- Quien espere a la primera multa sonada para ponerse en marcha estará repitiendo el error más caro de 2018, pero con un precio mayor
Este artículo ha sido publicada en el número 1029 de Actualidad Jurídica Aranzadi (AJA), regístrate una vez en este enlace y recibirás una comunicación con cada número desde la que podrás acceder a la revista en Legalteca.
Imaginemos la escena: un socio del despacho se asoma al despacho del asociado más joven y le pregunta, entre reunión y reunión, si ya han «hecho lo del AI Act». El asociado levanta la vista del contrato que está revisando con ayuda de su asistente de IA y responde que está en ello. Ninguno de los dos sabe exactamente en qué categoría de riesgo cae esa herramienta. Ninguno lo ha clasificado. Y los dos tienen razón en estar incómodos, porque el Reglamento de Inteligencia Artificial lleva en vigor más tiempo del que la mayoría quiere recordar.
El error que ya cometimos con el RGPD
Todos recordamos el caos de mayo de 2018. Los despachos y departamentos jurídicos de toda Europa llegaron tarde, a medio hacer o directamente sin cumplir con el RGPD, pese a contar con dos años de vacatio legis. Lo que siguió fueron multas, litigios y una carrera por ponerse al día que costó mucho más de lo que habría costado anticiparse, y que aún hoy continúa. El AI Act —Reglamento (UE) 2024/1689— reproduce el mismo patrón: plazos escalonados, obligaciones complejas y un nivel de preparación corporativa que, comparado con el de 2018, es sensiblemente peor. Y eso que las sanciones son más altas.
Los números que incomodan
El AI Act sanciona hasta con el 7 % de la facturación mundial anual para las infracciones más graves —sistemas que manipulan conductas, explotan vulnerabilidades o realizan puntuación social—. El RGPD, en su tramo máximo, llega al 4 %. La referencia que durante años fue el estándar más exigente que conocíamos ya no lo es. Para otros incumplimientos, el Reglamento fija hasta 15 millones de euros o el 3 % de la facturación, y hasta 7,5 millones para información incorrecta a las autoridades. Son cifras que hacen que el debate sobre si cumplir o no sea, sencillamente, un mal negocio.
Y los plazos no son una promesa lejana. Las prohibiciones absolutas son exigibles desde febrero de 2025. Las obligaciones para quienes integran modelos de IA de uso general en sus flujos de trabajo —eso incluye a casi cualquier despacho o empresa que use herramientas como asistentes de redacción, análisis documental o gestión de contratos— están en vigor desde agosto de 2025. Las obligaciones para sistemas de alto riesgo, que afectan a sectores como el jurídico, el sanitario o la selección de personal, entran en agosto de 2026. Dos fechas ya han pasado.
¿Qué toca hacer ahora?
Lo primero y más urgente es clasificar los sistemas. Toda organización que use, integre o comercialice un sistema de IA debe determinar en qué categoría cae según el Anexo III del Reglamento. De esa clasificación depende todo lo demás: desde el simple registro hasta la auditoría de conformidad o la elaboración de documentación técnica. Es un ejercicio que lleva tiempo y que, si no se ha empezado, conviene empezar hoy.
Lo segundo es revisar los contratos con proveedores. El AI Act distribuye responsabilidades entre proveedores y desplegadores, pero los contratos de adhesión de los grandes proveedores tecnológicos no contemplan esa distribución con la precisión que el Reglamento exige. Asumir que el proveedor responde de todo es un error que puede salir muy caro. La Agencia Española de Supervisión de Inteligencia Artificial (AESIA), operativa en A Coruña desde 2024 y con capacidad inspectora plena, ya ha iniciado sus primeras actuaciones de orientación sectorial. No es una autoridad en construcción: está lista.
La pregunta incómoda
La próxima vez que uses un asistente de IA para redactar un contrato, analizar jurisprudencia o filtrar candidatos, hazte esta pregunta: ¿sabes en qué categoría de riesgo lo has clasificado? ¿Tienes documentado quién responde si falla? Si la respuesta es no, ya tienes por dónde empezar. Y si la respuesta es que nadie en tu organización se lo ha preguntado todavía, mejor que alguien lo haga antes de que lo pregunte la AESIA.
