Por Ester Domínguez Martínez, abogada especializada en Derecho Digital y Mercantil. Fundadora de EDMLEGAL.
Responsabilidad jurídica e Inteligencia Artificial
La inteligencia artificial (en adelante IA) ya no es solo una cuestión tecnológica, es una cuestión legal. Con la entrada en vigor del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (RIA), Europa inaugura una nueva etapa en la que la innovación deberá convivir con la responsabilidad jurídica. Desde el 1 de agosto de 2024, esta norma está llamada a transformar la forma en que startups y empresas digitales desarrollan, integran y utilizan sistemas de IA.
En este sentido, Europa ha dado un paso histórico al aprobar el Reglamento de Inteligencia Artificial (RIA), la primera norma global que busca regular de manera integral el desarrollo y uso de la IA. Por tanto, se trata de un cambio profundo que va mucho más allá del cumplimiento técnico, en la medida en que redefine la forma en que las empresas innovan, gestionan datos y asumen responsabilidad sobre sus sistemas automatizados.
Desde EDMLEGAL, observamos cómo esta nueva regulación abre un escenario inédito para el tejido empresarial digital. Startups, SaaS y consultoras tecnológicas deberán incorporar el cumplimiento normativo en el centro de su estrategia si quieren seguir operando en el mercado europeo sin riesgos jurídicos.
Clasificación de los sistemas de IA
Uno de los aspectos más importantes de la norma es que clasifica los sistemas de IA en función del riesgo que representan para las personas. Incorpora los riesgos inaceptables, que son sistemas de IA que manipulan, engañan o discriminan a las personas y por tanto están prohibidos, no pueden comercializarse en Europa. Por ejemplo, se encuentran dentro de estos sistemas inaceptables los sistemas de IA que analizan las expresiones faciales o movimientos corporales para detectar posibles delincuentes o sistemas que puntúan a las personas por su conducta, reputación o género y sistemas que se utilizan en el sector publicitario que manipulan las emociones de las personas, entre otros.
Por otro lado, se recogen los sistemas de alto riesgo que son sistemas de IA que pueden tener un impacto real en la vida de las personas porque pueden decidir quién consigue una financiación, trabajo, una beca, en la medida en que son sistemas que hacen predicciones sin la intervención humana. Por tanto, estos sistemas están muy regulados y deberán cumplir requisitos exhaustivos de documentación, trazabilidad, transparencia y supervisión humana.
Otra clase de sistemas son los de riesgo limitado que son sistemas de IA que interactúan con personas o generan contenidos, pero sin tomar decisiones críticas. En estos casos el RIA exige una cosa fundamental que es la transparencia y, como última clase se establecen los sistemas de riesgo mínimo, que incluyen todos los sistemas de IA que no afectan a derechos, decisiones o seguridad de las personas, en tanto en cuanto, son herramientas que simplemente ayudan al trabajo diario, automatizan tareas rutinarias o mejoran la productividad, pero no toman ninguna decisión.
Las evaluaciones de riesgo
Conforme a lo expuesto, podemos observar que gran parte de las empresas tecnológicas o startups hoy operan con algoritmos o modelos predictivos que encajan en alguna de estas categorías, aunque actualmente no sean conscientes de ello. Por ejemplo, las herramientas de recomendación, scoring o asistentes conversacionales pueden considerarse a efectos del RIA y requerir auditorías o evaluaciones previas antes de poder ponerlas en el mercado.
En este caso, será necesario realizar evaluaciones de riesgo, documentar los conjuntos de datos utilizados, establecer protocolos de supervisión humana y, en algunos casos, notificar a las autoridades competentes. El desafío jurídico más complejo será integrar el RIA con otras normas vigentes —como el RGPD o la futura Ley de Ciberresiliencia— sin duplicar obligaciones ni crear burocracia innecesaria.
Lo que está claro es que las empresas que logren cumplir con el RIA obtendrán una ventaja competitiva en el mercado porque van a poder demostrar que su sistema IA es seguro, ético y conforme a la normativa.
Por tanto, las empresas deben analizar y clasificar sus sistemas de IA conforme al RIA y, en caso de que el sistema entre en las categorías prohibidas, su comercialización no será posible en el mercado europeo. En cambio, los modelos de propósito general (GPAI) deben comenzar a preparar fichas de transparencia, evaluaciones y mitigación de riesgos, trazabilidad y verificación de derechos de autor.
Si bien es cierto que el grueso de las obligaciones legales previstas en el Reglamento de Inteligencia Artificial (RIA) —excepto las aplicables a los sistemas de alto riesgo— no será plenamente exigible hasta el 2 de agosto de 2026, ello no exime a las empresas de iniciar desde ahora un análisis interno de los sistemas de IA que utilizan, a fin de verificar su adecuación progresiva a los requisitos del RIA y anticipar las medidas de cumplimiento necesarias.
Confía en nuestros abogados en A Coruña, Vigo y Madrid
Desde EDMLEGAL despacho de abogados especializado en derecho mercantil y digital, con oficinas en A Coruña, Vigo y Madrid, ayudamos a startups y empresas tecnológicas a mapear sus sistemas de IA, identificar riesgos, adaptar contratos y elaborar políticas de cumplimiento.
Nuestra experiencia en derecho digital y mercantil nos permite acompañar a los equipos técnicos desde una perspectiva práctica, donde el cumplimiento no sea un obstáculo, sino un valor añadido.
Por tanto, nuestra recomendación es que analicen los sistemas de IA que desarrollas o que utilizas para que en el futuro no tengas que cambiarlos porque no cumplen la normativa o no puedas comercializarlo por no haberte asesorado legalmente sobre la viabilidad de tu producto.
Ester Domínguez Martínez
Abogada especializada en Derecho Digital y Mercantil
Fundadora de EDMLEGAL – Madrid, Vigo y A Coruña
www.edmlegal.es