Consideraciones legales de la IA

CONSIDERACIONES LEGALES DE LA INTELIGENCIA ARTIFICIAL 

En NET CRAMAN hemos podido observar en los últimos años, a través de nuestros clientes, cómo la inteligencia artificial ha dejado de ser una herramienta meramente experimental para convertirse en una realidad operativa dentro de las empresas, en un proceso de transformación tecnológica comparable, por su velocidad e impacto estructural, a la expansión de internet en el ámbito corporativo durante principios de los dos mil, cuando comenzábamos nuestra andadura como firma internacional. 

Actualmente, las herramientas de inteligencia artificial están siendo incorporadas de forma transversal en prácticamente todas las áreas de actividad empresarial, desde departamentos comerciales y jurídicos hasta áreas de marketing, compliance o atención al cliente, muchas veces sin una estructura interna clara ni mecanismos adecuados de supervisión. Esta rápida adopción tecnológica no solo está transformando la operativa diaria de las organizaciones, sino que también está generando nuevos riesgos jurídicos y regulatorios. 

Desde una perspectiva jurídica, los principales riesgos asociados al uso empresarial de sistemas de inteligencia artificial pueden agruparse, de forma general, en seis grandes categorías: confidencialidad, transferencias internacionales de datos, propiedad intelectual, decisiones automatizadas, gobernanza corporativa y cumplimiento normativo. 

1. Riesgos de confidencialidad y fuga de información 

Uno de los principales problemas es que numerosas compañías comienzan a utilizar herramientas de inteligencia artificial sin haber establecido previamente políticas internas, procesos de aprobación o mecanismos de control. En la práctica, los empleados introducen información sensible en plataformas externas sin comprender realmente dónde se almacena dicha información, quién puede acceder a ella o si el proveedor utilizará esos datos para entrenar futuros modelos. El caso de Samsung Electronics en 2023, donde empleados compartieron información confidencial relacionada con semiconductores mediante herramientas de IA, evidenció cómo el uso descontrolado de estas nuevas tecnologías puede comprometer secretos empresariales y generar importantes riesgos de confidencialidad. 

En este contexto, desde NET CRAMAN, creemos que resulta esencial que las empresas incorporen cláusulas específicas sobre inteligencia artificial en sus contratos laborales, acuerdos con proveedores y políticas internas. Antes de permitir el uso de herramientas de IA, deben definirse cuestiones fundamentales como: 

  1. qué herramientas están autorizadas; 
  2. qué tipo de información puede introducirse; 
  3. quién es responsable de supervisar su uso, y 
  4. cuáles son las consecuencias en caso de incumplimiento. 

2. Riesgos asociados a transferencias internacionales de datos 

Especial atención merece la posible transferencia internacional de información a jurisdicciones con estándares más limitados en materia de protección de datos, confidencialidad empresarial o derechos de propiedad intelectual. En muchos casos, las empresas desconocen dónde termina almacenándose realmente la información introducida en sistemas de inteligencia artificial o bajo qué marco legal puede ser posteriormente tratada, accedida o reutilizada por terceros. Si bien algunas de las principales compañías del sector, como OpenAI, han adoptado políticas orientadas a limitar transferencias hacia jurisdicciones opacas o de riesgo, otros operadores tecnológicos con menores niveles de supervisión, recursos o exigencia regulatoria continúan planteando importantes incertidumbres desde el punto de vista jurídico y de compliance

3. Riesgos de propiedad intelectual y titularidad de creaciones generadas mediante IA 

La propiedad intelectual constituye igualmente una de las áreas más sensibles en el desarrollo y utilización de sistemas de inteligencia artificial. A medida que estas herramientas generan contenido, código, diseños, obras creativas o incluso potenciales invenciones, surgen importantes interrogantes jurídicos en torno a la autoría, titularidad y explotación de los resultados obtenidos. El debate internacional suscitado en torno al sistema DABUS evidenció precisamente las incertidumbres existentes respecto al reconocimiento jurídico de creaciones generadas mediante inteligencia artificial y la determinación de los derechos asociados a las mismas. Particularmente relevante fue el caso de Sudáfrica, donde se admitió el registro de una patente identificando al sistema DABUS como inventor, en lugar de reconocer dicha condición a una persona física, lo que abrió un intenso debate jurídico sobre los límites tradicionales de la propiedad intelectual. 

4. Riesgos derivados de privacidad, protección de datos y sistemas opacos (“black boxes”) 

La protección de datos constituye igualmente uno de los principales desafíos legales asociados al uso de sistemas de inteligencia artificial. Determinadas empresas tecnológicas han desarrollado modelos de negocio basados en la recopilación masiva y tratamiento automatizado de datos personales obtenidos de internet, muchas veces sin conocimiento efectivo de los afectados. El caso de Clearview AI, relacionado con el uso de tecnologías de reconocimiento facial alimentadas mediante imágenes extraídas de redes sociales y otras plataformas digitales, evidenció cómo determinadas aplicaciones de inteligencia artificial pueden entrar en conflicto directo con normativas de privacidad, protección de datos personales y derechos fundamentales. 

Además, muchas herramientas de inteligencia artificial operan como “black boxes”, esto es, sistemas cuyos resultados pueden observarse, pero cuyo razonamiento interno, criterios de decisión o procesos de entrenamiento resultan difíciles —o incluso imposibles— de explicar de forma transparente. Esta falta de trazabilidad plantea relevantes cuestiones jurídicas en materia de responsabilidad, supervisión y cumplimiento normativo, especialmente en relación con la auditabilidad de las decisiones automatizadas, la existencia de control humano efectivo y la determinación de responsabilidades frente a resultados erróneos, discriminatorios o potencialmente perjudiciales. 

El debate sobre la opacidad y falta de explicabilidad de determinados sistemas de inteligencia artificial adquirió especial relevancia tras casos como el de Amazon, cuyo sistema automatizado de selección de personal fue cuestionado por, supuestamente, introducir sesgos discriminatorios en procesos de contratación. El caso evidenció cómo sistemas entrenados sobre datos históricos pueden reproducir —e incluso amplificar— patrones discriminatorios preexistentes, generando importantes riesgos legales, reputacionales y regulatorios para las organizaciones que los utilizan. El sistema de selección de personal habría sido entrenado utilizando historiales de contratación predominantemente masculinos correspondientes a determinados perfiles técnicos, lo que provocó que el algoritmo penalizara automáticamente currículums asociados a candidaturas femeninas. El caso puso de manifiesto la dificultad de detectar sesgos discriminatorios en modelos de IA y la necesidad de mantener supervisión humana efectiva, auditorías periódicas y mecanismos adecuados de validación y trazabilidad en procesos automatizados con impacto sobre derechos o decisiones sensibles. 

5. Riesgos organizativos y de gobernanza corporativa 

El problema no es únicamente tecnológico, sino también organizativo. Muchas empresas carecen de estructuras internas claras para gestionar los riesgos legales y de gobernanza derivados de la inteligencia artificial. Con frecuencia, no existe una asignación formal de responsabilidades, protocolos de revisión, mecanismos internos de escalación o procedimientos específicos para la gestión de incidencias vinculadas al uso de IA. 

El caso de Zillow constituye un ejemplo especialmente ilustrativo. La compañía implementó sistemas automatizados de valoración inmobiliaria con el objetivo de escalar su modelo de negocio de compraventa de viviendas. Sin embargo, errores relevantes en las estimaciones generadas por dichos sistemas provocaron importantes pérdidas económicas, despidos masivos y múltiples conflictos legales, evidenciando que los riesgos asociados a la inteligencia artificial trascienden ampliamente las cuestiones tradicionales de privacidad o protección de datos. 

Paradójicamente, las pequeñas y medianas empresas suelen gestionar de forma más eficiente las fases iniciales de adopción de inteligencia artificial, precisamente porque implementan estas tecnologías de manera gradual, controlada y limitada a casos de uso concretos, restringiendo el acceso exclusivamente a herramientas previamente autorizadas, y manteniendo mecanismos de supervisión humana antes de adoptar decisiones relevantes. 

6. Gobernanza, compliance y estándares internacionales de IA 

Sin embargo, a medida que el uso de IA se expande dentro de una organización, las necesidades de gobernanza se vuelven considerablemente más complejas. En esta fase, ya no resulta suficiente recurrir a recomendaciones informales o controles aislados, sino que se hace necesario implementar estructuras internas sólidas de supervisión y control, incluyendo inventarios de sistemas de IA utilizados por la organización, procesos formales de aprobación, mecanismos de trazabilidad y documentación, sistemas de monitorización continua y protocolos específicos de escalación. 

Asimismo, resulta altamente recomendable la creación de comités internos de IA o equipos multidisciplinares integrados por profesionales de las áreas legal, compliance, ciberseguridad, protección de datos y tecnología, con el objetivo de garantizar una supervisión transversal y coordinada de los riesgos asociados al uso de estas herramientas. 

En paralelo, comienzan a consolidarse estándares internacionales específicos de gobernanza en inteligencia artificial, como la norma ISO/IEC 42001:2023, que busca establecer marcos organizativos comparables a los que anteriormente representaron estándares como ISO 14001 en medioambiente o ISO 27001 en ciberseguridad. 

CONCLUSIÓN 

Las empresas no deberían comenzar su transición hacia la IA mediante experimentación descontrolada, sino a través de estructuras de gobernanza adecuadas desde el inicio. Incluso políticas internas simples, reglas claras sobre datos confidenciales y procedimientos básicos de supervisión pueden evitar posteriormente importantes riesgos legales, económicos y reputacionales. La inteligencia artificial debe entenderse como un proceso empresarial controlado, no como una herramienta utilizada sin límites ni supervisión.

LinkedIn
Imagen de Adrian Cuevas Talens

Adrian Cuevas Talens

Todos sus posts
net-craman logo

CONÓCENOS

PERSONAS

EXPERTOS

ASIA

INTERNACIONAL

ACTUALIDAD

CONTACTO

Linkedin Instagram

(+34) 93 202 05 64 · [email protected]