Introducción
Si tu empresa usa, desarrolla o integra sistemas de inteligencia artificial, estás en un escenario regulatorio nuevo y exigente. El **Reglamento de Inteligencia Artificial** (AI Act), en vigor desde el 2 de julio de 2026, establece un marco de obligaciones con sanciones que alcanzan el 6% de la facturación anual. A esto se suma el **Reglamento de Protección de Datos (RGPD)**, que interactúa directamente con sistemas de IA que procesan información de personas.
Como abogado especialista en regulación de IA y protección de datos, he visto cómo muchas empresas descubren con sorpresa que sus sistemas requieren evaluaciones de riesgo, documentación técnica, supervisión humana y controles específicos. **El cumplimiento no es opcional.**
Este artículo te ayuda a entender qué obligaciones aplican a tu empresa y te ofrece un checklist práctico para evaluar tu situación actual.
¿Qué es el AI Act y por qué te afecta?
El AI Act es el primer reglamento integral sobre inteligencia artificial en el mundo. Define obligaciones según **el nivel de riesgo** del sistema de IA:
-
**Riesgo prohibido** (sistemas de control social, manipulación de menores, reconocimiento facial sin consentimiento)
-
**Riesgo alto** (toma de decisiones sobre crédito, empleo, acceso a servicios públicos; diagnósticos médicos)
-
**Riesgo limitado** (chatbots, deepfakes)
-
**Riesgo mínimo** (sistemas de bajo impacto)
Si tu empresa desarrolla, proporciona, usa o implementa cualquiera de estos sistemas, **tienes obligaciones legales específicas**.
Obligaciones del AI Act por tipo de empresa
1. Si desarrollas un sistema de IA (Proveedor)
Si construyes, entrenas o pones en el mercado un modelo o sistema de inteligencia artificial, eres **proveedor**, debes:
Sistemas de alto riesgo:
-
✓ Realizar una **evaluación de riesgos** documentada
-
✓ Implementar un **sistema de gestión de riesgos** que incluya monitorización continua
-
✓ Crear **documentación técnica** exhaustiva (arquitectura del modelo, datos de entrenamiento, evaluaciones)
-
✓ Implementar **registros de decisiones** (logging) para auditoría
-
✓ Establecer **supervisión humana efectiva** antes de que el sistema genere decisiones vinculantes
-
✓ Marcar el sistema con la **marca CE** de conformidad
-
✓ **Registrar el sistema** en la base de datos de la UE de sistemas de alto riesgo
Sistemas de propósito general (IA generativa):
-
✓ Documentación de entrenamiento y capacidades
-
✓ Información sobre derechos de autor y protección de contenidos
-
✓ Si tiene riesgo sistémico potencial: evaluaciones adversariales de seguridad
2. Si usas un sistema de IA en tu empresa (Deployer/Usuario)
Si implementas un sistema de IA para procesar datos de personas o tomar decisiones, eres **usuario**, debes:
Para sistemas de alto riesgo:
-
✓ Realizar un **Análisis de Impacto en la Protección de Datos (AIPD/DPIA)** si afecta a derechos de personas
-
✓ Implementar **supervisión humana**: ninguna decisión vinculante sobre un derechos puede ser puramente automática
-
✓ **Monitorizar el rendimiento** del sistema en el tiempo (evitar sesgos y discriminación)
-
✓ Informar a los **empleados y terceros afectados** sobre el uso de IA
-
✓ Garantizar la **trazabilidad** de cómo el sistema llegó a cada decisión
3. Obligaciones de Transparencia (aplica a todos)
Sea cual sea tu rol, si tu sistema interactúa con personas:
-
✓ Informar cuando usan un chatbot o agente de IA (transparencia clara)
-
✓ Etiquetar contenido manipulado (deepfakes, audio sintetizado)
-
✓ Respetar el **derecho a no ser objeto de decisiones puramente automáticas con efectos jurídicos
AI Act + RGPD: la confluencia regulatoria
El AI Act no reemplaza al RGPD; lo complementa. Si tu sistema de IA procesa datos personales, debes cumplir ambos:
RGPD — Artículos clave para sistemas de IA:
| Artículo | Obligación | Ejemplo |
| Art. 22 | Derecho a no ser objeto de decisiones puramente automáticas con efectos jurídicos | No puedes rechazar un préstamo solo por decisión de un modelo sin revisión humana |
| Art. 35 | DPIA obligatorio cuando IA procesa datos en perfiles de alto riesgo | Si usas IA para evaluación de empleados o crédito, necesitas DPIA |
| Arts. 13-14 | Información sobre lógica automatizada | Debes informar a clientes/empleados sobre cómo la IA procesa sus datos |
| Art. 17 | Derecho al olvido | Las personas pueden pedir borrar su información de los datos de entrenamiento |
| Art. 4(11) | Legitimación y proporcionalidad | Solo puedes usar IA para fines específicos, explícitos y legítimos |
El riesgo: combinar AI Act + RGPD multiplica las sanciones. RGPD llega a 20 millones o el 4% de facturación; AI Act a 30 millones o el 6%. Una violación de ambos te expone a ambas multas.
¿Cumples? REsponde las preguntAs y te enviamos un informe
Próximo paso: consulta especializada
-
Si tu empresa desarrolla o usa sistemas de IA, **la revisión legal no es un lujo: es una obligación de diligencia debida**.
Como abogado especialista en AI Act y RGPD, te ofrezco:
✓ Auditoría de cumplimiento: mapeo de tus sistemas y evaluación de riesgos legales
✓ Documentación técnico-legal: DPIA, evaluaciones de riesgo, registros de cumplimiento
✓ Supervisión humana y procesos: diseño de controles internos
✓ Seguimiento regulatorio: alertas sobre cambios en regulación y jurisprudencia
Contáctame para una consulta inicial. Evaluaremos tu situación específica y diseñaremos un plan de cumplimiento realista y proporcional a tu tamaño.
Josep Conesa Sagrera - Abogado especialista en Regulación de Inteligencia Artificial y Protección de Datos
Más información
-
Reglamento de Inteligencia Artificial (UE) 2024/1689 — https://eur-lex.europa.eu
-
Directrices de la Comisión Europea sobre AI Act — https://ec.europa.eu/digital
-
RGPD (Reglamento UE 2016/679) — https://eur-lex.europa.eu
-
Guía AEPD (Agencia Española de Protección de Datos) sobre IA y RGPD** — https://www.aepd.es)
