España está tramitando el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. La futura ley española de inteligencia artificial servirá para adaptar en España el Reglamento Europeo de Inteligencia Artificial y concretar cómo se supervisará su cumplimiento. Las empresas podrán seguir utilizando inteligencia artificial, pero deberán hacerlo de forma más controlada, transparente y responsable, especialmente cuando su uso pueda afectar a personas, derechos o ámbitos sensibles.
La clave no está solo en saber si una empresa utiliza IA, sino en identificar para qué la utiliza, con qué datos, con qué nivel de intervención humana, qué personas pueden verse afectadas y qué obligaciones concretas se derivan de cada uso.
Reglamento europeo y ley española de inteligencia artificial
El Reglamento Europeo de Inteligencia Artificial es la norma principal. Establece las obligaciones de fondo: qué usos están prohibidos, qué sistemas se consideran de alto riesgo, qué requisitos de transparencia existen y qué obligaciones deben cumplir proveedores y empresas usuarias.
La futura ley española de inteligencia artificial no sustituye al Reglamento Europeo. Su función es concretar cómo se aplicará ese marco en España: qué autoridades supervisarán el cumplimiento, cómo podrán presentarse reclamaciones y qué sanciones podrán imponerse.
Por eso, las empresas deben tener en cuenta tanto el Reglamento Europeo como la normativa española que lo desarrollará en nuestro país.
No todas las empresas tienen las mismas obligaciones
Uno de los puntos más importantes del nuevo marco normativo es que las obligaciones dependen del tipo de uso de IA y del papel que tenga la empresa.
No es lo mismo utilizar una herramienta de IA para redactar un texto, resumir un documento o generar ideas que emplearla para seleccionar candidatos, evaluar empleados, conceder créditos, calcular primas de seguros, apoyar decisiones médicas, valorar el acceso a servicios esenciales o influir en decisiones que afectan directamente a una persona.
Tampoco es lo mismo desarrollar un sistema de IA, comercializarlo, integrarlo en un producto, distribuirlo o simplemente utilizarlo dentro de la empresa. El Reglamento distingue entre distintos operadores, como proveedores, responsables del despliegue, importadores o distribuidores. Cada uno puede tener obligaciones diferentes.
Por eso, antes de adoptar medidas internas, la empresa debe saber qué papel ocupa y qué tipo de sistema está utilizando.
El primer paso: saber dónde se está usando IA
Antes de hablar de sanciones, autorizaciones o políticas internas, cualquier empresa debería empezar por identificar dónde está utilizando inteligencia artificial. Esta revisión inicial debe incluir, al menos, las siguientes preguntas:
- ¿Qué herramientas de IA estamos usando?
- ¿Para qué las usamos?
- ¿Qué datos introducimos en ellas?
- ¿Afectan los resultados a clientes, empleados, candidatos u otras personas?
- ¿Quién revisa lo que genera la IA?
- ¿Tenemos que informar de que estamos usando IA?
Este inventario permite distinguir entre usos sencillos, usos que requieren reglas internas y usos que pueden estar sujetos a obligaciones reforzadas.
Usos prohibidos, alto riesgo y obligaciones de transparencia
El Reglamento Europeo de IA parte de una clasificación por niveles de riesgo.
Algunas prácticas están prohibidas porque se consideran incompatibles con los derechos y valores protegidos por la normativa europea. Entre ellas pueden incluirse determinados usos manipuladores, la explotación de vulnerabilidades, ciertos sistemas de puntuación social, determinados usos biométricos o sistemas de identificación biométrica remota en espacios públicos, salvo excepciones muy limitadas.
Otros sistemas se consideran de alto riesgo. En estos casos, la IA puede utilizarse, pero con garantías reforzadas. Esto puede afectar, por ejemplo, a determinados usos en empleo, educación, servicios esenciales, crédito, seguros de vida y salud, justicia, migración, infraestructuras críticas o procesos democráticos.
También existen sistemas que no son necesariamente de alto riesgo, pero sí están sujetos a obligaciones de transparencia. Esto puede ocurrir cuando una persona interactúa con un chatbot o asistente virtual, cuando se generan determinados contenidos sintéticos, cuando se utilizan sistemas de reconocimiento de emociones o categorización biométrica, o cuando se crean o manipulan imágenes, audios, vídeos o textos que pueden inducir a confusión.
Por último, muchos usos cotidianos de IA pueden ser de bajo riesgo o riesgo mínimo. En estos casos, la normativa no impone las mismas obligaciones, aunque sigue siendo recomendable establecer reglas internas, controles de seguridad y formación para los equipos.
Supervisión humana: la IA no debe decidir sola en procesos sensibles
La inteligencia artificial puede ayudar a analizar información, generar propuestas o acelerar tareas, pero no debería sustituir sin control el criterio humano en decisiones importantes.
En los sistemas de alto riesgo, la supervisión humana no es solo una buena práctica, sino una obligación esencial. La empresa debe asegurarse de que las personas que supervisan el sistema tienen competencia, formación y autoridad suficiente para interpretar los resultados, detectar errores, corregir desviaciones y, cuando sea necesario, no seguir la recomendación de la IA.
En la práctica, esto significa definir quién revisa los resultados generados por IA, quién toma la decisión final, qué margen real tiene esa persona para cuestionar el resultado y qué mecanismos existen para detectar errores, sesgos o impactos negativos.
Cuanto mayor sea el impacto de la IA sobre una persona, mayor debería ser el nivel de revisión, trazabilidad y control.
Transparencia y etiquetado: informar antes, no después
Uno de los puntos más importantes del nuevo marco normativo es la transparencia. En determinados casos, las personas deberán saber que están interactuando con un sistema de inteligencia artificial o que un contenido ha sido generado o manipulado mediante IA.
Esto puede afectar, por ejemplo, a chatbots, asistentes virtuales, imágenes, audios, vídeos, deepfakes o contenidos generados con IA sobre asuntos de interés público.
La información debe ofrecerse de forma clara, visible y en el momento adecuado. No sirve avisar tarde, cuando ya se ha producido una confusión, un perjuicio o una pérdida de confianza.
Pero es importante analizar cada caso, ya que, como hemos dicho, no todos los usos obligan a informar o etiquetar del mismo modo. Hay que analizar qué herramienta se utiliza, con qué finalidad, quién es el destinatario del resultado y si existe riesgo de que una persona crea que está interactuando con una persona real o que un contenido artificial es auténtico.
Datos, confidencialidad y seguridad
El uso de IA también debe respetar otras normas ya existentes, especialmente en materia de protección de datos, confidencialidad, propiedad intelectual, relaciones laborales, consumidores y ciberseguridad.
Uno de los errores más frecuentes es introducir datos personales, información confidencial o documentos internos en herramientas de IA sin revisar antes sus condiciones de uso.
Antes de utilizar una herramienta de IA, la empresa debería comprobar qué datos se van a introducir: Si hay datos personales, sensibles o confidenciales; si la herramienta puede usar esos datos para entrenar modelos; dónde se almacenan los datos; quién puede acceder a la información; qué garantías ofrece el proveedor; qué medidas de seguridad existen.
La IA no elimina las obligaciones de protección de datos ni de confidencialidad. Al contrario, puede hacer que sea necesario reforzarlas.
Contratos, proveedores y responsabilidades
Otro punto que las empresas no deberían pasar por alto es la revisión de proveedores.
Muchas organizaciones utilizan soluciones de IA de terceros sin analizar suficientemente sus condiciones contractuales. Sin embargo, el contrato debería ayudar a aclarar cuestiones esenciales: qué sistema se está utilizando, para qué finalidad, qué datos trata, qué garantías ofrece el proveedor, qué documentación facilita, qué medidas de seguridad aplica, qué ocurre con los datos introducidos y qué responsabilidades asume cada parte.
Además, si una empresa modifica sustancialmente un sistema, lo integra en sus propios procesos o lo utiliza para una finalidad distinta de la prevista, puede asumir obligaciones adicionales. Por eso, no basta con saber qué herramienta se usa, también hay que analizar cómo se usa en la práctica.
Formación y alfabetización en IA
Los equipos deben saber qué pueden y qué no pueden hacer con estas herramientas, qué datos no deben introducir, cómo revisar los resultados, cuándo deben pedir autorización, qué riesgos pueden aparecer y cuándo es necesario escalar una decisión.
Una política interna solo será útil si las personas que usan IA entienden sus límites. La formación ayuda a reducir errores, usos indebidos, filtraciones de información, decisiones automatizadas mal supervisadas y expectativas poco realistas sobre la tecnología.
Autoridades y sanciones
El proyecto de ley español prevé que la Agencia Española de Supervisión de Inteligencia Artificial, AESIA, tenga un papel central en la supervisión del uso de la IA en España. También podrán intervenir otras autoridades según el sector o el tipo de sistema utilizado, por ejemplo en materia de protección de datos, justicia, banca, mercados financieros o seguros.
El proyecto español también concreta el régimen sancionador. En los casos más graves, las multas pueden llegar hasta 35 millones de euros o el 7 % del volumen de negocios mundial total de la empresa correspondiente al ejercicio anterior. Otras infracciones muy graves pueden alcanzar 15 millones de euros o el 3 %. Las infracciones graves pueden llegar hasta 7,5 millones de euros o el 1 %, y las leves hasta 500.000 euros o el 0,5 %.
Aunque no todas las empresas estarán expuestas al mismo nivel de riesgo, estas cifras muestran la importancia de actuar con anticipación.
Qué deberían hacer ya las empresas
La ley española todavía está en tramitación, pero muchas obligaciones derivan ya del Reglamento Europeo de IA y de otras normas vigentes.
Una preparación razonable puede empezar con medidas sencillas:
- Identificar qué herramientas de IA se utilizan en la organización.
- Diferenciar entre usos personales, usos internos y usos integrados en procesos de negocio.
- Revisar qué datos se introducen en esas herramientas.
- Detectar si la IA se utiliza en procesos que afectan a personas.
- Establecer reglas internas sobre qué usos están permitidos, cuáles requieren autorización previa, quién debe revisar los resultados y quién asume la responsabilidad de cada proceso.
- Informar o etiquetar el uso de IA cuando sea necesario.
- Revisar contratos y condiciones de proveedores.
- Formar a los equipos en un uso seguro, responsable y crítico de estas herramientas.
No es necesario empezar con un documento complejo. Para muchas empresas, el primer paso puede ser una política interna que defina qué herramientas están permitidas, qué datos no deben introducirse, qué usos requieren autorización, cómo deben revisarse los resultados y quién es responsable de cada proceso.
También debería incluir pautas específicas para las áreas que trabajan con datos personales, información confidencial, documentación sensible o decisiones que afectan a clientes, empleados, candidatos o usuarios.
Prepararse no significa dejar de usar IA, sino utilizarla mejor. La inteligencia artificial puede aportar eficiencia, innovación y nuevas oportunidades, pero su implantación debe hacerse con criterio.
Una política interna clara ayudará a las empresas a aprovechar sus ventajas, reducir riesgos y generar más confianza.
Fuentes consultadas
Boletín Oficial de las Cortes Generales — Congreso de los Diputados, Serie A: texto del Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial.
Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, por el que se establecen normas armonizadas en materia de inteligencia artificial.
Comisión Europea — Código de buenas prácticas sobre marcado y etiquetado de contenidos generados por IA.
