Blog de noticias

Noticias de actualidad

Escritor del artículo sobre regulación IA
Featured

Qué debe cumplir tu empresa con la nueva regulación de uso de Inteligencia Artificial

Blog Visto: 95

Fernando Sánchez Ferrándiz Abogado Responsable del Departamento Jurídico Procesal de SEBASTIÁ Abogados y Economistas, analiza en este artículo la nueva regulación de uso de la Inteligencia Artificial para las empresas.

 

Muchas empresas llevan meses utilizando inteligencia artificial en su actividad diaria: herramientas de redacción, software de análisis de datos, sistemas de selección de personal, algoritmos de gestión... Y la mayoría lo hace sin saber que parte de esas herramientas ya están sujetas a obligaciones legales concretas.

El Reglamento (UE) 2024/1689, conocido como AI Act, es la primera norma del mundo que regula de forma integral el desarrollo y uso de la inteligencia artificial. Entró en vigor el 1 de agosto de 2024 y sus obligaciones se despliegan de forma escalonada: el 2 de agosto de 2026 es la fecha en que las exigencias para sistemas de alto riesgo del Anexo III serán plenamente aplicables. Al tratarse de un Reglamento europeo de aplicación directa, no requiere transposición nacional para obligar: afecta ya a todas las empresas que operan en España, con independencia de la tramitación de la futura ley española de gobernanza de la IA.

El régimen sancionador, regulado en el artículo 99 del Reglamento, establece tres tramos según la gravedad de la infracción: hasta 35 millones de euros o el 7% de la facturación mundial para los usos de IA expresamente prohibidos (art. 5); hasta 15 millones o el 3% por incumplir las obligaciones aplicables a sistemas de alto riesgo (incumplimiento de requisitos y obligaciones generales), que es el tramo que afecta a la mayoría de empresas; y hasta 7,5 millones o el 1,5% por facilitar información incorrecta (inexacta o engañosa)  a las autoridades supervisoras. Para las PYMEs y Empresas Emergentes, se aplica siempre la cuantía menor de las dos por el principio de proporcionalidad específica, además de fijar la sanción atendiendo a la viabilidad económica del operador. Y la norma no afecta solo a quienes desarrollan IA: también afecta a las empresas que la utilizan en sus procesos, aunque las herramientas sean de terceros. Existiendo la posible exención de sanciones por innovación (Sandboxes), siempre que un proveedor participe en estos espacios, respete el plan acordado y sigua de buena fe las orientaciones de la autoridad, no se le impondrán multas administrativas por infracciones cometidas durante la experimentación.

Estas son las siete exigencias clave que las empresas deberán acreditar:

1. Saber qué herramientas de IA usas y para qué:

El primer paso es elaborar un inventario de los sistemas de IA que se utilizan en la organización: desde asistentes de escritura hasta plataformas de análisis, pasando por software de RRHH o herramientas de atención al cliente. Ese inventario debe identificar cada herramienta, su finalidad y el nivel de riesgo asociado. Sin él, es imposible determinar qué obligaciones aplican y cuáles no.

2. Trazabilidad completa del dato:

Las empresas que operan sistemas de IA de alto riesgo deberán poder demostrar el origen, la calidad y el uso de los datos empleados en el entrenamiento y operación de esos sistemas, a lo largo de todo su ciclo de vida. Esto incluye acreditar que los datos son representativos, actualizados y libres de sesgos, y que cualquier decisión automatizada puede ser reconstruida a partir de los datos que la hicieron posible.

3. Modelos documentados y auditables:

La norma exige que los sistemas de IA no sean "cajas negras". Las organizaciones deben disponer de documentación técnica que permita entender cómo funciona cada modelo, qué variables influyen en sus resultados y bajo qué condiciones opera. Cuando la empresa utiliza soluciones de terceros, tiene la obligación de recabar de sus proveedores toda la documentación técnica e instrucciones de uso. El Reglamento establece expresamente que el proveedor debe facilitar esta información.

Contar con un programa de Compliance actualizado es la forma más sólida de acreditar ese cumplimiento.

4. Supervisión humana efectiva y demostrable:

En los usos calificados de alto riesgo no puede haber automatización al 100%. Debe existir siempre supervisión humana real, no meramente formal. Son usos de alto riesgo, entre otros: el cribado de CV y análisis de rendimiento de trabajadores, la calificación crediticia y análisis de solvencia, la puntuación educativa, y los sistemas vinculados a infraestructuras críticas. No basta con que "haya una persona en el circuito": deben existir roles definidos, procedimientos claros y capacidad real de intervenir, corregir o anular decisiones automatizadas.

5. Gestión continua del riesgo:

Las empresas deberán implementar marcos de evaluación de riesgos que contemplen no solo los riesgos técnicos, sino también los éticos, legales y reputacionales asociados a sus sistemas de IA. Esa evaluación no es un trámite puntual: debe ser continua e incluir posibles sesgos, impactos sobre derechos fundamentales y consecuencias no previstas para clientes, empleados o terceros.

Si quieres saber cómo estructurar un programa de cumplimiento en tu empresa, te explicamos los pasos clave aquí.

6. Ciberseguridad integrada desde el diseño:

La protección de los sistemas de IA frente a ataques, manipulaciones de datos o fugas de información es una obligación específica del Reglamento, no una medida opcional. La ciberseguridad debe estar integrada desde el diseño del sistema y mantenida durante toda su operación.

7. Formación obligatoria de la plantilla:

El AI Act establece una obligación explícita: las empresas deben garantizar que los equipos que desarrollan, operan o supervisan sistemas de IA cuenten con formación adecuada sobre su funcionamiento, sus riesgos y sus limitaciones. No es suficiente con instalar una herramienta: la plantilla debe conocer su uso correcto, los sesgos que puede generar y los procedimientos para minimizar riesgos. Esa formación debe actualizarse a medida que evoluciona la tecnología y la normativa.

 

Exigencias clave agrupadas por categorías:

 

1. Requisitos Técnicos para Sistemas de IA de Alto Riesgo:

Las empresas que desarrollen o comercialicen sistemas de alto riesgo deben acreditar el cumplimiento de siete requisitos fundamentales (Sección 2 del Capítulo III):

  • Sistema de Gestión de Riesgos: Implementar un proceso iterativo y continuo durante todo el ciclo de vida del sistema para identificar y mitigar riesgos conocidos y previsibles.

  • Gobernanza de Datos: Los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, representativos y, en la medida de lo posible, estar libres de errores y ser completos.

  • Documentación Técnica: Elaborar documentación detallada que demuestre la conformidad del sistema antes de su comercialización.

  • Conservación de Registros: El sistema debe permitir técnicamente el registro automático de eventos (logs) para garantizar la trazabilidad del funcionamiento.

  • Transparencia e Información: El sistema debe diseñarse para ser lo suficientemente transparente, permitiendo a los usuarios interpretar los resultados, y debe ir acompañado de instrucciones de uso claras.

  • Supervisión Humana: Incluir herramientas de interfaz humano-máquina para que personas físicas puedan vigilar y, si es necesario, detener el sistema.

  • Precisión, Solidez y Ciberseguridad: Acreditar niveles adecuados de rendimiento y resistencia frente a errores, fallos o ataques externos.

 

2. Acreditación de la Conformidad y Marcado CE: 

Para poder introducir un sistema de alto riesgo en el mercado, el proveedor debe acreditar formalmente su cumplimiento mediante:

  • Sistema de Gestión de la Calidad: Contar con políticas y procedimientos documentados para asegurar el cumplimiento normativo.

  • Evaluación de la Conformidad: Someterse al procedimiento correspondiente (ya sea control interno o con participación de un organismo notificado).

  • Declaración UE de Conformidad: Redactar un documento que confirme que el sistema cumple con todos los requisitos del Reglamento.

  • Marcado CE: Colocar este marcado de manera visible en el sistema o su embalaje para acreditar su libre circulación en el mercado común.

  • Registro en la Base de Datos de la UE: Inscribir el sistema y al proveedor en la base de datos centralizada de la Unión.

 

3. Exigencias para Modelos de IA de uso general (GPAI): 

Las empresas que proveen modelos de uso general tienen obligaciones específicas, independientemente de si el modelo es de alto riesgo:

  • Documentación Técnica del Modelo: Mantener información actualizada sobre el proceso de entrenamiento y pruebas para facilitarla a las autoridades.

  • Información para Proveedores Posteriores: Proporcionar documentación que permita a otras empresas que integren el modelo entender sus capacidades y limitaciones.

  • Respeto a los Derechos de Autor: Acreditar la implementación de directrices para cumplir con la normativa de derechos de autor y publicar un resumen detallado de los contenidos usados para el entrenamiento.

  • Gestión de Riesgos Sistémicos: Si el modelo tiene "riesgos sistémicos" (por su gran capacidad de cómputo), se deben acreditar evaluaciones de seguridad y pruebas adversarias.

 

4. Exigencias para Responsables del Despliegue (Usuarios Profesionales):

Las empresas que utilizan sistemas de IA de alto riesgo también deben acreditar ciertas medidas:

  • Uso según Instrucciones: Garantizar que el sistema se utiliza conforme a lo indicado por el proveedor.

  • Evaluación de Impacto relativa a los Derechos Fundamentales (FRIA): Esta es una exigencia clave para entidades que prestan servicios públicos o sectores específicos (como banca y seguros). Deben evaluar cómo el uso de la IA afectará a las personas antes de ponerla en funcionamiento.

  • Vigilancia del Funcionamiento: Supervisar activamente el sistema e informar al proveedor sobre cualquier incidente grave o anomalía.

 

5. Alfabetización en Materia de IA:

Todas las empresas (proveedores y responsables del despliegue) deben acreditar que han tomado medidas para asegurar que su personal tenga un nivel suficiente de alfabetización en materia de IA, considerando sus conocimientos técnicos y el contexto de uso.

 

¿A qué empresas afecta?

La respuesta es más amplia de lo que muchos suponen.

El Reglamento se aplica a los siguientes “operadores”:

  • Proveedores: Empresas que desarrollan un sistema de IA o un modelo de IA de uso general (GPAI), o que encargan su desarrollo, para introducirlos en el mercado o ponerlos en servicio bajo su propio nombre o marca. Esto aplica tanto si la empresa está en la UE como en un tercer país.

  • Responsables del despliegue (antes llamados usuarios): Empresas o autoridades que utilizan un sistema de IA bajo su autoridad en el ejercicio de una actividad profesional (se excluye el uso personal no profesional).

  • Importadores: Empresas establecidas en la UE que introducen en el mercado de la Unión un sistema de IA que lleva el nombre o la marca de una empresa establecida fuera de la UE.

  • Distribuidores: Cualquier empresa en la cadena de suministro, distinta del proveedor o el importador, que comercialice un sistema de IA en el mercado de la UE.

  • Fabricantes de productos: Empresas que introducen en el mercado o ponen en servicio un sistema de IA junto con su producto (como maquinaria, juguetes o dispositivos médicos) bajo su propio nombre o marca.

  • Representantes autorizados: Personas o empresas en la UE que han recibido un mandato por escrito de un proveedor de fuera de la Unión para cumplir con sus obligaciones legales bajo este Reglamento.

Un punto clave es que el Reglamento afecta a empresas de terceros países (fuera de la UE) en dos supuestos:

  • Si introducen sus sistemas o modelos de IA en el mercado de la Unión.

  • Si los resultados de salida (output) generados por su sistema de IA se utilizan dentro de la Unión Europea, incluso si el sistema opera físicamente fuera de ella.

El Reglamento no solo afecta a empresas privadas, sino también a las instituciones, órganos y organismos de la Unión, cuando actúan como proveedores o responsables. Asimismo, afecta a las autoridades públicas de los Estados miembros.

El Reglamento no afecta a: sistemas de IA utilizados exclusivamente con fines militares, de defensa o de seguridad nacional; sistemas o modelos desarrollados únicamente con fines de investigación y desarrollo científicos; personas físicas que utilicen la IA en el ejercicio de una actividad puramente personal y no profesional y sistemas de IA de código abierto, a menos que se consideren de alto riesgo o estén prohibidos.

Un dato importante que todas las empresas deben conocer es que existe la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada en 2023, que cuenta con plenas competencias inspectoras y sancionadoras, y que es el organismo encargado de hacer cumplir la normativa en España.

El cumplimiento del AI Act no es solo una cuestión tecnológica, tiene implicaciones jurídicas, laborales, de protección de datos y de gestión del riesgo empresarial que requieren una visión multidisciplinar.

 

En SEBASTIÁ Abogados y Economistas acompañamos a empresas en el análisis de su situación frente al AI Act, la revisión de sus contratos con proveedores tecnológicos y la implementación de las medidas de Compliance necesarias para operar con seguridad jurídica.

📩 Contacta con nosotros

 

Fernando Sánchez Ferrándiz 

Abogado Responsable del Departamento Jurídico-Procesal 

Image
Expertos en el ámbito legal y económico.

Nosotros

Enlaces

Boletín de noticias


Suscríbase a nuestro boletín de noticias y manténgase informado de toda la actualidad.