Cultura Digital 5 minutos de lectura

AI Act explicado sin abogados

Introducción

El AI Act (Reglamento Europeo de Inteligencia Artificial) no es un “tema de juristas”. Es un marco regulatorio que afecta a empresas que desarrollan, venden, integran o usan sistemas de IA.

Y el gran problema es este: muchas organizaciones creen que “no les aplica” porque no son una empresa de IA. Error. Si compras herramientas con IA, si las integras en procesos, si automatizas decisiones o si ofreces un servicio con IA, ya estás en el terreno.

Este post explica el AI Act sin jerga legal, con enfoque operativo: qué está prohibido, qué es alto riesgo, qué obligaciones mínimas debes cumplir y un plan por fases para pymes para empezar con criterio.

Primero: en qué rol estás (y por qué importa)

El AI Act distingue responsabilidades según tu rol. No todos tienen las mismas obligaciones.

  • Proveedor (provider): desarrolla un sistema de IA o lo pone en el mercado con su nombre.
  • Desplegador (deployer): usa un sistema de IA en su organización (empresa, administración, ONG...).
  • Importador / distribuidor: trae o comercializa sistemas de IA de terceros.

Si eres pyme y usas IA de terceros, normalmente serás deployer. Eso no te exime: te obliga a usarlo con condiciones, documentación y control.

La idea base del AI Act: clasificar por riesgo

El reglamento no regula “la IA” en abstracto. Regula casos de uso. Clasifica los sistemas en niveles:

  • Riesgo inaceptable: prohibidos.
  • Alto riesgo: permitidos, pero con obligaciones estrictas.
  • Riesgo limitado: obligaciones de transparencia.
  • Riesgo mínimo: libre uso, sin obligaciones relevantes (más allá de buenas prácticas).

El error típico es intentar “encajar la herramienta” (ChatGPT, Copilot, etc.) como si fuera la unidad regulada. Lo regulado es el sistema en su contexto de uso.

1) Riesgo inaceptable: qué está prohibido (a grandes rasgos)

Hay usos que el AI Act considera incompatibles con derechos fundamentales. Si tu caso cae aquí, no es cuestión de mitigación: es prohibición.

  • Manipulación o técnicas subliminales que causen daño significativo.
  • Explotación de vulnerabilidades de colectivos (por edad, discapacidad, etc.).
  • “Social scoring” al estilo “puntuación social” por comportamiento general.
  • Uso masivo de ciertas formas de biometría en espacios públicos (con excepciones muy limitadas).

Si tu negocio está lejos de eso, perfecto. Pero si usas IA para influir en personas o perfilar poblaciones, revisa muy bien: aquí es donde el AI Act se pone serio.

2) Alto riesgo: lo que sí te puede aplicar como empresa

Alto riesgo es lo importante en empresa y administración. Ejemplos típicos:

  • IA en procesos de RRHH (selección, evaluación, promociones) si automatiza o influye en decisiones.
  • IA en educación para evaluar o determinar acceso.
  • IA en crédito o servicios esenciales.
  • IA en infraestructura crítica, seguridad, transporte.
  • IA para decisiones que afectan significativamente a personas.

No significa que “todo lo que sea IA” sea alto riesgo. Pero sí significa que si tu IA toca derechos, acceso, empleo, dinero, seguridad o evaluación humana, tienes que analizarlo con lupa.

3) Riesgo limitado: transparencia (lo que muchas pymes ya hacen sin saber)

Aquí entran casos donde el usuario debe saber que interactúa con IA o que un contenido es generado artificialmente. Ejemplos:

  • Chatbots de atención al cliente.
  • Generación automática de textos o imágenes usadas públicamente (según contexto).
  • Contenido sintético que podría confundir a un usuario.

Obligación típica: informar con claridad (“estás hablando con un sistema automatizado”) y no engañar al usuario haciéndole creer que es un humano.

4) Riesgo mínimo: uso libre (pero no irresponsable)

Herramientas de productividad, filtros de spam, recomendaciones internas no sensibles, etc. No significa “hacer lo que quieras”, pero no exige obligaciones pesadas. Aun así, si procesas datos personales, sigue aplicando RGPD.

Tabla rápida: caso → nivel de riesgo → obligación mínima

Caso de uso Riesgo probable Obligación mínima
Chatbot que atiende clientes Limitado Transparencia: informar que es IA + canal humano si aplica
IA para filtrar CVs / recomendar candidatos Alto (frecuente) Gobernanza, trazabilidad, supervisión humana, gestión de datos y riesgos
Generación de textos para marketing Mínimo / limitado (según uso) Control reputacional + no engañar al usuario + verificación
IA para scoring financiero Alto Controles estrictos + documentación + auditoría
IA que decide acceso a servicios esenciales Alto / inaceptable según caso Evaluación de impacto + supervisión + cumplimiento estricto

Qué obligaciones te interesan de verdad (visión práctica para pymes)

Si eres deployer (usas IA de terceros)

  • Clasificar el uso: no la herramienta, el caso de uso.
  • Política interna de uso de IA (qué se puede, qué no, qué datos jamás se pegan).
  • Supervisión humana cuando afecte a personas o decisiones sensibles.
  • Transparencia si el usuario interactúa con IA (chatbot, contenido sintético).
  • Registro mínimo de qué sistemas se usan, para qué y con qué controles.

Si tu caso es de alto riesgo (o roza alto riesgo)

Aquí ya no basta con “poner un aviso”. Necesitas un enfoque de gestión del riesgo y evidencias mínimas:

  • Documentación del sistema y del propósito.
  • Gestión de datos (calidad, sesgos, privacidad, retención).
  • Supervisión humana cualificada y no simbólica.
  • Logs y trazabilidad del funcionamiento.
  • Gestión de incidentes y degradación segura (fallback).

Plan por fases para pymes (lo que hacer este mes)

Fase 1 (hoy–2 semanas): inventario + política mínima

  1. Haz un inventario: qué herramientas de IA se usan y en qué áreas (marketing, soporte, RRHH, dev…).
  2. Clasifica usos: mínimo / limitado / potencial alto riesgo.
  3. Define una política simple: qué no se pega (datos clientes, contratos, credenciales) y qué requiere revisión humana.
  4. Activa MFA y cuentas corporativas para IA (evita Shadow AI).

Fase 2 (30 días): controles operativos

  1. Para chatbots o cara al cliente: transparencia clara y canal humano cuando aplique.
  2. Plantillas de verificación: salida de IA = borrador + fuente o comprobación.
  3. Procedimiento de incidentes: qué hacer si se filtra información o se detecta uso indebido.
  4. Revisión de proveedor: términos, privacidad, retención, entrenamiento y ubicación de datos.

Fase 3 (60–90 días): si hay alto riesgo

  1. Evaluación de riesgos por caso de uso (no genérica).
  2. Definir supervisión humana real (quién valida, con qué criterios, con qué evidencia).
  3. Logs, trazabilidad y controles de acceso.
  4. Documentación preparada para auditoría interna o externa si aplica.

Qué NO hacer (porque te explota en la cara)

  • No asumir que “como es una herramienta de terceros, no me aplica”.
  • No usar IA para decisiones sensibles sin supervisión humana y trazabilidad.
  • No meter datos personales o de clientes en herramientas externas sin marco claro.
  • No desplegar chatbots que engañen al usuario (como si fueran humanos).
  • No improvisar: el AI Act no se gestiona con una cláusula en un documento.

Checklist rápida (para saber si estás en el camino correcto)

  1. ¿Tienes inventario de herramientas y usos de IA?
  2. ¿Tienes política interna clara (qué se puede, qué no)?
  3. ¿Hay transparencia donde corresponde (chatbots/IA frente a usuario)?
  4. ¿Existe revisión humana en usos sensibles?
  5. ¿Sabes si algún caso entra en alto riesgo?

Conclusión

El AI Act no es un freno a la innovación. Es un marco para evitar que la adopción de IA sea irresponsable, opaca o dañina.

Para una pyme, el enfoque correcto es: inventario, clasificación por riesgo, política mínima, transparencia y control. Lo que no se gobierna se convierte en riesgo invisible.

En Gondor ayudamos a organizaciones a aterrizar el AI Act de forma práctica: diagnóstico, clasificación, políticas, controles y documentación, sin humo y sin burocracia inútil.

¿Quieres aterrizar la normativa AI Act en tu empresa sin improvisar?

En Gondor Solutions te ayudamos a clasificar tus usos de IA, definir controles mínimos y preparar documentación práctica para cumplimiento.

Hablemos