VALÈNCIA. Las empresas que utilizan inteligencia artificial para seleccionar personal, evaluar clientes, generar contenidos o automatizar procesos tendrán que empezar a revisar cómo utilizan estas herramientas y qué obligaciones regulatorias les afectan. El Gobierno aprobaba a finales del pasado mes el proyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial, una norma que desarrollará en España el Reglamento Europeo de IA y que establecerá el régimen sancionador, las autoridades supervisoras y los mecanismos de control sobre una tecnología cada vez más presente en la actividad empresarial.

Aunque el foco se ha situado en la futura ley española, los expertos recuerdan que el cambio ya está en marcha. El Reglamento Europeo de Inteligencia Artificial entró en vigor en agosto de 2024 y buena parte de sus obligaciones comenzarán a desplegarse a partir de 2026, exigiendo a las compañías identificar qué sistemas utilizan, cómo los clasifican y qué riesgos regulatorios pueden generar. "Esto significa que operar con sistemas de IA dejará de ser una actividad neutra desde el punto de vista de la responsabilidad administrativa, al tratarse de un activo tecnológico regulado sujeto a obligaciones de control, trazabilidad, transparencia y gestión del riesgo, estableciéndose, además, mecanismos de gobernanza, especialmente en el sector público", señala Pilar Sánchez-Bleda, socia directora de Media & Tech en Auren Legal.

Aunque los especialistas recuerdan que la norma española todavía deberá superar su tramitación parlamentaria, el grueso de las obligaciones que afectan a las empresas ya viene marcado por Europa. "El Consejo de Ministros aprobó un proyecto de ley, todavía no está en vigor y puede cambiar en el Congreso, pero el grueso de las obligaciones de verdad para las empresas no nace de esta ley española, sino del Reglamento europeo de IA", explica Juan Manuel Pérez, socio de Aktion Legal. La regulación europea, recuerda, se aplica directamente a cualquier empresa cuyos sistemas de inteligencia artificial operen o produzcan efectos en el mercado comunitario, independientemente de dónde tenga su sede, del mismo modo que ocurrió en su día con el Reglamento General de Protección de Datos.

La aplicación del mencionado reglamento europeo se está produciendo de forma escalonada. Desde febrero de 2025 ya están prohibidas determinadas prácticas consideradas "inaceptables", como algunos sistemas de vigilancia biométrica masiva o mecanismos de puntuación social. Desde agosto de este año comienzan a aplicarse las obligaciones relativas a los modelos de IA de propósito general y, salvo cambios, el 2 de agosto de 2026 será la fecha más relevante para buena parte del tejido empresarial, ya que entrarán en vigor muchas de las exigencias vinculadas a los sistemas de alto riesgo. Aunque el debate público se ha centrado en el proyecto de ley español, es precisamente ese calendario europeo el que está marcando los tiempos de adaptación de las empresas y el que explica por qué cada vez más organizaciones revisen sus procesos internos.

El primer paso: saber qué IA utiliza cada empresa

Tanto el Reglamento Europeo como la futura ley española parten de una idea fundamental: no todos los sistemas de inteligencia artificial tienen el mismo nivel de riesgo y, por tanto, no todos están sometidos a las mismas obligaciones. Por ello, los expertos coinciden en que la primera tarea para cualquier organización consiste en identificar qué herramientas utiliza y cómo quedan clasificadas desde el punto de vista regulatorio.

"Lo primero de todo es clasificar sus sistemas por nivel de riesgo, porque de ahí pende todo lo demás. Mucha empresa cree que esto no va con ella pero usan IA para seleccionar personal, hacer scoring de clientes o ciertos usos biométricos ya entra en categorías exigentes", explica Pérez. El motivo es que buena parte de las obligaciones regulatorias dependen precisamente de esa clasificación inicial. Un mismo sistema puede quedar sometido a requisitos muy diferentes en función del uso que se le dé o del impacto que pueda tener sobre los ciudadanos. De ahí que los especialistas consideren que uno de los principales errores en estos momentos es no haber identificado correctamente qué herramientas de inteligencia artificial están presentes en la organización y qué riesgos regulatorios llevan asociados.

En la misma línea, Pilar Sánchez-Bleda, socia directora de Media & Tech en Auren Legal, advierte de que la consecuencia práctica será inmediata para las compañías. "Tendrán que inventariar qué sistemas de IA utilizan, para qué los usan, si son sistemas de riesgo bajo, limitado, alto o prohibido, y si actúan como proveedoras, distribuidoras, importadoras o meras usuarias de esos sistemas". La cuestión afecta especialmente a sectores como banca, seguros, recursos humanos, educación o sanidad, donde el uso de herramientas de IA se ha intensificado durante los últimos años y donde una clasificación incorrecta puede derivar en obligaciones adicionales o incluso en infracciones sancionables.

Las claves: clasificación de riesgos, transparencia y supervisión humana

Sánchez-Bleda señala que el primer paso será clasificar correctamente los sistemas de inteligencia artificial en función de su nivel de riesgo. El Reglamento Europeo distingue entre sistemas prohibidos, de alto riesgo y de riesgo limitado, una diferencia que condiciona las obligaciones que deberá asumir cada organización. Una clasificación errónea puede constituir ya una infracción grave.

Entre los ámbitos considerados de alto riesgo figuran herramientas utilizadas en recursos humanos, evaluación crediticia, sistemas antifraude, acceso a servicios esenciales o educación. En el caso de los sistemas de IA de alto riesgo desplegados en el ámbito laboral, además, las empresas deberán informar previamente tanto a los representantes de los trabajadores como a los propios afectados.

Otro de los puntos críticos será la transparencia. Las compañías tendrán que informar cuando una persona interactúe con un sistema de inteligencia artificial y también cuando se utilicen contenidos generados artificialmente, ya sean textos, imágenes, vídeos o audios. La normativa pone además el foco en determinados usos especialmente sensibles, como los deepfakes sexuales o la generación de pornografía infantil mediante inteligencia artificial.

A ello se suman las obligaciones relacionadas con la gobernanza y el control interno. Las empresas deberán acreditar aspectos como la gestión de calidad, la conservación de registros automáticos, las evaluaciones de conformidad o la designación de representantes autorizados en determinados supuestos. El cumplimiento variará en función del papel que desempeñe cada organización dentro de la cadena de valor, ya sea como proveedora, importadora, distribuidora o responsable del despliegue de la tecnología.

Sánchez-Bleda recuerda además que la inteligencia artificial no puede analizarse de forma aislada, ya que se cruza con ámbitos como la protección de datos, la propiedad intelectual, la ciberseguridad, el derecho laboral, la normativa de consumidores o la responsabilidad civil. Por ello, considera que las empresas deberán implantar una supervisión humana efectiva cuando las decisiones adoptadas mediante IA tengan consecuencias jurídicas, económicas o personales relevantes para los ciudadanos.

La AESIA, en el centro del nuevo sistema

La futura ley también termina de dibujar el mapa institucional que supervisará la inteligencia artificial en España. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada en 2023 y con sede en A Coruña, asumirá un papel central como autoridad de vigilancia en numerosos ámbitos y actuará además como punto nacional de coordinación. Su creación convirtió a España en uno de los primeros países europeos en dotarse de un organismo específico para supervisar el desarrollo y uso de esta tecnología.

Junto a ella participarán otros organismos especializados según el sector afectado, entre ellos la Agencia Española de Protección de Datos, el Banco de España, la Comisión Nacional del Mercado de Valores, la Dirección General de Seguros y Fondos de Pensiones o diferentes organismos vinculados a ámbitos específicos de supervisión. El objetivo es crear una estructura similar a la existente en otros sectores regulados, combinando una autoridad coordinadora con supervisores especializados. En la práctica, el uso de algoritmos en ámbitos financieros, aseguradores o relacionados con datos personales quedará sometido a una supervisión compartida entre distintas autoridades.

Sin embargo, Sánchez-Bleda advierte de que este modelo también plantea desafíos. La abogada considera que la distribución de competencias entre múltiples organismos puede generar incertidumbre sobre qué autoridad es competente en cada caso y aumentar el riesgo de interpretaciones divergentes. A su juicio, uno de los retos fundamentales será garantizar una coordinación efectiva que permita ofrecer seguridad jurídica a las empresas y evitar criterios contradictorios en la aplicación de la normativa. Esta cuestión será especialmente relevante en sectores donde confluyen diferentes regulaciones, como la protección de datos, los servicios financieros o los seguros.

En este contexto, buena parte del éxito del nuevo marco dependerá también de la capacidad de la AESIA para actuar no solo como organismo supervisor, sino como entidad de acompañamiento. Las empresas reclaman orientación práctica, criterios interpretativos claros y mecanismos que les permitan adaptarse a las nuevas obligaciones sin generar cargas desproporcionadas, especialmente en el caso de startups y pymes.

Multas de hasta 35 millones

La futura ley desarrolla además el régimen sancionador previsto por el Reglamento Europeo. Las infracciones más graves podrán alcanzar multas de hasta 35 millones de euros o el 7% de la facturación mundial anual del grupo empresarial, mientras que las graves podrán llegar a 7,5 millones de euros o el 2% de los ingresos globales. Sin embargo, Pérez considera necesario matizar algunos de los mensajes que han acompañado la presentación de la norma. "Las multas que están saliendo en titulares, hasta 35 millones o el 7% de la facturación, son para las infracciones más graves, las de prácticas prohibidas. No es la regla general". Además, recuerda que tanto el reglamento europeo como la futura ley contemplan criterios de proporcionalidad para pymes y startups, precisamente para evitar que los costes de cumplimiento se conviertan en una barrera insalvable para las empresas de menor tamaño.

"La nueva Ley de IA supone el fin de la era de la experimentación libre: a partir de ahora, la inteligencia artificial ya no es solo un reto del departamento de tecnología, sino un riesgo crítico de la cuenta de resultados", apunta Sánchez-Bleda. Más allá de las sanciones económicas, la normativa incorpora mecanismos que permiten retirar o desconectar sistemas de inteligencia artificial cuando hayan provocado incidentes graves o supongan riesgos inaceptables. Según destaca, una de las novedades más llamativas del texto español es precisamente la introducción del denominado "derecho de desconexión", que permitirá retirar del mercado determinados sistemas de IA que hayan causado daños especialmente relevantes. Se trata de una herramienta que busca reforzar la protección de los ciudadanos y que sitúa a España entre los primeros países europeos en desarrollar este tipo de mecanismos dentro del marco previsto por el Reglamento europeo.

Seguridad jurídica frente a sobrerregulación

Pese a las nuevas obligaciones, los especialistas rechazan una visión exclusivamente negativa de la regulación. De hecho, consideran que disponer de reglas claras puede favorecer la inversión y la adopción empresarial de la inteligencia artificial. La existencia de un marco estable y de una autoridad de referencia reduce incertidumbres en un momento en el que muchas compañías todavía dudan sobre cómo incorporar estas tecnologías a sus procesos o qué riesgos pueden asumir. La seguridad jurídica se ha convertido en una de las principales demandas de las empresas a medida que la inteligencia artificial gana presencia en la actividad económica. "La clave no está tanto en si se regula la IA, sino en cómo se ejecuta esa regulación. Bien calibrado, un marco claro da seguridad jurídica y atrae inversión", sostiene Pérez.

Sánchez-Bleda coincide en que la norma no prohíbe la innovación, sino que establece las condiciones bajo las cuales puede desarrollarse legítimamente. No obstante, advierte de que el éxito del modelo dependerá en gran medida de cómo se aplique en la práctica y de la capacidad de las autoridades para ofrecer orientación clara a las empresas. En este sentido, la abogada considera que el principal riesgo no está tanto en la existencia de la regulación como en su ejecución práctica. Las empresas deberán asumir nuevos costes de cumplimiento, auditorías y procesos de control, especialmente en el caso de startups y pymes que no cuentan con grandes departamentos jurídicos o de compliance.

¿Un modelo más restrictivo que el de los competidores?

"En perspectiva global, el modelo europeo -y por ende esta ley española- es claramente más restrictivo/regulatorio que el enfoque adoptado en Estados Unidos, donde predomina la autorregulación sectorial y las iniciativas ejecutivas no vinculantes", señala Sánchez-Bleda. También reconoce que la normativa supera en exigencia al marco chino, que regula aspectos específicos  como algoritmos de recomendación e IA generativa, pero sin un sistema de vigilancia del mercado tan articulado como el europeo. Mientras, destacad que el Reino Unido, tras el Brexit, optó por un enfoque más flexible y basado en principios, sin legislación horizontal vinculante de momento.

"En este contexto, hay voces que apuntan a que la norma española es más restrictiva que en el resto de Europa y otras, a que simplemente la norma se anticipada y es más institucionalizada en algunos aspectos. Sin embargo, la verdadera comparación habrá que hacerla cuando veamos cómo aplica la norma en otros Estados miembros y, sobre todo, cómo sancionan, cómo interpretan los sistemas de alto riesgo y qué margen real dan a la innovación empresarial.", reconoce.