¿Una empresa pequeña que usa IA también tiene que cumplir la normativa?

Sí. Las obligaciones no dependen del tamaño de la empresa, sino del uso y del nivel de riesgo del sistema de IA. Una pyme que usa IA para seleccionar personal o evaluar a su plantilla está usando un sistema de alto riesgo y debe cumplir requisitos concretos.

Auditoría legal de IA: qué debe cumplir según la normativa europea

Q: ¿Cuál es la diferencia entre el RGPD y el AI Act?

El RGPD protege los datos personales: regula cómo se recogen, tratan y conservan. El AI Act (Reglamento UE 2024/1689) regula el sistema de IA en sí, según su nivel de riesgo, con independencia de que trate o no datos personales. Son complementarios: un mismo sistema puede tener que cumplir ambos a la vez.

Q: ¿Qué pasa si uso IA para decisiones sobre mis trabajadores?

Entras en territorio regulado. El artículo 64.4.d) del Estatuto de los Trabajadores obliga a informar a la representación legal de la plantilla sobre los parámetros y la lógica de los algoritmos que afectan a las condiciones de trabajo, y el artículo 22 del RGPD reconoce el derecho a no ser objeto de decisiones únicamente automatizadas. La Inspección de Trabajo puede exigir documentación al respecto.

Q: ¿Quién supervisa el cumplimiento de la normativa de IA en España?

En España la supervisión se reparte entre varias autoridades, principalmente la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) y la AEPD para la vertiente de protección de datos, además de otras autoridades según el ámbito del sistema.

Cada vez más empresas usan inteligencia artificial para seleccionar personal, atender clientes, puntuar riesgos o tomar decisiones. Casi ninguna se ha parado a comprobar si esa IA cumple la ley. Y desde 2024, Europa tiene una norma específica que dice exactamente qué debe cumplir.

Una auditoría legal de inteligencia artificial es, precisamente, el ejercicio de comprobar eso: si el sistema de IA que usa tu empresa respeta la normativa europea, la protección de datos y los derechos de las personas a las que afecta —incluidos tus propios trabajadores. En esta guía te explico, desde el punto de vista de un abogado, qué revisa esa auditoría y por qué cada vez más empresas la necesitan sin saberlo.

En esta guía

Qué es una auditoría legal de IA
Por qué tu empresa la necesita (aunque no lo sepa)
El Reglamento Europeo de IA (AI Act): los 4 niveles de riesgo
Diferencia entre el RGPD y el AI Act
IA y derechos de los trabajadores: lo que casi nadie revisa
Secreto profesional y confidencialidad
Qué revisa una auditoría legal de IA
Por dónde empezar
Preguntas frecuentes

Qué es una auditoría legal de IA

Una auditoría legal de IA es una revisión estructurada que responde a una pregunta simple: ¿el sistema de inteligencia artificial que usa esta empresa cumple lo que la ley le exige? No es una auditoría técnica (no mide si el modelo funciona bien), ni una auditoría de cuentas. Es una revisión jurídica del sistema y de cómo se usa.

En la práctica, revisa tres planos que se solapan: el Reglamento Europeo de IA, la normativa de protección de datos y, cuando la IA afecta a personas trabajadoras, la normativa laboral. El objetivo es detectar los riesgos legales antes de que se conviertan en una sanción, una reclamación o un problema reputacional.

Por qué tu empresa la necesita (aunque no lo sepa)

El error más común es pensar que esto solo va con las grandes tecnológicas. No es así. La normativa no se fija en el tamaño de la empresa, sino en qué hace el sistema de IA y a quién afecta. Si usas IA para alguna de estas tareas, probablemente estés en territorio regulado:

Filtrar o seleccionar candidatos en procesos de contratación.
Evaluar, puntuar o tomar decisiones sobre tus trabajadores.
Puntuar la solvencia o el riesgo de clientes.
Atender a clientes con agentes que toman decisiones sobre ellos.
Tratar datos personales para entrenar o alimentar el sistema.

Muchas empresas han incorporado herramientas de IA en cuestión de meses, sin revisar nada de esto. La auditoría existe para poner orden antes de que llegue una inspección o una reclamación.

El Reglamento Europeo de IA (AI Act): los 4 niveles de riesgo

La pieza central es el Reglamento (UE) 2024/1689, conocido como AI Act. Su lógica no es prohibir la IA, sino clasificarla según el riesgo que supone para las personas y exigir más cuanto mayor es ese riesgo. Hay cuatro niveles:

Los cuatro niveles de riesgo del AI Act. Cuanto más arriba, más exigencias — o la prohibición directa.

Riesgo inaceptable. Prácticas prohibidas (artículo 5): por ejemplo, la puntuación social de personas o ciertos usos manipulativos. No se pueden usar, sin más.

Alto riesgo. Aquí está la mayoría de los casos empresariales sensibles. El Anexo III incluye expresamente, entre otros, los sistemas usados en empleo (selección de personal, evaluación de trabajadores), en acceso a servicios esenciales o en concesión de crédito. Estos sistemas son legales, pero deben cumplir un paquete de requisitos: sistema de gestión de riesgos, buena gobernanza de los datos, documentación técnica, transparencia, supervisión humana y niveles adecuados de precisión y robustez.

Riesgo limitado. Sistemas como los chatbots: la obligación principal es de transparencia, es decir, que la persona sepa que está interactuando con una IA.

Riesgo mínimo. La mayoría de aplicaciones cotidianas, sin obligaciones específicas.

Importante: el incumplimiento no es teórico. El Reglamento prevé sanciones económicas significativas, que en los casos más graves pueden alcanzar varios millones de euros o un porcentaje de la facturación anual mundial de la empresa. La cuantía depende del tipo de infracción.

Diferencia entre el RGPD y el AI Act

Es la confusión más habitual, así que vamos a lo claro:

El RGPD (y su desarrollo en España, la LOPDGDD) protege los datos personales: regula cómo se recogen, para qué se usan, cuánto se conservan y qué derechos tienen las personas.
El AI Act regula el sistema de IA en sí, según su nivel de riesgo, trate o no datos personales.

No son alternativos: son complementarios. Un mismo sistema —por ejemplo, una IA que criba currículums— tiene que cumplir el AI Act (es alto riesgo) y el RGPD (trata datos personales de los candidatos). Una auditoría seria revisa ambos planos a la vez. Aquí entra una pieza clave del RGPD: el artículo 22, que reconoce a las personas el derecho a no ser objeto de decisiones basadas únicamente en un tratamiento automatizado cuando les afectan significativamente.

IA y derechos de los trabajadores: lo que casi nadie revisa

Este es el punto que la mayoría de artículos sobre "IA legal" se saltan, y es justo donde más empresas están expuestas sin saberlo. Si usas IA o algoritmos para organizar el trabajo, repartir turnos, evaluar el rendimiento o decidir sobre tu plantilla, en España ya existe una obligación concreta.

El artículo 64.4.d) del Estatuto de los Trabajadores, introducido por la Ley 12/2021 (la conocida como "Ley Rider"), obliga a la empresa a informar a la representación legal de los trabajadores sobre los parámetros, las reglas y las instrucciones en que se basan los algoritmos o sistemas de IA que afectan a las condiciones de trabajo, al acceso al empleo y a su mantenimiento, incluida la elaboración de perfiles.

El Ministerio de Trabajo publicó además una guía sobre información algorítmica en el ámbito laboral, y la Inspección de Trabajo ya puede pedir documentación sobre cómo funciona ese algoritmo. Es decir: no basta con que la herramienta "funcione bien"; hay que poder explicar su lógica y haber informado a quien corresponde.

El riesgo real: una empresa puede tener una IA de recursos humanos impecable a nivel técnico y, aun así, estar incumpliendo por no haber informado a la representación de la plantilla. Eso es exactamente lo que una auditoría detecta a tiempo.

Secreto profesional y confidencialidad

Para despachos y empresas que manejan información sensible de terceros, hay una capa más: el secreto profesional y la confidencialidad. Introducir datos de clientes o expedientes en una herramienta de IA sin las garantías adecuadas puede comprometer ese deber. Una auditoría revisa dónde se procesan los datos, con qué proveedor, bajo qué contrato y con qué medidas de seguridad, para que usar IA no se convierta en una brecha de confidencialidad.

Qué revisa una auditoría legal de IA

En la práctica, una auditoría legal de IA recorre, como mínimo, estos puntos:

Inventario: qué sistemas de IA usa realmente la empresa (suele haber más de los que se cree).
Clasificación de riesgo: en qué nivel del AI Act encaja cada uno.
Protección de datos: base de licitud, información a los afectados, decisiones automatizadas (art. 22 RGPD), proveedor y ubicación de los datos.
Plano laboral: si la IA afecta a trabajadores, comprobación de las obligaciones de información del art. 64.4.d) ET.
Supervisión humana: que las decisiones relevantes no queden 100% en manos de la máquina.
Documentación: que exista la trazabilidad y la información que la normativa exige poder mostrar.

Por dónde empezar

No hace falta empezar con un gran proyecto. El primer paso útil es el más sencillo: hacer el inventario de qué IA usa tu empresa hoy y para qué. Solo con eso muchas empresas descubren que tienen sistemas de alto riesgo funcionando sin ninguna garantía. A partir de ahí, se prioriza lo más expuesto y se ordena. Auditar no es frenar la IA: es poder usarla con tranquilidad.

Preguntas frecuentes

¿Qué es una auditoría legal de inteligencia artificial?

Es una revisión que comprueba si un sistema de IA cumple la normativa que le aplica: el AI Act, la normativa de protección de datos (RGPD y LOPDGDD) y, cuando afecta a personas trabajadoras, la normativa laboral. Su objetivo es detectar riesgos legales antes de que se conviertan en sanciones o reclamaciones.

¿Cuál es la diferencia entre el RGPD y el AI Act?

El RGPD protege los datos personales; el AI Act regula el sistema de IA en sí según su nivel de riesgo, trate o no datos personales. Son complementarios y un mismo sistema puede tener que cumplir los dos.

¿Una empresa pequeña que usa IA también tiene que cumplir?

Sí. Las obligaciones dependen del uso y del riesgo del sistema, no del tamaño de la empresa. Una pyme que usa IA para seleccionar personal está usando un sistema de alto riesgo.

¿Qué pasa si uso IA para decisiones sobre mis trabajadores?

Entras en territorio regulado: el art. 64.4.d) del Estatuto de los Trabajadores obliga a informar a la representación de la plantilla sobre la lógica del algoritmo, y el art. 22 del RGPD reconoce el derecho a no ser objeto de decisiones únicamente automatizadas. La Inspección de Trabajo puede exigir documentación.

¿Quién supervisa el cumplimiento de la normativa de IA en España?

Principalmente la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) y la AEPD para la protección de datos, además de otras autoridades según el ámbito del sistema.

¿Usas IA en tu empresa y no sabes si cumple?

En una primera conversación revisamos qué sistemas de IA usas y dónde puedes estar expuesto. Si vemos riesgos, te los señalamos. Si no, te lo decimos igual.

Guías relacionadas

Auditoría legal de IA: qué debe cumplir tu sistema según la normativa europea

Qué es una auditoría legal de IA

Por qué tu empresa la necesita (aunque no lo sepa)

El Reglamento Europeo de IA (AI Act): los 4 niveles de riesgo

Diferencia entre el RGPD y el AI Act

IA y derechos de los trabajadores: lo que casi nadie revisa

Secreto profesional y confidencialidad

Qué revisa una auditoría legal de IA

Por dónde empezar

Preguntas frecuentes

¿Usas IA en tu empresa y no sabes si cumple?

Reserva tu diagnóstico gratuito

¡Mensaje recibido!