17 de junio de 2026

No todos los usos de inteligencia artificial son iguales: cómo saber qué obligaciones puede tener una empresa

Imagen conceptual que muestra los diferentes usos de la inteligencia artificial

Una de las ideas más importantes del Reglamento Europeo de Inteligencia Artificial es que no todos los usos de IA se regulan igual.

La norma no parte de la idea de que toda inteligencia artificial sea peligrosa ni de que cualquier herramienta de IA deba someterse a las mismas obligaciones. Al contrario, establece un enfoque basado en el riesgo: cuanto mayor sea el posible impacto de un sistema de IA sobre las personas, sus derechos o determinados ámbitos sensibles, mayores serán las obligaciones.

Para las empresas, esta idea es clave. No es lo mismo utilizar una herramienta para redactar un texto, resumir un documento o generar ideas que emplear IA para seleccionar candidatos, evaluar empleados, conceder créditos, calcular primas de seguros, apoyar decisiones médicas o valorar el acceso a servicios esenciales.

Por eso, antes de preguntarse “qué tengo que hacer para cumplir con la normativa de IA”, la empresa debería plantearse una pregunta previa: ¿para qué estamos usando la IA?

El enfoque del Reglamento Europeo: obligaciones según el riesgo

El Reglamento Europeo de IA clasifica los sistemas y usos de inteligencia artificial en función del riesgo que pueden generar. De forma simplificada, podemos distinguir cuatro grandes categorías:

usos prohibidos;
sistemas de alto riesgo;
sistemas sujetos a obligaciones de transparencia;
y usos de bajo riesgo o riesgo mínimo.

Además, el Reglamento incluye reglas específicas para los modelos de IA de uso general, que pueden integrarse en muchas herramientas y servicios distintos.

Esta clasificación es importante porque determina qué obligaciones debe cumplir cada operador. En algunos casos, el uso estará prohibido. En otros, podrá utilizarse, pero con garantías reforzadas. En otros, bastará con cumplir determinadas obligaciones de información o transparencia. Y, en muchos usos cotidianos, la normativa no exigirá medidas tan intensas, aunque siga siendo recomendable aplicar reglas internas de seguridad, confidencialidad y revisión humana.

Antes de clasificar el riesgo: qué papel tiene la empresa:

Además de analizar para qué se usa la IA, la empresa debe tener claro qué papel ocupa frente al sistema.

No es lo mismo desarrollar o comercializar una solución de IA que utilizar una herramienta de un tercero dentro de la organización. Tampoco es igual usar un sistema tal como fue diseñado que modificarlo, integrarlo en un producto propio o aplicarlo a una finalidad distinta.

Esta distinción puede cambiar las obligaciones que asume la empresa. Por eso, el análisis debe empezar con dos preguntas: qué uso hacemos de la IA y qué papel tenemos respecto del sistema.

1. Usos prohibidos: cuando la IA no debe utilizarse

El primer nivel es el de las prácticas prohibidas.

Se trata de usos de IA que el Reglamento considera incompatibles con los derechos y valores protegidos por la Unión Europea. En estos casos, la cuestión no es qué controles aplicar, sino que el uso no debe realizarse salvo supuestos excepcionales expresamente previstos.

Entre estas prácticas se incluyen, por ejemplo, determinados sistemas que emplean técnicas manipuladoras o engañosas para alterar de forma significativa el comportamiento de una persona; usos que explotan vulnerabilidades por edad, discapacidad o situación social o económica; sistemas de puntuación social; determinadas formas de clasificación biométrica basadas en categorías sensibles; algunos usos de reconocimiento de emociones en el ámbito laboral o educativo; y determinados sistemas de identificación biométrica remota en espacios de acceso público, salvo excepciones muy tasadas.

2. Sistemas de alto riesgo: la IA puede usarse, pero con garantías reforzadas

El segundo bloque es el de los sistemas de alto riesgo. Aquí la IA no está prohibida, pero su uso puede tener un impacto relevante sobre las personas o sobre ámbitos especialmente sensibles. Por eso, el Reglamento permite su utilización, pero exige controles más estrictos.

Pueden ser sistemas de alto riesgo, entre otros, determinados usos de IA en empleo, educación, formación profesional, infraestructuras críticas, servicios esenciales, acceso al crédito, seguros de vida y salud, justicia, migración, asilo, control fronterizo o procesos democráticos.

En el ámbito empresarial, algunos ejemplos especialmente relevantes pueden aparecer en recursos humanos, selección de personal, evaluación del rendimiento, promoción interna, asignación de tareas, concesión de determinados servicios, scoring de clientes, análisis de solvencia o decisiones que condicionan el acceso de una persona a oportunidades, prestaciones o servicios.

En estos casos, las obligaciones son más exigentes. Entre otras cuestiones, pueden requerirse sistemas de gestión de riesgos, calidad y gobernanza de datos, documentación técnica, registros, transparencia, instrucciones de uso, supervisión humana, precisión, robustez y ciberseguridad.

Además, no solo tienen obligaciones quienes desarrollan o comercializan estos sistemas. Las empresas que los utilizan también pueden tener responsabilidades como responsables del despliegue. Por ejemplo, deberán usar el sistema conforme a las instrucciones, asegurar una supervisión humana adecuada, conservar determinados registros cuando proceda, vigilar el funcionamiento del sistema y actuar si detectan riesgos, errores o resultados discriminatorios.

Una empresa que utilice IA en procesos sensibles tiene que entender qué hace el sistema, para qué se ha diseñado, qué documentación ofrece el proveedor, qué datos utiliza, qué personas pueden verse afectadas y qué control humano existe sobre sus resultados.

3. Obligaciones de transparencia: cuando hay que informar de que se usa IA

El tercer bloque es el de los sistemas sujetos a obligaciones específicas de transparencia.

En estos casos, el riesgo puede no ser tan elevado como en los sistemas de alto riesgo, pero la persona afectada necesita saber que está interactuando con IA o que un contenido ha sido generado o manipulado artificialmente.

Esto puede ocurrir, por ejemplo, con chatbots o asistentes virtuales que interactúan directamente con personas. Si una persona cree que está hablando con un ser humano cuando en realidad está interactuando con un sistema de IA, puede tomar decisiones o facilitar información sin comprender bien el contexto. Por eso, en determinados casos deberá informarse de forma clara de que se está interactuando con IA.

También pueden existir obligaciones de transparencia en relación con contenidos generados o manipulados mediante IA, como imágenes, audios, vídeos o deepfakes. La finalidad es evitar que una persona confunda un contenido artificial con uno real, especialmente cuando pueda afectar a la confianza, la reputación, la opinión pública o los derechos de terceros.

Además, hay obligaciones específicas para ciertos sistemas de reconocimiento de emociones o categorización biométrica, así como para determinados textos generados con IA que se publiquen para informar al público sobre asuntos de interés público.

En definitiva, cuando el uso de IA pueda inducir a error sobre si una interacción, imagen, audio, vídeo o contenido es humano o real, la empresa debe analizar si tiene obligación de informar o etiquetar.

4. Usos de bajo riesgo o riesgo mínimo: menos obligaciones, pero no ausencia de control

Muchos usos empresariales de IA pueden ser de bajo riesgo o riesgo mínimo.

Por ejemplo, utilizar una herramienta para preparar un primer borrador de un correo, resumir documentación no sensible, generar ideas para una campaña, ordenar información interna o mejorar la productividad de tareas administrativas puede no estar sujeto a obligaciones tan intensas como un sistema de alto riesgo.

Sin embargo, que un uso no sea de alto riesgo no significa que pueda hacerse sin ningún control.

La empresa sigue teniendo que respetar otras normas aplicables, como protección de datos, confidencialidad, propiedad intelectual, secretos empresariales, relaciones laborales, consumidores o ciberseguridad.

También debe evitar errores frecuentes, como introducir datos personales, información confidencial o documentos internos en herramientas de IA sin revisar antes sus condiciones de uso; confiar ciegamente en resultados generados por IA; utilizar contenidos sin comprobar derechos de autor; o permitir que cada empleado use cualquier herramienta sin reglas comunes.

5. Modelos de IA de uso general: herramientas que sirven para muchas finalidades

El Reglamento también presta atención a los modelos de IA de uso general.

Son modelos que pueden utilizarse para muchas finalidades distintas y que pueden integrarse en numerosas aplicaciones. Muchas herramientas de IA generativa se apoyan en este tipo de modelos.

Para las empresas usuarias, esto es relevante porque una misma herramienta puede utilizarse para tareas muy distintas. El riesgo no dependerá solo del modelo, sino también de cómo se integre, con qué datos se utilice y para qué finalidad concreta.

Por ejemplo, una misma tecnología puede servir para resumir documentos internos, redactar respuestas a clientes, analizar currículos, generar imágenes publicitarias o apoyar decisiones de negocio. Cada uso puede tener implicaciones distintas.

Por eso, la empresa debe documentar el caso de uso: quién la utiliza, para qué finalidad, con qué datos, con qué impacto y con qué supervisión.

Cómo puede empezar una empresa

Para aplicar bien este enfoque, una empresa puede comenzar con un inventario de usos de IA que responda, al menos, a estas preguntas:

qué herramienta se utiliza;
quién la utiliza;
para qué finalidad;
qué datos se introducen;
si afecta a clientes, empleados, candidatos, usuarios o terceros;
si participa en decisiones relevantes;
si existe revisión humana;
si hay obligación de informar o etiquetar;
qué proveedor hay detrás;
qué condiciones contractuales y de seguridad se aplican;
y qué área interna es responsable del uso.

Algunos usos podrán mantenerse con reglas básicas de seguridad y confidencialidad. Otros requerirán autorización previa, revisión jurídica, análisis de protección de datos, validación técnica o supervisión reforzada. Y algunos usos no deberían implantarse si entran en una categoría prohibida o si no pueden ofrecerse garantías suficientes.

Clasificar los usos de IA es solo el primer paso. A partir de ahí, cada empresa deberá decidir qué controles necesita, qué personas deben intervenir, qué datos pueden utilizarse y cuándo será necesario informar o establecer garantías adicionales. Explicamos aquí cómo puede empezar una empresa a prepararse de forma práctica: inventario de herramientas, revisión de datos, proveedores, supervisión humana, transparencia, formación y política interna de uso de IA.

Fuentes consultadas: Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial; Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial.

¿Quieres saber más sobre nosotros y nuestra formación PRL?

Estaremos encantados de atenderte.

Nombre y apellidos

Teléfono

Cargo

Email

Empresa

Tipo empresa

Comentarios

He leído y acepto el aviso legal web

Acepto recibir información comercial, incluso por correo electrónico

Finalidades: Responderte a tus solicitudes y remitirte información comercial de nuestros productos y servicios, incluso por correo electrónico. Legitimación: Consentimiento del interesado. Destinatarios: No están previstas cesiones de datos. Derechos: Puedes retirar tu consentimiento en cualquier momento, así como acceder, rectificar, suprimir sus datos y demás derechos en info@digitalpreventor.com. Información Adicional: Puedes ampliar la información en el enlace de Política de Privacidad.

Puedes llamarnos al 902.88.70.24

o si lo prefieres escribirnos a info@digitalpreventor.com

*Nuestro horario de atención al cliente es de 9:00 a 18:00 de lunes a viernes