Guía definitiva de legislación aplicable al uso de IA en la empresa
Todo lo que un directivo necesita saber para adaptar su empresa al marco regulatorio de la IA.
Última actualización: abril de 2026
¿Está su empresa utilizando —o pensando en utilizar— herramientas de inteligencia artificial generativa? Entonces necesita conocer el marco legal que regula su uso. No se trata de una sola ley, sino de un entramado de normativas europeas y españolas que se solapan, se complementan y, en algunos casos, se aplican de forma simultánea a un mismo caso de uso. Esta guía está pensada para que usted, como directivo, pueda entender de forma clara y práctica qué legislación afecta a cada forma en que su empresa podría utilizar la IA generativa, y qué debe hacer para cumplir con ella.
Cómo leer esta guía
Esta guía no está organizada "por leyes", sino por casos de uso empresarial. La razón es sencilla: a usted no le interesa leerse cinco reglamentos enteros para saber si puede poner un chatbot en su web. Lo que necesita es ir directamente al caso de uso que le afecta y ver qué leyes aplican.
Cada ley o normativa relevante tiene asignada una etiqueta (L-01, L-02, etc.) que se referencia en los casos de uso. Al final de la guía encontrará una sección dedicada a cada una de esas leyes donde se explica su naturaleza, alcance y plazos. De este modo, puede ir de lo concreto (su caso de uso) a lo general (la ley en cuestión) y no al revés.
Índice de leyes referenciadas
| Etiqueta | Nombre abreviado | Norma completa |
|---|---|---|
| L-01 | Reglamento Europeo de IA | Reglamento (UE) 2024/1689 (EU AI Act) |
| L-02 | RGPD | Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos) |
| L-03 | Ley española de IA (Anteproyecto) | Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA |
| L-04 | Estatuto de los Trabajadores — Transparencia algorítmica | Art. 64.4.d) del ET, modificado por el RDL 9/2021 ("Ley Rider") |
| L-05 | Directiva de Derechos de Autor en el Mercado Único Digital | Directiva (UE) 2019/790 y su transposición española (RDL 24/2021) |
| L-06 | DORA — Resiliencia operativa digital | Reglamento (UE) 2022/2554 |
| L-07 | Orientaciones AEPD sobre IA agéntica | Guía de la Agencia Española de Protección de Datos (febrero 2026) |
| L-08 | V AENC | V Acuerdo para el Empleo y la Negociación Colectiva (2023-2025) |
| L-09 | Reglamento de Productos Sanitarios (MDR) | Reglamento (UE) 2017/745 |
| L-10 | MiFID II — Orientaciones ESMA sobre IA | Directiva 2014/65/UE y guía ESMA agosto 2024 |
PARTE I — Casos de uso y legislación aplicable
A continuación se describen los principales escenarios en los que una empresa puede emplear IA generativa, junto con las leyes que debe tener en cuenta en cada uno de ellos.
1. Chatbots y asistentes virtuales de atención al cliente
Descripción del caso de uso. Su empresa instala un chatbot con IA generativa en su página web, aplicación móvil o canal de mensajería para responder consultas de clientes, gestionar reclamaciones o proporcionar información sobre productos y servicios.
Legislación aplicable y cómo le afecta
L-01 — Reglamento Europeo de IA
Un chatbot basado en IA generativa es un sistema de IA que interactúa directamente con personas. El Reglamento exige que los usuarios sean informados de que están interactuando con un sistema de IA (obligación de transparencia, artículo 50). Esto significa que su chatbot debe identificarse claramente como tal: no puede hacerse pasar por un humano. Además, si el chatbot genera o manipula contenido (por ejemplo, texto que simula ser escrito por una persona), debe etiquetar dicho contenido como generado por IA.
Si el chatbot toma decisiones que afectan de forma significativa a los derechos de las personas —por ejemplo, deniega una reclamación o decide la elegibilidad para un servicio—, podría clasificarse como sistema de alto riesgo, lo que implicaría obligaciones mucho más estrictas de documentación, supervisión humana y evaluación de riesgos a partir de agosto de 2026.
L-02 — RGPD
El chatbot procesará inevitablemente datos personales: nombres, correos electrónicos, números de pedido, y potencialmente datos más sensibles dependiendo del sector. Necesita una base legal para ese tratamiento (normalmente, la ejecución de un contrato o el interés legítimo). Debe informar al usuario de cómo se tratan sus datos, durante cuánto tiempo y con qué finalidad. Si los datos se envían a un proveedor de IA externo (por ejemplo, OpenAI, Anthropic o Google), necesita un Acuerdo de Tratamiento de Datos (DPA) y debe verificar que existen garantías adecuadas para las transferencias internacionales.
Un punto crítico: si utiliza las versiones de consumo de estos modelos, los datos podrían usarse para entrenar el modelo, lo que haría prácticamente imposible cumplir con el principio de limitación de la finalidad del RGPD. Utilice siempre versiones empresariales o de API con garantías contractuales de no entrenamiento.
L-07 — Orientaciones AEPD sobre IA agéntica
Si su chatbot tiene capacidades agénticas —es decir, no solo responde preguntas sino que realiza acciones como consultar bases de datos, modificar pedidos o interactuar con otros sistemas—, las orientaciones de la AEPD de febrero de 2026 son especialmente relevantes. La AEPD establece que el responsable del tratamiento debe conocer y documentar la "cadena de razonamiento" del agente, garantizar la trazabilidad de cada paso y asegurar que los datos personales no se filtran a servicios externos de forma no controlada.
L-03 — Ley española de IA
Cuando entre en vigor, el régimen sancionador será aplicable a los chatbots que incumplan las obligaciones del Reglamento Europeo de IA. Las sanciones previstas oscilan entre 7,5 y 35 millones de euros dependiendo de la gravedad de la infracción.
Qué debe hacer su empresa
- Identificar claramente el chatbot como sistema de IA ante los usuarios.
- Realizar una Evaluación de Impacto en Protección de Datos (EIPD) si el chatbot procesa datos a gran escala o de forma sistemática.
- Utilizar únicamente servicios de IA de nivel empresarial con DPA y garantías de no entrenamiento.
- Implementar supervisión humana para decisiones con impacto significativo sobre los clientes.
- Documentar la cadena de procesamiento de datos del chatbot de extremo a extremo.
- Incluir mecanismos de escalado a agentes humanos.
2. Selección de personal, evaluación del desempeño y gestión laboral con IA
Descripción del caso de uso. Su empresa utiliza herramientas de IA generativa para filtrar currículos, generar preguntas de entrevista, analizar respuestas de candidatos, evaluar el rendimiento de los empleados, asignar tareas o turnos, o tomar decisiones que afectan a las condiciones laborales.
Legislación aplicable y cómo le afecta
L-01 — Reglamento Europeo de IA
Este es uno de los casos de uso más regulados. La IA utilizada en el ámbito del empleo —selección, contratación, evaluación del desempeño, promociones, despidos y asignación de tareas— está clasificada como sistema de alto riesgo en el Anexo III del Reglamento. A partir de agosto de 2026, estos sistemas deberán cumplir un conjunto completo de obligaciones: sistema de gestión de riesgos, gobernanza de datos, documentación técnica detallada, registro de actividades (logs), transparencia hacia los usuarios, supervisión humana efectiva (no un mero formalismo), y requisitos de exactitud, robustez y ciberseguridad.
Pero hay obligaciones que ya están en vigor. Desde febrero de 2025, está prohibido el uso de sistemas de reconocimiento de emociones en el lugar de trabajo. Esto incluye cualquier herramienta de IA que pretenda detectar el estado emocional de empleados o candidatos (por ejemplo, análisis de expresiones faciales o tono de voz en entrevistas por vídeo). También desde esa fecha es obligatoria la alfabetización en IA (artículo 4) para todo el personal involucrado en el uso y supervisión de estos sistemas.
L-02 — RGPD
El artículo 22 del RGPD establece una prohibición general de tomar decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o significativos sobre las personas. En el contexto laboral, esto significa que no puede dejar que un algoritmo decida por sí solo quién es contratado, ascendido o despedido. La jurisprudencia del Tribunal de Justicia de la UE ha extendido este principio: incluso una puntuación automatizada que influye fuertemente en una decisión humana posterior puede activar las protecciones del artículo 22.
Deberá realizar una Evaluación de Impacto en Protección de Datos obligatoria, ya que se trata de un tratamiento automatizado y sistemático con efectos significativos sobre las personas.
L-04 — Estatuto de los Trabajadores (Transparencia algorítmica)
Esta obligación, introducida por el RDL 9/2021 y ya plenamente en vigor, es clara y directa: la empresa está obligada a informar al comité de empresa (o a los delegados de personal y representantes sindicales) sobre los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de IA que afectan a las condiciones de trabajo, el acceso al empleo y su mantenimiento, incluida la elaboración de perfiles.
La sentencia SAN 101/2025 de la Audiencia Nacional, de julio de 2025, reforzó esta obligación al establecer que incluso fórmulas matemáticas básicas que afectan a las condiciones laborales entran dentro de esta obligación, y que debe extenderse también a los delegados sindicales, no solo al comité de empresa. El incumplimiento puede acarrear sanciones y la declaración de vulneración de la libertad sindical.
L-08 — V AENC
El V Acuerdo para el Empleo y la Negociación Colectiva (2023-2025) establece que los convenios colectivos deben abordar la transparencia algorítmica, el control humano sobre las decisiones de IA y la formación de los trabajadores ante la transformación digital. Aunque no es una ley en sentido estricto, los convenios colectivos que derivan de él sí tienen fuerza vinculante, y los negociadores sindicales cada vez prestan más atención a las cláusulas sobre IA.
Qué debe hacer su empresa
- Identificar todas las herramientas de IA que afecten directa o indirectamente a las condiciones laborales.
- Informar proactivamente a los representantes de los trabajadores sobre el funcionamiento de esos algoritmos, sin esperar a que se lo soliciten.
- Eliminar inmediatamente cualquier sistema de reconocimiento de emociones del entorno laboral.
- Garantizar que toda decisión laboral asistida por IA tenga una revisión humana sustantiva (no un simple "visto bueno" automático).
- Prepararse para las obligaciones de alto riesgo que entran en vigor en agosto de 2026: documentación técnica, auditorías de sesgo, sistema de gestión de calidad.
- Realizar auditorías de sesgo periódicas en los sistemas de IA utilizados en selección y evaluación.
3. Generación de contenido: textos, imágenes, vídeo y audio
Descripción del caso de uso. Su empresa utiliza IA generativa para crear contenidos de marketing, publicaciones en redes sociales, artículos para blogs, imágenes para campañas, materiales de formación, informes, presentaciones, vídeos promocionales o locuciones sintéticas.
Legislación aplicable y cómo le afecta
L-01 — Reglamento Europeo de IA
El Reglamento impone obligaciones de transparencia específicas para los contenidos generados por IA. Si su empresa genera textos, imágenes, audio o vídeo con IA, debe etiquetar dicho contenido como generado artificialmente de forma legible por máquina (artículo 50). Esto es especialmente importante para los deepfakes: cualquier contenido que simule la apariencia o la voz de personas reales debe llevar una advertencia clara e inequívoca de que ha sido generado o manipulado por IA.
Además, los proveedores de modelos de IA de propósito general (GPAI), como GPT, Claude o Gemini, tienen desde agosto de 2025 la obligación de documentar y publicar información sobre los datos de entrenamiento utilizados, respetar los derechos de autor y cumplir con las reservas de derechos de los titulares de contenidos (opt-outs de minería de datos).
L-05 — Directiva de Derechos de Autor (y su transposición española)
Esta es quizá la legislación más compleja y menos comprendida en el contexto de la IA generativa. Afecta a su empresa desde dos ángulos.
Como usuario de contenido generado por IA: Bajo el derecho de autor europeo y español, la protección por derechos de autor exige autoría humana. Esto significa que un contenido generado íntegramente por una IA, sin intervención creativa humana significativa, no está protegido por derechos de autor. Si usted genera un texto o una imagen usando IA y lo publica, un competidor podría copiarlo libremente sin que usted pueda reclamar protección. La clave está en el grado de intervención humana creativa: si un profesional utiliza la IA como herramienta y toma decisiones creativas sustanciales (selección, modificación, composición), puede existir protección, pero esta cuestión no ha sido resuelta aún por los tribunales españoles.
Como empresa que podría usar IA entrenada con obras protegidas: La Directiva establece dos excepciones para la minería de textos y datos (TDM), que es la técnica que permite entrenar modelos de IA con grandes volúmenes de contenido. La primera excepción (artículo 3) es para fines de investigación científica y está reservada a organismos de investigación. La segunda (artículo 4) es más amplia, pero los titulares de derechos pueden reservarse el uso de sus obras (mecanismo de opt-out). El Reglamento de IA (artículo 53.1.c) obliga a los proveedores de modelos GPAI a respetar estos opt-outs. Si su empresa utiliza IA para generar contenido que se parece sustancialmente a obras protegidas, podría enfrentarse a reclamaciones por infracción de derechos de autor.
L-02 — RGPD
Si la IA genera contenido que incluye o se basa en datos personales —por ejemplo, genera textos personalizados usando datos de clientes, o crea imágenes que incorporan rostros reales—, el tratamiento de esos datos personales está sujeto al RGPD. También debe considerar el riesgo de que los modelos de IA reproduzcan datos personales memorizados de sus datos de entrenamiento.
Qué debe hacer su empresa
- Etiquetar todo contenido generado o sustancialmente modificado por IA, tanto de forma visible para los usuarios como en los metadatos legibles por máquina.
- No confiar en la protección por derechos de autor de contenidos generados íntegramente por IA. Documente siempre la contribución creativa humana.
- Verificar que el proveedor de IA cumple con las reservas de derechos (opt-outs) de los titulares de contenido.
- Revisar los contenidos generados por IA antes de publicarlos para detectar posibles reproducciones de obras protegidas.
- Establecer procesos de revisión humana para todo contenido que vaya a publicarse externamente.
- Si genera contenido que simula a personas reales (voz, imagen), asegurar el cumplimiento estricto de las obligaciones de etiquetado de deepfakes.
4. Análisis de datos y toma de decisiones empresariales
Descripción del caso de uso. Su empresa utiliza IA generativa para analizar datos de ventas, tendencias de mercado, comportamiento de clientes, datos financieros o cualquier otro conjunto de datos empresariales con el fin de generar informes, recomendaciones estratégicas, predicciones o resúmenes ejecutivos.
Legislación aplicable y cómo le afecta
L-02 — RGPD
Si los datos analizados incluyen datos personales —y en la mayoría de contextos empresariales los incluirán, al menos parcialmente—, necesita una base legal para el tratamiento. El interés legítimo (artículo 6.1.f) es la base más común para análisis de datos empresariales, pero requiere una Evaluación de Interés Legítimo documentada que pondere los intereses de la empresa frente a los derechos de los interesados.
El principio de minimización de datos (artículo 5.1.c) es especialmente relevante aquí: no puede enviar bases de datos completas a un modelo de IA "por si acaso". Debe enviar únicamente los datos estrictamente necesarios para el análisis concreto. Las técnicas de anonimización y seudonimización cobran gran importancia: si los datos están verdaderamente anonimizados (de forma irreversible), dejan de ser datos personales y el RGPD no se aplica. Pero tenga en cuenta que la anonimización efectiva es técnicamente difícil y los reguladores son cada vez más exigentes al evaluarla.
Si envía datos a un proveedor externo de IA, debe asegurarse de que existe un DPA, de que el proveedor no utiliza los datos para entrenar sus modelos (esto es especialmente crítico con las versiones de consumo), y de que las transferencias internacionales cuentan con las garantías adecuadas (cláusulas contractuales tipo, decisiones de adecuación, etc.).
L-01 — Reglamento Europeo de IA
Si el análisis de datos se utiliza para tomar decisiones que afectan a personas —por ejemplo, scoring de clientes para decidir la concesión de servicios, segmentación que determine precios diferenciados, o evaluaciones de riesgo crediticio—, el sistema puede clasificarse como de alto riesgo según el Reglamento. Esto es particularmente claro en el caso del scoring crediticio y la evaluación de riesgos de seguros, que están expresamente listados en el Anexo III.
L-07 — Orientaciones AEPD sobre IA agéntica
Si utiliza sistemas agénticos que encadenan múltiples consultas a diferentes fuentes de datos para elaborar análisis complejos, las orientaciones de la AEPD son relevantes. Exigen que el responsable del tratamiento pueda trazar el recorrido completo de los datos a través de la cadena de razonamiento del agente, identificando en cada paso qué datos se procesan, de dónde provienen y a quién se comunican.
Qué debe hacer su empresa
- Realizar una Evaluación de Interés Legítimo documentada antes de tratar datos personales con IA para fines analíticos.
- Aplicar técnicas de minimización: anonimizar o seudonimizar los datos antes de enviarlos al modelo de IA.
- Utilizar exclusivamente canales empresariales o de API con garantías contractuales de no entrenamiento.
- Si el análisis afecta a decisiones sobre personas concretas, evaluar si el sistema entra en la categoría de alto riesgo.
- Documentar el flujo de datos completo, incluyendo qué datos salen de la organización y hacia dónde.
5. Asistentes de código y desarrollo de software con IA
Descripción del caso de uso. Sus equipos de desarrollo utilizan herramientas como GitHub Copilot, Cursor, Amazon CodeWhisperer u otros asistentes de código basados en IA generativa para escribir, revisar, depurar o documentar código.
Legislación aplicable y cómo le afecta
L-02 — RGPD
El riesgo principal aquí es la fuga de datos confidenciales y datos personales. Los estudios muestran que los desarrolladores pegan habitualmente fragmentos de código que contienen credenciales, claves de API, datos de configuración con información sensible o incluso datos personales de prueba en asistentes de código. Si esos asistentes son de nivel consumidor, esos datos podrían incorporarse al entrenamiento del modelo.
Además, si el código que se está desarrollando procesa datos personales y se utiliza IA para generarlo, debe verificarse que el código generado no introduce vulnerabilidades que comprometan la seguridad de los datos. Las investigaciones muestran tasas de vulnerabilidades del 30-50% en código generado por IA.
L-05 — Directiva de Derechos de Autor
El código generado por IA puede reproducir fragmentos de código con licencias restrictivas (GPL, por ejemplo) procedentes de los datos de entrenamiento del modelo. Si su empresa incorpora ese código en productos comerciales sin respetar las condiciones de la licencia original, podría enfrentarse a reclamaciones de propiedad intelectual. Esto es especialmente relevante dado que el Reglamento de IA obliga a los proveedores de modelos GPAI a respetar los opt-outs de derechos de autor, pero la responsabilidad final del uso del código generado recae sobre quien lo incorpora en su producto.
L-01 — Reglamento Europeo de IA
Si el software que se desarrolla con asistencia de IA va a formar parte de un sistema de alto riesgo (por ejemplo, software médico, sistemas de control industrial o herramientas de decisión crediticia), la documentación técnica exigida deberá reflejar el uso de IA en el proceso de desarrollo y las medidas adoptadas para verificar la seguridad y corrección del código generado.
Qué debe hacer su empresa
- Utilizar únicamente versiones empresariales de los asistentes de código, con garantías de no entrenamiento y DPA.
- Implementar escaneo automático de seguridad (SAST/DAST) en todo código generado por IA antes de incorporarlo a producción.
- Auditar regularmente los archivos de configuración de los asistentes de código para detectar posibles inyecciones de instrucciones.
- Verificar las licencias del código generado antes de incorporarlo a productos comerciales.
- Formar a los desarrolladores sobre los riesgos específicos del código generado por IA, incluyendo la tendencia a generar dependencias inexistentes (slopsquatting).
6. IA generativa en servicios financieros
Descripción del caso de uso. Su empresa del sector financiero (banca, seguros, inversiones, gestión de fondos) utiliza IA generativa para análisis de riesgos, generación de informes, atención al cliente, detección de fraude, scoring crediticio, evaluación de siniestros o asesoramiento financiero automatizado.
Legislación aplicable y cómo le afecta
L-01 — Reglamento Europeo de IA
El scoring crediticio y la evaluación de riesgos de seguros mediante IA están clasificados como sistemas de alto riesgo. Esto implica, a partir de agosto de 2026, obligaciones completas de documentación técnica, supervisión humana, auditoría de sesgos y gestión de riesgos. Pero además, ya desde febrero de 2025 es obligatoria la alfabetización en IA del personal que opera estos sistemas.
L-06 — DORA (Resiliencia operativa digital)
DORA está en vigor desde enero de 2025 y es directamente aplicable a las entidades financieras. Si su entidad utiliza servicios de IA proporcionados por terceros (como APIs de modelos de lenguaje), esos proveedores se consideran proveedores terceros de servicios TIC y deben ser gestionados conforme a DORA. Esto incluye: evaluación de riesgos del proveedor, cláusulas contractuales específicas de resiliencia, planes de continuidad, estrategias de salida en caso de interrupción del servicio, y notificación de incidentes graves a las autoridades competentes.
Si el proveedor de IA es designado como "proveedor tercero esencial", estará sujeto a supervisión directa de las autoridades europeas. La dependencia de un único proveedor de IA para funciones críticas es un riesgo que DORA obliga a gestionar explícitamente.
L-10 — MiFID II y orientaciones ESMA
Las orientaciones de la ESMA de agosto de 2024 exigen que las entidades financieras que utilicen IA en el asesoramiento a clientes garanticen que las recomendaciones generadas son en el mejor interés del cliente y que existe transparencia sobre el uso de IA en la generación de dichas recomendaciones.
L-02 — RGPD
Los datos financieros son especialmente sensibles. El scoring crediticio automatizado es un caso clásico del artículo 22 del RGPD (decisiones automatizadas con efectos significativos). Los clientes tienen derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado, a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión.
L-03 — Ley española de IA
Las autoridades de vigilancia del mercado para el sector financiero serán el Banco de España, la CNMV y la DGSFP, según el anteproyecto. Estas autoridades podrán inspeccionar y sancionar el incumplimiento de las obligaciones del Reglamento Europeo de IA en el sector financiero.
Qué debe hacer su empresa
- Incorporar a los proveedores de IA en el marco de gestión de riesgos TIC de DORA.
- Incluir cláusulas específicas de resiliencia y estrategias de salida en los contratos con proveedores de IA.
- Preparar la documentación de alto riesgo para los sistemas de scoring y evaluación de riesgos antes de agosto de 2026.
- Garantizar la intervención humana genuina en todas las decisiones crediticias y de seguros.
- Cumplir las obligaciones de transparencia de MiFID II cuando se use IA en asesoramiento.
- Notificar incidentes graves relacionados con la IA conforme a los requisitos de DORA.
7. IA generativa en el sector sanitario
Descripción del caso de uso. Su empresa del sector sanitario utiliza IA generativa para apoyo al diagnóstico, generación de informes clínicos, resumen de historiales, triaje de pacientes, investigación farmacéutica, comunicación con pacientes o gestión administrativa sanitaria.
Legislación aplicable y cómo le afecta
L-01 — Reglamento Europeo de IA
La IA utilizada en el ámbito sanitario para diagnóstico, triaje o decisiones clínicas se clasifica como de alto riesgo. Las obligaciones completas serán exigibles a partir de agosto de 2026, pero la alfabetización del personal sanitario en IA ya es obligatoria desde febrero de 2025.
L-09 — Reglamento de Productos Sanitarios (MDR)
Si el software de IA se utiliza como herramienta de apoyo al diagnóstico o a decisiones clínicas, puede clasificarse como producto sanitario conforme al MDR y requerir marcado CE, evaluación de conformidad y vigilancia poscomercialización. Esta clasificación es independiente de la del Reglamento de IA: un mismo sistema puede ser a la vez un producto sanitario regulado por el MDR y un sistema de IA de alto riesgo regulado por el Reglamento de IA.
L-02 — RGPD
Los datos de salud son datos de categorías especiales (artículo 9 del RGPD), cuyo tratamiento está prohibido con carácter general salvo excepciones tasadas (consentimiento explícito, necesidad para fines asistenciales, interés público en salud pública, etc.). La Evaluación de Impacto en Protección de Datos es obligatoria. Si los datos se envían a proveedores de IA externos, el riesgo de incumplimiento es extremadamente alto y debe analizarse con el máximo rigor.
Qué debe hacer su empresa
- Evaluar si su herramienta de IA encaja en la definición de producto sanitario del MDR y, en su caso, iniciar el proceso de marcado CE.
- Realizar una EIPD rigurosa dado el tratamiento de datos de salud.
- Considerar seriamente el uso de modelos desplegados en local o en infraestructura europea para minimizar los riesgos de transferencias internacionales de datos de salud.
- Garantizar supervisión clínica humana en todas las decisiones diagnósticas o terapéuticas.
- Documentar exhaustivamente el sistema para las obligaciones tanto del MDR como del Reglamento de IA.
8. Automatización de procesos internos con agentes de IA
Descripción del caso de uso. Su empresa despliega agentes de IA (sistemas autónomos que encadenan múltiples acciones) para automatizar procesos internos: gestión de correo electrónico, procesamiento de facturas, planificación de viajes, gestión de inventarios, atención a solicitudes internas, redacción de documentos o cualquier otro flujo de trabajo empresarial.
Legislación aplicable y cómo le afecta
L-07 — Orientaciones AEPD sobre IA agéntica
Esta guía de la AEPD, publicada en febrero de 2026, es el documento de referencia más completo que existe a nivel mundial sobre protección de datos en sistemas de IA agéntica. Su relevancia para este caso de uso es directa y central.
La AEPD establece que los agentes de IA son "medios" que permiten implementar tratamientos de datos personales, y que su inclusión en un proceso requiere una revisión completa de cumplimiento normativo. Destaca varias cuestiones críticas:
Interacción con el entorno: Los agentes acceden a servicios internos y externos, realizando llamadas a APIs, bases de datos y servicios web. Cada una de estas interacciones puede implicar una comunicación de datos personales a terceros, que debe estar cubierta por una base legal y un contrato de encargo de tratamiento.
Memoria y persistencia: Los agentes con memoria a largo plazo acumulan información que puede incluir datos personales de múltiples interacciones. Esta acumulación debe gestionarse conforme a los principios de limitación de finalidad y minimización, y los interesados deben poder ejercer sus derechos (acceso, rectificación, supresión) sobre los datos almacenados en la memoria del agente.
Trazabilidad: El responsable del tratamiento debe ser capaz de trazar el recorrido completo de los datos personales a través de la cadena de razonamiento del agente. Esto incluye saber qué datos se extrajeron de cada fuente, cómo se transformaron en cada paso, y a qué servicios externos se comunicaron.
Transparencia: El RGPD exige que los interesados sean informados del tratamiento de sus datos. Cuando un agente automatiza procesos que antes realizaba un humano (por ejemplo, gestionar un viaje para un empleado), la persona cuyos datos se tratan debe saber que ahora es un agente de IA quien los procesa.
L-02 — RGPD
Todas las obligaciones generales del RGPD aplican: base legal, minimización, limitación de finalidad, seguridad, derechos de los interesados. El aspecto más novedoso aquí es la complejidad de la cadena de tratamiento: un agente que automatiza la gestión de viajes de empleados podría consultar la agenda del empleado, acceder a servicios de reservas externos (cada uno con su propia política de privacidad), verificar tipos de cambio, y almacenar resultados. Cada uno de estos pasos debe analizarse como una operación de tratamiento.
L-01 — Reglamento Europeo de IA
Si los agentes toman decisiones autónomas que afectan a personas, podrían entrar en categorías de alto riesgo. Desde febrero de 2025 es obligatoria la alfabetización en IA de todo el personal involucrado en su operación. Si los agentes realizan acciones que pueden tener consecuencias irreversibles (envío de comunicaciones, modificación de datos, transacciones), es imprescindible implementar mecanismos de supervisión humana y botones de parada.
L-04 — Estatuto de los Trabajadores
Si los agentes de IA afectan a las condiciones de trabajo de los empleados (por ejemplo, asignan tareas, gestionan horarios, evalúan productividad), se activa la obligación de informar a los representantes de los trabajadores conforme al artículo 64.4.d).
Qué debe hacer su empresa
- Realizar un inventario completo de todos los agentes de IA desplegados y los tratamientos de datos que implementan.
- Para cada agente, documentar la cadena de razonamiento completa y los servicios a los que accede.
- Verificar que existen contratos de encargo de tratamiento con cada servicio externo al que accede el agente.
- Implementar mecanismos de trazabilidad que permitan auditar el recorrido de cualquier dato personal.
- Si los agentes afectan a condiciones laborales, informar a los representantes de los trabajadores.
- Establecer límites de acción claros: qué puede hacer el agente de forma autónoma y qué requiere aprobación humana.
- Implementar controles de presupuesto, tiempo máximo y número máximo de acciones por sesión para prevenir ejecuciones descontroladas.
9. Formación y desarrollo profesional con IA
Descripción del caso de uso. Su empresa utiliza IA generativa para crear materiales de formación, tutores virtuales personalizados, sistemas de evaluación de competencias, simuladores de escenarios o plataformas de aprendizaje adaptativo.
Legislación aplicable y cómo le afecta
L-01 — Reglamento Europeo de IA
La IA utilizada en educación y formación profesional para determinar el acceso, la admisión o la asignación de personas a instituciones educativas o programas de formación está clasificada como de alto riesgo en el Anexo III. Esto incluye los sistemas que evalúan los resultados de aprendizaje, dirigen el proceso de aprendizaje o monitorizan comportamientos durante exámenes. Si su sistema de IA decide qué formación recibe cada empleado, evalúa sus competencias o determina quién accede a programas de desarrollo, estará sujeto a las obligaciones completas de alto riesgo a partir de agosto de 2026.
Pero recuerde: la obligación de alfabetización en IA del artículo 4 ya está en vigor desde febrero de 2025. Irónicamente, la propia formación en IA de sus empleados es una obligación legal.
L-02 — RGPD
Los datos de rendimiento formativo de los empleados son datos personales. Su tratamiento mediante IA debe cumplir los principios generales del RGPD. Si la IA elabora perfiles de competencias individuales, puede activarse la regulación de decisiones automatizadas del artículo 22.
L-04 — Estatuto de los Trabajadores
Si los resultados de las evaluaciones basadas en IA influyen en decisiones laborales (promociones, asignaciones, despidos), debe informarse a los representantes de los trabajadores.
Qué debe hacer su empresa
- Evaluar si su sistema de formación con IA entra en la categoría de alto riesgo del Reglamento de IA.
- Implementar la formación obligatoria en IA para todo el personal (artículo 4, ya en vigor).
- Separar claramente los datos utilizados para la formación de los utilizados para la evaluación del desempeño laboral.
- Garantizar que las evaluaciones automatizadas de competencias no determinen por sí solas decisiones laborales.
10. Uso de IA generativa para la gestión documental y el conocimiento corporativo
Descripción del caso de uso. Su empresa implementa sistemas de IA generativa (frecuentemente basados en RAG — Retrieval Augmented Generation) para permitir que los empleados busquen y consulten información en repositorios documentales internos, bases de conocimiento, políticas corporativas, contratos, correos electrónicos u otros archivos de la organización.
Legislación aplicable y cómo le afecta
L-02 — RGPD
Los repositorios documentales corporativos contienen inevitablemente datos personales: nombres en contratos, datos de empleados en políticas de RRHH, información de clientes en correspondencia comercial. Cuando la IA "indexa" o "vectoriza" estos documentos para crear una base de datos de búsqueda, está realizando un tratamiento de datos personales que necesita base legal, minimización y las garantías habituales.
Un riesgo específico de los sistemas RAG es la fuga de información entre contextos: un empleado del departamento comercial podría obtener, a través de la IA, información contenida en documentos de RRHH a los que no debería tener acceso. La segmentación de accesos que existía en los repositorios originales debe replicarse en el sistema de IA.
L-07 — Orientaciones AEPD
La AEPD destaca que las bases de datos vectoriales utilizadas en RAG son repositorios de datos personales que deben gestionarse con todas las garantías: control de acceso, cifrado, derecho de supresión (que es técnicamente complejo en bases vectoriales), y trazabilidad.
Qué debe hacer su empresa
- Replicar en el sistema de IA la misma estructura de permisos y control de acceso que existe en los repositorios documentales originales.
- Realizar un inventario del contenido que se indexa y clasificar los datos personales incluidos.
- Implementar mecanismos para dar respuesta a los derechos de los interesados (acceso, supresión) sobre datos almacenados en las bases vectoriales.
- Si los documentos indexados contienen datos especialmente protegidos (salud, datos sindicales, etc.), extremar las medidas de seguridad.
11. Marketing personalizado y perfilado de clientes con IA
Descripción del caso de uso. Su empresa utiliza IA generativa para personalizar comunicaciones de marketing, segmentar audiencias, generar contenido adaptado a cada segmento de clientes, crear recomendaciones de productos, analizar el comportamiento de navegación o predecir la propensión de compra.
Legislación aplicable y cómo le afecta
L-02 — RGPD
El marketing personalizado basado en perfilado automatizado es uno de los ámbitos más escrutados por las autoridades de protección de datos. La base legal habitual es el consentimiento (especialmente para comunicaciones electrónicas) o el interés legítimo (para personalización dentro de una relación contractual existente). La elaboración de perfiles está específicamente regulada en el artículo 22 cuando produce efectos significativos sobre las personas.
El Comité Europeo de Protección de Datos (EDPB), en su Opinión 28/2024 de diciembre de 2024, confirmó que el interés legítimo puede servir como base legal para ciertos tratamientos de IA, pero exige una evaluación rigurosa que documente la necesidad, la proporcionalidad y la ponderación de intereses.
L-01 — Reglamento Europeo de IA
Si la personalización del marketing se basa en la explotación de vulnerabilidades de grupos específicos (edad, situación económica) para alterar su comportamiento de forma perjudicial, entra en las prácticas prohibidas desde febrero de 2025. Un ejemplo: un sistema de IA que identifica a personas con problemas económicos para bombardearlas con ofertas de crédito predatorio.
Los contenidos generados por IA para marketing (textos, imágenes, vídeos) deben etiquetarse como tales conforme al artículo 50.
Qué debe hacer su empresa
- Verificar la base legal del perfilado y documentar la Evaluación de Interés Legítimo o recabar consentimiento.
- Asegurar que el perfilado no explota vulnerabilidades de ningún grupo.
- Etiquetar los contenidos de marketing generados por IA.
- Ofrecer a los clientes mecanismos sencillos para oponerse al perfilado automatizado.
- Revisar los perfiles automatizados para detectar y corregir sesgos discriminatorios.
12. IA generativa en procesos de compliance y auditoría interna
Descripción del caso de uso. Su empresa utiliza IA generativa para revisar contratos, analizar riesgos regulatorios, monitorizar el cumplimiento normativo, generar informes de auditoría, detectar anomalías en transacciones o automatizar respuestas a requerimientos regulatorios.
Legislación aplicable y cómo le afecta
L-02 — RGPD
Los procesos de compliance frecuentemente implican el tratamiento de grandes volúmenes de datos personales (transacciones de clientes, comunicaciones de empleados, datos contractuales). Todos los principios del RGPD aplican. Si la IA de compliance monitoriza comunicaciones de empleados, es especialmente importante contar con base legal sólida y proporcionalidad.
L-01 — Reglamento Europeo de IA
Si la IA de compliance toma o influye en decisiones con impacto sobre personas (por ejemplo, bloqueo de cuentas por sospecha de fraude), podría clasificarse como sistema de alto riesgo.
L-06 — DORA
En entidades financieras, la IA utilizada para compliance debe integrarse en el marco de resiliencia operativa de DORA, incluyendo la gestión de riesgos del proveedor de IA.
Qué debe hacer su empresa
- Evaluar la proporcionalidad del uso de IA en la monitorización de empleados.
- Garantizar supervisión humana en las decisiones de compliance con impacto sobre personas.
- En entidades financieras, integrar las herramientas de IA de compliance en el marco DORA.
- Documentar cómo la IA llega a sus conclusiones para poder justificar las decisiones ante reguladores.
PARTE II — Las leyes en detalle
A continuación se describe cada una de las normativas referenciadas en los casos de uso anteriores. El objetivo no es sustituir la lectura de las normas, sino ofrecer una visión clara de su naturaleza, alcance, plazos y sanciones.
L-01 — Reglamento Europeo de Inteligencia Artificial
Norma: Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024.
Qué es
Es la primera legislación integral sobre inteligencia artificial del mundo. Establece un marco armonizado para toda la UE basado en un enfoque de riesgos: cuanto mayor sea el riesgo que plantea un sistema de IA, más estrictas son las obligaciones que debe cumplir. Al ser un Reglamento europeo, es directamente aplicable en España sin necesidad de transposición.
A quién se aplica
A proveedores (quienes desarrollan o comercializan sistemas de IA), responsables del despliegue (quienes utilizan sistemas de IA en su actividad profesional), importadores y distribuidores. Si su empresa utiliza IA generativa, es un "responsable del despliegue" y tiene obligaciones directas.
Estructura de riesgos
- Riesgo inaceptable (prohibido): Manipulación subliminal, explotación de vulnerabilidades, scoring social, reconocimiento de emociones en el trabajo, scraping masivo de imágenes faciales sin objetivo específico.
- Alto riesgo: IA en empleo, educación, scoring crediticio, seguros, migración, justicia, infraestructuras críticas. Requiere documentación técnica completa, supervisión humana, gestión de riesgos, auditorías de sesgo, evaluaciones de impacto en derechos fundamentales.
- Riesgo limitado: Chatbots, sistemas que generan contenido, deepfakes. Requiere obligaciones de transparencia.
- Riesgo mínimo: Sin obligaciones específicas, pero se recomienda seguir códigos de conducta.
Plazos de aplicación (escalonada)
- 2 de febrero de 2025: Prácticas prohibidas y obligación de alfabetización en IA.
- 2 de agosto de 2025: Obligaciones para modelos GPAI (transparencia, documentación, derechos de autor).
- 2 de agosto de 2026: Obligaciones completas para sistemas de alto riesgo y régimen sancionador.
Sanciones
Hasta 35 millones de euros o el 7% del volumen de negocio mundial para prácticas prohibidas. Hasta 15 millones o el 3% para incumplimiento de obligaciones de alto riesgo. Hasta 7,5 millones o el 1% para proporcionar información incorrecta.
L-02 — Reglamento General de Protección de Datos (RGPD)
Norma: Reglamento (UE) 2016/679, en vigor desde mayo de 2018.
Qué es
La norma fundamental de protección de datos personales en la UE. No es una ley específica de IA, pero es quizá la que más afecta al uso de IA generativa en la empresa, porque prácticamente todo uso de IA implica tratar datos personales de algún modo.
Principios clave para la IA generativa
- Licitud: Necesita una base legal para cada tratamiento (consentimiento, contrato, interés legítimo, obligación legal, etc.).
- Minimización: Solo puede tratar los datos estrictamente necesarios. No puede enviar "todo" a un modelo de IA.
- Limitación de finalidad: Los datos recogidos para un fin no pueden usarse para otro incompatible. Esto es especialmente relevante cuando los proveedores de IA usan los datos para entrenar modelos.
- Transparencia: Debe informar a las personas de que sus datos se tratan, cómo, por quién y con qué finalidad.
- Decisiones automatizadas (Art. 22): Prohibición general de decisiones basadas solo en tratamiento automatizado con efectos legales o significativos, salvo excepciones.
- Evaluación de Impacto (EIPD): Obligatoria para tratamientos de alto riesgo, que incluyen el uso sistemático y extensivo de IA para tratar datos personales.
Sanciones
Hasta 20 millones de euros o el 4% del volumen de negocio mundial. La AEPD recaudó 35,5 millones de euros en multas en 2024.
L-03 — Ley española para el Buen Uso y la Gobernanza de la IA (Anteproyecto)
Norma: Anteproyecto de Ley, aprobado por el Consejo de Ministros el 11 de marzo de 2025. En tramitación urgente.
Qué es
Es la norma que desarrollará en España el régimen sancionador y la arquitectura de gobernanza previstos en el Reglamento Europeo de IA. No duplica las obligaciones del Reglamento (que ya es directamente aplicable), sino que establece quién vigila, quién sanciona y cómo.
Aspectos clave
- Designa a AESIA (Agencia Española de Supervisión de Inteligencia Artificial, con sede en A Coruña) como autoridad central, pero asigna competencias sectoriales a la AEPD, el Banco de España, la CNMV, la DGSFP, el CGPJ y la Junta Electoral Central, entre otros.
- Tipifica las infracciones en leves, graves y muy graves, alineándose con las horquillas sancionadoras del Reglamento europeo.
- Regula las excepciones y autorizaciones para identificación biométrica remota en espacios públicos.
Estado actual
En tramitación. La audiencia pública se cerró el 26 de marzo de 2025. Se tramita por vía de urgencia, pero a fecha de esta guía aún no ha sido aprobada como Proyecto de Ley. No obstante, las prácticas prohibidas y la obligación de alfabetización del Reglamento europeo ya son sancionables independientemente de esta ley nacional.
L-04 — Estatuto de los Trabajadores: Transparencia algorítmica
Norma: Artículo 64.4.d) del Estatuto de los Trabajadores, introducido por el Real Decreto-ley 9/2021 ("Ley Rider"). En vigor desde agosto de 2021.
Qué es
Una obligación de información a los representantes de los trabajadores sobre los algoritmos y sistemas de IA que utiliza la empresa y que afectan a las condiciones de trabajo. Aunque se le conoce como "Ley Rider" porque se aprobó en el contexto de la regulación de los repartidores de plataformas digitales, la obligación de transparencia algorítmica se aplica a todas las empresas, no solo a las plataformas.
Obligación concreta
La empresa debe informar al comité de empresa (o delegados de personal) de los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de IA que afectan a la toma de decisiones sobre condiciones de trabajo, acceso al empleo y su mantenimiento, incluida la elaboración de perfiles.
Jurisprudencia relevante
La sentencia SAN 101/2025 de la Audiencia Nacional amplió significativamente el alcance de esta obligación: incluso fórmulas matemáticas sencillas que afecten a las condiciones laborales activan la obligación, y debe extenderse a los delegados sindicales, no solo al comité de empresa. Su incumplimiento se consideró vulneración de la libertad sindical.
Consecuencias del incumplimiento
Sanciones laborales y posible declaración de nulidad de las decisiones adoptadas sin informar a los representantes de los trabajadores.
L-05 — Directiva de Derechos de Autor en el Mercado Único Digital
Norma: Directiva (UE) 2019/790, transpuesta en España por el Real Decreto-ley 24/2021.
Qué es
La Directiva moderniza el régimen de derechos de autor europeo para el entorno digital. Para la IA generativa, su relevancia principal radica en los artículos 3 y 4, que regulan la minería de textos y datos (TDM), la técnica clave para entrenar modelos de IA con grandes volúmenes de contenido.
Dos regímenes de minería de datos
- Artículo 3: Excepción obligatoria para organismos de investigación e instituciones de patrimonio cultural. Los titulares de derechos no pueden impedirla.
- Artículo 4: Excepción general para cualquier persona con acceso legítimo a las obras, pero los titulares de derechos pueden reservarse expresamente el uso de sus obras para TDM (mecanismo de opt-out).
Conexión con el Reglamento de IA
El artículo 53.1.c) del Reglamento de IA obliga a los proveedores de modelos GPAI a cumplir con los derechos de autor de la UE, incluyendo el respeto a los opt-outs. Esto significa que si un proveedor de IA ha entrenado su modelo con obras cuyos titulares habían reservado sus derechos, está incumpliendo tanto la Directiva de Derechos de Autor como el Reglamento de IA.
Protección de los contenidos generados por IA
El principio general en el derecho europeo y español es que los derechos de autor exigen autoría humana. Los contenidos generados íntegramente por IA, sin intervención creativa humana sustantiva, no están protegidos. Esta cuestión sigue siendo objeto de debate jurídico y no hay aún jurisprudencia española directa.
Nota sobre la transposición española
La transposición española (RDL 24/2021) ha sido criticada por la doctrina por ser defectuosa en algunos aspectos: no distingue con claridad entre las dos modalidades de TDM de la Directiva, lo que genera inseguridad jurídica sobre el alcance exacto de la excepción en España.
L-06 — DORA: Reglamento de Resiliencia Operativa Digital
Norma: Reglamento (UE) 2022/2554, en vigor desde el 17 de enero de 2025.
Qué es
Un marco normativo europeo que refuerza la ciberseguridad y la resiliencia operativa del sector financiero. No es una ley sobre IA, pero afecta directamente a cualquier entidad financiera que utilice servicios de IA proporcionados por terceros.
A quién se aplica
A más de 20 tipos de entidades financieras: bancos, aseguradoras, empresas de inversión, entidades de pago, gestoras de fondos y sus proveedores terceros de servicios TIC.
Relevancia para la IA
Si su entidad financiera utiliza servicios de IA en la nube (APIs de modelos de lenguaje, herramientas de análisis basadas en IA), los proveedores de esos servicios son "proveedores terceros de servicios TIC" a efectos de DORA. Esto implica obligaciones de gestión de riesgos, cláusulas contractuales específicas, planes de continuidad, estrategias de salida, y notificación de incidentes. Los proveedores designados como "esenciales" están sujetos a supervisión directa europea.
Obligaciones principales
Gestión de riesgos TIC con gobernanza desde la alta dirección, notificación de incidentes graves, pruebas periódicas de resiliencia (incluyendo penetration testing), gestión de riesgos de terceros con cláusulas contractuales específicas, e intercambio de información sobre ciberamenazas.
L-07 — Orientaciones de la AEPD sobre IA agéntica
Norma: Documento de orientaciones de la Agencia Española de Protección de Datos, publicado en febrero de 2026 (81 páginas).
Qué es
Es la primera guía de una autoridad de protección de datos a nivel mundial específicamente dedicada a la IA agéntica. Aunque no tiene rango de ley, las orientaciones de la AEPD son un referente interpretativo de gran peso: indican cómo entiende la autoridad española de protección de datos que deben aplicarse las normas existentes (fundamentalmente el RGPD) a los sistemas de IA agéntica. Desviarse de estas orientaciones sin justificación equivale a asumir un riesgo regulatorio significativo.
Contenido clave
- Análisis de las vulnerabilidades específicas de los sistemas agénticos que afectan a la protección de datos (interacción con el entorno, cadenas de razonamiento complejas, memoria persistente).
- Guía sobre la determinación de roles (responsable/encargado) cuando intervienen múltiples agentes y servicios.
- Requisitos de trazabilidad, minimización y transparencia adaptados a la complejidad de los flujos agénticos.
- Análisis de amenazas específicas: inyección de prompts, envenenamiento de memoria, exfiltración de datos.
- Catálogo de medidas técnicas y organizativas para mitigar los riesgos identificados.
- La "Regla del 2": marco de evaluación de riesgo para sistemas agénticos.
- Énfasis en la alfabetización a tres niveles: directivo, técnico y usuario.
L-08 — V AENC (Acuerdo para el Empleo y la Negociación Colectiva)
Norma: V Acuerdo para el Empleo y la Negociación Colectiva 2023-2025, firmado por CEOE, CEPYME, CCOO y UGT.
Qué es
Es el acuerdo marco que establece las directrices para la negociación colectiva en España. No es una ley, pero tiene una influencia directa en el contenido de los convenios colectivos, que sí son vinculantes. Su relevancia para la IA radica en que incluye mandatos específicos sobre transparencia algorítmica, control humano de las decisiones basadas en IA y formación de los trabajadores para la transformación digital.
Implicación práctica
Los convenios colectivos que se negocien bajo el paraguas del V AENC incorporarán progresivamente cláusulas sobre el uso de IA en la empresa, lo que puede generar obligaciones contractuales adicionales a las legales. Las empresas deben estar preparadas para negociar estas cláusulas con los representantes sindicales.
L-09 — Reglamento de Productos Sanitarios (MDR)
Norma: Reglamento (UE) 2017/745, en vigor desde mayo de 2021.
Qué es
La norma que regula los productos sanitarios en la UE. Un software que se utiliza con finalidades médicas —diagnóstico, tratamiento, predicción— puede clasificarse como producto sanitario y estar sujeto al MDR, independientemente de que se base o no en IA.
Relevancia para la IA
Si su empresa desarrolla o utiliza herramientas de IA generativa para apoyo al diagnóstico clínico, triaje, predicción de riesgo sanitario o cualquier otra finalidad médica, ese software podría necesitar marcado CE, evaluación de conformidad y vigilancia poscomercialización conforme al MDR. Esta clasificación es acumulativa con la del Reglamento de IA: el mismo sistema puede tener que cumplir ambas normativas simultáneamente.
L-10 — MiFID II y orientaciones de ESMA sobre IA
Norma: Directiva 2014/65/UE (MiFID II) y orientaciones de ESMA de agosto de 2024 sobre el uso de IA en servicios financieros.
Qué es
MiFID II es la directiva que regula los servicios de inversión en la UE. Las orientaciones de ESMA de 2024 específicamente abordan el uso de IA por parte de las entidades financieras en la relación con sus clientes.
Relevancia para la IA
Las entidades que utilicen IA generativa en el asesoramiento financiero o la gestión de inversiones deben garantizar que las recomendaciones generadas son en el mejor interés del cliente, que existe transparencia sobre el papel de la IA en el proceso, y que se mantiene la supervisión humana adecuada. El principio de "mejor ejecución" y las obligaciones de idoneidad y conveniencia deben cumplirse independientemente de que la recomendación sea generada por un humano o por una IA.
Calendario regulatorio: fechas clave
Para facilitar la planificación, este es un resumen cronológico de las obligaciones ya vigentes y las que están por llegar.
Ya en vigor
- RGPD (desde mayo de 2018): todas las obligaciones de protección de datos.
- Estatuto de los Trabajadores, art. 64.4.d) (desde agosto de 2021): transparencia algorítmica ante los representantes de los trabajadores.
- DORA (desde enero de 2025): resiliencia operativa digital en el sector financiero.
- Reglamento de IA — prácticas prohibidas y alfabetización en IA (desde febrero de 2025).
- Obligaciones para modelos GPAI (desde agosto de 2025): documentación, transparencia, derechos de autor.
Próximas fechas
- Pendiente de aprobación: Inicio del régimen sancionador para prácticas prohibidas conforme a la Ley española de IA.
- Agosto de 2026: Obligaciones completas para sistemas de IA de alto riesgo (empleo, finanzas, sanidad, educación). Evaluaciones de Impacto en Derechos Fundamentales.
- 2027: Extensión de las obligaciones de alto riesgo a sistemas que ya estaban en el mercado antes del Reglamento (período transitorio).
¿Qué hacer ahora? Primeros pasos para su empresa
Si ha llegado hasta aquí, probablemente se esté preguntando por dónde empezar. Aquí tiene una hoja de ruta concisa:
1. Inventario. Elabore un inventario completo de todos los sistemas y herramientas de IA que se utilizan en su organización, incluyendo los que usan los empleados por iniciativa propia (la llamada "shadow AI"). No puede cumplir con normativas que desconoce que le aplican.
2. Clasificación de riesgo. Para cada sistema identificado, determine su nivel de riesgo conforme al Reglamento Europeo de IA: prohibido, alto riesgo, riesgo limitado o riesgo mínimo. Esto determinará el nivel de obligaciones que debe cumplir.
3. Protección de datos. Verifique que todos los tratamientos de datos personales realizados mediante IA cuentan con base legal, que existen DPA con los proveedores, que se aplica el principio de minimización, y que se han realizado las EIPD necesarias. Si utiliza versiones de consumo de herramientas de IA, migre inmediatamente a versiones empresariales.
4. Transparencia laboral. Si algún sistema de IA afecta a las condiciones de trabajo de sus empleados, informe a los representantes de los trabajadores. No espere a que se lo pidan: la ley le obliga a hacerlo proactivamente.
5. Alfabetización. Inicie un programa de formación en IA para todo el personal involucrado en su uso y supervisión. Esta obligación ya está en vigor.
6. Planificación para agosto de 2026. Si utiliza IA en ámbitos de alto riesgo (empleo, finanzas, sanidad, educación), comience ya a preparar la documentación técnica, los sistemas de gestión de calidad, las auditorías de sesgo y los mecanismos de supervisión humana que serán exigibles.
7. Gobernanza. Establezca un comité o una estructura de gobernanza de IA que coordine el cumplimiento legal, técnico y ético del uso de IA en su organización. Involucre a legal, IT, RRHH, negocio y dirección.
Sobre nosotros
Somos una consultora española especializada en inteligencia artificial. Ayudamos a las empresas usar IA poniendo especial énfasis en la alfabetización de la plantilla, el cumplimiento de las leyes que regulan su uso y la prevención de riesgos.
Si después de leer esta guía necesita acompañamiento para adaptar su empresa al marco regulatorio de la IA, estaremos encantados de ayudarle.
Esta guía tiene carácter informativo y no constituye asesoramiento jurídico. La legislación en materia de IA evoluciona con rapidez; verifique siempre la vigencia de las normas citadas.
Última revisión: abril de 2026.