La inteligencia artificial, ChatGPT, Gemini o copilot, ya forma parte del día a día de muchas empresas. Sin embargo, el uso de estas herramientas plantea importantes retos legales. Analizamos cómo afecta el AI Act europeo, los riesgos asociados a la confidencialidad de la información y la importancia de implantar políticas internas de gobernanza de IA.
La Inteligencia Artificial (IA) ha dejado de ser una cuestión puramente tecnológica para convertirse, además, en una cuestión jurídica y de riesgo empresarial.
Hoy es el motor que nos ayuda a organizar nuestro día a día profesional, desde la revisión del correo electrónico hasta el análisis de datos financieros. Sin embargo, usar IA sin reglas internas no es solo un riesgo técnico, es un riesgo legal que afecta directamente a propietarios, directivos y trabajadores.
Si tu empresa utiliza herramientas de IA (como ChatGPT, Cloud, Gemini, Copilot u otros), este artículo te interesa.
1. Si tu empresa usa IA, el AI Act ya te está afectando
La Unión Europea dio un paso histórico con el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024 (AI Act). Muchos empresarios podrían pensar: «Yo no desarrollo IA, solo la uso, así que esto no va conmigo». Nada más lejos de la realidad.
El AI Act busca crear un entorno para que la Inteligencia Artificial sea fiable, segura y centrada en el ser humano. Su idea es clara: la inteligencia artificial debe ser, ante todo, una herramienta al servicio de las personas cuyo fin sea maximizar el bienestar humano.
Bajo esta premisa, el legislador europeo ha diseñado un sofisticado sistema de obligaciones escalonadas donde la intensidad es proporcional al potencial impacto lesivo para las personas; así, cuanto mayor es la capacidad de la IA para impactar en la esfera de los derechos fundamentales, más robustas y exigentes son las salvaguardas jurídicas que las empresas deben implementar.
Por ello, no es casualidad que en la categoría de los sistemas de alto riesgo encontremos las herramientas destinadas a la contratación y selección de personal, o aquellas que evalúan la solvencia y capacidad crediticia. Estamos ante sistemas que deciden quién accede a un empleo o quién obtiene la financiación para su hogar.
Sin perjuicio de estas obligaciones técnicas, el AI Act se inspira en varios pilares éticos, entre los que destaca la transparencia. Por ello, el AI Act señala, por ejemplo, que cuando cuando interactuamos con inteligencia artificial (como podría ser en un chatbot de atención al cliente), es responsabilidad de la empresa informar de que estamos tratando con inteligencia artificial, salvo que ello resulte evidente.
Más allá de este nivel de exigencia, el propio sistema del AI Act deja claro que no todos los usos de la inteligencia artificial generan el mismo nivel de riesgo ni, por tanto, las mismas obligaciones. Fuera de los sistemas de alto riesgo, existe una gran mayoría de aplicaciones empresariales que se encuadran en categorías de riesgo limitado o mínimo.
En este punto se sitúa la mayoría de empresas: el uso cotidiano de la inteligencia artificial en la automatización de procesos internos, en reducir la burocracia o la clasificación de documentos. Ahora bien, que no exista esa intensidad normativa no significa ausencia total de marco.
Por eso, aunque lo más probable es que muchas organizaciones se encuentren en esta categoría de riesgo bajo o limitado, no es recomendable asumirlo sin más. Conviene revisar el uso de la inteligencia artificial en la empresa, identificar posibles implicaciones y asegurarse de que se está operando dentro de un marco de cumplimiento coherente con el AI Act.
2. El peligro invisible: los contratos de confidencialidad (NDA)
Imagina que un empleado introduce datos de un cliente o información estratégica en una herramienta de IA para obtener un resumen o mejorar un documento. Si esa IA utiliza esos datos para «entrenarse», acaba de filtrar información confidencial a un tercero (el proveedor de la IA).
La mayoría de los acuerdos de confidencialidad (NDA) prohíben estrictamente compartir información a terceros sin autorización. Por ello, el uso de herramientas de IA externas sin una configuración adecuada de privacidad puede suponer un incumplimiento contractual, con riesgo de reclamaciones económicas y daños reputacionales difíciles de revertir.
3. ¿Por qué es importante regular el uso de la IA en las empresas?
La realidad es que la IA ya está dentro de las organizaciones, y en muchos de los casos, sin una implantación formal. Su uso por parte de empleados, de forma espontánea y sin supervisión, plantea riesgos que no son únicamente tecnológicos.
Hablamos de gobernanza, de cumplimiento normativo y de control sobre la información que circula dentro y fuera de la empresa.
Y aquí surge la pregunta clave: ¿quién responde cuando algo sale mal?
Los administradores tienen un deber de diligencia, que les obliga a actuar de forma informada y responsable en la gestión de la sociedad.
Si una empresa recibe una reclamación derivada del uso indebido de IA y no existían políticas internas, protocolos de uso o mecanismos de supervisión, la responsabilidad del órgano de administración puede verse comprometida.
Este escenario ha hecho que las decisiones asociadas al uso de la IA en tu organización pasen de ser una responsabilidad meramente del equipo informático a una cuestión prioritaria de gobernanza que debe estar documentada y supervisada.
4. La solución no es prohibir, sino gobernar
La clave del éxito no es prohibir la IA (que podría ser el equivalente a haber querido prohibir internet en los 90), sino regular su uso de manera inteligente.
La implantación de un sistema de gobernanza de IA permite aprovechar sus ventajas reduciendo riesgos legales y operativos. En este contexto, la aprobación de un protocolo interno de uso de IA, integrado en el sistema de compliance de la empresa, no es una carga burocrática: es una herramienta estratégica para adaptarse al marco regulatorio europeo, con el propósito de proteger el negocio.
