IA, RGPD y AI Act: lo que tu empresa debe saber en Europa

Si tu empresa usa IA de terceros, el AI Act casi no te aplica, pero el RGPD sí. Guía sin hype para decisores: qué puedes hacer, qué no y qué te multa.

IA, RGPD y AI Act: lo que tu empresa debe saber en Europa

Si tu empresa usa ChatGPT, un copiloto de oficina o un chatbot de atención al cliente, pero no fabrica esas herramientas, tengo una buena noticia: el grueso del AI Act, la ley de inteligencia artificial de la Unión Europea, no va contigo. Lo que sí te aplica, desde el primer día y sin excepción, es el RGPD, en cuanto metes datos de una persona en cualquiera de esas herramientas. Ese es el titular.

El resto del artículo lo desarrolla, sin asustarte para venderte horas de bufete y sin decirte que no te preocupes porque la IA es el futuro. El marco que uso es más simple: esto sí puedes, esto no, y esto es lo que multa.

Un aviso antes de seguir. Esto no es asesoramiento jurídico. Es un mapa mental para que sepas qué preguntar y por dónde empezar. Para un caso concreto, con tu sector y tus datos encima de la mesa, habla con un profesional. Lo de aquí te sirve para llegar a esa conversación sabiendo de qué va y sin pagar por que te expliquen lo básico.

¿Esto me aplica? Fabricar IA no es lo mismo que usarla

El AI Act trata de forma muy distinta a quien fabrica un sistema de IA y a quien solo lo usa. Esa distinción es la que decide casi toda tu carga legal, así que conviene tenerla clara antes que nada.

Un proveedor es quien construye, entrena o vende el sistema de IA, o lo pone en el mercado con su marca. OpenAI con ChatGPT, Microsoft con Copilot, Google con Gemini: esos son proveedores. Sobre ellos recae el peso de la ley, porque son quienes deciden cómo funciona la máquina por dentro.

Un responsable del despliegue, o deployer en la jerga del reglamento, es quien usa un sistema de IA bajo su responsabilidad dentro de una actividad profesional. Es decir, tu empresa cuando pone a su equipo a usar una de esas herramientas para trabajar. La ley lo define así de forma expresa [1], con una única excepción: el uso puramente personal y no profesional no cuenta.

Aquí está la parte tranquilizadora. La inmensa mayoría de las pymes son deployers, no proveedores. No entrenáis modelos ni vendéis sistemas de IA: contratáis los de otros y los usáis. Y las obligaciones de un deployer son muchísimo más ligeras que las de quien fabrica. Buena parte del ruido que has oído sobre la ley está pensado para proveedores y para grandes sistemas de riesgo, no para la oficina que usa un asistente para redactar correos.

Ahora bien, “deployer” no significa “sin obligaciones”. Significa que las tuyas dependen de para qué uses la IA. Y eso se decide por niveles de riesgo.

Árbol de decisión que muestra cómo distinguir si una empresa es proveedor o responsable del despliegue (deployer) de un sistema de IA, y cómo esa distinción determina si la carga de obligaciones del AI Act es fuerte o ligera
¿Fabricas el sistema o solo lo usas? Esa pregunta decide casi toda tu carga legal bajo el AI Act.

Los cuatro niveles de riesgo del AI Act, en cristiano

El AI Act no regula “la IA” en bloque: mira para qué se usa cada sistema y lo mete en uno de cuatro cajones según el daño que pueda causar a las personas [2]. El cajón determina qué te toca hacer.

Nivel de riesgoEjemplo de uso en una empresaQué te toca a ti
InaceptablePuntuar socialmente a personas; ciertos usos de manipulación o de reconocimiento de emociones en el trabajoProhibido. No se puede usar, sin matices
AltoIA que criba currículums, apoya un ascenso o influye en conceder o negar un créditoPermitido, pero con obligaciones fuertes de control y supervisión
LimitadoUn chatbot que habla con tus clientes; imágenes o textos generados por IA que publicasPermitido, con obligación de transparencia: avisar de que es una IA o de que el contenido es generado
MínimoRedactar un correo, resumir un documento, traducir, buscar información internaSin obligaciones nuevas

Los dos extremos son los fáciles de entender. El riesgo inaceptable es una lista corta de usos prohibidos, como la puntuación social al estilo de un ranking de ciudadanos, y lo normal es que ni se te pase por la cabeza hacerlos. El riesgo mínimo es donde vive casi todo el uso de oficina: pedirle a una herramienta que te redacte un borrador o te resuma un acta no añade ninguna obligación nueva.

El nivel alto es el que conviene mirar con lupa, porque es fácil caer en él sin darte cuenta. No es por la herramienta, sino por la decisión. Usar una IA para ordenar candidatos en un proceso de selección, o para ayudar a decidir a quién le das financiación, entra en terreno de alto riesgo precisamente porque afecta a la vida de una persona.

El nivel limitado es el del chatbot y el del contenido generado. La regla aquí es de sentido común: la persona tiene derecho a saber que está hablando con una máquina y no con un humano, y a saber cuándo una imagen o un texto los ha producido una IA. Si tienes un chatbot de atención al cliente, esto te toca.

Sobre las fechas, una advertencia. El AI Act entró en vigor el 1 de agosto de 2024 y sus obligaciones se aplican por fases. Las prohibiciones y el deber de formación son exigibles desde febrero de 2025; las reglas para los modelos de IA de propósito general, desde agosto de 2025. Los plazos de las obligaciones de alto riesgo son posteriores y han sido objeto de propuestas de aplazamiento en la propia UE [2], así que no fijes una fecha en la cabeza como definitiva: consulta la fuente oficial para el calendario vigente. Si quieres el detalle operativo de niveles y plazos, lo desarrollo en el resumen del AI Act para empresas.

Escalera de los cuatro niveles de riesgo del AI Act de menor a mayor severidad (mínimo, limitado, alto, inaceptable), con la obligación empresarial asociada a cada nivel
Cuatro cajones, cuatro obligaciones distintas: así clasifica el AI Act cualquier uso de IA en tu empresa.

Si solo uso IA de otros, ¿qué me toca a mí?

Como deployer, tus obligaciones caben en una lista corta y ninguna te obliga a tener un departamento legal. Estas son las que importan en la práctica.

  • No usarla para lo prohibido. El nivel inaceptable te aplica siempre, uses la herramienta de quien la uses.
  • Supervisión humana cuando hay una decisión de alto riesgo. Si una IA participa en decidir sobre una persona, una persona con competencia y autoridad debe revisar y poder corregir esa decisión. El reglamento pide que quien supervise sepa lo que hace [1]. Nada de firmar a ciegas lo que diga la máquina.
  • Transparencia cuando toca. Si operas un chatbot o publicas contenido generado, avisas. Ya está.
  • Alfabetización en IA. Este es el que casi todo el mundo se salta. El AI Act obliga a que tu equipo tenga un nivel básico de comprensión de las herramientas que usa, y esta obligación es exigible desde el 2 de febrero de 2025 para cualquier empresa que use IA, sea cual sea el nivel de riesgo [3].

Esa última no pide un máster. Pide que la persona que usa la herramienta entienda qué hace, dónde se equivoca y qué no debe meter dentro. Un equipo que sabe que un modelo se puede inventar datos con total seguridad, y que no se pega la base de clientes en un chat gratuito, ya cumple el espíritu de la norma mejor que muchas empresas grandes.

Fíjate en lo que no aparece en esta lista: registrar el sistema, hacer auditorías de conformidad, marcados técnicos. Eso es carga de proveedor, no tuya. Por eso insisto en la distinción del principio. Confundirte de rol es la forma más rápida de asustarte de más.

El que casi siempre te aplica: el RGPD y los datos de tus clientes

Aquí está el riesgo real para una pyme, y no viene del AI Act sino del RGPD, la ley europea de protección de datos que lleva en vigor desde 2018 [4]. En la práctica, lo que más multa no es usar IA: es tratar mal los datos de las personas al usarla.

Un dato personal es cualquier información sobre una persona identificada o que se pueda identificar. Un nombre, un correo, un teléfono, un currículum, una foto, la conversación de un cliente con soporte. En el momento en que copias eso dentro de una herramienta de IA, estás haciendo un tratamiento de datos, con todas las consecuencias legales que eso arrastra.

El problema típico se ve venir. Alguien del equipo, con buena intención, pega la base de datos de clientes o un CV en un chat público gratuito para que le ayude a analizarlo. Con ese gesto acaba de enviar datos personales a un proveedor externo, probablemente a servidores fuera de la Unión Europea, sin base legal clara y sin contrato que regule qué hacen con ellos. El caso concreto lo desmenuzo en subir datos de clientes a ChatGPT, porque es el error más común y el más caro.

La diferencia entre hacerlo bien o mal suele estar en una palabra: contrato. Las versiones de consumo de estas herramientas están pensadas para uso personal y no te dan garantías sobre tus datos. Las versiones empresariales se contratan con un acuerdo en el que el proveedor actúa como encargado del tratamiento, es decir, trata los datos por cuenta tuya, siguiendo tus instrucciones y con obligaciones de seguridad y confidencialidad. Si vas a meter datos de clientes o empleados, esa es la vía. Todo el detalle de cómo encaja el RGPD con la IA está en RGPD e inteligencia artificial.

La autoridad que vigila esto en España es la AEPD, la Agencia Española de Protección de Datos, y publica orientaciones sobre IA y datos que están escritas para que las entienda alguien de negocio [5]. Si solo vas a leer a una fuente oficial, que sea esa.

¿Qué documento tengo que poder enseñar si me lo piden?

Nada que no puedas montar tú en una tarde. No es un dosier legal ni un máster: es una carpeta ordenada que responde a cuatro preguntas, y sirve tanto si te la pide un inspector como si te la exige un cliente grande antes de firmar contigo.

  • Qué herramientas de IA usa la empresa y para qué. Un inventario simple. Nombre de la herramienta, quién la usa, para qué tarea.
  • Dónde hay datos personales de por medio y con qué base. Marca en ese inventario qué herramientas tocan datos de personas y por qué estás legitimado para tratarlos.
  • Qué decisiones sobre personas apoya una IA y quién las supervisa. Si algo afecta a un cliente, un candidato o un empleado, apunta quién es el humano responsable de revisar esa decisión.
  • Los contratos y condiciones empresariales de las herramientas. Guarda los acuerdos de las versiones de pago, sobre todo los que regulan el tratamiento de datos.

Tener esto por escrito te cambia la conversación. Pasas de “no sabemos muy bien qué usamos” a poder enseñar en cinco minutos que tienes control sobre tus herramientas. Esa carpeta es, con diferencia, la mejor inversión de tiempo que puedes hacer esta semana.

Esto sí, esto no, esto multa

Todo lo anterior se resume en tres cajones. Es el mapa que quería darte.

Esto sí puedes hacer sin miedo:

  • Usar IA para redactar, resumir, traducir o generar ideas con información que no identifica a ninguna persona.
  • Usar versiones empresariales con contrato para trabajar con datos de clientes o empleados.
  • Automatizar tareas internas de oficina, que casi siempre son de riesgo mínimo.

Esto no deberías hacer:

  • Usarla para cualquiera de los usos prohibidos del nivel inaceptable.
  • Dejar que una IA decida sola sobre una persona, en selección o en crédito, sin que un humano competente supervise.
  • Pegar datos personales en herramientas de consumo gratuitas sin contrato que regule qué pasa con ellos.

Esto es lo que de verdad multa:

En el día a día de una pyme, lo que acaba en sanción casi siempre es el RGPD: una fuga o un tratamiento indebido de datos personales. El AI Act también contempla sanciones, con tramos que dependen de la gravedad de la infracción, y las más altas se reservan para los usos prohibidos. No te doy cifras porque los importes exactos dependen de factores que no puedo prometerte aquí sin engañarte. Quédate con el orden de magnitud: saltarse una prohibición es lo más caro, y tratar mal los datos de personas es lo más probable.

Distinguir lo que la IA sí puede hacer de lo que te van a vender que puede, y usarla con criterio en lugar de por moda, es justo lo que trabajamos en el curso IA sin hype. No va de aprender a programar: va de tomar mejores decisiones sobre dónde meter esta tecnología en tu negocio y dónde no.

Un concepto nuevo cada semana

Fuentes

  1. Reglamento (UE) 2024/1689 (AI Act), EUR-Lex: definiciones de proveedor y de responsable del despliegue, y obligaciones de supervisión humana del deployer de sistemas de alto riesgo (artículo 26).
  2. Regulatory framework on AI, Comisión Europea: clasificación en cuatro niveles de riesgo y calendario de aplicación por fases del AI Act.
  3. Artículo 4, Alfabetización en materia de IA, AI Act: obligación de alfabetización en IA para proveedores y responsables del despliegue, exigible desde el 2 de febrero de 2025.
  4. Reglamento (UE) 2016/679 (RGPD), EUR-Lex: concepto de dato personal, tratamiento, encargado del tratamiento y transferencias internacionales.
  5. Agencia Española de Protección de Datos (AEPD): autoridad española de protección de datos y sus orientaciones sobre inteligencia artificial.

Preguntas frecuentes

¿Mi empresa está obligada por el AI Act si solo usamos ChatGPT y herramientas parecidas?

En su mayor parte, no. Si solo usáis herramientas de IA de terceros en vuestra actividad, sois responsables del despliegue, no proveedores, y el peso del reglamento recae sobre quien fabrica el sistema. Lo que sí os aplica desde ya es formar mínimamente a vuestro equipo en el uso de esas herramientas, y las reglas de transparencia si operáis un chatbot o publicáis contenido generado.

¿Puedo meter datos de mis clientes en una herramienta de IA para que me ayude?

Depende de qué versión uses. En una versión de consumo gratuita, pensada para uso personal, meter datos de clientes es un tratamiento de datos personales sin las garantías que exige el RGPD, y ahí es donde llegan los problemas. En una versión empresarial contratada, donde el proveedor firma como encargado del tratamiento y se compromete sobre seguridad y confidencialidad, la cosa cambia. La palabra clave es contrato.

¿Qué pasa si uso IA para ayudar a decidir a quién contrato o a quién doy un crédito?

Entras en terreno de alto riesgo, porque esa decisión afecta directamente a la vida de una persona. No está prohibido, pero se te exige supervisión humana real: alguien con competencia y autoridad tiene que revisar y poder corregir la decisión, no limitarse a firmar lo que sugiere la máquina. Y como hay datos personales de por medio, el RGPD también entra en juego.

¿Tengo que avisar a mis clientes de que están hablando con una IA?

Sí. Un chatbot de atención al cliente cae en el nivel de riesgo limitado, cuya obligación principal es la transparencia. La persona tiene derecho a saber que está interactuando con una máquina y no con un humano, y también a saber cuándo un contenido lo ha generado una IA. No hace falta un aviso legal enorme: basta con que quede claro.

¿Qué multas contempla el AI Act?

Contempla sanciones en tramos según la gravedad de la infracción, y las cuantías más altas se reservan para saltarse los usos prohibidos del nivel inaceptable. No te doy una cifra concreta porque el importe real depende de circunstancias que solo un profesional puede valorar en tu caso. Lo útil que puedes retener es la jerarquía: lo prohibido es lo más caro, y en la práctica cotidiana lo que más multa acaba siendo el mal tratamiento de datos personales bajo el RGPD.

¿Por dónde empiezo mañana sin gastarme un dineral?

Por la carpeta. Haz un inventario de qué herramientas de IA usa tu equipo y para qué, marca cuáles tocan datos de personas y revisa si esas usan una versión con contrato o una gratuita de consumo. Con eso solo ya reduces la mayor parte del riesgo real, que casi nunca es el AI Act y casi siempre es un dato de cliente en el sitio equivocado. Formar al equipo en esos dos o tres cuidados básicos es el segundo paso, y tampoco cuesta dinero.