La legaltech advierte que la nueva normativa europea sobre inteligencia artificial impondrá sanciones más severas que el RGPD, y recomienda a las empresas revisar sus sistemas antes de la entrada en vigor del AI Act.
El nuevo reglamento europeo de inteligencia artificial, conocido como AI Act, ya ha entrado en vigor, mientras en España todavía esperamos a su adaptación al ordenamiento jurídico nacional. Sin embargo, si algo ya han dejado claro desde la UE, es que la nueva normativa sobre inteligencia artificial va a traer consigo sanciones severas. Así lo afirma Grupo Atico34, firma líder en protección de datos y cumplimiento normativo, que alerta de la necesidad de anticiparse a esta nueva legislación si se quiere evitar un impacto económico severo.
«Las sanciones de la Ley de Inteligencia Artificial pueden llegar a ser un 75% mayores que las del RGPD«, señala el equipo legal de Grupo Atico34, en referencia al techo sancionador del AI Act, que alcanza los 35 millones de euros o el 7% de la facturación global anual de una empresa, frente a los 20 millones o el 4% que establece el RGPD. “Estamos hablando de una normativa que no solo amplía la capacidad sancionadora, sino que además introduce nuevos niveles de exigencia técnica y ética para el desarrollo y uso de sistemas de inteligencia artificial en Europa”, añaden.
Un marco legal pionero con impacto en todos los sectores
El AI Act, aprobado por el Parlamento Europeo en 2024, es la primera gran normativa supranacional que regula el uso de la inteligencia artificial. El reglamento establece un enfoque basado en el riesgo, clasificando los sistemas de IA según su nivel de peligrosidad para los derechos fundamentales, la seguridad o la transparencia. Aquellos considerados de alto riesgo —como los utilizados en procesos de contratación laboral, servicios financieros, sanidad o justicia— deberán someterse a estrictos controles, incluyendo auditorías algorítmicas, evaluación de impacto, trazabilidad de datos y supervisión humana.
Para Grupo Atico34, esto supone un cambio de paradigma que muchas organizaciones aún no han asimilado del todo. “La mayoría de las empresas no son conscientes de que ya están utilizando inteligencia artificial en su día a día”, advierte el equipo. “Herramientas de marketing automatizado, sistemas de análisis de currículums o asistentes virtuales basados en IA generativa pueden entrar dentro del ámbito del AI Act, y no cumplir con los requisitos puede conllevar sanciones importantes”.
Desde la consultora insisten en que esta regulación no está dirigida únicamente a las grandes tecnológicas, sino que afectará también a pymes que desarrollen o integren soluciones de IA en sus procesos. El texto legal contempla además sanciones específicas por no colaborar con las autoridades de supervisión o por proporcionar información falsa o incompleta, lo que refuerza aún más la necesidad de una estrategia legal y técnica sólida.
Las empresas deben prepararse ya
Aunque el AI Act entrará en vigor de manera progresiva a lo largo de 2025 y 2026, Grupo Atico34 considera que las empresas deberían iniciar desde ya un proceso de diagnóstico y adecuación. “Esperar a que la normativa sea obligatoria puede ser un error costoso”, subrayan. “Recomendamos realizar una auditoría para identificar qué sistemas de inteligencia artificial se están utilizando actualmente y si alguno de ellos podría estar catalogado como de alto riesgo. A partir de ahí, se puede trabajar en la documentación técnica, el rediseño de procesos y el establecimiento de garantías como la intervención humana y la gestión de sesgos”.
Entre las obligaciones que impone el reglamento se encuentran la transparencia hacia el usuario, la explicación del funcionamiento de los sistemas, el uso de datos de calidad para el entrenamiento de modelos y la implementación de medidas de ciberseguridad. No cumplir con estos requisitos puede implicar no solo sanciones económicas, sino también daños reputacionales y pérdida de confianza por parte de clientes y socios comerciales.
Grupo Atico34 está ya ofreciendo servicios especializados de adecuación al AI Act, con el objetivo de acompañar a las empresas en este proceso de adaptación. “Al igual que ocurrió con el RGPD en su momento, quienes se anticipen a la norma estarán en una posición más competitiva y segura frente a quienes esperen hasta el último minuto”, explican.
Las autoridades supervisoras con trabajo por delante
El foco no solo está puesto en las empresas, sino también en las instituciones que deberán vigilar su cumplimiento. En España, el reto recae sobre dos organismos: la Agencia Española de Protección de Datos (AEPD), con experiencia en derechos digitales, y la recién creada Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), aún en fase de despliegue. Grupo Atico34 subraya que “la coordinación entre ambas será clave para garantizar una aplicación eficaz del reglamento y dar seguridad jurídica a las empresas desde el primer momento”.
Lo que sí está claro es que la legislación europea será de aplicación directa, como ocurrió con el RGPD, lo que significa que no será necesaria una transposición nacional para que tenga efectos jurídicos. Esto obliga a las empresas que operan en territorio europeo —y también a aquellas de fuera que ofrezcan productos o servicios basados en IA en la UE— a cumplir con los requisitos del reglamento desde su entrada en vigor.
“La inteligencia artificial ofrece enormes oportunidades, pero también plantea riesgos que deben ser gestionados con responsabilidad”, concluyen desde Grupo Atico34. “Con el AI Act, Europa está marcando el camino hacia un uso ético y seguro de esta tecnología, y las empresas deben entender que el cumplimiento no es opcional: es estratégico”.