¿Están las empresas preparadas para la nueva Ley de Inteligencia Artificial?

La nueva Ley para el Buen uso y la Gobernanza de la Inteligencia Artificial, o simplemente Ley de Inteligencia Artificial, busca adaptar el Reglamento Europeo de Inteligencia Artificial (AI Act) al ordenamiento jurídico español. Esta normativa nace con el objetivo de garantizar el desarrollo ético, seguro y transparente de los sistemas que usan esta tecnología.

La ley establece un marco legal que combina innovación tecnológica con derechos fundamentales y, para ello, pone especial énfasis en la protección de datos personales, la prevención de riesgos y la rendición de cuentas por parte de empresas e instituciones públicas.

Sin embargo, un informe de Capgemini Research Institute reveló que solo el 36% de las organizaciones públicas de la UE se sienten preparadas para cumplir la Ley de IA, un porcentaje que baja hasta el 21% en el sector privado. Esta falta de preparación no solo es técnica, sino también organizativa y jurídica.

Para este artículo hemos tirado del contacto de Grupo Atico34, abogados especialistas en inteligencia artificial y protección de datos, y de su mano repasamos las principales exigencias que establece esta normativa, discernimos si las empresas españolas están realmente preparadas para adaptarse a ella, y ofrecemos una serie de consejos y recomendaciones para cumplir con sus obligaciones.

 

¿Qué obligaciones establece la Ley de Inteligencia Artificial para las empresas?

La Ley de Inteligencia Artificial establece distintas obligaciones en función del tipo de sistema de IA que se utilice. El enfoque está basado en riesgos: a mayor riesgo para los derechos de las personas, mayor nivel de exigencia legal. Los niveles van desde riesgo mínimo hasta riesgo inaceptable, este último directamente prohibido.

Para garantizar el cumplimiento de la AI Act y de la normativa española, las empresas con niveles altos de riesgo están obligadas a:

• Realizar evaluaciones de impacto antes de desplegar sistemas de alto riesgo.

• Garantizar la calidad de los datos usados en el entrenamiento de los algoritmos.

• Asegurar la explicabilidad y transparencia de las decisiones automatizadas.

• Implementar medidas para permitir la supervisión humana.

• Establecer canales de reclamación para usuarios afectados por decisiones automatizadas.

Además, han de cumplir con los principios del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) cuando el sistema de IA trate datos personales.

 

¿Están realmente las empresas preparadas para cumplir el Reglamento de IA?

La realidad muestra una preparación desigual, especialmente entre pequeñas y medianas empresas. Muchas aún no conocen el alcance del reglamento o lo perciben como una carga administrativa más. Como ejemplo, en el último informe Small & Medium Business Trends de Salesforce, el 66% de pequeñas y medianas empresas afirmaron que la adaptación a las exigencias de la IA suponía para ellos un reto muy complicado.

Las principales barreras que encuentran las empresas son:

• Desconocimiento del marco normativo.

• Falta de recursos humanos especializados.

• Dificultades para auditar sus algoritmos.

• Poca claridad sobre cómo implementar la ley en la práctica.

Esto supone un gran reto para el tejido empresarial español, especialmente si consideramos que muchas empresas ya utilizan algoritmos para automatizar decisiones sobre clientes, empleados o productos.

 

¿Qué deben hacer para adaptarse a esta normativa?

Para cumplir con la Ley de Inteligencia Artificial, las empresas tienen que abordar su adaptación de forma integral. No basta con aplicar medidas técnicas: se requiere una transformación organizativa, ética y legal.

Para empezar a entender qué pasos se deben dar, desde Atico34 señalan una serie de medidas fundamentales para adaptarse a la normativa de IA en España. Se resumen en lo siguiente: 

1. Auditar los sistemas de IA existentes: Identificar qué herramientas y algoritmos utilizan, con qué fines y qué datos procesan. Esta auditoría es clave para determinar el nivel de riesgo según la ley.

2. Clasificar los sistemas según su nivel de riesgo: Determinar si los sistemas son de riesgo mínimo, limitado, alto o inaceptable. Esto marcará el nivel de obligaciones legales a cumplir.

3. Designar un DPO (Delegado de Protección de Datos): Si no se dispone ya de uno, es imprescindible. El DPO supervisa que el tratamiento de datos personales cumpla con el RGPD y, ahora también, con la Ley de IA.

4. Contratar a un equipo legal especializado en protección de datos e IA: La complejidad jurídica de esta normativa requiere abogados expertos que asesoren en cumplimiento, responsabilidad y auditorías.

5. Elaborar políticas internas sobre IA responsable: Es recomendable contar con un código ético y de buenas prácticas sobre el uso de IA. Debe incluir principios como transparencia, justicia, no discriminación y supervisión humana.

6. Formar al personal en gobernanza algorítmica: Los equipos técnicos, jurídicos y directivos deben entender cómo afecta la ley a sus funciones. La formación continua será clave.

7. Establecer mecanismos de supervisión y revisión periódica: La ley no es estática. Requiere revisiones frecuentes de los sistemas de IA, sus resultados y sus impactos éticos y sociales.

 

El papel clave del DPO y los abogados de protección de datos

El Delegado de Protección de Datos (DPO) se convierte en una figura central ante la regulación de la inteligencia artificial. Su papel no se limita al RGPD, sino que se amplía al ámbito algorítmico, colaborando activamente con equipos técnicos para garantizar que los sistemas de IA respeten los derechos fundamentales desde su diseño.

Por otra parte, contactar con profesionales cualificados también es esencial para interpretar adecuadamente el marco legal, especialmente en casos complejos donde hay conflicto entre innovación y privacidad.

Además, pueden representar a la empresa ante posibles inspecciones o denuncias, y ayudar en la redacción de cláusulas contractuales, políticas de privacidad y evaluaciones de impacto algorítmico.

En definitiva, la nueva Ley de Inteligencia Artificial en España es una oportunidad para reforzar la confianza en el uso de esta tecnología. Sin embargo, no es menos cierto que requiere un esfuerzo real de adaptación por parte de las empresas. Estar preparado no es solo una cuestión legal, sino una probable ventaja competitiva para el futuro.