IAM Legal 360
Ley IA

Ley de IA para empresas: cómo saber si tu uso requiere control

La Ley de IA de la Unión Europea sigue un enfoque basado en riesgo. No todo uso de IA tiene las mismas obligaciones, pero casi cualquier empresa debería inventariar qué usa y para qué.

Actualizado: junio de 2026 · Lectura: 8 minutos

Mapa de riesgos y obligaciones de IA para empresas

El Reglamento de IA entró en vigor el 1 de agosto de 2024 y su aplicación llega por fases. Según la Comisión Europea, algunas obligaciones ya aplican desde 2025, las reglas generales avanzan hacia agosto de 2026 y los sistemas de alto riesgo tienen calendarios específicos según el tipo de sistema.

Primer paso: inventario

Antes de discutir si un sistema es de alto riesgo, la empresa debe saber qué usa. Un inventario básico incluye herramienta, proveedor, finalidad, datos usados, usuarios afectados, decisiones que apoya, supervisión humana y documentación disponible.

Usos de bajo riesgo

Herramientas de ayuda a redacción, resumen de documentos, atención interna o generación de borradores pueden tener menor riesgo si no toman decisiones relevantes sobre personas. Aun así, conviene informar, revisar resultados y evitar introducir datos sensibles sin base adecuada.

Transparencia

La Comisión Europea ha señalado obligaciones de transparencia para que las personas sepan cuándo interactúan con sistemas de IA o cuándo se exponen a ciertos contenidos generados o manipulados por IA. Para una empresa, esto afecta especialmente a chatbots, contenidos públicos, deepfakes, atención automatizada y publicaciones de interés público.

Alto riesgo

Hay ámbitos que pueden requerir controles más fuertes: empleo, educación, acceso a servicios esenciales, biometría, infraestructuras críticas o decisiones que impactan derechos. Si una pyme usa IA para selección de personal, scoring de clientes o clasificación sensible, no debería tratarlo como una simple herramienta de productividad.

Modelos de propósito general

Las obligaciones de modelos de IA de propósito general afectan principalmente a proveedores de modelos. Las empresas que solo usan herramientas de terceros deben revisar contratos, documentación del proveedor, protección de datos y transparencia hacia usuarios.

Checklist inicial

  • Lista cada herramienta de IA usada por empleados o sistemas.
  • Define si trata datos personales y con qué base.
  • Evalúa si apoya decisiones sobre personas.
  • Documenta revisión humana y límites de uso.
  • Informa cuando el usuario interactúe con IA de forma relevante.
  • Revisa contratos, seguridad y ubicación de datos del proveedor.
La pregunta útil no es “¿usamos IA?”, sino “¿qué decide, qué datos toca y quién se ve afectado?”.