Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
De la adopción de la IA a la regulación: 10 claves para comprender el impacto del Reglamento de Inteligencia Artificial (RIA) en las empresas
Laura Vico, Senior Legal Advisor en Govertis, part of Telefónica Tech, y Adjunta al Centro de Competencia de Privacidad y Regulación Digital, está certificada como Delegada de Protección de Datos desde 2019. Apasionada por la tecnología y la seguridad de la información, centra su trabajo en acompañar a las empresas en la aplicación del Reglamento de Inteligencia Artificial (RIA), del cual comparte aquí sus claves jurídicas y prácticas, desde su ámbito de aplicación hasta sus principales obligaciones, riesgos y recomendaciones.
- ¿Qué es lo primero que debe saber una organización que empieza a usar IA en sus procesos?
- ¿Cuál es el ámbito de aplicación del RIA?
- ¿Cuándo se va a exigir el cumplimiento del RIA?
- ¿Qué consecuencias se atribuyen en caso de incumplimiento del RIA?
- ¿Cuál es el objetivo del RIA?
- ¿Qué tipo de profesionales deberían implicarse en la adopción de la IA en una organización?
- ¿Qué clasificación de los sistemas de Inteligencia Artificial realiza el RIA?
- ¿Existe en el RIA alguna obligación específica para evaluar la protección de los Derechos Fundamentales?
- ¿Si ya tenemos una EIPD previa nos puede servir para hacer la EIDF?
- ¿Cuáles son las recomendaciones para que las organizaciones que van a utilizar o desarrollar IA cumplan con el RIA?
1. ¿Qué es lo primero que debe saber una organización que empieza a usar IA en sus procesos?
Con cada vez más frecuencia, estamos observando cómo entidades tanto públicas como privadas incorporan sistemas de Inteligencia Artificial (IA) en sus procesos de negocio. Ello supone grandes avances, por ejemplo, a la hora de automatizar y agilizar procedimientos que se venían haciendo de forma manual.
Sin embargo, esta decisión debe ir acompañada, desde el inicio, de un adecuado asesoramiento jurídico-técnico, así como de un análisis pormenorizado de los requisitos para la adecuación –principalmente– al Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, “RIA”), así como de otras normativas sectoriales y/o nacionales, incluso autonómicas, que puedan resultar de aplicación al caso concreto.
La decisión de incorporar IA en los procesos de una organización debe ir acompañada, desde el principio, de un asesoramiento jurídico-técnico adecuado.
Entre otros aspectos relevantes, este análisis debería incorporar un correcto entendimiento del rol que ostenta la entidad, en aplicación del RIA, también conocido como AI Act. Esto es, una entidad que adopte un sistema de IA en sus propios procesos, siendo este sistema desarrollado por un tercero, muy probablemente deba garantizar el cumplimiento de las obligaciones atribuidas por el RIA a los responsables del despliegue:
■ El Considerando (13) del RIA define el concepto de “responsable de despliegue” como aquella persona física o jurídica, incluida cualquier autoridad pública, órgano u organismo, que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional.
2. ¿Cuál es el ámbito de aplicación del RIA?
El ámbito de aplicación del RIA se encuentra regulado en su artículo 2 y se aplica principalmente a:
- Los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la Unión, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país.
- Los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión.
- Los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión.
- Los importadores y distribuidores de sistemas de IA.
- Los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca.
- Los representantes autorizados de los proveedores que no estén establecidos en la Unión.
- Las personas afectadas que estén ubicadas en la Unión.
El RIA se aplica a proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o modelos de uso general en la Unión.
3. ¿Cuándo se va a exigir el cumplimiento del RIA?
El Reglamento de Inteligencia Artificial (RIA) se publicó el 12 de julio de 2024 y entró en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea, tal y como se establece en su artículo 113.
Sin embargo, la aplicación del RIA se realiza de forma gradual con el tiempo. Un recurso que puede servir de apoyo es el siguiente calendario de la AI Act.
4. ¿Qué consecuencias se atribuyen en caso de incumplimiento del RIA?
En caso de incumplimiento, según las particularidades del mismo, se pueden imponer multas administrativas de hasta 35.000.000 € o de hasta el 7% de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.
Además, el artículo 99 del RIA atribuye la competencia para establecer el régimen de sanciones y otras medidas de ejecución, tales como advertencias y medidas no pecuniarias, a los Estados Miembros.
El incumplimiento del RIA puede conllevar sanciones administrativas de hasta 35 millones de euros o el 7 % del volumen de negocio mundial.
Concretamente en España, el “Anteproyecto de ley para el buen uso y la gobernanza de la IA”, fue aprobado por el Consejo de Ministros el 11 de marzo de 2025 y regula las infracciones y sus sanciones en su Capítulo IV, en función de si son infracciones muy graves, graves o leves. Incluye, además de las multas, otro tipo de sanciones como la retirada del producto o la desconexión o prohibición del sistema de IA, en el ámbito territorial de la autoridad de vigilancia del mercado sancionadora.
5. ¿Cuál es el objetivo del RIA?
El objetivo del RIA se encuentra recogido en el artículo 1.1 del citado Reglamento y consiste en “mejorar el funcionamiento del mercado interior y promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de IA (en lo sucesivo, «sistemas de IA») en la Unión así como prestar apoyo a la innovación”.
Tal y como se desprende de la definición del objetivo del RIA, parte de una visión antropocéntrica para que los avances tecnológicos en el marco de la IA, vayan siempre acompañados de esa protección del ser humano tanto en el propio desarrollo de la IA como de su propio contexto y uso.
6. ¿Qué tipo de profesionales deberían implicarse en la adopción de la IA en una organización?
Trayendo a colación lo tratado en la pregunta anterior relativa al objetivo del RIA, debemos recordar que el propio RIA atiende a una visión “amplia”, dado que busca la protección de tres pilares fundamentales:
- Salud
- Seguridad
- Derechos Fundamentales
■ A título ejemplificativo: los profesionales del ámbito de la privacidad deben tener presente que con el RIA no solo se busca la protección de un único derecho fundamental, como es el derecho a la protección de datos (artículo 18 de la Constitución Española y artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea), sino que pretende tener en consideración el impacto y posibles riesgos para cualquier Derecho Fundamental que pueda verse afectado.
—Imaginemos el caso en el que se utilice la IA para la oferta de puestos de trabajo y gestión de candidaturas al empleo. En este supuesto se tendrá que garantizar, entre otros, derechos fundamentales como el derecho a la igualdad y a la no discriminación.
Los profesionales especializados en ciberseguridad deberán tener en consideración la seguridad en sentido amplio y los posibles riesgos e implicaciones para la salud de las personas y sus derechos fundamentales.
Por todo lo expuesto, considero indispensable contar con equipos multidisciplinares dentro de la compañía que permitan aportar esa visión amplia de protección y tener en cuenta todas la aristas tanto técnicas como jurídicas. Además de poder aportar cada uno de los distintos perfiles los conocimientos de su especialidad, sería conveniente que todos ellos puedan estar formados en los aspectos más transversales (como el propio RIA), de forma que se permita un mayor entendimiento entre las partes, conversar en un mismo “idioma” y establecer objetivos comunes, como puede ser el cumplimiento normativo.
De hecho, esta es la visión que hemos adoptado en el Programa de Experto en Gobierno, Riesgo y Cumplimiento (GRC) aplicado a la Inteligencia Artificial que, desde Govertis y Telefónica Tech, hemos realizado junto con la Asociación Española para la Calidad, con la Colaboración de OdiseIA.
7. ¿Qué clasificación de los sistemas de Inteligencia Artificial realiza el RIA?
El RIA clasifica los sistemas de inteligencia artificial en cuatro niveles de riesgo, siguiendo el enfoque que mencionaba anteriormente basado en el impacto potencial sobre los derechos fundamentales, la seguridad y la salud de las personas.
La clasificación que realiza es la siguiente:
- Riesgo inaceptable: se consideran especialmente perjudiciales y contrarias a los valores de la Unión Europea y, por ello, se prohíben por el propio RIA.
—Por ejemplo: sistemas de puntuación social o sistemas que permitan el reconocimiento de emociones en el lugar de trabajo y en los centros educativos. - Alto riesgo: pueden afectar significativamente a los derechos fundamentales, la seguridad y la salud de las personas. Si bien no están prohibidos, están sometidos a una serie de obligaciones bastante exigentes (conservación de registros, supervisión humana, documentación técnica, etc).
—Por ejemplo: sistemas de IA centrados en la detección de comportamientos prohibidos durante exámenes. - Riesgo limitado: están sometidos fundamentalmente a obligaciones de transparencia.
—Por ejemplo: chatbots o generadores de contenido sintético (como IA generativa). - Riesgo mínimo o nulo: no está sujeto a restricciones específicas por parte del RIA. Pensemos en que dentro de esta categoría se encuentran los asistentes virtuales o filtros anti-spam.
Por último, cabe destacar los modelos de IA de propósito general (GPAI), que se tratan de sistemas que abarcan una gran variedad de usos potenciales, contemplados (o no) originariamente por los creadores del sistema.
Los modelos GPAI pueden dividirse a su vez:
- Sin riesgo sistémico, sometido a una serie de obligaciones generales.
- Con riesgo sistémico que, además de las obligaciones generales, deben garantizar obligaciones reforzadas.
8. ¿Existe en el RIA alguna obligación específica para evaluar la protección de los Derechos Fundamentales?
Sí, el RIA regula en su artículo 27 la Evaluación de impacto relativa a los derechos fundamentales (EIDF; FRIA en inglés) para los sistemas de IA de alto Riesgo, que es exigible a determinados responsables del despliegue.
Esta Evaluación deberá realizarse antes del despliegue y consiste en:
- Describir los procesos en los que se utilizará el sistema de IA de alto riesgo en consonancia con su finalidad prevista.
En este punto vemos la importancia del contexto de uso de la IA y no tanto la IA en sí misma, pues para realizar adecuadamente esta Evaluación no se debe entender el sistema de IA de forma aislada o quedándonos únicamente con la información que ofrece el proveedor como desarrollador de la misma.
—La IA debe comprenderse dentro de su contexto, que es donde realmente va a tener un impacto real. - Describir el período de tiempo durante el cual se prevé utilizar cada sistema de IA de alto riesgo y la frecuencia con la que está previsto utilizarlo.
- Identificar las categorías de personas físicas y colectivos que puedan verse afectados por su utilización en el contexto específico.
—Por ejemplo: un sistema de IA que utilice en un centro médico dirigido a pacientes y, concretamente, pueda afectar a menores. - Identificar los riesgos de perjuicio específicos que puedan afectar a las personas mencionadas en el punto anterior.
- Describir la aplicación de medidas de supervisión humana, de acuerdo con las instrucciones de uso.
- Las medidas que deben adoptarse en caso de que dichos riesgos se materialicen, incluidos los acuerdos de gobernanza interna y los mecanismos de reclamación.
■ A efectos de poder llevar a cabo una Evaluación de impacto relativa a los derechos fundamentales, la Autoridad Catalana de Protección de Datos (APDCAT) publicó un modelo pionero en Europa para desarrollar la EIDF.
Este modelo pionero se ha elaborado en el marco del grupo de trabajo de la red de delegados y delegadas de protección de datos de Cataluña 'DPD en xarxa' liderado por el profesor titular de Derecho Civil de la Universidad Politécnica de Turín, Alessandro Mantelero y se puede descargar en Modelo para la EIDF: guía y casos de uso.
9. ¿Si ya tenemos una EIPD previa nos puede servir para hacer la EIDF?
Sí, de hecho lo reconoce el propio artículo 27.4 RIA cuando indica que, si ya se cumple cualquiera de las obligaciones establecidas en el artículo 27 mediante la Evaluación de Impacto relativa a la protección de datos (EIPD) realizada con arreglo al artículo 35 RGPD, la EIDF complementará dicha EIPD.
De esta afirmación se deduce que, si la EIPD se ha realizado respecto a un tratamiento de datos personales que coincide con el proceso de negocio que va verse afectado por un sistema de IA de alto riesgo, es probable que ya tengamos definidos requisitos tales como las categorías de personas físicas y colectivos que pueden verse afectadas, así como la descripción del propio proceso. Por lo tanto, ya contaríamos con una base sobre la cual ampliar toda la información que pudiera quedar pendiente para entender completada una EIDF.
El RIA no debe entenderse de forma aislada, sino que es importante que como primer paso se conozca el marco legislativo aplicable para cada entidad.
En este sentido, es natural que la figura de responsable del despliegue coincida en la mayoría de los casos con la figura del responsable del tratamiento y que, a su vez, el proveedor que desarrolla el sistema de IA en cuestión sea considerado encargado del tratamiento, en tanto trate datos personales por cuenta del responsable.
■ El Considerando 10 del RIA hace una mención expresa al RGPD y a la protección de datos personales, incluso el propio artículo 10.5.f del RIA (dentro del contexto de las obligaciones para los sistemas de IA de alto riesgo) incluye como requisito que los registros de actividades del tratamiento deben incluir las razones por las que el tratamiento de categorías especiales de datos personales era estrictamente necesario para detectar y corregir sesgos, y por qué ese objetivo no podía alcanzarse mediante el tratamiento de otros datos.
10. ¿Cuáles son las recomendaciones para que las organizaciones que van a utilizar o desarrollar IA cumplan con el RIA?
Se recomienda partir del marco de la gobernanza, recurriendo a las bases de los sistemas de gestión, como el que ofrece la propia ISO 42001, que es la primera norma internacional para la gestión de sistemas de inteligencia artificial (IA).
Asimismo, garantizar la alfabetización en materia de IA que permita, conforme a lo dispuesto en el Considerando (20) del RIA, dotar tanto a los proveedores como a los responsables del despliegue y a las personas afectadas de los conceptos necesarios para tomar decisiones con conocimiento de causa en relación con los sistemas de IA.
Y, por último, mantener siempre el enfoque de riesgo, incluso aunque no tengamos obligación legal de realizarlo como organización. Este enfoque nos va a permitir anticiparnos a la materialización de situaciones de riesgo que puedan darse en este entorno cambiante y tan expuesto a nuevas amenazas, cada vez mucho más sofisticadas y complejas.
Una organización que inicia la adopción de sistemas de IA debe comprender su papel y responsabilidades bajo el Reglamento de Inteligencia Artificial (RIA), así como asegurarse de contar desde el comienzo con asesoría especializada para cumplir con la normativa aplicable.
