Guía para cumplir con la legislación al usar herramientas de IA

Usar herramientas de inteligencia artificial en una empresa es cada vez más habitual. Sin embargo, cumplir con la legislación mientras las utilizas exige orden, evidencias y decisiones conscientes. Por eso, si tú ya estás empleando IA (o vas a hacerlo), necesitas un plan que combine tecnología, privacidad, contratos y gobernanza.

SOLICITAR CONSULTA

Entiende el marco legal que te aplica

Antes de crear políticas o firmar contratos, conviene que tú identifiques el “mapa” normativo mínimo. De este modo evitas omisiones que luego cuestan tiempo y dinero.

En la práctica, la mayoría de empresas se mueven entre estos bloques:

• AI Act (UE): reglas sobre desarrollo, comercialización y uso de sistemas de IA, con obligaciones por nivel de riesgo y por rol (proveedor, desplegador, etc.).

• RGPD: base legal, transparencia, minimización, seguridad, DPIA, derechos de interesados, transferencias internacionales, etc.

• Ciberseguridad y resiliencia: en determinados sectores, NIS2 refuerza gestión de riesgos e incidentes.

• Propiedad intelectual y secretos: licencias, derechos sobre outputs, confidencialidad y uso de tus inputs.

• Derecho laboral: uso en RR. HH., monitorización, sesgos y decisiones con impacto en personas.

• Consumo/publicidad: transparencia, no engaño, límites de un chatbot, etc.

Ahora bien, no tienes que abordar todo a la vez. Lo correcto es priorizar por riesgo y exposición.

Aclara tu rol: no es lo mismo “usar” IA que “ofrecer” IA

Una de las confusiones más costosas es asumir que “solo soy usuario” y, por tanto, “no tengo obligaciones”. En realidad, el AI Act distingue roles y responsabilidades.

Por ejemplo, si tú:

• solo usas una herramienta de IA interna, sueles ser desplegador/usuario;

• integras una IA en tu producto y la ofreces a terceros, puedes acercarte al rol de proveedor;

• modificas de forma sustancial un sistema, cambias su finalidad o lo reetiquetas, puedes asumir obligaciones adicionales.

Por tanto, el primer paso de cumplimiento es organizativo: definir quién eres en cada caso de uso.

Conoce el calendario del AI Act y cómo afecta a tu empresa

El AI Act se aplica de manera progresiva. Y ese detalle importa, porque condiciona tu hoja de ruta y tu presupuesto.

La Comisión Europea, a través del AI Act Service Desk, explica que la aplicación es gradual y que el despliegue total se extiende en el tiempo.

Además, en julio de 2025 la Comisión afirmó públicamente que no iba a “parar el reloj” del calendario, pese a presiones para retrasar hitos. No obstante, en noviembre de 2025 se informó de propuestas de posible retraso de ciertas obligaciones “alto riesgo” hasta 2027 en el contexto de un paquete de simplificación.

Conclusión operativa: tú debes diseñar un plan que se adapte a cambios, pero sin quedarte inmóvil.

La estructura DiG: plan de cumplimiento en 7 bloques (aplicable y defendible)

A continuación tienes una metodología que funciona bien para empresas. Está pensada para que tú avances con rapidez, pero sin improvisar.

1) Inventario: identifica herramientas, usos, datos y dueños del proceso

Primero, necesitas visibilidad. Sin inventario, no hay control.

Incluye, como mínimo:

• Herramientas de IA usadas (corporativas y “por libre”).

• Departamentos que las usan.

• Finalidad exacta (qué tarea resuelve).

• Datos que entran y salen (y su sensibilidad).

• Integraciones y conectores (correo, CRM, drive, etc.).

• Responsable interno del caso de uso.

Además, detecta el Shadow AI: cuentas personales, herramientas no aprobadas y usos sin trazabilidad. Esto suele ser el origen de incidentes.

Evidencia recomendada: una hoja de inventario firmada por responsables de área, revisada mensualmente.

2) Clasifica el riesgo del caso de uso (y decide el nivel de control)

Segundo, define “qué tan peligroso es” cada uso. Aquí tú alineas AI Act, RGPD y realidad.

Te propongo una clasificación simple:

• Bajo riesgo: apoyo interno, sin datos sensibles, sin impacto externo directo.

• Riesgo medio: outputs que llegan a clientes o al público (marketing, soporte).

• Alto riesgo: decisiones que afectan a personas (RR. HH., crédito, scoring, biometría, educación, salud, etc.), o tratamiento intensivo de datos personales.

En paralelo, si el caso toca datos personales, debes aplicar RGPD desde el diseño. Y si el caso puede entrar en categorías sensibles del AI Act, el nivel de evidencia debe subir.

Evidencia recomendada: matriz de riesgos con controles mínimos por nivel.

3) RGPD “bien hecho” para IA: base legal, minimización, DPIA y derechos

Tercero, si hay datos personales, no hay atajo.

Además, el EDPB adoptó la Opinión 28/2024 sobre aspectos de protección de datos en el contexto de modelos de IA, reforzando la idea de análisis caso por caso y el peso de los principios del RGPD.

En tu práctica, revisa estos puntos:

• Base jurídica del tratamiento (no asumas que siempre es consentimiento).

• Finalidad concreta (y compatible con el uso de IA).

• Minimización: usa solo lo necesario; evita datos sensibles si no es imprescindible.

• Seguridad: accesos, cifrado, logs, retención, borrado.

• Transparencia: información clara cuando proceda.

• Encargados y subencargados: DPA, garantías y control.

• DPIA (evaluación de impacto) cuando el riesgo lo exija.

Además, España cuenta con materiales útiles de la AEPD sobre adecuación al RGPD en tratamientos con IA, que pueden servirte como referencia de enfoque.

Evidencia recomendada: registro de actividades, DPIA (si aplica) y anexos de seguridad.

4) Gobernanza y “AI literacy”: política interna, formación y registros

Cuarto, establece reglas internas. Y, muy importante, prueba que existen.

La alfabetización en IA (AI literacy) se está tratando como un deber práctico de organización y, desde 2025, se ha destacado como obligación a documentar con enfoque basado en riesgos en relación con el AI Act.

Tu paquete mínimo debería incluir:

• Política interna de uso de IA (clara y breve).

• Lista de herramientas autorizadas.

• Prohibiciones (datos personales sensibles, secretos, contratos completos, etc.).

• Reglas de revisión humana según criticidad.

• Procedimiento de reporte de incidentes.

• Formación por roles (marketing, RR. HH., ventas, legal, IT).

La AEPD, por ejemplo, publicó una política interna de uso de IA generativa como referencia de estructura y gobernanza (aunque sea para su ámbito, es útil como modelo organizativo).

Evidencia recomendada: registros de formación, versiones de la política, y logs de aceptación por empleados.

5) Contratos con proveedores de IA: aquí se evitan litigios

Quinto, revisa condiciones. Muchísimas empresas fallan aquí.

En contratos con proveedores de IA, tú deberías cubrir:

• Uso de tus inputs: ¿pueden entrenar con tu información?

• Propiedad/licencia de outputs: ¿puedes explotarlos comercialmente?

• Seguridad: cifrado, accesos, incidentes, auditoría.

• DPA (si hay datos personales) y subencargados.

• Transferencias internacionales.

• Responsabilidad e indemnidad: límites razonables, especialmente en IP y privacidad.

• SLA: disponibilidad, soporte, continuidad.

Si tu empresa opera en España, además, ten en cuenta que el país ha impulsado medidas y debates regulatorios alineados con el AI Act, incluida la exigencia de etiquetado de contenidos sintéticos en ciertas iniciativas legislativas.

Evidencia recomendada: contratos revisados, checklist de negociación y anexo de cumplimiento.

6) Transparencia y comunicación: clientes, usuarios y contenidos generados

Sexto, controla cómo se comunica el uso de IA hacia fuera.

En atención al cliente, por ejemplo:

• Aclara si el interlocutor es un sistema automatizado.

• Evita que el chatbot “prometa” condiciones no aprobadas.

• Escala a humano en casos sensibles.

• Registra conversaciones con política de retención.

En contenidos, añade revisión editorial. Y si hay piezas sintéticas o manipuladas, prepara reglas internas para etiquetado y verificación.

Evidencia recomendada: guiones, límites funcionales, flujos de escalado, y checklist editorial.

7) Seguridad y respuesta a incidentes: integra IA en tu plan de ciberseguridad

Séptimo, trata la IA como superficie de ataque.

Si tu empresa está afectada por NIS2, recuerda que la directiva establece obligaciones de gestión de riesgos e incidentes para entidades dentro de su ámbito.

Aun si no estás dentro, te conviene adoptar prácticas equivalentes:

• Control de accesos por rol (mínimo privilegio).

• Auditoría de conectores y permisos.

• DLP (prevención de fuga) para bloquear datos sensibles en prompts.

• Segmentación: separa pilotos, producción y bases de conocimiento.

• Simulacros de incidente (“table-top”).

• Plan de notificación y preservación de evidencias.

Evidencia recomendada: procedimientos, pruebas de control, informes de simulacro y registro de incidentes.

Tabla de cumplimiento: qué hacer según el tipo de herramienta de IA