Si no hay contratiempos, en agosto de 2026 llegará la parte más exigente de la ley europea de IA. Y la pregunta relevante al respecto para su empresa no es si “fabrica” inteligencia artificial, sino si la usa.
Y es que Europa ha aprobado la primera gran ley sobre inteligencia artificial, el llamado AI Act, que entrará en vigor por fases, la primera de las cuales comienza a partir del 2 de agosto de 2026. Esta fecha es muy relevante por cuante, desde ese instante, se volverán plenamente exigibles las obligaciones para los usos de IA considerados “de alto riesgo”.
El malentendido más común
Mucha gente piensa que esta ley solamente va a afectar a empresas tecnológicas que desarrollan IA. Es el error más extendido.
Por ello conviene precisar que la ley distingue entre quien crea la herramienta de IA y quien simplemente la usa, siendo que a quien la usa también le impone obligaciones. Dicho de otro modo: si su empresa compra un programa con IA para, por ejemplo, filtrar currículums (no lo ha fabricado, pero sí lo está usando), eso ya le coloca dentro del ámbito de la ley. No vale con dar por hecho que “ya lo cumple el fabricante”, el usuario de la herramienta va a tener obligaciones, especialmente cuando se trate de IA de alto riesgo.
¿Usa su empresa IA “de alto riesgo”?
No todos los usos de IA preocupan a la ley por igual. Las obligaciones más notables se reservan para los casos en que un sistema influye de forma decisiva en decisiones importantes sobre personas, y especialmente sobre sus datos. Por ejemplo:
- Herramientas que filtran candidatos o evalúan a los empleados.
- Sistemas que deciden si se concede un crédito o una póliza.
- Tecnología de identificación biométrica.
Ojo a un matiz que puede ahorrar sustos: no basta con usar IA en estas áreas, sin más. La ley se fija específicamente en si el sistema es determinante en la decisión, o si es un mero artilugio. Un chatbot que resuelve dudas de clientes no es considerado alto riesgo; un programa que decide por sí mismo si se otorga o no un crédito a una persna física o jurídica, sí puede serlo.
Consecuencias del incumplimiento
Las multas son serias: por incumplir las obligaciones de los sistemas de alto riesgo pueden llegar a 15 millones de euros o el 3 % de la facturación mundial. Para las empresas más pequeñas la ley prevé sanciones proporcionadas, pero no quedan exentas. En España, la autoridad encargada de vigilar todo esto es la AESIA, con sede en A Coruña.
Por dónde empezar
La preparación se puede abordar con calma si se empieza a tiempo. En esencia, son cuatro pasos:
- Haga una lista de todas las herramientas con IA que usa su empresa, también las que ha contratado a terceros.
- Clasifíquelas: ver cuáles son simples y cuáles entran en “alto riesgo”.
- Detecte qué le falta para cumplir (documentación, supervisión de una persona, transparencia).
- Forme a su equipo y asigne a alguien la responsabilidad de revisarlo periódicamente.
Relación con el Compliance Penal
El Compliance Penal, como herramienta de prevención de delitos dentro de las empresa, resulta un instrumento crucial para la mitigación de riesgos de incumplimiento de normas que puedan suponer una infracción penal. La inteligencia artificial, en sí, constituye un instrumento que, mal utilizado, facilita la comisión de cualquier delito: estafas, robos de datos personales, suplantación de identidad, delitos contra el honor…
Por ello, la no adaptación al IA Act puede suponer en sí misma la exposición a un riesgo potencial de comisión de delitos, ya sea con dolo o por imprudencia. De ahí que, en adelante, y a nuestro juicio, los Compliance Penales deberán desde ahora incluir claras referencias a esta norma, así como mecanismos de control de cumplimiento de las mismas para mitigar la exposición a cualquier riesgo de comisión de delitos.
En consecuencia, en los próximos meses resultará necesario revisar su Compliance Penal, si ya lo tiene, para adaptarlo a lo dispuesto en el IA Act.
En resumen
El AI Act no es cosa solo de las grandes tecnológicas. Cualquier empresa que use IA para tomar decisiones sobre personas (a quién contrata, a quién concede un crédito, cómo evalúa a su plantilla) debería preguntarse hoy qué herramientas tiene y si alguna entra en “alto riesgo”. Asimismo, revisar su Compliance Penal y adaptarlo a esta norma puede, además, reforzar la garantía de cumplimiento del mismo y, en consecuencia, mitigar la exposición de la empresa al riesgo de cometer ilícitos penales.
Francesc Rodríguez –
¿No sabe si su empresa está afectada?
¿Quiere valorar si su Compliance debe ser revisado y adaptado? Podemos ayudarle a salir de dudas y a poner las cosas en orden con un plan sencillo y realista. Contacte con nuestro equipo en el siguiente formulario.
