Una empresa tecnológica puede lanzar una herramienta de IA al mercado español y descubrir después que no sabe responder a preguntas básicas: qué rol tiene bajo el AI Act, si su sistema es de alto riesgo, qué datos ha usado para entrenar o ajustar el modelo, qué información debe dar al cliente, qué supervisión humana existe o quién responde si el sistema genera una decisión incorrecta.
Artículo escrito por
Josep Conesa Sagrera
Abogado laboralista
Josep Conesa es abogado laboralista y habla tanto español como inglés. Además, cuenta con un máster en Derecho Europeo y Derechos Fundamentales. Con más de 25 años de experiencia. Estaremos encantados de ayudarte legalmente, siempre que sea posible, en tu propio idioma.
Para una startup, SaaS, healthtech, fintech, marketplace, legaltech o empresa que integra IA en sus procesos, la revisión legal debe empezar antes del lanzamiento. No basta con comprobar que el producto funciona técnicamente. Hay que poder demostrar que el sistema ha sido clasificado, documentado, probado, explicado y gobernado de forma adecuada.
¿Qué es el AI Act y por qué afecta a empresas tecnológicas en España?
El AI Act es el primer marco jurídico integral de la Unión Europea sobre inteligencia artificial. Su lógica principal es clasificar los sistemas de IA según el riesgo que pueden generar para la seguridad, la salud, los derechos fundamentales y otros intereses protegidos. La Comisión Europea resume el enfoque en cuatro niveles: riesgo inaceptable, alto riesgo, riesgo de transparencia y riesgo mínimo o bajo.
Para una empresa tecnológica, esto significa que la obligación legal no depende solo de “usar IA”. Depende de qué hace el sistema, en qué sector se utiliza, a quién afecta, qué decisiones apoya y qué grado de control tiene la empresa sobre el desarrollo, integración o despliegue.
Un chatbot de soporte al cliente no plantea el mismo nivel de riesgo que una herramienta de selección de personal, un sistema de scoring crediticio, una solución médica, un sistema biométrico o un modelo que influye en el acceso a servicios esenciales.
Antes de lanzar un sistema de IA, ¿qué debe revisar una empresa?
La revisión debe empezar por un inventario claro. Muchas empresas no tienen un solo “producto IA”, sino varios usos dispersos: IA generativa en atención al cliente, scoring interno, recomendadores, análisis de CV, automatización documental, modelos predictivos, APIs de terceros, agentes de IA conectados a herramientas internas o funcionalidades integradas en un SaaS.
| Pregunta de control | Por qué importa |
|---|---|
| ¿Qué sistema de IA se va a lanzar? | Permite delimitar el producto, sus funciones y sus límites. |
| ¿La empresa desarrolla, integra o solo utiliza IA de un tercero? | Determina si puede ser proveedor, responsable del despliegue, distribuidor u otro operador. |
| ¿El sistema toma decisiones o solo recomienda? | Afecta al nivel de riesgo, a la supervisión humana y al RGPD. |
| ¿Afecta a empleo, crédito, educación, salud, servicios esenciales o biometría? | Puede activar la categoría de alto riesgo. |
| ¿Se usan datos personales? | Exige revisar base jurídica, transparencia, minimización, seguridad y posible evaluación de impacto. |
| ¿El usuario sabe que interactúa con IA? | Puede haber obligaciones de transparencia. |
| ¿Se genera contenido sintético, deepfake o texto informativo? | Puede exigir identificación o etiquetado del contenido generado. |
| ¿Hay trazabilidad técnica? | La empresa debe poder explicar pruebas, logs, errores, cambios y controles. |
| ¿Los contratos con clientes y proveedores cubren IA? | Reparte responsabilidades, garantías, uso de datos, auditoría y limitaciones. |
Paso 1: identificar el rol de la empresa bajo el AI Act
El primer error es pensar que todas las empresas tienen las mismas obligaciones. El AI Act distingue entre varios operadores, y las obligaciones cambian según el rol. Una empresa puede ser proveedor de un sistema de IA, responsable del despliegue, importador, distribuidor o fabricante de producto, según su intervención en la cadena de valor.
| Rol práctico | Ejemplo en una empresa tecnológica | Riesgo jurídico |
|---|---|---|
| Proveedor | Desarrolla y comercializa un sistema de IA bajo su nombre o marca. | Asume obligaciones de diseño, documentación, evaluación y conformidad si aplica. |
| Responsable del despliegue | Usa una herramienta de IA en su actividad profesional. | Debe usarla conforme a instrucciones, supervisar y cumplir obligaciones de uso. |
| Integrador | Incorpora IA de un tercero en su propio SaaS o plataforma. | Puede asumir obligaciones si modifica finalidad, marca o funcionamiento. |
| Distribuidor | Comercializa un sistema de IA de otro proveedor en la UE. | Debe revisar información, documentación y cumplimiento básico. |
| Cliente empresarial | Contrata una solución de IA para procesos internos. | Debe exigir garantías contractuales y documentación suficiente. |
Una startup que usa una API de un tercero para crear un producto propio no debería quedarse en la idea de que “la IA es del proveedor externo”. Si el producto final se vende bajo su marca, con una finalidad definida por la startup y con decisiones que afectan a usuarios, clientes o trabajadores, la responsabilidad puede desplazarse o compartirse.
Paso 2: clasificar el sistema según el nivel de riesgo
La clasificación es el núcleo de la revisión. El AI Act prohíbe determinadas prácticas por considerarlas de riesgo inaceptable. La Comisión Europea menciona, entre otras, la manipulación o engaño dañino mediante IA, la explotación de vulnerabilidades, el social scoring, ciertos usos de predicción de delitos, el scraping indiscriminado para crear bases de datos de reconocimiento facial, el reconocimiento de emociones en lugares de trabajo y centros educativos, determinadas categorizaciones biométricas y el uso de identificación biométrica remota en tiempo real por fuerzas de seguridad en espacios públicos, con excepciones estrictas.
También existen sistemas de alto riesgo. La Comisión incluye como ejemplos herramientas de IA usadas en empleo y gestión de trabajadores, acceso a educación, infraestructuras críticas, acceso a servicios esenciales, determinados usos biométricos, migración, justicia, procesos democráticos o productos regulados como ciertos dispositivos médicos o maquinaria.
| Nivel de riesgo | Ejemplo tecnológico | Qué debe hacer la empresa |
|---|---|---|
| Riesgo inaceptable | Sistema que manipula de forma dañina o explota vulnerabilidades. | No lanzar. Revisar diseño y finalidad. |
| Alto riesgo | IA para selección de personal, scoring crediticio, salud, educación o servicios esenciales. | Preparar gestión de riesgos, documentación, supervisión humana, datos, logs, ciberseguridad y conformidad. |
| Riesgo de transparencia | Chatbot, deepfake, contenido sintético, IA generativa visible para usuarios. | Informar al usuario, etiquetar cuando proceda y documentar el funcionamiento. |
| Riesgo mínimo o bajo | Filtros internos, recomendadores de bajo impacto, asistentes sin efectos relevantes. | Mantener gobernanza básica, seguridad, privacidad y control contractual. |
Paso 3: revisar si el sistema puede ser de alto riesgo
Para una empresa tecnológica, la pregunta no debe ser “¿mi sistema es IA?”, sino “¿mi sistema entra en un uso de alto riesgo?”. La diferencia es decisiva.
Los sistemas de alto riesgo están sujetos a obligaciones más estrictas antes de su comercialización o puesta en servicio. La Comisión Europea destaca obligaciones como evaluación y mitigación de riesgos, calidad de datos, registro de actividad, documentación técnica, información clara al responsable del despliegue, supervisión humana, robustez, ciberseguridad y precisión.
Casos donde una empresa tech debe tener especial cuidado
| Caso de uso | Por qué puede ser sensible |
|---|---|
| IA para selección de personal | Puede afectar al acceso al empleo y generar discriminación. |
| IA para evaluar rendimiento de trabajadores | Impacta en condiciones laborales y decisiones empresariales. |
| Scoring de clientes o usuarios | Puede afectar al acceso a servicios, financiación o condiciones contractuales. |
| IA sanitaria o healthtech | Puede afectar a salud, diagnóstico, triaje o recomendaciones clínicas. |
| IA en educación | Puede condicionar acceso, evaluación o trayectoria formativa. |
| Sistemas biométricos | Pueden afectar identidad, privacidad y derechos fundamentales. |
| IA para compliance o fraude | Puede generar falsos positivos con consecuencias jurídicas o económicas. |
| Agentes de IA con acciones autónomas | Pueden ejecutar tareas, enviar comunicaciones o modificar sistemas sin intervención inmediata. |
Paso 4: comprobar las fechas de aplicación relevantes
El calendario importa porque algunas obligaciones ya son aplicables y otras se despliegan por fases. Según la Comisión Europea, el AI Act entró en vigor el 1 de agosto de 2024, las prohibiciones y la alfabetización en IA se aplican desde el 2 de febrero de 2025, las reglas de gobernanza y de modelos de propósito general desde el 2 de agosto de 2025, y el marco general desde el 2 de agosto de 2026.
La propia Comisión también ha indicado una actualización del calendario para ciertos sistemas de alto riesgo: los sistemas utilizados en determinadas áreas de alto riesgo, como biometría, infraestructuras críticas, educación, empleo, migración, asilo y control fronterizo, pasarían a aplicar desde el 2 de diciembre de 2027, mientras que los sistemas integrados en productos como ascensores o juguetes tendrían plazo hasta el 2 de agosto de 2028, en el contexto del paquete de simplificación del AI Act.
| Fecha | Qué revisar |
|---|---|
| 1 de agosto de 2024 | Entrada en vigor del AI Act. |
| 2 de febrero de 2025 | Prohibiciones de prácticas de IA y obligación de alfabetización en IA. |
| 2 de agosto de 2025 | Gobernanza y obligaciones para modelos de IA de propósito general. |
| 2 de agosto de 2026 | Aplicación general del AI Act, con reglas específicas por categoría. |
| 2 de diciembre de 2027 | Calendario indicado por la Comisión para determinadas áreas de alto riesgo. |
| 2 de agosto de 2028 | Calendario indicado para ciertos sistemas de alto riesgo integrados en productos regulados. |
La conclusión práctica es clara: esperar al último momento es una mala estrategia. La documentación, las pruebas, los contratos y la gobernanza no se preparan en una semana.
Paso 5: revisar los datos personales y el RGPD
El AI Act no sustituye al RGPD. Si el sistema de IA trata datos personales, la empresa debe revisar también la base jurídica, el deber de información, la minimización de datos, la conservación, la seguridad, las transferencias internacionales, los derechos de los interesados y la relación con encargados de tratamiento.
En sistemas de IA que evalúan aspectos personales, perfilan usuarios o pueden producir efectos relevantes sobre personas físicas, puede ser necesaria una evaluación de impacto en protección de datos. El artículo 35 del RGPD exige una evaluación de impacto cuando un tratamiento, especialmente mediante nuevas tecnologías, pueda implicar alto riesgo para los derechos y libertades de las personas, y menciona expresamente la evaluación sistemática y extensa de aspectos personales basada en tratamiento automatizado, incluida la elaboración de perfiles, cuando produzca efectos jurídicos o afecte significativamente a la persona.
| Pregunta RGPD | Riesgo que controla |
|---|---|
| ¿Qué datos personales usa el sistema? | Evita tratamientos excesivos o no identificados. |
| ¿Hay datos sensibles? | Aumenta el nivel de riesgo y las exigencias legales. |
| ¿Cuál es la base jurídica? | Sin base jurídica, el tratamiento puede ser ilícito. |
| ¿Se usan datos para entrenamiento, fine-tuning o evaluación? | Debe informarse y justificarse correctamente. |
| ¿Hay decisiones automatizadas relevantes? | Puede activar garantías adicionales. |
| ¿Se transfiere información fuera del EEE? | Exige revisar garantías de transferencia internacional. |
| ¿El proveedor usa los datos del cliente para mejorar su modelo? | Debe regularse en contrato y política de privacidad. |
Paso 6: documentar la finalidad y los límites del sistema
Una empresa debe poder explicar para qué sirve su sistema de IA y para qué no debe utilizarse. Esta delimitación no es solo técnica; también es legal y comercial.
Por ejemplo, una herramienta que resume documentos no debería presentarse como una herramienta que decide automáticamente la viabilidad jurídica de una reclamación. Un asistente de RR. HH. no debería convertirse, sin control, en un filtro de selección de candidatos. Un chatbot de atención al cliente no debería generar compromisos contractuales sin revisión.
| Elemento | Qué documentar |
|---|---|
| Finalidad prevista | Qué problema resuelve el sistema. |
| Usuarios previstos | Quién puede usarlo y con qué perfil. |
| Contexto de uso | Sector, país, idioma, clientes y límites. |
| Usos prohibidos | Qué no debe hacer el usuario con el sistema. |
| Nivel de autonomía | Si recomienda, prioriza, genera contenido o ejecuta acciones. |
| Supervisión humana | Quién revisa y cuándo puede intervenir. |
| Escalado | Cuándo se deriva a una persona o equipo responsable. |
Paso 7: preparar la documentación técnica y legal
La documentación será una de las diferencias entre una empresa preparada y una empresa expuesta. No sirve una carpeta genérica con una política de privacidad y unas condiciones de uso copiadas de otro producto. La documentación debe conectar el sistema real con sus riesgos reales.
| Documento | Para qué sirve |
|---|---|
| Inventario de sistemas de IA | Identifica todos los usos internos y externos de IA. |
| Ficha de clasificación de riesgo | Justifica si el sistema es mínimo, transparencia, alto riesgo o prohibido. |
| Evaluación de impacto AI Act | Analiza riesgos para derechos, seguridad, discriminación y uso indebido. |
| Evaluación de impacto RGPD | Evalúa riesgos de protección de datos cuando proceda. |
| Documentación técnica | Explica arquitectura, datos, modelo, métricas, pruebas y límites. |
| Registro de pruebas | Acredita testeo, validación, sesgos, errores y medidas correctoras. |
| Política de supervisión humana | Define intervención, revisión y responsabilidad interna. |
| Procedimiento de incidentes | Establece cómo detectar, escalar y corregir fallos. |
| Contratos con proveedores | Regula datos, seguridad, subprocesadores, IA generativa y responsabilidades. |
| Información para clientes y usuarios | Explica de forma clara el uso de IA y sus límites. |
Paso 8: revisar obligaciones de transparencia
El AI Act introduce obligaciones específicas de transparencia para ciertos sistemas. La Comisión Europea menciona que los usuarios deben ser informados cuando interactúan con sistemas como chatbots, y que determinados contenidos generados por IA, como deepfakes o contenidos publicados para informar al público sobre asuntos de interés público, deben identificarse o etiquetarse de forma clara cuando proceda.
Para una empresa tecnológica, la transparencia no debe verse como un aviso decorativo. Debe estar integrada en el diseño del producto, en los términos de uso, en la interfaz, en la política de privacidad, en las instrucciones para clientes empresariales y en los flujos donde el usuario pueda verse afectado.
| Situación | Medida práctica |
|---|---|
| Chatbot de atención al cliente | Informar de que el usuario interactúa con IA. |
| Generación de imágenes, voz o vídeo | Evaluar obligaciones de marcado, etiquetado o advertencia. |
| Deepfakes o contenido sintético realista | Revisar riesgos de imagen, honor, consentimiento y transparencia. |
| IA que asiste en decisiones empresariales | Informar al cliente del alcance, límites y supervisión necesaria. |
| Texto generado para informar al público | Revisar obligaciones de identificación del contenido generado. |
Paso 9: revisar contratos con clientes, proveedores e inversores
Una empresa tecnológica no solo debe cumplir internamente. También debe poder trasladar garantías a clientes, inversores, partners y proveedores. El contrato debe dejar claro qué hace el sistema, qué no hace, qué datos se usan, qué controles existen y quién responde en cada escenario.
| Contrato | Cláusulas que conviene revisar |
|---|---|
| Contrato SaaS B2B | Uso permitido, límites de IA, responsabilidad, SLA, auditoría y seguridad. |
| DPA / contrato de encargado | Tratamiento de datos, subencargados, transferencias y uso para entrenamiento. |
| Contrato con proveedor de IA | Garantías de cumplimiento, documentación, seguridad, trazabilidad y cambios. |
| Condiciones de uso | Prohibiciones, uso responsable, contenidos generados, suspensión y abusos. |
| Contrato enterprise | Requisitos de auditoría, logs, reporting, incidentes, indemnidad y soporte. |
| Pacto de socios / inversión | Titularidad de software, propiedad intelectual, compliance y due diligence. |
Paso 10: establecer gobernanza interna de IA
El AI Act exige mirar más allá del producto. Una empresa debe controlar cómo se diseña, compra, prueba, utiliza y actualiza la IA. Esto afecta a dirección, legal, protección de datos, seguridad, producto, ingeniería, ventas y recursos humanos.
La Comisión Europea también destaca la obligación de alfabetización en IA, aplicable desde febrero de 2025. Esto exige que las organizaciones no solo tengan políticas, sino que las personas que usan o gestionan sistemas de IA comprendan sus riesgos, límites y responsabilidades.
| Área interna | Responsabilidad |
|---|---|
| Dirección | Aprobar política de IA y tolerancia al riesgo. |
| Legal / compliance | Clasificar sistemas, contratos, evidencias y obligaciones. |
| DPO / privacidad | Revisar RGPD, evaluaciones de impacto y derechos de usuarios. |
| Seguridad | Revisar accesos, logs, incidentes, proveedores y ciberseguridad. |
| Producto | Integrar transparencia, límites y supervisión en la interfaz. |
| Ingeniería | Documentar arquitectura, pruebas, datasets, cambios y rendimiento. |
| RR. HH. | Formar equipos y controlar usos de IA en empleo y gestión laboral. |
| Ventas | Evitar promesas comerciales que el sistema no pueda sostener legalmente. |
Diagrama: revisión legal antes de lanzar un sistema de IA en España
Checklist legal antes del lanzamiento
| Área | Pregunta | Estado |
|---|---|---|
| Inventario | ¿Existe una ficha del sistema de IA? | Pendiente / Revisado |
| Rol | ¿La empresa sabe si es proveedor, desplegador o integrador? | Pendiente / Revisado |
| Riesgo | ¿Se ha clasificado el sistema según el AI Act? | Pendiente / Revisado |
| Prohibiciones | ¿Se ha descartado que entre en una práctica prohibida? | Pendiente / Revisado |
| Alto riesgo | ¿Se ha revisado si afecta a empleo, salud, educación, biometría, crédito o servicios esenciales? | Pendiente / Revisado |
| Transparencia | ¿El usuario sabe cuándo interactúa con IA? | Pendiente / Revisado |
| RGPD | ¿Se ha revisado base jurídica, información, minimización y seguridad? | Pendiente / Revisado |
| EIPD | ¿Se ha valorado si hace falta evaluación de impacto de protección de datos? | Pendiente / Revisado |
| Datos | ¿Se sabe qué datos se usan para entrenar, ajustar, probar o explotar el sistema? | Pendiente / Revisado |
| Proveedores | ¿Los contratos regulan uso de datos, subencargados, cambios y auditoría? | Pendiente / Revisado |
| Seguridad | ¿Hay controles de acceso, logs, incidentes y ciberseguridad? | Pendiente / Revisado |
| Supervisión humana | ¿Existe intervención humana real y documentada cuando procede? | Pendiente / Revisado |
| Documentación | ¿Hay documentación técnica y legal suficiente? | Pendiente / Revisado |
| Formación | ¿Los equipos han recibido formación sobre uso responsable de IA? | Pendiente / Revisado |
| Post-lanzamiento | ¿Hay monitorización, revisión de errores e incidentes? | Pendiente / Revisado |
¿Qué papel tiene AESIA en España?
España creó la Agencia Española de Supervisión de Inteligencia Artificial mediante el Real Decreto 729/2023, de 22 de agosto. El BOE configura la AESIA como una agencia estatal con personalidad jurídica pública, patrimonio propio y autonomía de gestión.
El estatuto de la Agencia prevé funciones de supervisión y, en su caso, sanción de sistemas de inteligencia artificial para reducir riesgos sobre integridad, intimidad, igualdad de trato, no discriminación y otros derechos fundamentales. También incluye funciones de concienciación, formación, asesoramiento y apoyo al desarrollo responsable de la IA.
Para una empresa tecnológica, esto confirma que la supervisión de IA en España no será solo una cuestión europea. También habrá interlocución, criterios, guías, actuaciones y posible control nacional.
Errores frecuentes antes de lanzar IA
- Lanzar el producto sin clasificar el sistema por nivel de riesgo.
- Pensar que usar una API de un tercero elimina la responsabilidad propia.
- No revisar si el caso de uso afecta a empleo, crédito, salud, educación o servicios esenciales.
- No informar al usuario de que está interactuando con IA.
- No revisar si el contenido generado debe etiquetarse.
- Usar datos personales para entrenar o ajustar modelos sin base jurídica clara.
- No firmar contratos adecuados con proveedores de IA.
- No tener logs, trazabilidad ni documentación técnica.
- No prever supervisión humana real.
- Vender el sistema como “automático” sin explicar límites, errores o intervención humana.
- No formar a equipos comerciales, producto y soporte.
- No preparar documentación para clientes enterprise, inversores o auditorías.
Tabla de prioridad para una empresa tecnológica
| Prioridad | Acción | Cuándo hacerlo |
|---|---|---|
| Alta | Inventario de sistemas de IA | Antes de lanzar o integrar cualquier funcionalidad. |
| Alta | Clasificación de riesgo AI Act | Antes de comercializar. |
| Alta | Revisión RGPD y datos personales | Antes de tratar datos reales. |
| Alta | Contratos con proveedores de IA | Antes de conectar APIs o procesar datos de clientes. |
| Alta | Transparencia para usuarios | Antes de publicar la interfaz. |
| Media | Evaluación de impacto AI Act | Si hay riesgo relevante o sector sensible. |
| Media | Evaluación de impacto RGPD | Si hay alto riesgo para derechos y libertades. |
| Media | Política interna de IA | Antes de escalar el uso interno. |
| Media | Formación de equipos | Antes de que ventas, soporte o RR. HH. usen IA. |
| Media | Auditoría post-lanzamiento | Tras el despliegue y en cada cambio relevante. |
Conclusión
El AI Act obliga a las empresas tecnológicas a cambiar la forma de lanzar productos de IA. La revisión legal ya no puede llegar al final, cuando el producto está diseñado, vendido y conectado a datos reales. Debe formar parte del ciclo de desarrollo.
Antes de lanzar un sistema de IA en España, una empresa debe saber qué rol tiene, qué nivel de riesgo asume, qué datos trata, qué debe informar al usuario, qué contratos necesita, qué documentación puede enseñar y cómo va a controlar el sistema después del lanzamiento.
En Conesa Legal asesoramos a empresas tecnológicas, startups y compañías que integran inteligencia artificial en sus productos o procesos internos. Revisamos el encaje del sistema bajo el AI Act, su relación con la asesoría en protección de datos, el compliance empresarial, los contratos con proveedores y clientes desde una asesoría mercantil, la implantación del canal de denuncias y la due diligence previa a operaciones o inversiones.
Explíquenos su caso y revisaremos qué necesita su empresa antes de lanzar o escalar un sistema de inteligencia artificial en España.
Preguntas frecuentes sobre AI Act 2026 para empresas tecnológicas
¿El AI Act se aplica a cualquier empresa que use inteligencia artificial?
No todas las empresas tendrán las mismas obligaciones. El nivel de exigencia depende del rol de la empresa, del tipo de sistema, del sector y del riesgo que genere. No es lo mismo usar IA para filtrar spam que usarla para seleccionar personal, evaluar crédito o apoyar decisiones sanitarias.
¿Una startup que usa una API de IA externa también puede tener obligaciones?
Sí. Aunque el modelo sea de un tercero, la startup puede asumir obligaciones si integra la IA en su producto, define la finalidad, la comercializa bajo su marca o la utiliza para afectar a clientes, usuarios o trabajadores.
¿Qué sistemas de IA son de alto riesgo?
Pueden ser de alto riesgo, entre otros, sistemas usados en empleo, educación, infraestructuras críticas, acceso a servicios esenciales, determinados usos biométricos, migración, justicia o productos regulados. Cada caso debe analizarse según la finalidad real del sistema.
¿Cuándo se aplica el AI Act?
El AI Act entró en vigor el 1 de agosto de 2024. Algunas obligaciones ya son aplicables desde 2025 y el marco general se despliega en 2026, con calendarios específicos para determinados sistemas de alto riesgo.
¿El AI Act sustituye al RGPD?
No. Si el sistema trata datos personales, la empresa debe cumplir también el RGPD. En muchos proyectos de IA, la revisión de protección de datos será tan importante como la revisión del AI Act.
¿Qué documentación debe preparar una empresa antes de lanzar IA?
Como mínimo, conviene preparar inventario del sistema, clasificación de riesgo, documentación técnica, revisión de datos, contratos con proveedores, información al usuario, política de supervisión humana, logs, pruebas y procedimiento de incidentes.
¿Quién supervisa el AI Act en España?
España creó la Agencia Española de Supervisión de Inteligencia Artificial, AESIA, mediante el Real Decreto 729/2023. Su estatuto prevé funciones de supervisión, certificación, formación, concienciación y apoyo al uso responsable de la IA.
Sigue leyendo
- Guía completa sobre el nuevo Reglamento Europeo de Inteligencia Artificial
- Cumplir con el RGPD: mucho más que colgar una política de privacidad
- Cuándo es necesario un Delegado de Protección de Datos
- ¿Se puede usar biometría para fichar en la empresa?
- Canal de denuncias: la nueva Autoridad Independiente de Protección del Informante
Fuentes principales
- Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (AI Act), EUR-Lex: enfoque basado en riesgos, prohibiciones, sistemas de alto riesgo, transparencia, GPAI y calendario de aplicación.
- Real Decreto 729/2023, de 22 de agosto, BOE, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial.
- Reglamento (UE) 2016/679 (RGPD), artículo 35, EUR-Lex: evaluación de impacto relativa a la protección de datos.
- Comisión Europea, marco regulador de la IA: síntesis oficial del enfoque de riesgos y calendario de aplicación.
¿Va a lanzar o escalar un sistema de IA en España?
Revisamos el encaje legal de su producto antes de que se convierta en un problema comercial, contractual o regulatorio. En una primera conversación identificamos su rol bajo el AI Act, el nivel de riesgo y los siguientes pasos prioritarios.
- Rol de su empresa: proveedor, integrador o responsable del despliegue.
- Clasificación de riesgo del sistema y hoja de ruta documental.
- Encaje combinado AI Act, RGPD y contratos con clientes y proveedores.

