Responsabilidad legal de la IA en tu empresa: ¿quién responde?
Si tu IA se equivoca con un cliente, responde tu empresa, no el proveedor del modelo. Qué dice el caso Air Canada y cómo reducir el riesgo legal.
Pones un asistente de inteligencia artificial en tu web para atender clientes. Un día le da a alguien un dato equivocado sobre un precio, un plazo o una condición, y ese cliente actúa creyéndolo. Cuando llega la reclamación, la pregunta es directa: ¿responde tu empresa o responde el laboratorio que fabricó el modelo? La respuesta corta, y la que más incomoda, es que respondes tú.
Este es un punto ciego habitual cuando una empresa decide usar IA de cara al cliente. Se piensa en el ahorro y en la novedad, y se asume que si la herramienta es de un gran proveedor, el problema legal también es suyo. No funciona así. Aquí te explico por qué la responsabilidad legal de la IA en tu empresa es tuya, qué caso real lo dejó claro y qué puedes hacer para bajar el riesgo sin renunciar a la tecnología.
Un aviso antes de seguir: esto no es asesoramiento jurídico. Es una explicación para que tomes mejores decisiones y sepas qué preguntarle a tu abogado. Para el caso concreto de tu empresa, habla con un profesional.
La respuesta corta: responde quien despliega, no quien fabrica
Ante tu cliente responde la empresa que pone la IA a trabajar en su nombre, no la que entrenó el modelo. Conviene separar dos papeles que se confunden todo el rato:
- El proveedor del modelo es la empresa que fabrica la inteligencia artificial. Los nombres conocidos son OpenAI, Google o Anthropic. Ellos entrenan el modelo y te lo alquilan.
- La empresa que despliega eres tú: coges ese modelo, lo conectas a tu web o a tu atención al cliente y lo pones a hablar con tu marca por delante.
Tu cliente nunca trató con el laboratorio. Trató contigo. Vio tu logo, tu web y tu nombre. A efectos prácticos, la IA funciona como un folleto que publicas o como un empleado que contestara el teléfono: lo que diga en tu nombre te compromete a ti. Que las palabras las haya generado un modelo de otra empresa no cambia quién puso ese sistema delante del cliente.
Esto no es una opinión legal exótica. Es la forma normal en que funciona la responsabilidad de una empresa por lo que comunica. Lo nuevo es el canal, no el principio.
El caso que lo dejó claro: Air Canada
En 2024, un tribunal canadiense condenó a Air Canada por la información errónea que dio su propio chatbot, y ese caso se ha convertido en la referencia para entender de quién es la responsabilidad. Merece la pena contarlo porque resume todo el argumento.
Un cliente consultó al asistente de la web de la aerolínea sobre las tarifas de duelo, las que aplican cuando viajas por el fallecimiento de un familiar. El chatbot le dijo que podía pedir el descuento después de volar. La política real de la compañía decía lo contrario. El cliente compró siguiendo lo que le indicó la IA y luego reclamó la diferencia.
Lo interesante es la defensa de la aerolínea. Air Canada llegó a argumentar que el chatbot era, en la práctica, una entidad separada responsable de sus propios actos. El tribunal rechazó ese planteamiento sin rodeos: el chatbot forma parte de la web de Air Canada, y la empresa es responsable de toda la información de su web, la escriba una persona o la genere una máquina. La aerolínea tuvo que compensar al cliente.
La cantidad económica fue pequeña. Lo caro fue otra cosa: quedó fijado un precedente citado en todo el mundo y la empresa cargó con el desgaste de imagen de haber intentado echarle la culpa a su propio software. Es un caso canadiense, no una sentencia española, así que no lo tomes como ley aplicable aquí. Tómalo como lo que es: la señal más clara de hacia dónde apunta el criterio cuando una IA de cara al cliente se equivoca.
Por qué el contrato con el proveedor no te cubre
El contrato que firmas con el proveedor del modelo regula tu relación con él, no tu responsabilidad frente a tu cliente. Son dos planos distintos que conviene no mezclar.
Cuando contratas un modelo de IA, aceptas unas condiciones de uso. Sin entrar en cláusulas concretas, que varían según el proveedor y conviene que revise tu abogado, la lógica general de esos contratos suele ir en una dirección incómoda para ti: el proveedor limita su propia responsabilidad y traslada al cliente, es decir a tu empresa, el riesgo de cómo se usa la herramienta. Te dan el motor. Lo que hagas con él es cosa tuya.
Aunque el contrato dijera lo contrario, seguiría sin protegerte frente a tu cliente. Tu responsabilidad hacia él no nace de tu acuerdo con el proveedor, sino de la relación comercial que tienes con esa persona: le vendes algo, le das un servicio y comunicas en tu nombre. Ese vínculo es tuyo y no lo puedes subcontratar con un tercero que tu cliente ni conoce.
La conclusión práctica es sencilla. El proveedor te da capacidad técnica, no un paraguas legal. Antes de poner una IA a hablar con clientes, asume que sus respuestas cuentan como respuestas de tu empresa.
Qué dice el marco europeo (sin ser abogado)
En Europa hay dos normas que cualquier empresa que use IA de cara al cliente debería tener en el radar: el RGPD y el Reglamento de IA. No necesitas dominarlas, pero sí saber que existen y por dónde te afectan.
El RGPD, el Reglamento General de Protección de Datos, regula el uso de datos personales. La idea clave para ti: si tu IA trata datos de tus clientes, por ejemplo su nombre, su correo o el contenido de sus consultas, tu empresa es la responsable del tratamiento. Eso significa que respondes ante la autoridad de protección de datos por cómo se recogen, se guardan y se usan esos datos, aunque el procesamiento lo haga por debajo un modelo de otra compañía. Este punto tiene suficiente miga como para tratarlo aparte, y lo desarrollo en RGPD e inteligencia artificial.
El Reglamento de IA de la Unión Europea, aprobado en 2024 y de aplicación escalonada en los años siguientes, ordena los sistemas de IA por niveles de riesgo y pide más obligaciones cuanto mayor es el riesgo de lo que hace el sistema. Un uso sencillo de atención al cliente no está en la misma categoría que una IA que decide sobre crédito o sobre contratación de personal. Lo que te interesa retener: la norma existe, distingue por riesgo y las obligaciones dependen de para qué uses la IA, no solo de qué modelo elijas.
Repito el aviso, porque aquí importa de verdad: esto no es asesoramiento jurídico. Los nombres, las fechas y los niveles de riesgo evolucionan, y tu caso concreto puede caer en una categoría que solo un profesional sabrá identificar. Usa esta sección para saber qué preguntar, no como un dictamen.
Qué puedes hacer para reducir el riesgo
Puedes usar IA de cara al cliente con mucho menos riesgo si pones unos límites claros antes de encender el sistema. Ninguna medida elimina tu responsabilidad, pero en conjunto reducen bastante la probabilidad de acabar en una reclamación como la de Air Canada.
- Avisa de que es una IA. El cliente tiene derecho a saber que habla con un sistema automático, no con una persona. Ocultarlo añade riesgo y resta confianza.
- Pon un humano en las decisiones sensibles. Para reembolsos, condiciones especiales o cualquier cosa que comprometa dinero o derechos del cliente, que la IA proponga y una persona confirme. Este criterio lo desarrollo en cuatro preguntas antes de usar IA.
- Limita lo que la IA puede prometer. Acota por escrito qué temas puede tratar y cuáles deriva a una persona. Un sistema que no puede inventar precios ni plazos difícilmente te mete en un problema como el de la aerolínea.
- Guarda registro de las conversaciones. Si algún día hay una reclamación, saber exactamente qué dijo el sistema y cuándo te da con qué defenderte y qué corregir.
- Revisa qué datos entran. Antes de conectar la IA a información de clientes, comprueba qué datos personales va a ver y si tienes base legal para ello. Aquí es donde el RGPD te mira.
Ninguna de estas medidas es técnica de programador. Son decisiones de negocio y de criterio, y ese criterio, saber dónde conviene usar IA y dónde no, es justo lo que trabajamos en el curso IA sin hype.
Un concepto nuevo cada semana
Si estás valorando meter IA en tu empresa, la responsabilidad legal es solo una de las piezas que conviene entender antes de decidir. La visión completa, con los demás riesgos y cómo priorizarlos, está en la guía de riesgos de la IA para empresas.
Preguntas frecuentes
¿Quién responde si la IA se equivoca con un cliente?
Responde la empresa que ha desplegado la IA de cara a ese cliente. Si pones un asistente de IA en tu web o en tu atención al cliente, sus respuestas cuentan como respuestas de tu empresa, aunque el modelo lo fabrique otra compañía.
¿No es responsable el proveedor del modelo, como OpenAI o Google?
Frente a tu cliente, no. Tu relación es con tu cliente, y su relación es con tu marca, no con el laboratorio que entrenó el modelo. El contrato con el proveedor regula vuestra relación, pero no traslada a él la responsabilidad que tienes ante la persona a la que vendes o atiendes.
¿El caso Air Canada me afecta si mi empresa está en España?
No es una sentencia aplicable en España, es un caso canadiense de 2024. Aun así importa porque muestra con claridad el razonamiento que empieza a repetirse: la empresa responde por lo que dice su propia IA y no puede tratarla como un tercero independiente.
¿Me protege el aviso legal de mi web?
Ayuda, pero no es un escudo automático. Un aviso genérico no te cubre si tu IA da al cliente una información concreta y equivocada sobre un precio o una condición. Reducir el riesgo de verdad pasa por limitar lo que el sistema puede prometer y poner a una persona en las decisiones sensibles.
¿Tengo que declarar que uso IA por el RGPD o el Reglamento de IA?
Depende de qué hagas con la IA y de qué datos trates. Como principio general, avisar de que el cliente habla con un sistema automático y ser transparente con el uso de sus datos personales es lo prudente. Para tu caso concreto, consúltalo con un profesional, porque las obligaciones cambian según el uso y el nivel de riesgo.