VideoIntelligence

Blog · Cumplimiento

EU AI Act y seguridad en 2026: qué debe revisar una CRA

15 jul 2026 · 10 min lectura · Equipo editorial de VideoIntelligence

Profesional revisando el AI Act europeo en un entorno de seguridad

Respuesta directa: el Reglamento (UE) 2024/1689 se aplica por fases; a 15 de julio de 2026 ya son aplicables determinadas disposiciones desde 2025, la fecha general es el 2 de agosto de 2026 y algunas reglas para sistemas de alto riesgo vinculados a productos del anexo I se aplican el 2 de agosto de 2027. Que una CRA use IA para analizar vídeo no convierte automáticamente el sistema en alto riesgo: la clasificación depende de la finalidad prevista, las funciones, los usuarios y el contexto.

La preparación debe partir de un inventario del caso de uso, no de una etiqueta comercial. Hay que distinguir detección de objetos, priorización de alarmas, identificación biométrica y usos por autoridades, porque pueden recibir tratamientos jurídicos diferentes. Este artículo es informativo y no constituye asesoramiento legal; cada organización debe validar su situación con profesionales cualificados y el texto vigente.

Calendario oficial del Reglamento (UE) 2024/1689

El Reglamento de Inteligencia Artificial publicado en EUR-Lex entró en vigor el 1 de agosto de 2024 y su artículo 113 establece una aplicación escalonada. Las fechas no deben confundirse con una única “entrada en vigor” ni con anuncios, guías o propuestas posteriores.

FechaHito resumidoAcción organizativa
2 feb 2025Aplicación de capítulos I y II, incluida la alfabetización del artículo 4 y prácticas prohibidasFormar, inventariar y descartar usos prohibidos
2 ago 2025Aplicación de bloques indicados en el artículo 113, incluida gobernanza y modelos de uso general, con sus excepcionesRevisar proveedores, roles y documentación
2 ago 2026Fecha general de aplicación salvo disposiciones expresamente aplazadasTener clasificación y controles operativos documentados
2 ago 2027Aplicación del artículo 6.1 y obligaciones correspondientes para ciertos sistemas del anexo IConfirmar si el sistema está ligado a producto regulado

La tabla es una orientación, no reproduce todas las excepciones y transiciones. Hay reglas específicas para sistemas ya introducidos en el mercado, autoridades públicas y proveedores de modelos de uso general, entre otros supuestos. La hoja de ruta de una CRA debe enlazar cada conclusión con el artículo aplicable y registrar la fecha de revisión. La Comisión Europea mantiene información oficial sobre el marco regulador.

Cómo clasificar IA de vídeo en seguridad

La pregunta correcta no es “¿usa una red neuronal?”, sino “¿para qué se ha diseñado y cómo se utiliza?”. El artículo 6, los anexos I y III y las prohibiciones del artículo 5 requieren analizar la finalidad prevista y el contexto. Detectar que aparece una persona en una escena no es lo mismo que identificar biométricamente a una persona concreta. Priorizar un clip para un operador privado tampoco equivale necesariamente a un uso policial.

Una ficha de caso de uso debería describir entradas, salidas, usuarios, personas afectadas, decisiones influidas, entorno y límites. También debe indicar si se emplea biometría, categorización biométrica o reconocimiento de emociones, y si la salida puede producir efectos significativos. Si se añade una función nueva o el cliente reutiliza el resultado para otra finalidad, la clasificación debe revisarse.

Cuatro niveles de preguntas, no una etiqueta única

  1. Definición: comprobar si el componente entra en la definición de sistema de IA del Reglamento.
  2. Prohibiciones: verificar si la práctica concreta se encuentra entre las del artículo 5 y sus condiciones.
  3. Alto riesgo: analizar los criterios del artículo 6 y los anexos, incluida cualquier excepción aplicable.
  4. Otras obligaciones: revisar transparencia, alfabetización y deberes por rol aunque no sea alto riesgo.

No es responsable declarar “bajo riesgo” solo porque el producto no identifica rostros, ni declarar “alto riesgo” por toda presencia de vídeo. La evidencia debe reflejar la configuración real y el uso previsto. Para una visión práctica del vocabulario, consulta el glosario de videovigilancia inteligente.

Proveedor y responsable del despliegue

El Reglamento distingue operadores como proveedor, responsable del despliegue, importador y distribuidor. Un proveedor desarrolla o encarga desarrollar un sistema y lo introduce en el mercado o pone en servicio bajo su nombre o marca; el responsable del despliegue utiliza un sistema bajo su autoridad, salvo el uso personal no profesional. La asignación depende de los hechos y puede cambiar si una entidad modifica sustancialmente el sistema o su finalidad.

Estos roles no son equivalentes a “responsable” y “encargado” bajo el RGPD. Una CRA puede ser responsable del despliegue bajo el AI Act y encargado del tratamiento para una operación concreta de vídeo; otra configuración puede repartir funciones de forma diferente. Contratos, instrucciones, arquitectura y decisiones reales deben coincidir.

En compras, conviene solicitar la finalidad prevista, instrucciones de uso, limitaciones, versiones, condiciones de cambio, métricas relevantes, datos necesarios, supervisión, ciberseguridad y soporte de incidentes. Si la clasificación es de alto riesgo, deben mapearse las obligaciones específicas que correspondan a cada rol, sin copiar una checklist genérica.

Controles prácticos para una CRA en 2026

Aunque un sistema no resulte de alto riesgo, una gobernanza proporcionada reduce errores y facilita demostrar decisiones. Para triaje de vídeo, el control central es que una salida automática no borre la evidencia ni convierta un fallo técnico en un descarte. La guía para reducir falsas alarmas en una CRA propone conservar categorías como “no verificable” y medir errores por cámara y causa.

  • Inventario: sistema, versión, finalidad, proveedor, usuarios, ubicaciones y sistemas conectados.
  • Clasificación: razonamiento jurídico-técnico, fuentes consultadas, aprobador y fecha de revisión.
  • Alfabetización: formación adaptada a operador, supervisor, compras, tecnología y dirección.
  • Supervisión: acceso al clip, explicación comprensible y autoridad real para corregir el resultado.
  • Calidad: pruebas con escenas representativas, errores separados y casos de baja visibilidad.
  • Trazabilidad: vínculo entre alarma, vídeo, versión, salida y actuación posterior.
  • Contingencia: procedimiento cuando falta vídeo, el servicio cae o el resultado llega tarde.
  • Cambio: revisión antes de añadir biometría, nuevos clientes, automatismos o destinatarios.

Alfabetización en materia de IA

El artículo 4 exige que proveedores y responsables del despliegue adopten medidas para garantizar, en la medida de lo posible, un nivel suficiente de alfabetización de su personal y de otras personas que se ocupan del funcionamiento y uso por cuenta de ellos, considerando conocimientos, experiencia, formación y contexto. No se resuelve con una sesión genérica: el operador necesita entender qué significa una prioridad, cuándo desconfiar y cómo informar de un error.

Supervisión y medición

La precisión global no describe por sí sola el riesgo. Se deben separar falsos positivos, falsos negativos, vídeo no disponible y desacuerdos de criterio. También importa el rendimiento por escena, horario y cambio de cámara. Un piloto en modo sombra permite comparar sin alterar inicialmente el protocolo. Para integraciones, especialmente con plataformas receptoras, hay que validar versiones, módulos, licencias y APIs; véase cómo integrar IA con Manitou.

AI Act, RGPD y seguridad privada se complementan

El AI Act no sustituye el Reglamento General de Protección de Datos. Un clip con personas identificadas o identificables puede ser dato personal. Deben revisarse finalidad, base jurídica, transparencia, minimización, conservación, derechos, seguridad, roles y, cuando proceda, evaluación de impacto. Alojar datos en la UE no cubre por sí solo esas obligaciones.

En España también resulta relevante la Ley 5/2014, de Seguridad Privada y las disposiciones aplicables a verificación y gestión de alarmas. La UNE-EN 50518:2020 para CRA pertenece al plano técnico y tampoco sustituye la normativa. Una matriz conjunta ayuda a no mezclar roles, evidencias y autoridades.

Preguntas frecuentes

¿Toda IA de videovigilancia es de alto riesgo?

No. Deben aplicarse los artículos y anexos a la finalidad concreta. Biometría, uso policial y simple detección de objetos no son categorías intercambiables.

¿Qué cambia el 2 de agosto de 2026?

Es la fecha general de aplicación para las disposiciones no adelantadas ni aplazadas expresamente. Hay que consultar el artículo 113 y las reglas transitorias del texto vigente.

¿La obligación de alfabetización ya se aplica?

Sí, el artículo 4 se aplica desde el 2 de febrero de 2025. Las medidas deben adecuarse a conocimientos, experiencia y contexto de uso.

¿Una evaluación RGPD sirve también como clasificación del AI Act?

No. Pueden compartir información, pero responden a marcos y preguntas diferentes. Conviene coordinarlas y documentarlas por separado.

¿Este artículo confirma el cumplimiento de una CRA?

No. Es información general, no asesoramiento legal ni una evaluación de una instalación, producto o servicio concreto.

Fuentes oficiales

VideoIntelligence · Análisis de vídeo para CRA

De cada clip a una prioridad explicada, antes del operador

VideoIntelligence analiza el vídeo asociado a la alarma, indica relevancia y prioridad P0–P4, y devuelve una explicación a tu software de recepción mediante API. En la demo revisamos cómo encajaría en el flujo de tu central y cómo medirlo con tu propio histórico.

Ver VideoIntelligence en acción ← Volver al blog