lexlon
← Blog

IA de riesgo limitado y mínimo: qué son, ejemplos y obligaciones para empresas

El Reglamento Europeo de IA clasifica ChatGPT, los chatbots y la mayoría de herramientas que usa tu empresa como riesgo limitado o mínimo. Descubre qué entra en cada categoría, qué ejemplos concretos hay y qué obligaciones generan en tu empresa en 2026.

·10 min lectura
Niveles de riesgo IA Reglamento Europeo 2024 limitado mínimo ejemplos obligaciones pymes España

Por el equipo de Lexlon · Junio 2026 · 8 min de lectura

La mayoría de las herramientas de IA que usa tu empresa son de riesgo limitado o mínimo. Eso no significa que no tengas obligaciones.

El Reglamento (UE) 2024/1689 de Inteligencia Artificial clasifica todos los sistemas de IA en cuatro niveles según el riesgo que suponen para los derechos y la seguridad de las personas. Los niveles más altos (riesgo inaceptable y alto) concentran la atención mediática y las obligaciones más exigentes. Pero la realidad de la mayoría de pymes españolas es otra: sus herramientas de IA son de riesgo limitado o mínimo.

Eso no significa que puedan usarse sin ningún control ni haya que prepararse para cumplir con el reglamento. Significa que las obligaciones son proporcionalmente menores, pero existen. Y la obligación de alfabetización del artículo 4, la más extendida y la que más empresas incumplen sin saberlo, aplica a todos los niveles sin excepción.

Este artículo explica en qué consiste cada categoría, qué herramientas entran en ella y qué tiene que hacer tu empresa en cada caso.

¿Quieres saber en qué nivel de riesgo están las herramientas que usa tu empresa? → Compruébalo aquí

Los cuatro niveles del Reglamento de IA: una visión de conjunto

Antes de entrar en detalle en los niveles limitado y mínimo, conviene tener clara la estructura completa del Reglamento.

El sistema de clasificación funciona de mayor a menor riesgo:

  • Riesgo inaceptable: sistemas prohibidos desde el 2 de febrero de 2025. Uso completamente vedado. Ejemplos: social scoring, reconocimiento emocional en el trabajo, identificación biométrica en tiempo real en espacios públicos.

  • Riesgo alto: sistemas permitidos pero con obligaciones muy exigentes: documentación técnica, evaluación de conformidad, supervisión humana obligatoria, registro ante la AESIA. Ejemplos: sistemas de selección de personal con IA, scoring crediticio, sistemas de IA en productos sanitarios.

  • Riesgo limitado: sistemas permitidos con obligaciones específicas de transparencia. La carga regulatoria es manejable. Este nivel es el que más confusión genera en pymes.

  • Riesgo mínimo: sistemas sin obligaciones adicionales más allá del artículo 4. Es la categoría en la que entra la gran mayoría de herramientas de uso cotidiano.

IA de riesgo limitado: qué es y qué obliga

Qué es el riesgo limitado

El riesgo limitado no es una categoría de sistemas intrínsecamente peligrosos. Es la categoría que el Reglamento asigna a sistemas que interactúan directamente con personas o generan contenido que llega al público, y donde el riesgo principal es el engaño: que la persona no sepa que está interactuando con una máquina o consumiendo contenido generado artificialmente.

La obligación central en este nivel es la transparencia. El sistema debe identificarse como lo que es.

Ejemplos de herramientas entran en riesgo limitado

  • Chatbots y asistentes virtuales de atención al cliente. Cualquier sistema que mantenga conversaciones con personas de forma automatizada. Si tu empresa tiene un chatbot en su web, en WhatsApp Business o en cualquier canal de comunicación, ese sistema es de riesgo limitado.

  • Sistemas generadores de contenido visible al público. Si tu empresa usa IA para generar textos, imágenes, vídeos o audio que publica o distribuye al público (por ejemplo, en su web, en redes sociales, en comunicaciones comerciales) ese contenido entra en el ámbito del artículo 50 del Reglamento.

  • Sistemas de reconocimiento de emociones con fines comerciales. Herramientas que analizan expresiones faciales o señales biométricas para inferir el estado emocional de clientes o usuarios en contextos comerciales. Distintas de las prohibidas en entornos laborales o educativos.

  • Sistemas generación de contenido sintético. Vídeos, imágenes o audio generados o modificados artificialmente que representan a personas reales o situaciones ficticias presentadas como reales.

Qué obligaciones genera el riesgo limitado

Identificación del sistema como automatizado. El artículo 50.1 del Reglamento establece que los sistemas de IA diseñados para interactuar con personas deben informar al usuario de que está interactuando con un sistema de IA, de forma clara y al inicio de la interacción. Un chatbot que no se identifica como chatbot incumple esta obligación desde el 2 de agosto de 2026.

Hay una excepción: cuando sea evidente por el contexto que se trata de un sistema automatizado. Un bot de preguntas frecuentes con respuestas predefinidas y aspecto claramente no humano puede estar cubierto por esta excepción. La duda razonable obliga a identificarse.

Identificación del contenido generado con IA. El artículo 50.4 establece que los contenidos generados artificialmente ( como imágenes, vídeos, audio, texto) deben estar marcados de forma legible para las personas. La Comisión Europea debe desarrollar estándares técnicos específicos para esta obligación, pero el principio ya es exigible.

No hay obligación de registro ni evaluación de conformidad. A diferencia de los sistemas de alto riesgo, los de riesgo limitado no requieren documentación técnica extensa, registro ante la AESIA ni auditoría previa. La carga regulatoria se limita a la transparencia activa y a la obligación universal del artículo 4.

IA de riesgo mínimo: qué es y qué obliga

Qué es el riesgo mínimo

El riesgo mínimo es la categoría residual del Reglamento. Incluye todos los sistemas de IA que no entran en ninguna de las otras tres categorías. No están prohibidos, no son de alto riesgo y no tienen obligaciones específicas de transparencia del artículo 50.

Es, con diferencia, la categoría más amplia. La gran mayoría de herramientas de IA que usa una pyme española en su actividad cotidiana son de riesgo mínimo.

Qué herramientas entran en riesgo mínimo

Herramientas de IA generativa de uso interno. ChatGPT, Microsoft Copilot, Google Gemini u otras herramientas similares usadas internamente para redactar textos, resumir documentos, preparar presentaciones, hacer búsquedas o resolver dudas. Siempre que el output no se publique directamente al público sin revisión humana.

Filtros de spam y antivirus con IA. Herramientas de seguridad informática que usan modelos de IA para detectar amenazas, filtrar correo no deseado o identificar comportamientos anómalos. Son transparentes en su funcionamiento y no afectan directamente a decisiones sobre personas.

Sistemas de recomendación de contenido interno. Herramientas que sugieren contenido, documentos o recursos dentro de plataformas internas de la empresa, sin afectar a derechos de terceros.

Asistentes de traducción automática. DeepL, Google Translate o herramientas equivalentes usadas para traducir documentos internos o comunicaciones. Sin exposición pública directa del output sin revisión.

Software de contabilidad o gestión con funciones de IA. Herramientas de ERP, CRM o contabilidad que incluyen funciones de automatización o predicción basadas en IA para uso interno de la empresa. La inclusión de funcionalidades de IA en software de gestión no eleva automáticamente el riesgo a la categoría alta salvo que afecte a decisiones sobre personas en los ámbitos del Anexo III.

Herramientas de análisis de datos internos. Power BI, Tableau u otras herramientas de business intelligence con funciones predictivas usadas para análisis interno de negocio.

Qué obligaciones genera el riesgo mínimo

Las obligaciones en este nivel son las mínimas del Reglamento, pero no son inexistentes.

Artículo 4: Alfabetización en IA. Esta es la única obligación que aplica universalmente a todos los niveles de riesgo, incluido el mínimo. Cualquier empresa que use herramientas de IA, aunque sean todas de riesgo mínimo, debe garantizar que su personal tiene un nivel suficiente de alfabetización sobre cómo funcionan esas herramientas, qué riesgos tienen y en qué contextos no deben usarse. Y debe acreditarlo con documentación. Esta obligación es exigible desde el 2 de febrero de 2025 y comienzan las sanciones a partir del 2 de Agosto de 2026.

Política de uso aceptable. Aunque el Reglamento no lo exige explícitamente para el riesgo mínimo, la ausencia de una política de uso interno es el factor que convierte incumplimientos individuales de empleados en responsabilidad de la empresa. Sin una política que establezca qué herramientas están autorizadas, qué datos no pueden introducirse en sistemas externos y qué revisión humana es obligatoria, la empresa no puede demostrar que adoptó las medidas razonables exigidas por el artículo 26.

El error más frecuente: confundir riesgo mínimo con ausencia de obligaciones

Muchas empresas interpretan que si sus herramientas son de riesgo mínimo, el Reglamento no les afecta. Es un error con consecuencias concretas.

El artículo 4 es exigible desde febrero de 2025 para cualquier empresa que use IA, independientemente del nivel de riesgo de sus herramientas. Una empresa que usa solo ChatGPT para redactar textos (riesgo mínimo) lleva más de un año en incumplimiento si no tiene documentada la formación de sus empleados.

El segundo error frecuente es no revisar si alguna herramienta que se asume de riesgo mínimo es en realidad de riesgo limitado o alto. El caso más habitual: un chatbot de atención al cliente implementado como "automatización" que en la práctica mantiene conversaciones con clientes. Ese sistema no es de riesgo mínimo. Es de riesgo limitado y debe identificarse como sistema automatizado.

Y el tercero: asumir que las herramientas de selección de personal con funciones de IA son de riesgo mínimo porque "solo sugieren candidatos". El Anexo III del Reglamento es claro: cualquier sistema de IA destinado a ser usado en decisiones de contratación, cribado o evaluación de candidatos es de alto riesgo. No importa que la decisión final la tome una persona si el sistema ha preseleccionado o puntuado candidatos automáticamente.

Cómo saber en qué nivel están las herramientas que usa tu empresa

El proceso de clasificación tiene tres pasos.

Primero, hacer el inventario. Antes de clasificar, hay que saber qué se usa. Esto incluye las herramientas contratadas por la empresa y las que usan los empleados individualmente de forma habitual. Un empleado que usa ChatGPT con su cuenta personal para hacer trabajo de la empresa está desplegando un sistema de IA en nombre de la organización.

Segundo, aplicar el árbol de decisión del Reglamento. Para cada herramienta: ¿está en la lista de prohibidos del artículo 5? ¿Está en el Anexo III de sistemas de alto riesgo? ¿Interactúa directamente con personas o genera contenido público? Las respuestas determinan el nivel.

Tercero, documentar la clasificación. La clasificación debe quedar registrada, con la justificación de por qué cada sistema se ha asignado a su nivel. Esa documentación es la que acredita el cumplimiento ante la AESIA en caso de inspección.

Lexlon automatiza estos tres pasos en un flujo guiado de menos de 30 minutos.Empieza aquí

Preguntas frecuentes

¿Un chatbot de WhatsApp Business es de riesgo limitado o mínimo? Depende de cómo funcione. Si mantiene conversaciones con clientes de forma automatizada respondiendo preguntas, gestionando pedidos o resolviendo incidencias es de riesgo limitado y debe identificarse como sistema automatizado. Si solo envía mensajes predefinidos sin interacción conversacional, puede considerarse riesgo mínimo. La duda razonable inclina hacia la identificación.

¿El corrector ortográfico de Word con IA es de riesgo mínimo? Sí. Las herramientas de corrección ortográfica, gramatical o de estilo integradas en procesadores de texto son de riesgo mínimo. No afectan a derechos de terceros, no interactúan con personas externas y no generan contenido autónomo.

¿Usar IA para generar imágenes para la web de la empresa es riesgo limitado? Sí, si esas imágenes se publican en la web o en comunicaciones públicas. El artículo 50.4 del Reglamento obliga a identificar el contenido generado artificialmente. Las imágenes generadas con IA y publicadas al público deben estar marcadas como tales, aunque los estándares técnicos exactos de ese marcado están pendientes de desarrollo por la Comisión.

¿Qué pasa si un sistema que creíamos de riesgo mínimo resulta ser de alto riesgo? Si el sistema está en el Anexo III del Reglamento, las obligaciones de alto riesgo aplican independientemente de cómo lo hubiera clasificado la empresa. La clasificación incorrecta puede constituir en sí misma un incumplimiento. Por eso es importante documentar el proceso de clasificación y su justificación.

¿La obligación de alfabetización del artículo 4 requiere una formación formal? No necesariamente. El Reglamento exige un "nivel suficiente de alfabetización", proporcional al rol de cada empleado. Para un empleado que usa ChatGPT esporádicamente, puede bastar con una formación breve y un acuse de recibo firmado. Para quien toma decisiones basadas en outputs de IA, la formación debe ser más profunda. Lo importante es que quede documentado.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Lexlon es una herramienta de software. Cada organización es responsable de verificar que su implementación cumple con todos los requisitos legales aplicables a su sector y circunstancias particulares.

Publicado en lexlon.es · Junio 2026