La nueva regulación de inteligencia artificial sacude a los sectores más regulados
- Normativas
La banca, los seguros y la industria farmacéutica afrontan una adaptación profunda a la normativa. Los expertos alertan de que la clasificación de riesgos deberá revisarse de forma continua para no quedar obsoleta ante nuevas tecnologías.
La implantación de la nueva regulación de inteligencia artificial en Europa y España marcará un punto de inflexión para los sectores más regulados, especialmente banca, seguros y farmacéuticas, que deberán ajustar sus sistemas a un marco más estricto y en evolución constante. Así lo expuso Guillermo Hidalgo, counsel de MAIO Legal y especialista en derecho digital, durante un desayuno informativo en el que analizó el Reglamento Europeo de IA, el Proyecto de Ley Orgánica español y los cambios introducidos por el acuerdo provisional del Omnibus Digital.
El experto recordó que la norma europea establece cuatro niveles de riesgo, desde prácticas prohibidas hasta sistemas de riesgo mínimo, y que el grueso de las obligaciones recae sobre los sistemas de alto riesgo, como los utilizados en selección de personal, evaluación crediticia, decisiones judiciales o control fronterizo. También subrayó que el contexto de uso es determinante, y que prácticas como el reconocimiento emocional están prohibidas en el ámbito laboral, pero se consideran de alto riesgo cuando se aplican a consumidores.
Un marco en revisión continua
Hidalgo insistió en que la clasificación actual deberá actualizarse de forma constante para no quedar desfasada ante la aparición de nuevos sistemas, defendiendo un enfoque más flexible y basado en principios. En paralelo, recordó que las obligaciones para sistemas de alto riesgo se aplazarán hasta el 2 de diciembre de 2027 para los independientes y hasta el 2 de agosto de 2028 para los integrados en productos regulados.
En el ámbito español, el Proyecto de Ley Orgánica no crea un régimen paralelo, sino que concreta quién supervisa, cómo se sanciona y cómo debe emplearse la IA en el sector público.
Más allá del riesgo sancionador, el experto alertó del impacto reputacional. “El riesgo no es solo que la IA se equivoque, es que se equivoque con apariencia de seguridad”, señaló. Por ello, recomendó a las organizaciones adoptar modelos de gobernanza reales y proporcionados, con inventarios de sistemas, clasificación por riesgo, supervisión humana y gestión de incidentes.
También destacó el papel clave del delegado de protección de datos, dado que el Reglamento de IA no sustituye al RGPD y obliga a intervenir cuando se tratan datos personales, se almacenan logs o se entrenan modelos con información interna.
