La noción de riesgo es el punto desde el que el Reglamento de Inteligencia Artificial entiende y organiza toda su regulación. El AI Act no parte de la tecnología, ni del modelo, ni del nivel de sofisticación técnica. Parte de una pregunta mucho más simple. Qué puede salir mal cuando un sistema de IA se utiliza en un contexto concreto y a quién puede afectar.
Hablar de tipos de riesgos no significa clasificar algoritmos. Significa identificar los distintos tipos de impactos negativos que pueden producirse cuando un sistema de IA entra en funcionamiento en el mundo real.
El riesgo como eje central del AI Act
El AI Act utiliza el riesgo como criterio para decidir qué está permitido, qué está prohibido y qué requisitos se imponen. Cuanto mayor es el impacto potencial sobre las personas o la sociedad, más estrictas son las obligaciones.
Este enfoque evita una regulación genérica y permite tratar de forma distinta sistemas que, técnicamente, pueden ser muy similares pero que se usan en contextos completamente distintos.
Por eso, entender los tipos de riesgos es esencial para aplicar correctamente el reglamento.
Riesgos para los derechos fundamentales
Este es el tipo de riesgo más relevante para el AI Act.
Se refiere a situaciones en las que un sistema de IA puede afectar a derechos como la igualdad de trato, la no discriminación, la privacidad, la libertad de expresión o el acceso a servicios esenciales.
Ejemplos habituales son sistemas que influyen en decisiones de contratación, concesión de crédito, acceso a educación o evaluación de personas. El riesgo no está en que el sistema se equivoque de forma puntual, sino en que genere patrones sistemáticos de exclusión o trato injusto.
El reglamento presta especial atención a estos riesgos porque sus efectos pueden ser graves, difíciles de detectar y difíciles de revertir.
Riesgos derivados de la falta de fiabilidad del sistema
Otro tipo de riesgo clave es que el sistema no funcione de forma fiable y previsible.
Esto incluye errores recurrentes, comportamientos inesperados, degradación del rendimiento con el tiempo o fallos en condiciones distintas a las previstas durante el desarrollo.
En sistemas de IA, estos riesgos no siempre se manifiestan como un fallo técnico evidente. A veces el sistema sigue funcionando, pero toma decisiones incorrectas de forma silenciosa.
El AI Act exige que estos riesgos se identifiquen y gestionen porque pueden tener consecuencias relevantes incluso sin mala intención.
Riesgos asociados a los datos
Los datos son una de las principales fuentes de riesgo en sistemas de IA.
Riesgos de sesgo, falta de representatividad, errores en los datos de entrada o cambios en la calidad de los datos pueden afectar directamente al comportamiento del sistema.
El reglamento no exige datos perfectos, pero sí un control razonable sobre su origen, calidad y adecuación al uso previsto.
Muchos problemas atribuidos a la IA no tienen su origen en el modelo, sino en los datos con los que se entrena o se alimenta el sistema.
Riesgos derivados del contexto de uso
Un mismo sistema puede ser razonablemente seguro en un contexto y problemático en otro.
El riesgo aumenta cuando un sistema se utiliza fuera de su finalidad prevista, cuando se integra en procesos más amplios sin controles adecuados o cuando se delegan decisiones importantes sin supervisión humana.
El AI Act tiene en cuenta estos riesgos y exige que el sistema se utilice conforme a las condiciones para las que fue diseñado y evaluado.
Este punto es especialmente relevante para organizaciones que adquieren sistemas de IA de terceros.
Riesgos organizativos y de gobernanza
No todos los riesgos están en la tecnología.
La falta de formación de los usuarios, la ausencia de responsabilidades claras, procesos internos mal definidos o una supervisión deficiente pueden convertir un sistema técnicamente correcto en una fuente de problemas.
El reglamento reconoce estos riesgos y exige medidas organizativas para mitigarlos, especialmente en sistemas de alto riesgo.
La IA no falla sola. Falla dentro de organizaciones concretas.
Riesgos de uso indebido previsible
El AI Act introduce una idea importante. No basta con pensar en el uso ideal del sistema. Hay que tener en cuenta usos indebidos que sean razonablemente previsibles.
Esto incluye intentos de manipulación, usos fuera del contexto previsto o dependencia excesiva del sistema por parte de personas usuarias.
El objetivo no es anticipar cualquier abuso imaginable, sino aquellos que son plausibles en la práctica.
Errores habituales al entender los tipos de riesgos
Un error común es reducir el riesgo a métricas técnicas como precisión o tasa de error.
Otro error es pensar que los riesgos solo afectan a sistemas complejos o muy avanzados.
También es frecuente separar artificialmente riesgos técnicos y legales, cuando en la práctica están estrechamente conectados.
Relación de los tipos de riesgos con el resto del AI Act
Estos tipos de riesgos son la base sobre la que se construyen obligaciones como la gestión de riesgos, la supervisión humana, la gobernanza de datos, la transparencia y la vigilancia postcomercialización.
Identificarlos correctamente no es un ejercicio académico. Es el primer paso para decidir qué requisitos aplican y cómo debe diseñarse y utilizarse un sistema de inteligencia artificial conforme al Reglamento de IA.