Reducción por reserva de capitalización

La inteligencia artificial (IA) ha dejado de ser una promesa tecnológica para convertirse en una herramienta habitual de trabajo. En apenas unos meses, asistentes como ChatGPT, Microsoft Copilot o Gemini han pasado a formar parte de la actividad diaria de muchas empresas, que los utilizan para preparar propuestas comerciales, resumir reuniones, redactar contratos, analizar información o automatizar tareas administrativas.

En muchas organizaciones, además, la IA ha entrado por la puerta de los departamentos, marketing, recursos humanos, asesoría jurídica o comercial, mucho antes de hacerlo por la del órgano de administración.

Cuando una empresa integra herramientas de inteligencia artificial en sus procesos internos, no solo modifica su forma de trabajar; también asume nuevas responsabilidades jurídicas.

Esta realidad cobra una especial importancia tras la aprobación del Reglamento (UE) 2024/1689, conocido como Reglamento Europeo de Inteligencia Artificial (RIA) o AI Act, cuyo calendario de aplicación sitúa el 2 de agosto de 2026 como una fecha clave para empresas y organizaciones.

Todavía persiste la idea de que el Reglamento está pensado exclusivamente para grandes empresas tecnológicas. Sin embargo, una pyme que incorpore un chatbot en su página web, utilice herramientas de IA para redactar informes, genere contenidos comerciales mediante inteligencia artificial o apoye determinados procesos internos en estas tecnologías puede asumir obligaciones específicas previstas en el AI Act, aunque nunca haya desarrollado un sistema propio de IA.

La cuestión, por tanto, ya no consiste únicamente en decidir si incorporar la inteligencia artificial al negocio. La verdadera pregunta es otra: ¿está preparada la empresa para utilizar la IA conforme al nuevo marco regulatorio europeo?

IA y empresa: del cumplimiento en protección de datos a la gobernanza de la inteligencia artificial

La entrada del Reglamento General de Protección de Datos (RGPD) supuso un cambio trascendental en la forma de gestionar la información dentro de las organizaciones, siendo necesario revisar procedimientos, adaptar contratos, implantar políticas internas y formar al personal.

Con el AI Act sucede algo similar. Su finalidad no es limitar la innovación ni prohibir el uso de la IA, sino garantizar que estas tecnologías se utilicen de forma segura, transparente y respetuosa con los derechos fundamentales.

En otras palabras, el AI Act introduce un nuevo ámbito de gobernanza empresarial.

Del mismo modo que hoy resulta impensable gestionar datos personales al margen del RGPD, cada vez tendrá menos sentido utilizar herramientas de IA sin reglas internas que definan cómo pueden emplearse, quién puede utilizarlas y bajo qué condiciones.

El uso de IA no excluye la aplicación del resto del ordenamiento jurídico

Uno de los errores más habituales consiste en analizar el AI Act como si se tratara de una norma aislada. En realidad, la utilización de inteligencia artificial convive con el resto del marco jurídico y proyecta sus efectos sobre normas que las empresas conocen desde hace años.

Así, cuando un empleado introduce un contrato en una plataforma de IA para resumirlo, utiliza información de clientes para elaborar una propuesta comercial o solicita a una herramienta que redacte un informe a partir de documentación interna, no desaparecen las obligaciones derivadas del RGPD, de la Ley Orgánica 3/2018, de la normativa sobre propiedad intelectual, de la protección de secretos empresariales o de la propia responsabilidad contractual frente a terceros.

Por ello, resulta imprescindible conocer qué aplicaciones utiliza realmente la organización, qué información se comparte con ellas, quién presta el servicio, dónde se alojan los datos y si el proveedor puede reutilizar esa información para entrenar sus modelos.

Estas cuestiones constituyen el punto de partida de cualquier proyecto serio de adecuación al Reglamento.

IA y alfabetización: la obligación que muchas empresas aún desconocen

Aunque el debate público suele centrarse en los sistemas de alto riesgo, para la mayoría de las pequeñas y medianas empresas algunas de las obligaciones más relevantes del AI Act están directamente relacionadas con su actividad diaria.

Un buen ejemplo es el artículo 4 del AI Act, que introduce el deber de adoptar medidas para garantizar un nivel suficiente de alfabetización en materia de inteligencia artificial entre las personas que utilizan estos sistemas por cuenta de la organización.

La previsión merece una lectura atenta. El Reglamento no obliga simplemente a impartir un curso de formación. Exige algo más amplio: que quienes emplean herramientas de IA comprendan razonablemente cómo funcionan, conozcan sus limitaciones, sean conscientes de los riesgos asociados a su utilización y sepan actuar conforme a las políticas internas de la empresa y al marco jurídico aplicable.

En la práctica, ello obliga a las organizaciones a incorporar la inteligencia artificial a sus planes de formación y concienciación, del mismo modo que ya hicieron con la protección de datos, la ciberseguridad o la prevención de delitos.

La formación deja así de ser una recomendación para convertirse en una obligación y en una manifestación concreta del deber de diligencia empresarial.

Transparencia en el uso de IA: una obligación con más impacto del que parece

Junto a la alfabetización en materia de IA, el Reglamento incorpora otra exigencia que muchas empresas pueden pasar por alto si únicamente se fijan en los sistemas de alto riesgo.

Nos referimos a las obligaciones de transparencia previstas en el artículo 50 del AI Act.

Este precepto parte de una idea sencilla: las personas tienen derecho a conocer cuándo interactúan con un sistema de inteligencia artificial o cuándo determinados contenidos han sido generados o manipulados mediante estas tecnologías.

Por ello, la adecuación al AI Act debería comenzar con una auditoría interna que permita identificar qué herramientas se utilizan, para qué finalidades y bajo qué condiciones.

A partir de ese análisis, resulta posible implantar políticas de uso, formar al personal, revisar la contratación con proveedores tecnológicos y establecer mecanismos de supervisión humana sobre los procesos pertinentes.

La gobernanza de la inteligencia artificial no consiste en prohibir su utilización; consiste en utilizarla de forma ordenada, documentada y jurídicamente segura.

El verdadero riesgo de la IA suele encontrarse dentro de la organización

Con frecuencia, las empresas buscan la plataforma de IA que ofrezca mayores garantías de seguridad o privacidad. Sin embargo, el cumplimiento del AI Act no depende únicamente del proveedor tecnológico.

Dos organizaciones pueden utilizar exactamente la misma herramienta y presentar niveles de riesgo completamente distintos. La diferencia radica en la forma en que esa herramienta se integra en la empresa.

Resulta frecuente que distintos departamentos utilicen aplicaciones de IA sin conocimiento de la dirección, que se empleen cuentas personales para fines profesionales o que se introduzca información confidencial en plataformas externas sin haber evaluado previamente sus condiciones de uso. Tampoco resulta excepcional que documentos generados mediante inteligencia artificial se incorporen a la actividad ordinaria sin una revisión humana suficiente.

En ese escenario, el problema ya no es meramente tecnológico. Es organizativo.

Precisamente por ello, el artículo 26 del AI Act, al regular determinadas obligaciones de los responsables del despliegue de sistemas de inteligencia artificial, pone el acento en la utilización de los sistemas por parte de las empresas que usen IA en su negocio conforme a las instrucciones del proveedor, en la adopción de medidas de supervisión y, cuando proceda, en la conservación de los registros generados por determinados sistemas.

La supervisión humana adquiere, además, una relevancia especial. La inteligencia artificial puede acelerar procesos, facilitar análisis o generar contenidos de gran calidad. Lo que no hace es trasladar la responsabilidad jurídica a la herramienta. Quien responde frente a un cliente, una autoridad administrativa o un órgano judicial continúa siendo la empresa.

Por esa razón, cualquier organización debería plantearse una cuestión sencilla: ¿qué decisiones estamos dejando, de hecho, en manos de la inteligencia artificial y cuáles deberían seguir siendo objeto de una revisión humana efectiva?

Responder a esa pregunta constituye, probablemente, el primer paso para implantar una verdadera gobernanza de la IA.

IA y régimen sancionador: multas y riesgos legales para la empresa

El AI Act incorpora un régimen sancionador inspirado en la filosofía del RGPD: el cumplimiento deja de ser una mera recomendación para convertirse en una auténtica obligación jurídica, respaldada por un régimen sancionador especialmente exigente.

El artículo 99 del AI Act establece distintos niveles de sanciones en función de la gravedad del incumplimiento.

Las infracciones más graves, entre ellas las relacionadas con prácticas de inteligencia artificial prohibidas, pueden ser sancionadas con multas de hasta 35 millones de euros o el 7 % del volumen de negocio anual mundial, si esta última cifra fuera superior.

Por su parte, el incumplimiento de otras obligaciones previstas en el Reglamento, entre ellas determinadas obligaciones aplicables a proveedores, importadores, distribuidores o responsables del despliegue, podrá ser sancionado con multas de hasta 15 millones de euros o el 3 % del volumen de negocio anual mundial, si esta última cifra fuera superior.

Finalmente, facilitar información incorrecta, incompleta o engañosa a las autoridades competentes podrá conllevar sanciones de hasta 7,5 millones de euros o el 1 % del volumen de negocio anual mundial, si esta última cifra fuera superior.

Sin embargo, reducir el análisis del AI Act a las multas sería un error.

Las consecuencias de un uso inadecuado de la IA pueden extenderse a reclamaciones de clientes, incumplimientos contractuales, vulneraciones en materia de protección de datos o daños reputacionales de difícil reparación.

Además, comienza a ser habitual que grandes compañías soliciten información sobre la gobernanza de la IA de sus proveedores y es previsible que, en los próximos años, estos aspectos formen parte de los procesos de due diligence en operaciones de inversión o compraventa de empresas (M&A), del mismo modo que hoy se revisa el cumplimiento en materia de protección de datos, ciberseguridad o compliance.

La gobernanza de la IA como nuevo factor de competitividad empresarial

Durante los próximos años asistiremos a un proceso muy similar al que provocó el RGPD.

Los clientes comenzarán a preguntar cómo utiliza la empresa la inteligencia artificial, los proveedores exigirán mayores garantías sobre el tratamiento de la información, las grandes compañías incorporarán cláusulas específicas sobre gobernanza de la IA en sus procesos de contratación y las administraciones públicas harán lo propio en el ámbito de la contratación pública.

Las organizaciones que inicien desde ahora este proceso no solo reducirán riesgos legales, sino que también reforzarán su posición competitiva. Estarán mejor preparadas para responder a las exigencias de clientes e inversores y para afrontar futuras operaciones corporativas, convirtiendo el cumplimiento del AI Act en un verdadero elemento de valor para la empresa.

La ausencia de controles adecuados no solo puede incrementar el riesgo regulatorio. También puede afectar a la valoración de la compañía, dar lugar a solicitudes de garantías específicas por parte del comprador o complicar una operación societaria cuando el uso de la inteligencia artificial forme parte de la actividad ordinaria de la empresa.

Porque, en un entorno cada vez más digitalizado, el cumplimiento normativo ya no consiste únicamente en evitar contingencias. Consiste, sobre todo, en generar valor.

FAQ sobre IA en la empresa y AI Act

¿Qué es el AI Act y por qué afecta al uso de la IA en la empresa?

El AI Act es el Reglamento Europeo de Inteligencia Artificial, una norma que regula el desarrollo, comercialización y uso de sistemas de IA en la Unión Europea. Afecta a las empresas porque establece obligaciones relacionadas con la seguridad, la transparencia, la supervisión humana y la gestión de riesgos en el uso de herramientas de inteligencia artificial.

¿El AI Act afecta también a las pymes?

Sí. El AI Act no afecta únicamente a grandes empresas tecnológicas. Una pyme que utilice herramientas de IA para redactar informes, automatizar tareas, generar contenidos comerciales, incorporar chatbots o apoyar procesos internos puede asumir obligaciones específicas, aunque no haya desarrollado un sistema propio de inteligencia artificial.

¿Qué obligaciones deben tener en cuenta las empresas que utilizan IA?

Las empresas deben identificar qué herramientas de IA utilizan, para qué finalidades, qué información comparten con ellas, quién presta el servicio, dónde se alojan los datos y si el proveedor puede reutilizar esa información. Además, deben implantar políticas internas, formar al personal, revisar contratos con proveedores tecnológicos y establecer mecanismos de supervisión humana.

¿Qué significa la alfabetización en materia de IA?

La alfabetización en materia de IA implica que las personas que utilizan sistemas de inteligencia artificial por cuenta de una empresa comprendan cómo funcionan estas herramientas, conozcan sus limitaciones, sean conscientes de sus riesgos y sepan utilizarlas conforme a las políticas internas y al marco jurídico aplicable.

¿Es obligatorio formar a los empleados en el uso de la IA?

Sí. El artículo 4 del AI Act introduce el deber de adoptar medidas para garantizar un nivel suficiente de alfabetización en materia de inteligencia artificial. Esto convierte la formación en IA en una obligación relevante dentro del deber de diligencia empresarial.

¿Qué obligaciones de transparencia impone el AI Act?

El AI Act exige que las personas puedan conocer cuándo interactúan con un sistema de IA o cuándo determinados contenidos han sido generados o manipulados mediante inteligencia artificial. Por ello, las empresas deben revisar cómo utilizan estas herramientas y establecer criterios claros de información y transparencia.

¿Puede una empresa introducir datos confidenciales en herramientas de IA?

No debería hacerlo sin una evaluación previa. Introducir contratos, información de clientes, documentación interna o datos confidenciales en plataformas de IA puede generar riesgos en materia de protección de datos, secretos empresariales, propiedad intelectual y responsabilidad contractual. La empresa debe conocer las condiciones del proveedor y el tratamiento que se dará a esa información.

¿Necesita asesoramiento? Acceda a nuestra área relacionada con la inteligencia artificial en la empresa:

Protección de datos

Rate this post

Artículos relacionados

Contacta / Contact us