biometría: qué exige el AI Act
Los sistemas biométricos están entre los usos de IA que más atención reciben en el Reglamento (UE) 2024/1689. La razón es su impacto directo sobre los derechos fundamentales. Ahora bien, el AI Act no los trata a todos igual: algunos usos están prohibidos, otros son de alto riesgo —permitidos, pero sujetos a un régimen estricto— y otros apenas plantean problemas. Distinguir en cuál se encuentra su sistema es el primer paso.
Esta guía se centra en la biometría de alto riesgo del Anexo III, punto 1. Los usos vetados se abordan por separado (véanse los análisis sobre categorización biométrica e identificación biométrica remota prohibidas).
Qué biometría es de alto riesgo según el Anexo III
El Anexo III, punto 1, clasifica como de alto riesgo tres familias de sistemas biométricos, en la medida en que su uso esté permitido por el Derecho de la Unión o nacional:
- Identificación biométrica remota. Sistemas destinados a identificar a personas a distancia. Queda excluida expresamente la verificación biométrica cuya única finalidad es confirmar que una persona es quien dice ser (por ejemplo, desbloquear un dispositivo o confirmar una identidad para acceder a un servicio).
- Categorización biométrica según atributos o características sensibles o protegidas, inferidos a partir de datos biométricos.
- Reconocimiento de emociones.
La distinción entre identificación (uno-contra-muchos) y verificación (uno-contra-uno) es decisiva: la segunda, por sí sola, no entra en esta categoría de alto riesgo.
Conviene precisar cada familia. La identificación biométrica remota compara los datos de una persona contra una base para averiguar de quién se trata, a distancia y sin su participación activa; puede ser en tiempo real o en diferido (a posteriori). La categorización biométrica infiere atributos —por ejemplo, para agrupar o segmentar personas— a partir de rasgos biométricos; cuando esa inferencia recae sobre atributos sensibles en determinados contextos, cruza la línea de lo prohibido. Y el reconocimiento de emociones deduce estados afectivos; su uso en el trabajo y la educación está, además, expresamente prohibido por el artículo 5, de modo que solo queda espacio de alto riesgo para otros contextos permitidos.
Alto riesgo no es lo mismo que prohibido
Es habitual confundir ambos planos. El artículo 5 prohíbe ciertos usos biométricos —como la categorización biométrica por atributos sensibles en determinados contextos o la identificación biométrica remota en tiempo real en espacios públicos con fines policiales, salvo excepciones tasadas—. Lo que el Anexo III regula como alto riesgo son los usos permitidos que, por su sensibilidad, deben cumplir el régimen completo del Reglamento. En la práctica: si su uso no está prohibido por el artículo 5, pero cae en el punto 1 del Anexo III, es un sistema de alto riesgo.
Qué obligaciones implica
Un sistema biométrico de alto riesgo debe cumplir los requisitos de la Sección 2 del Capítulo III: un sistema de gestión de riesgos continuo (artículo 9), gobernanza y calidad de los datos (artículo 10), documentación técnica conforme al Anexo IV (artículo 11), registros que garanticen la trazabilidad (artículo 12), transparencia hacia el responsable del despliegue (artículo 13), supervisión humana efectiva (artículo 14) y niveles adecuados de precisión, robustez y ciberseguridad (artículo 15). Antes de comercializarlo, deberá superar la evaluación de conformidad; en biometría, cuando no se han aplicado las normas armonizadas, esa evaluación exige la intervención de un organismo notificado (véase el análisis sobre evaluación de conformidad). Además, el sistema debe registrarse en la base de datos de la UE antes de su puesta en servicio (artículo 49) y quedar sujeto a vigilancia poscomercialización (artículo 72), de modo que la conformidad se mantiene y se supervisa a lo largo de su vida útil.
Transparencia adicional
Más allá del régimen de alto riesgo, el artículo 50 impone una obligación de transparencia específica: quien despliegue un sistema de reconocimiento de emociones o de categorización biométrica debe informar a las personas expuestas a él. Es un deber que se suma —no sustituye— a las obligaciones del Anexo III, y que amplía el círculo de empresas afectadas.
Relación con el RGPD
La biometría es, además, terreno del RGPD. Los datos biométricos usados para identificar de manera unívoca a una persona son categorías especiales de datos (artículo 9 del RGPD), con una protección reforzada. El AI Act se superpone a esa protección: un mismo sistema biométrico debe cumplir simultáneamente el Reglamento de IA y la normativa de protección de datos, y una misma actuación puede ser supervisada por autoridades distintas. Abordar ambos marcos de forma coordinada evita duplicar trabajo y descubrir tarde una obligación cruzada.
Un guiño según su empresa
Para una pyme, la primera pregunta es si su caso es verificación (fuera de esta categoría) o identificación/categorización/emociones (dentro). Para una mediana empresa, el reto es sistematizar la gobernanza de datos y la documentación que soportan estos sistemas. Para una gran empresa que despliega biometría a escala, se trata de sostener la precisión, la supervisión humana y la trazabilidad en producción, y documentarlo de forma auditable.
Demostrar el cumplimiento, no estimarlo
En biometría, donde el margen de error tiene consecuencias directas sobre las personas, acreditar la conformidad es especialmente delicado. Las pruebas por muestreo ofrecen una estimación; el Reglamento pide demostración. La metodología de verificación propia de Deflank convierte los requisitos aplicables en una prueba demostrable y auditable, en lugar de una estimación probabilística. La prueba, no la estimación.
¿Opera sistemas biométricos y necesita clasificarlos frente al AI Act? Descargue el checklist de conformidad o solicite un diagnóstico preliminar.
Enlaces internos: [pilar: obligaciones del AI Act] · [categorización biométrica prohibida] · [identificación biométrica remota prohibida] · [evaluación de conformidad] · [supervisión humana].
Contenido informativo; no es asesoramiento jurídico. Fuente: Reglamento (UE) 2024/1689, Anexo III(1) y artículos 5 y 9-15.
Preguntas frecuentes
¿La verificación biométrica (uno-contra-uno) es de alto riesgo?
No por sí sola. El Anexo III excluye expresamente la verificación cuya única finalidad es confirmar que una persona es quien dice ser.
¿Qué diferencia hay entre biometría prohibida y de alto riesgo?
La prohibida (artículo 5) no puede usarse en la UE salvo excepciones tasadas. La de alto riesgo (Anexo III.1) sí está permitida, pero debe cumplir todos los requisitos del Reglamento.
¿Necesito un organismo notificado?
En biometría, si no se han aplicado las normas armonizadas, la evaluación de conformidad debe realizarse con la intervención de un organismo notificado (Anexo VII).