Qué normativas debes cumplir si utilizas IA en tu empresa
La inteligencia artificial ya no es una tecnología experimental dentro de las empresas. Sin embargo, su adopción también introduce nuevas obligaciones legales, técnicas y organizativas.
El actual ecosistema regulatorio europeo, liderado por el Reglamento Europeo de Inteligencia Artificial (AI Act), establece un estándar de cumplimiento riguroso. Este marco se complementa en España con la supervisión de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), configurando un entorno donde el incumplimiento conlleva riesgos financieros significativos y riesgos reputacionales de carácter estructural.
A estas normas se suman otras regulaciones ya aplicables o directamente relacionadas: RGPD, LOPDGDD, NIS2, Cyber Resilience Act, Data Act, normativa sectorial, propiedad intelectual, derecho laboral y obligaciones contractuales con proveedores tecnológicos.
La pregunta clave para cualquier organización no es solo “¿podemos usar IA?”, sino “¿podemos demostrar que la usamos de forma segura, trazable, proporcionada y conforme a la normativa?”
AI Act: la norma central para regular la IA en Europa
El AI Act establece un marco común para el desarrollo, comercialización y uso de sistemas de inteligencia artificial en la Unión Europea. Su enfoque se basa en el riesgo: no todas las aplicaciones de IA tienen las mismas obligaciones.
La norma clasifica los sistemas de IA en diferentes niveles:
Nivel de riesgo |
Ejemplos |
Implicación para la empresa |
|---|---|---|
Riesgo inaceptable |
Manipulación subliminal, puntuación social, ciertos usos biométricos prohibidos |
Prohibidos |
Alto riesgo |
IA en empleo, educación, crédito, infraestructuras críticas, salud o servicios esenciales |
Obligaciones estrictas |
Riesgo limitado |
Chatbots, generación de contenido, sistemas de interacción con usuarios |
Obligaciones de transparencia |
Riesgo mínimo |
Filtros, asistentes internos simples, automatizaciones de bajo impacto |
Menor carga regulatoria |
Las empresas deben identificar si actúan como proveedor, implementador/desplegador, importador, distribuidor o usuario profesional de sistemas de IA. Esta distinción es importante porque las obligaciones cambian según el rol.
Por ejemplo, una empresa que desarrolla un sistema propio de IA para evaluar candidatos tendrá más obligaciones que una empresa que utiliza una herramienta externa de generación de texto para apoyar tareas administrativas. Aun así, incluso en el segundo caso debe revisar condiciones contractuales, tratamiento de datos, confidencialidad, seguridad y transparencia.
En sistemas de alto riesgo, el AI Act exige medidas como gestión de riesgos, gobernanza de datos, documentación técnica, registros de actividad, supervisión humana, precisión, robustez y ciberseguridad. ENISA ha señalado que, en el contexto del AI Act, un sistema de IA de alto riesgo que no sea ciberseguro no puede considerarse seguro. (ENISA)
RGPD y LOPDGDD: protección de datos en sistemas de IA
Si la IA trata datos personales, la empresa debe cumplir el Reglamento General de Protección de Datos y, en España, la LOPDGDD.
Esto afecta a casos como:
- Chatbots que recogen datos de clientes.
- Sistemas de scoring comercial.
- Herramientas de selección de personal.
- Modelos predictivos con datos de usuarios.
- Sistemas de monitorización de empleados.
- Plataformas de IA generativa donde se introducen datos corporativos o personales.
La AEPD dispone de guías específicas sobre IA y protección de datos, incluyendo documentos sobre adecuación al RGPD de tratamientos con IA y orientaciones sobre IA agéntica. (AEPD)
Las obligaciones principales son:
Base jurídica del tratamiento.
La empresa debe justificar por qué puede tratar esos datos: consentimiento, ejecución contractual, interés legítimo, obligación legal u otra base aplicable.
Principio de minimización.
No se deben introducir en sistemas de IA más datos de los necesarios. Esto es especialmente relevante en herramientas generativas, donde muchas organizaciones copian información interna sin valorar si contiene datos personales, secretos empresariales o información confidencial.
Transparencia.
Los usuarios deben saber cuándo sus datos se utilizan en procesos automatizados o asistidos por IA, especialmente si la tecnología influye en decisiones relevantes.
Evaluación de impacto.
Cuando el tratamiento pueda suponer alto riesgo para los derechos y libertades de las personas, será necesario realizar una Evaluación de Impacto en Protección de Datos.
Decisiones automatizadas.
El artículo 22 del RGPD reconoce el derecho de las personas a no ser objeto de decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o les afecten significativamente, salvo excepciones concretas. (GDPR)
Esto es especialmente importante en recursos humanos, crédito, seguros, scoring, fraude, admisión de clientes o asignación de servicios.
NIS2: ciberseguridad y resiliencia operativa
La IA también debe analizarse desde la perspectiva de la ciberseguridad. Los sistemas basados en IA pueden ampliar la superficie de ataque de una organización: exposición de datos, manipulación de modelos, ataques adversariales, fugas de información, dependencia de APIs externas o errores derivados de automatizaciones mal controladas.
La Directiva NIS2 establece un marco europeo común de ciberseguridad para sectores críticos y esenciales. La Comisión Europea indica que NIS2 cubre 18 sectores críticos y exige estrategias nacionales, cooperación y obligaciones de seguridad. (Estrategia Digital Europea)
Para empresas que utilizan IA, esto implica reforzar:
- Gestión de riesgos tecnológicos.
- Control de accesos.
- Seguridad en proveedores.
- Continuidad de negocio.
- Gestión de incidentes.
- Trazabilidad de decisiones automatizadas.
- Monitorización de sistemas críticos.
- Protección de datos y activos corporativos.
Aunque NIS2 no regula exclusivamente la IA, sí afecta a empresas que integran IA en servicios esenciales, infraestructuras críticas, plataformas digitales, servicios cloud, salud, energía, transporte, banca o administración pública.
Cyber Resilience Act: seguridad de productos digitales con IA
El Cyber Resilience Act introduce requisitos de ciberseguridad para productos con elementos digitales, incluyendo software y hardware comercializados en la Unión Europea. La Comisión Europea lo define como un marco para proteger a consumidores y empresas frente a productos digitales inseguros, vulnerabilidades y falta de actualizaciones de seguridad. (Estrategia Digital Europea)
Su impacto puede ser relevante para empresas que:
- Desarrollan software con componentes de IA.
- Comercializan plataformas SaaS con funcionalidades inteligentes.
- Integran modelos de IA en productos digitales.
- Distribuyen soluciones conectadas.
- Incorporan IA en dispositivos, sensores o sistemas industriales.
La lógica regulatoria es clara: no basta con que un sistema de IA funcione; debe ser seguro por diseño, mantenible, actualizable y resistente frente a vulnerabilidades.
Data Act: acceso, uso y portabilidad de datos
El Data Act es otra norma relevante para empresas que utilizan IA, especialmente cuando los sistemas dependen de grandes volúmenes de datos, servicios cloud, plataformas conectadas o intercambio de datos entre actores.
La Comisión Europea indica que el Data Act es aplicable desde el 12 de septiembre de 2025 y busca aportar claridad jurídica sobre acceso y uso de datos en la economía europea. (Estrategia Digital Europea)
En proyectos de IA, esta norma puede afectar a:
- Acceso a datos generados por dispositivos conectados.
- Contratos de intercambio de datos.
- Portabilidad entre proveedores cloud.
- Condiciones contractuales sobre datos industriales.
- Uso de datos para entrenamiento, análisis o explotación comercial.
Para una empresa, esto refuerza la necesidad de definir una política clara de gobierno del dato: qué datos se usan, de dónde proceden, quién puede acceder, durante cuánto tiempo se conservan y con qué finalidad se procesan.
Propiedad intelectual y uso de IA generativa
La IA generativa introduce riesgos específicos en materia de propiedad intelectual. Las empresas deben revisar cómo se utilizan herramientas que generan textos, imágenes, código, presentaciones, diseños o documentación técnica.
Los puntos críticos son:
- Uso de contenidos protegidos para entrenamiento o generación.
- Titularidad de los outputs generados.
- Riesgo de reproducir contenido de terceros.
- Uso de código generado por IA en productos comerciales.
- Condiciones contractuales de la herramienta utilizada.
- Protección de know-how, documentación interna y secretos empresariales.
Una política corporativa de IA debe indicar qué herramientas están permitidas, qué tipo de información no puede introducirse, qué validaciones humanas son necesarias y cómo se documenta el uso de contenido generado.
Normativa laboral y uso de IA en recursos humanos
El uso de IA en recursos humanos es uno de los ámbitos más sensibles. Sistemas de cribado curricular, evaluación de rendimiento, monitorización, análisis de productividad o predicción de rotación pueden tener impacto directo sobre los trabajadores.
En estos casos, la empresa debe prestar especial atención a:
- Transparencia hacia empleados y candidatos.
- Prevención de sesgos discriminatorios.
- Supervisión humana real.
- Derecho a explicación cuando proceda.
- Evaluación de impacto en protección de datos.
- Cumplimiento de normativa laboral.
- Control de proveedores externos de software HR Tech.
Además, bajo el AI Act, determinados sistemas utilizados en empleo, gestión de trabajadores y acceso al autoempleo pueden considerarse de alto riesgo, lo que eleva el nivel de exigencia documental, técnica y organizativa.
Compliance sectorial: no todas las empresas tienen las mismas obligaciones
El cumplimiento normativo en IA no puede abordarse de forma genérica. El sector de actividad condiciona enormemente el nivel de riesgo.
Una empresa sanitaria que utiliza IA para apoyo diagnóstico no tiene las mismas obligaciones que una consultora que usa IA generativa para redactar informes internos. Una entidad financiera que aplica modelos de scoring crediticio tiene exigencias distintas a una empresa industrial que utiliza IA para mantenimiento predictivo.
Sectores especialmente sensibles:
- Salud.
- Finanzas y seguros.
- Educación.
- Recursos humanos.
- Infraestructuras críticas.
- Energía.
- Transporte.
- Administración pública.
- Seguridad.
- Telecomunicaciones.
En estos casos, la IA debe integrarse dentro del marco de cumplimiento ya existente: auditoría, gestión de riesgos, seguridad de la información, continuidad de negocio, protección de datos, control interno y gobierno corporativo.
Mapa de cumplimiento normativo para IA empresarial
Área normativa |
Cuándo aplica |
Qué debe hacer la empresa |
|---|---|---|
AI Act |
Siempre que se desarrolle, implante o utilice IA en la UE |
Clasificar el sistema por riesgo, documentar, aplicar transparencia y controles |
RGPD / LOPDGDD |
Cuando la IA trata datos personales |
Base legal, minimización, información, DPIA, derechos de usuarios |
NIS2 |
Sectores esenciales o importantes |
Gestión de riesgos, incidentes, seguridad de proveedores, continuidad |
Cyber Resilience Act |
Software/hardware con elementos digitales |
Seguridad por diseño, gestión de vulnerabilidades, actualizaciones |
Data Act |
Uso, acceso o intercambio de datos empresariales/IoT/cloud |
Revisar contratos, portabilidad, derechos de acceso y uso de datos |
Propiedad intelectual |
IA generativa, código, contenidos o diseños |
Revisar licencias, outputs, derechos de terceros y confidencialidad |
Normativa laboral |
IA aplicada a empleados o candidatos |
Transparencia, no discriminación, supervisión humana, evaluación de impacto |
Cómo preparar a la empresa: enfoque práctico de cumplimiento
La forma más eficaz de abordar el cumplimiento en IA es construir un modelo de gobierno interno. No se trata solo de revisar herramientas de forma aislada, sino de crear un sistema operativo de control.
Paso 1: Inventario de sistemas de IA
La empresa debe identificar todas las herramientas de IA utilizadas: soluciones corporativas, herramientas SaaS, modelos integrados en CRM, automatizaciones internas, chatbots, asistentes de productividad y usos no autorizados por empleados.
Paso 2: Clasificación de riesgos
Cada caso de uso debe clasificarse según su impacto: bajo, medio, alto o potencialmente prohibido. Esta clasificación debe tener en cuenta datos tratados, nivel de autonomía, impacto sobre personas, criticidad del proceso y dependencia tecnológica.
Paso 3: Evaluación legal y técnica
Debe analizarse si aplica AI Act, RGPD, NIS2, Data Act, normativa laboral, propiedad intelectual o regulación sectorial.
Paso 4: Controles técnicos
Incluye ciberseguridad, control de accesos, trazabilidad, logging, anonimización, cifrado, revisión humana, monitorización de resultados y pruebas de robustez.
Paso 5: Política interna de uso de IA
Toda empresa debería contar con una política clara que establezca:
- Herramientas autorizadas.
- Datos que no pueden introducirse.
- Casos de uso permitidos.
- Revisión humana obligatoria.
- Responsables internos.
- Procedimiento de aprobación.
- Gestión de incidentes.
- Reglas para IA generativa.
Paso 6: Formación y concienciación
El AI Act también introduce obligaciones relacionadas con la alfabetización en IA. La formación no debe limitarse a explicar cómo usar una herramienta, sino incluir riesgos, privacidad, seguridad, sesgos, confidencialidad y límites de uso.
Paso 7: Auditoría y mejora continua
Los sistemas de IA evolucionan. También lo hacen los datos, los modelos, los proveedores y los riesgos. Por eso, el cumplimiento debe revisarse periódicamente.
Conclusión
La inteligencia artificial ofrece ventajas competitivas evidentes, pero también exige una gestión rigurosa del cumplimiento normativo. Las empresas que utilicen IA deben prepararse para un entorno regulatorio más exigente, donde será necesario demostrar control, trazabilidad, transparencia, seguridad y responsabilidad.
El AI Act será la referencia principal en Europa, pero no actúa de forma aislada. Debe interpretarse junto con el RGPD, la LOPDGDD, NIS2, Cyber Resilience Act, Data Act, normativa sectorial, propiedad intelectual y derecho laboral.
La clave no está en frenar la adopción de IA, sino en implantarla con gobierno, metodología y controles adecuados. En este contexto, las organizaciones que desarrollen desde ahora un modelo sólido de cumplimiento estarán mejor posicionadas para innovar con seguridad, reducir riesgos y generar confianza en clientes, empleados, socios y reguladores
