Lo que deben tener en cuenta las empresas a la hora de hacer desarrollos con IA

La inteligencia artificial (IA) ofrece oportunidades enormes a las empresas, especialmente a pymes y startups tecnológicas, pero también conlleva obligaciones legales importantes. Antes de lanzarse a hacer desarrollos con IA, las compañías deben tener muy presente el marco normativo español y europeo aplicable. Normativas como el Reglamento Europeo de Inteligencia Artificial (AI Act) y el Reglamento General de Protección de Datos (RGPD) imponen requisitos que no pueden ignorarse. Contar con abogados especializados en nuevas tecnologías desde las fases iniciales del proyecto es fundamental para garantizar el cumplimiento legal y evitar riesgos jurídicos.

Marco normativo: AI Act, RGPD y leyes aplicables

La Unión Europea se ha adelantado en la regulación de la inteligencia artificial mediante el AI Act (Reglamento Europeo de IA), aprobado en 2024. Este reglamento establece un marco legal común en todos los Estados miembros, incluida España, y aplica obligaciones proporcionales al nivel de riesgo del sistema de IA desarrollado.

Por su parte, el RGPD sigue siendo una normativa esencial cuando los sistemas de IA utilizan datos personales. Ambas normativas deben analizarse de forma conjunta para evitar incumplimientos que puedan generar consecuencias jurídicas y reputacionales graves.

El AI Act clasifica los sistemas de IA en categorías de riesgo (desde prohibidos hasta mínimos) y establece obligaciones específicas para cada nivel. Las soluciones consideradas de alto riesgo —como herramientas de IA para reclutamiento, diagnóstico médico, educación o análisis financiero— deben cumplir requisitos reforzados: auditorías, supervisión humana, evaluaciones de conformidad y medidas de transparencia técnica.

Simultáneamente, el RGPD impone exigencias clave en relación con la protección de datos personales. Cualquier empresa que utilice datos personales en el desarrollo de IA debe tratar dichos datos de forma lícita, transparente y segura, aplicando principios como la minimización de datos y la privacidad desde el diseño.

España: instituciones responsables

España complementa este marco normativo con organismos específicos:

• La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) será la autoridad encargada de controlar el uso ético de la IA en el ámbito nacional, con capacidad sancionadora frente a incumplimientos del AI Act.

• La Agencia Española de Protección de Datos (AEPD) mantiene su papel esencial como garante del cumplimiento del RGPD.

• La Ley Orgánica 3/2018 (LOPDGDD) desarrolla y adapta el RGPD en el ordenamiento jurídico español, incluyendo referencias explícitas a decisiones automatizadas y derechos digitales que afectan directamente a los desarrollos basados en IA.

Obligaciones legales para pymes y startups tecnológicas

Desarrollar soluciones de IA implica asumir compromisos legales concretos. Ignorar estas obligaciones puede dar lugar a sanciones elevadas o a pérdidas reputacionales. Las principales áreas a tener en cuenta son:

1. Evaluaciones de impacto y conformidad

Los sistemas de alto riesgo requieren una evaluación previa de impacto. El AI Act exige auditorías internas o externas para verificar que el sistema es seguro, ético y respetuoso con los derechos fundamentales.

2. Documentación técnica y transparencia

Es obligatorio documentar adecuadamente el funcionamiento del sistema, los datos utilizados y los criterios de decisión. En muchos casos, también se debe informar al usuario de forma clara de que está interactuando con una IA.

3. Prevención de sesgos y discriminación

Los modelos deben entrenarse con datos equilibrados y controlarse para evitar sesgos injustos o efectos discriminatorios, especialmente si afectan a decisiones relevantes sobre personas.

4. Protección de datos personales

Cuando la IA utiliza datos personales, la empresa debe:

• Identificar una base jurídica válida (consentimiento, contrato, interés legítimo, etc.).
• Cumplir principios como la minimización y limitación temporal.
• Realizar una EIPD (Evaluación de Impacto en Protección de Datos) si el tratamiento es de alto riesgo.
• Garantizar derechos en decisiones automatizadas: intervención humana, posibilidad de impugnación y explicación del resultado.

5. Seguridad y responsabilidad

Deben implementarse medidas técnicas para evitar ciberataques, brechas de datos o usos indebidos del sistema. Además, es recomendable establecer procedimientos internos para supervisar y corregir errores de funcionamiento, así como definir responsabilidades ante eventuales daños.

Riesgos legales y sanciones económicas

No cumplir con el marco legal de la IA puede acarrear consecuencias importantes. El AI Act contempla sanciones de hasta 35 millones de euros o el 7% de la facturación global (la mayor de ambas cantidades), superando incluso los umbrales del RGPD.

Además, los daños reputacionales derivados de una mala gestión del riesgo (por ejemplo, un sistema que discrimina o expone datos personales) pueden comprometer la viabilidad del negocio.

Buenas prácticas legales en el desarrollo de IA

Más allá de lo exigido por la ley, es recomendable que las empresas adopten una cultura de cumplimiento desde el inicio. Algunas buenas prácticas son:

Cumplimiento desde el diseño

Aplica los principios de privacidad desde el diseño y ética desde el diseño. Anonimiza datos, evita sesgos y prioriza la transparencia.

Formación y documentación

Forma a tu equipo en las implicaciones legales de la IA. Documenta el ciclo de vida del sistema, las pruebas realizadas y los criterios adoptados.

Supervisión y mejora continua

Monitoriza el comportamiento del sistema tras su despliegue. Si detectas desviaciones, actúa. La IA no es estática: debe evolucionar con responsabilidad.

La importancia del acompañamiento legal

Contar con asesoramiento legal desde la fase de diseño puede marcar la diferencia entre un desarrollo viable y uno expuesto a sanciones. Un despacho especializado en nuevas tecnologías, como Type of Legal, puede ayudarte a:

• Verificar la adecuación del proyecto al AI Act y al RGPD.
• Redactar cláusulas, licencias, términos y políticas conforme a ley.
• Asesorar en evaluaciones de impacto, gestión del riesgo y documentación técnica.
• Minimizar la incertidumbre regulatoria y proteger tu innovación.

Conclusión: innovación legalmente responsable

La inteligencia artificial puede transformar radicalmente el negocio de una pyme o startup, pero solo si se desarrolla de manera ética, segura y conforme a la normativa vigente. Cumplir con el AI Act y el RGPD no es una barrera a la innovación, sino una forma de protegerla y de construir confianza con los usuarios.

En Type of Legal te ayudamos a dar forma legal a tus ideas. Si tu empresa está desarrollando proyectos de inteligencia artificial, contacta con nosotros. Te acompañamos desde el primer prototipo hasta el lanzamiento comercial, asegurando que tu innovación avance con garantías jurídicas.