Descripción de la imagen: Un documento impreso del EU AI Act con una superposición transparente del árbol de accesibilidad ARIA y una pluma estilográfica encima — la señal visual de la intersección entre el EU AI Act y la legislación sobre discapacidad.
Tiempo de lectura: 12 minutos
El Reglamento (UE) 2024/1689, comúnmente denominado el EU AI Act, se publicó en el Diario Oficial el 12 de julio de 2024, entró en vigor el 1 de agosto de 2024 y alcanzó su principal fecha de aplicabilidad — cuando las obligaciones de alto riesgo y de IA de uso general vinculan a los proveedores y operadores en todo el Mercado Único — el 2 de agosto de 2026. Es la primera ley horizontal integral sobre IA en cualquier jurisdicción importante, y se sitúa por encima, sin sustituirlo, del marco normativo existente en materia de derechos de las personas con discapacidad: el European Accessibility Act (Acta Europea de Accesibilidad), la Directiva sobre la accesibilidad de los sitios web, la Directiva 2000/78/CE sobre igualdad en el empleo y la ratificación por la UE de la Convención de la ONU sobre los Derechos de las Personas con Discapacidad (CRPD).
Dos artículos realizan la mayor parte del trabajo en el punto en que el EU AI Act y la legislación sobre discapacidad colisionan. El artículo 16 establece las obligaciones de los proveedores de modelos de IA de uso general — la capa de modelos de base que impulsa la mayoría de los productos de IA orientados al consumidor en 2026. El artículo 73, leído junto con los artículos 8 a 15 y el Anexo III, establece los requisitos que vinculan a los proveedores y operadores de sistemas de IA de alto riesgo. Este artículo es una guía sobre cómo esos dos artículos se intersectan con la legislación sobre discapacidad en tres contextos concretos: la IA en el empleo (herramientas de cribado de CV, puntuación automatizada de entrevistas en vídeo), la IA en la educación (supervisión en línea de exámenes, herramientas de accesibilidad, modelos de predicción de riesgo del alumnado) y la IA en los servicios esenciales (puntuación de crédito al consumo, triaje sanitario, decisiones de elegibilidad para prestaciones públicas). También cubre la capa superpuesta de la CRPD que añaden los compromisos institucionales de la UE, y los deberes documentales — documentación técnica del Anexo IV, supervisión poscomercialización, evaluaciones de impacto sobre los derechos fundamentales — que ahora se espera que produzcan los proveedores.
Qué es el EU AI Act — y cómo se estructura
El EU AI Act es un reglamento, no una directiva: se aplica directamente en todos los Estados miembros sin transposición nacional, y las obligaciones que impone a los proveedores y operadores son uniformes en los 27 mercados nacionales de la UE más el EEE. Su elección arquitectónica central es un marco de niveles de riesgo con cuatro niveles — prácticas prohibidas (artículo 5), sistemas de IA de alto riesgo (artículos 6 a 27 y Anexo III), obligaciones de transparencia de riesgo limitado (artículo 50) y usos de riesgo mínimo no regulados. Superpuesto a los niveles de riesgo, un régimen separado — artículos 51 a 56 — rige los modelos de IA de uso general, con obligaciones más estrictas activadas cuando un modelo supera el umbral de riesgo sistémico establecido en el artículo 51(2).
El calendario de aplicabilidad escalonada importa porque los proveedores que leen esto en 2026 no se enfrentan a un único plazo. Las prohibiciones del artículo 5 sobre prácticas de riesgo inaceptable — puntuación social por parte de autoridades públicas, identificación biométrica remota en tiempo real en espacios públicos salvo para usos de aplicación de la ley estrictamente definidos, reconocimiento emocional en entornos laborales y educativos — se hicieron aplicables el 2 de febrero de 2025, seis meses después de la entrada en vigor. Las obligaciones de IA de uso general de los artículos 51 a 56 se hicieron aplicables el 2 de agosto de 2025. El régimen completo de alto riesgo, incluidos los deberes de supervisión poscomercialización del artículo 73, entró en vigor el 2 de agosto de 2026, con una prórroga adicional hasta el 2 de agosto de 2027 para el subconjunto de sistemas de alto riesgo que también son componentes de seguridad de productos ya regulados en virtud de la legislación sectorial de seguridad de productos de la UE (Anexo I — dispositivos médicos, maquinaria, juguetes, vehículos).
La aplicación de la ley está dividida. Las autoridades nacionales de vigilancia del mercado — designadas por cada Estado miembro y enumeradas en un registro público mantenido por la Oficina de IA — se encargan de la aplicación de la IA de alto riesgo sobre el terreno. La Oficina de IA, establecida dentro de la DG CNECT de la Comisión Europea, tiene competencia exclusiva para la aplicación de la IA de uso general en virtud del artículo 88. Las multas administrativas máximas ascienden a 35 millones de euros o el 7 % del volumen de negocio anual mundial por incumplimiento de las prohibiciones del artículo 5, 15 millones de euros o el 3 % por incumplimiento de la mayoría de las demás obligaciones de los operadores, incluidos los deberes de los artículos 16 y 73 tratados en esta guía, y 7,5 millones de euros o el 1 % por suministrar información incorrecta o engañosa a las autoridades.
Artículo 16 — qué deben hacer los proveedores de IA de uso general
El artículo 16 es la disposición operativa para la capa de modelos de base. Se aplica a los proveedores de modelos de IA de uso general — definidos en el artículo 3(63) como modelos de IA entrenados con una gran cantidad de datos mediante autosupervisión a escala, que muestran una generalidad significativa y son capaces de realizar de forma competente una amplia gama de tareas distintas. Los grandes modelos de lenguaje que impulsan los chatbots, los modelos multimodales de imagen y texto utilizados en el análisis de documentos, los modelos de voz que mediatizan cada vez más la tecnología de apoyo: todos son modelos de IA de uso general a los efectos del EU AI Act, y sus proveedores asumen el conjunto de obligaciones del artículo 16.
Los deberes del artículo 16 se dividen en tres bloques. En primer lugar, documentación técnica: los proveedores deben elaborar y mantener actualizado un expediente técnico que cubra el entrenamiento, las pruebas y la evaluación del modelo, incluidas las fuentes de datos de entrenamiento a alto nivel, el consumo energético del entrenamiento, los puntos de referencia de evaluación utilizados y las limitaciones conocidas. El Anexo XI especifica el contenido mínimo. En segundo lugar, divulgaciones de información a los operadores posteriores: los proveedores deben poner a disposición de las empresas que integran el modelo en sus propios sistemas información suficiente sobre las capacidades, limitaciones, uso previsto y riesgos conocidos del modelo para que el operador posterior pueda cumplir sus propias obligaciones en virtud del EU AI Act. En tercer lugar, derechos de autor y procedencia del contenido: los proveedores deben establecer una política para cumplir con el derecho de autor de la UE, incluida la exclusión voluntaria de minería de texto y datos del artículo 4(3) con arreglo a la Directiva (UE) 2019/790, y publicar un resumen suficientemente detallado del corpus de datos de entrenamiento.
El ángulo de la discapacidad en el artículo 16 es doble. En primer lugar, la divulgación de limitaciones exigida en virtud de la Sección 1(2)(c) del Anexo XI cubre explícitamente los sesgos conocidos y las brechas de rendimiento injustas — y las brechas de rendimiento relevantes para la accesibilidad se encuentran de lleno dentro de ese requisito. Un modelo de reconocimiento de voz que funciona peor de manera medible con el habla disártrica, un modelo de subtitulación de imágenes que identifica erróneamente a usuarios de sillas de ruedas o dispositivos de movilidad, un modelo de lengua de signos que falla con variantes regionales: cada uno de estos es una limitación conocida que el proveedor debe comunicar a los operadores posteriores. En segundo lugar, los proveedores de modelos que superan el umbral de riesgo sistémico del artículo 51(2) (actualmente establecido en un cómputo de entrenamiento que supera los 10^25 FLOPs) asumen los deberes adicionales del artículo 55 de pruebas adversariales, notificación de incidentes, salvaguardas de ciberseguridad y evaluación de modelos frente a categorías de riesgo sistémico — incluidos los impactos sobre los derechos fundamentales, que el reglamento referencia explícitamente de vuelta a la Carta de Derechos Fundamentales y a la CRPD.
Artículo 73 — sistemas de IA de alto riesgo y el régimen poscomercialización
El artículo 73 se sitúa dentro de la Sección 3 del Capítulo III, la sección que rige los sistemas de IA de alto riesgo ya comercializados. Exige que los proveedores de IA de alto riesgo establezcan un sistema de supervisión poscomercialización, proporcionado a la naturaleza del sistema y los riesgos que presenta, que recoja, documente y analice de forma activa y sistemática los datos sobre el rendimiento del sistema de IA a lo largo de su vida útil. La supervisión debe evaluar de forma continua el cumplimiento de los requisitos establecidos en los artículos 8 a 15, con documentación que debe mantenerse disponible durante al menos diez años.
El artículo 73 debe leerse en conjunción con los requisitos sustantivos de los artículos 8 a 15, ya que la supervisión poscomercialización es el mecanismo mediante el cual se demuestra el cumplimiento de esos requisitos a lo largo del tiempo. El artículo 9 exige un sistema de gestión de riesgos. El artículo 10 rige los datos y la gobernanza de datos — exigiendo específicamente que los conjuntos de datos de entrenamiento, validación y prueba sean pertinentes, suficientemente representativos, libres de errores y completos en función del propósito previsto, con atención explícita al «entorno geográfico, contextual, conductual o funcional específico» en que se utilizará el sistema. El artículo 11 y el Anexo IV exigen documentación técnica; el artículo 12 exige el registro automático de eventos; el artículo 13 exige transparencia e información para los operadores; el artículo 14 exige medidas de supervisión humana incorporadas al diseño del sistema; el artículo 15 exige exactitud, robustez y ciberseguridad proporcionales al propósito previsto. El artículo 26 añade luego obligaciones al lado del operador — la entidad que efectivamente pone el sistema en uso.
Lo que hace a un sistema «de alto riesgo» se establece en el artículo 6 y el Anexo III. La lista del Anexo III nombra ocho categorías de casos de uso — biometría; infraestructura crítica; educación y formación profesional; empleo y gestión de trabajadores; acceso a servicios privados y públicos esenciales; aplicación de la ley; migración, asilo y control de fronteras; administración de justicia y procesos democráticos — y dentro de cada categoría enumera los casos de uso específicos que activan la clasificación de alto riesgo. La lista del Anexo III no es exhaustiva en concepto, pero sí vinculante en derecho: un sistema de IA utilizado para uno de los propósitos enumerados es de alto riesgo por operación del reglamento, con independencia de cómo lo comercialice el proveedor.
Dónde los artículos 16 y 73 se intersectan con la legislación sobre discapacidad
Tres puntos de intersección dominan el panorama práctico del cumplimiento en 2026: la IA en el empleo, la IA en la educación y la IA en los servicios esenciales. Cada uno se sitúa dentro de una categoría de alto riesgo del Anexo III, y cada uno conlleva una obligación directa en virtud de la legislación vigente de la UE sobre no discriminación por razón de discapacidad que el EU AI Act operacionaliza ahora.
Empleo — cribado de CV, puntuación de entrevistas en vídeo, monitorización de la productividad
El Anexo III, Sección 4 captura los sistemas de IA utilizados para la contratación, la selección, la asignación de tareas, la evaluación del rendimiento y las decisiones de despido. Las herramientas de cribado de CV que clasifican a los candidatos según las descripciones de los puestos, las plataformas automatizadas de entrevistas en vídeo que puntúan las respuestas de los candidatos en función de las expresiones faciales, los patrones de habla y las palabras elegidas, las herramientas de monitorización de la productividad que señalan a los trabajadores para la intervención directiva basándose en datos de pulsaciones o tiempo de pantalla: todas ellas son de alto riesgo en virtud de la Sección 4 del Anexo III. El deber de gestión de riesgos del artículo 9 y el deber de gobernanza de datos del artículo 10 exigen a los proveedores que identifiquen y mitiguen los riesgos de impacto dispar en la fase de entrenamiento del modelo. La Directiva 2000/78/CE sobre igualdad en el empleo, en vigor desde 2003, ya prohíbe la discriminación directa e indirecta por razón de discapacidad en la contratación y el empleo; el EU AI Act exige ahora que la maquinaria técnica que sustenta esa prohibición sea auditable a través del expediente técnico del Anexo IV y de la supervisión poscomercialización del artículo 73.
El deber de mitigación del sesgo es explícito. El artículo 10(2)(g) exige a los proveedores que examinen las opciones de diseño de los datos de entrenamiento en busca de «posibles sesgos que puedan afectar a la salud y la seguridad de las personas, tener un impacto negativo en los derechos fundamentales o dar lugar a una discriminación prohibida por el derecho de la Unión». Una vez identificado un impacto dispar relacionado con la discapacidad — un modelo de entrevista en vídeo que penaliza sistemáticamente a los candidatos con trastornos del habla, un modelo de análisis de recursos humanos que clasifica erróneamente los patrones de trabajo de los empleados con discapacidades cognitivas o enfermedades crónicas — el artículo 10(2)(h) exige «medidas apropiadas para detectar, prevenir y mitigar» dicho impacto. El trabajo de mitigación debe documentarse en el expediente del Anexo IV y evaluarse continuamente a través del sistema de supervisión poscomercialización del artículo 73.
Educación — supervisión de exámenes, herramientas de accesibilidad, predicción de riesgo
El Anexo III, Sección 3 cubre la IA utilizada para determinar el acceso a la educación, evaluar los resultados del aprendizaje, evaluar el nivel educativo adecuado y supervisar a los estudiantes durante los exámenes. Los sistemas de supervisión en línea que señalan el comportamiento durante los exámenes están explícitamente mencionados en los considerandos. La intersección con la legislación sobre discapacidad es aguda aquí: un modelo de supervisión entrenado con el comportamiento de referencia neurotípico señalará sistemáticamente a los estudiantes con TDAH, trastornos de tics o ansiedad — y menos del quince por ciento de los estudiantes de educación superior con discapacidades documentadas (Eurostat 2024) soporta el impacto dispar. La prohibición del artículo 5(1)(f) sobre el reconocimiento emocional en entornos educativos ya excluye del mercado legal una categoría de modelos en su totalidad; lo que queda es la capa más amplia de supervisión y predicción de riesgo que opera bajo el Anexo III, Sección 3 como de alto riesgo.
Las herramientas de accesibilidad se sitúan al otro lado de la misma frontera. Los subtítulos impulsados por IA, la conversión de voz a texto para conferencias, la generación de texto alternativo por IA y la remediación de documentos asistida por IA no son en sí mismos usos del Anexo III — son servicios de accesibilidad. Pero cuando una institución educativa los adquiere, los deberes de transparencia y divulgación de información del EU AI Act (artículo 13, artículo 50) se superponen al requisito preexistente de declaración de accesibilidad de la Directiva sobre la accesibilidad de los sitios web. Un centro educativo que despliega una herramienta de subtítulos de IA debe publicar qué puede y qué no puede hacer la herramienta, incluidas sus brechas de precisión conocidas para el habla con acento, los dialectos regionales y el contenido en lengua de signos.
Servicios esenciales — puntuación crediticia, triaje sanitario, elegibilidad para prestaciones
El Anexo III, Sección 5 cubre la IA utilizada para evaluar puntuaciones crediticias o la solvencia, para valorar el riesgo en los seguros de vida y salud, para evaluar la elegibilidad para prestaciones y servicios públicos esenciales, y para despachar o establecer prioridades en la respuesta a emergencias. Cada uno de estos ámbitos se intersecta con la legislación sobre discapacidad en un punto diferente. Los modelos de puntuación crediticia que utilizan la volatilidad de los ingresos o los patrones de gasto relacionados con la sanidad como variables pueden codificar un impacto dispar relacionado con la discapacidad; la IA de triaje sanitario que clasifica a los pacientes para el tratamiento puede reproducir el mismo sesgo ajustado por la calidad de vida que los defensores de los derechos de las personas con discapacidad han litigado durante dos décadas; la automatización de la elegibilidad para prestaciones en el contexto de la seguridad social — el fallo neerlandés sobre SyRI y los casos algorítmicos del PIP y el Universal Credit en el Reino Unido son el canon contemporáneo — se sitúa ahora de lleno en el Anexo III, Sección 5 cuando la utilizan organismos públicos de la UE.
El artículo 27 del EU AI Act añade un deber de evaluación de impacto sobre los derechos fundamentales en el lado del operador para los sistemas de alto riesgo del Anexo III utilizados por organismos públicos y determinados operadores privados. La evaluación de impacto cubre las categorías de personas físicas que probablemente se verán afectadas, los riesgos específicos de daño, las medidas de supervisión humana establecidas y las vías de subsanación para las personas afectadas. La discapacidad no se nombra en el artículo 27, pero la prohibición de discriminación del artículo 21 de la Carta de Derechos Fundamentales — a la que remite el artículo 27 — cubre explícitamente la discapacidad, y el artículo 26 de la Carta reconoce el derecho de las personas con discapacidad a su integración y participación. La evaluación de impacto es donde el impacto sobre la discapacidad debe evaluarse antes del despliegue, no como una auditoría retrospectiva.
La capa superpuesta de la CRPD
La Unión Europea es parte de la Convención de la ONU sobre los Derechos de las Personas con Discapacidad por derecho propio — el primer tratado internacional de derechos humanos al que la UE se ha adherido como organización de integración regional — y la CRPD vincula por tanto a las instituciones de la UE, incluida en su interpretación del EU AI Act. El artículo 9 de la CRPD obliga a las partes a garantizar el acceso de las personas con discapacidad a la información y las comunicaciones, incluidas las tecnologías de la información y las comunicaciones, en igualdad de condiciones con las demás. El artículo 5 las obliga a prohibir toda discriminación por motivos de discapacidad y a garantizar una protección jurídica igual y efectiva.
El considerando 56 del EU AI Act nombra explícitamente la CRPD como parte del anclaje del reglamento en los derechos fundamentales, y las orientaciones interpretativas de la Oficina de IA — publicadas a lo largo de 2025 y 2026 en forma de documentos de preguntas y respuestas y actos delegados de la Comisión — han citado repetidamente la CRPD en el contexto de las obligaciones de accesibilidad por diseño del artículo 16 del EU AI Act (accesibilidad de la información) y la dimensión del impacto sobre la discapacidad en las evaluaciones de impacto sobre los derechos fundamentales del artículo 27. La implicación práctica: cuando una autoridad de vigilancia del mercado audita un sistema de alto riesgo del Anexo III por su impacto dispar relacionado con la discapacidad, lo audita frente a los estándares de gobernanza de datos y gestión de riesgos del EU AI Act interpretados a la luz de los compromisos de no discriminación y accesibilidad de la CRPD. Un proveedor que argumente que su modelo funciona «bien en promedio» sin abordar el rendimiento en subgrupos relevantes para la discapacidad está argumentando en contra del propio marco interpretativo del reglamento.
Implicaciones prácticas para proveedores y operadores
Para los proveedores de sistemas de IA de alto riesgo y de modelos de IA de uso general, la arquitectura de cumplimiento en 2026 tiene cuatro componentes fundamentales. En primer lugar, el expediente de gobernanza de datos exigido por el artículo 10 — un registro estructurado de las fuentes de datos de entrenamiento, el análisis de representatividad, los sesgos identificados incluidos los relacionados con la discapacidad, y las medidas de mitigación aplicadas. En segundo lugar, la documentación técnica del Anexo IV — especificaciones de diseño, arquitectura del sistema, propósito previsto, limitaciones conocidas, instrucciones para el operador, métricas de rendimiento por subgrupos demográficos y de discapacidad donde existan los datos. En tercer lugar, el sistema de supervisión poscomercialización del artículo 73 — registro de incidentes, canales de reclamación, evaluación continua del rendimiento, revalidación periódica frente al plan de gestión de riesgos original. En cuarto lugar, donde proceda, la evaluación de impacto sobre los derechos fundamentales del artículo 27 para los operadores en el sector público y cuasipúblico.
Las señales tempranas de aplicación de los primeros nueve meses de plena aplicabilidad (a partir de agosto de 2026) son limitadas pero orientativamente claras. La Oficina de IA ha abierto solicitudes de información contra tres proveedores nombrados de modelos de IA de uso general por razones de transparencia y resumen del material de entrenamiento. Las autoridades nacionales de vigilancia del mercado de los Países Bajos, Alemania y Francia han publicado documentos de orientación temprana sobre el empleo como IA del Anexo III, Sección 4, y los tres mencionan explícitamente las pruebas de impacto dispar relacionado con la discapacidad como una expectativa de documentación. Aún no se ha emitido ninguna sanción administrativa definitiva en virtud del artículo 99 — la curva de aplicación del RGPD tardó aprox. 18 meses en producir sus primeras multas significativas, y el EU AI Act sigue una trayectoria comparable. La señal para los proveedores es que el régimen de documentación es el régimen: un proveedor que no puede presentar su expediente del Anexo IV, su trabajo de gobernanza de datos del artículo 10 y su supervisión poscomercialización del artículo 73 a petición se encuentra en el lado equivocado del reglamento, independientemente de si ya se ha emitido una multa.
Para la comunidad de derechos de las personas con discapacidad, el EU AI Act no sustituye las protecciones antidiscriminatorias de la Directiva 2000/78/CE, los requisitos de accesibilidad del European Accessibility Act ni los criterios de contratación pública de EN 301 549 — se sitúa por encima de ellos y les otorga una arquitectura de documentación y supervisión de la que carecían los instrumentos existentes. La próxima oleada de aplicación, esperada a lo largo de 2027 y 2028, será donde la interacción entre los deberes procedimentales del EU AI Act y la doctrina sustantiva existente sobre no discriminación por razón de discapacidad produzca la jurisprudencia que defina en la práctica qué significa realmente la mitigación del sesgo. Este artículo es el mapa del territorio; los casos trazarán las curvas de nivel.