¿Qué es la Ley de Inteligencia Artificial (IA Act) y cómo afecta a las empresas?

La inteligencia artificial (IA) ha emergido como una de las herramientas empresariales más poderosas del siglo XXI, transformando la manera en que las organizaciones procesan y gestionan datos. Sin embargo, su aparición ha traído consigo desafíos legales y éticos, especialmente en lo que respecta a la protección de datos personales. El regulador europeo, con el Reglamento (UE) 2024/1689 (IA Act o Ley de la IA) y el Reglamento (EU) 2016/679 General de Protección de Datos (RGPD) como instrumentos fundamentales, apoyados en otras normativas específicas, busca alcanzar el difícil y complejo equilibrio entre la innegable y perentoria necesidad de innovación tecnológica y la irrenunciable protección de los derechos fundamentales. En este contexto, cualquier tratamiento de datos personales por parte de sistemas de IA debe ajustarse a una base legal clara, garantizando la aplicación de principios como la minimización del tratamiento de datos y la transparencia en su uso.

Un aspecto clave de la nueva regulación es el derecho de los individuos a no ser objeto de decisiones automatizadas sin intervención humana cuando estas puedan afectar significativamente sus derechos. Además, el legislador europeo ha promulgado el Reglamento (UE) 2018/1807 de Libre Circulación de Datos No Personales, facilitando su libre circulación entre los Estados Miembros, y requiriendo, al mismo tiempo, la aplicación de medidas técnicas y organizativas adecuadas que protejan su integridad. Aunque los datos no personales no repercutan directamente en la privacidad individual, su correcta gestión es esencial para evitar riesgos operativos y promover la confianza en los sistemas de IA.

En el marco del RGPD si una empresa efectuara una cesión de datos al sistema IA; sólo estarían protegidos aquellos datos que fueran clasificables como datos personales, ya sean de terceros o propios (en el caso de empresas que ejerzan su actividad como persona física), siempre que en su tratamiento se hayan cumplido los requisitos que recoge su artículo 6.

La reciente aprobación del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial amplía el marco normativo, imponiendo requisitos estrictos sobre la calidad de los datos utilizados por la IA y prohibiendo el uso de información que pueda generar discriminación. Exige, además, que los sistemas sean transparentes y que las decisiones automatizadas sean revisables por humanos. Esto se complementa con buenas prácticas de gestión que reduzcan el impacto sobre la privacidad individual y permiten a las empresas cumplir con la normativa mientras maximizan el potencial de sus sistemas de IA.

En este escenario, el Data Privacy Framework (DPF), aprobado en 2023, ha intentado mejorar la gobernanza del flujo de datos entre Estados Unidos y la Unión Europea.

¿Qué es el Data Privacy Framework (DPF) y por qué es importante para la transferencia de datos internacionales?

Este instrumento legal paccionado busca abordar las deficiencias señaladas en el caso Schrems II y reforzar las salvaguardas para minimizar la recolección indiscriminada de datos personales. Para ello, establece restricciones más claras en cuanto a la monitorización de datos personales por parte de los Estados por motivos de orden público, crea un Tribunal de Revisión de Protección de Datos y promueve que las empresas estadounidenses que quieran recibir datos de la UE se certifiquen bajo este marco, sin perjuicio de acudir al sistema de cláusulas modelo sugerido por la UE. Sin embargo, la certificación relativa al DPF es voluntaria y sigue habiendo dudas sobre la efectividad real de las restricciones impuestas a la vigilancia gubernamental, sobre todo del lado estadounidense.

La Ley de IA añade requisitos adicionales en Europa para la transferencia y tratamiento de datos a sistemas de IA, particularmente en aquellos considerados de alto riesgo. Obliga a documentar cómo se utilizan los datos personales y prohíbe la transferencia de información si representa un riesgo inaceptable para los derechos fundamentales. También impone restricciones a la recopilación masiva de datos biométricos y obliga a los desarrolladores de IA generativa a revelar si se han utilizado datos personales en el entrenamiento de sus modelos, permitiendo a los usuarios eliminar su información si así lo desearan.

El 2 de febrero de 2025, entró en vigor el primer bloque de obligaciones derivadas de la Ley de IA, enfocadas en la prohibición de prácticas de inteligencia artificial etiquetadas y evaluadas como «riesgo inaceptable». Estas incluyen el uso de sistemas de IA que manipulen el comportamiento humano de manera subliminal o exploten vulnerabilidades de personas debido a su edad o discapacidad, la puntuación social por parte de Gobiernos o empresas, y la inferencia de emociones en entornos laborales o educativos. Además, el artículo 4 de esta Ley establece que los proveedores y usuarios de sistemas de IA deben garantizar que su personal cuente con conocimientos adecuados sobre la IA, incluyendo sus oportunidades y riesgos, promoviendo así un uso seguro y ético de la tecnología.

La puntuación social es un sistema mediante el cual se asigna una calificación a individuos o entidades en función de su comportamiento, acciones o características personales, utilizando datos recopilados de diversas fuentes. Este concepto ha sido ampliamente debatido debido a su potencial para restringir derechos y libertades individuales.

Un ejemplo conocido es el Sistema de Crédito Social de China, que evalúa a ciudadanos y empresas según su historial financiero, cumplimiento de normas y comportamiento social, pudiendo otorgar beneficios o imponer restricciones en función de la puntuación obtenida. Este tipo de sistema plantea preocupaciones sobre la privacidad, la discriminación y el control social, ya que podría utilizarse para limitar el acceso a servicios esenciales, restringir oportunidades laborales, o incluso afectar la movilidad de las personas en función de criterios arbitrarios o sesgados.

Por otro lado, la protección de los secretos empresariales es un factor crucial en este entorno. La Ley 1/2019 de Secretos Empresariales, que desarrolla la Directiva (UE) 2016/943, protege la información comercial sensible contra su divulgación no autorizada. La Ley de Secretos Empresariales establece que para que una información o dato sean considerados secretos empresariales deben ser confidenciales, tener valor comercial y estar protegidos activamente. Si los datos empresariales son proporcionados en un contexto confidencial, su difusión sin autorización puede derivar en infracciones legales. Se considera ilícita su obtención cuando se realiza sin consentimiento del titular, mediante acceso no autorizado, copia o apropiación fraudulenta. La normativa también contempla sanciones para quienes, habiendo accedido legítimamente a un secreto empresarial, lo usen fuera del marco contractual establecido. De ahí la necesidad de establecer y no descuidar procedimientos para gestionar y actualizar los acuerdos de confidencialidad que deben salvaguardar todas las operaciones mercantiles y las relaciones con los clientes, empleados y proveedores en el ámbito empresarial.

La protección de datos personales en un entorno de IA es un tema que exige especial atención. Según el RGPD, cualquier tratamiento de datos personales debe contar con el consentimiento informado del titular. Las empresas responsables del procesamiento de datos deben diseñar sus sistemas para asegurar, en lo razonablemente posible, el cumplimiento con sus obligaciones legales. Esto conlleva la adaptación de la empresa a los escenarios en los que interactúe con entornos de Inteligencia Artificial, lo que implica la actualización de los sistemas ya diseñados que deben incluir al menos la llevanza de un registro detallado de sus actividades y la revisión de los procesos en vigor para garantizar que la información personal sea tratada de forma lícita, leal y transparente. La regulación también define los principios fundamentales del tratamiento, entre los que destacan la minimización de datos, la limitación del plazo de conservación y la seguridad adecuada para prevenir su uso indebido.

Multas por incumplimiento del RGPD: Ejemplos y sanciones

El incumplimiento del RGPD, como bien es sabido, puede derivar en sanciones severas. La normativa clasifica las infracciones en leves, graves y muy graves, con multas que pueden llegar a los 20 millones de euros o el 4 % de la facturación anual global. Casos como el de BBVA en 2020, con una multa de 5 millones de euros, y Vodafone en 2021, con una sanción de 8,15 millones de euros, han demostrado la rigurosidad de la Agencia Española de Protección de Datos (AEPD) en la aplicación de la normativa. Además, en casos especialmente graves, las infracciones pueden derivar en responsabilidad penal, tanto a nivel personal como a nivel corporativo, con penas de prisión de hasta cinco años en los casos de revelación de secretos.

La regulación española también establece medidas para garantizar la seguridad de los sistemas de información. El Real Decreto-ley 12/2018, que transpone la Directiva NIS, impone obligaciones a los operadores de servicios esenciales para garantizar la seguridad de las redes y la información. El Real Decreto-ley 12/2018 introduce modificaciones en la Ley General de Telecomunicaciones y en otras normativas con el propósito de fortalecer la capacidad de la Administración para supervisar y controlar a los operadores y proveedores de servicios digitales. Esta ampliación de competencias cobra especial importancia en situaciones de emergencia o cuando la seguridad nacional se ve amenazada.

Entre las medidas que contempla este decreto, se incluyen nuevas obligaciones de seguridad para los operadores de telecomunicaciones, garantizando así una mayor protección en la prestación de estos servicios. Además, prevé la intervención del Estado en casos de crisis o amenazas graves, permitiendo una actuación rápida y eficaz ante posibles riesgos. Para ello, se refuerza la coordinación con organismos especializados en ciberseguridad, como el CCN-CERT y el INCIBE, consolidando un enfoque estratégico y preventivo en la protección de infraestructuras digitales y redes de telecomunicaciones.

El incumplimiento de estas normativas puede conllevar sanciones de hasta 500 000 euros, subrayando la importancia de proteger los datos frente a posibles vulneraciones.

Volviendo a China, el gigante asiático ha desarrollado su propio marco regulador para la protección de datos, con normativas como la Personal Information Protection Law (PIPL), similar al RGPD europeo. Empresas como DeepSeek, que manejan grandes volúmenes de datos, están sujetas a estrictos controles gubernamentales y limitaciones en la transferencia de información fuera del país. La Ley de Seguridad de Datos y la Ley de Seguridad Cibernética establecen requisitos sobre la clasificación de datos y la obligación de almacenamiento local, reforzando el control estatal sobre la información gestionada por la IA. No obstante, y dado el diferente enfoque que la UE aplica a la protección de datos personales, cualquier transferencia de datos personales a China ha de ser valorada en cada instancia particular y probablemente requerirá un soporte contractual específico para asegurar el cumplimiento con el marco normativo europeo.

En este contexto, las empresas deben adoptar un enfoque integral para proteger sus datos empresariales ante posibles usos indebidos por parte de proveedores de IA. Es recomendable establecer contratos claros que definan la propiedad y el uso permitido de los datos, limitar su acceso solo al personal autorizado e incluir cláusulas de confidencialidad estrictas. Además, se deben implementar medidas técnicas y organizativas como el cifrado de datos, la anonimización y la pseudonimización para minimizar riesgos. La revisión de la evaluación de impacto en la protección de datos (DPIA, por sus siglas en inglés) es otra herramienta clave para identificar vulnerabilidades y garantizar el cumplimiento en un nuevo y cambiante entorno normativo.

Las empresas que procesan datos personales deben asegurarse de que los proveedores de IA disponen de herramientas operativas de tratamiento diseñadas sobre la base legal adecuada, respetan los derechos de los interesados y adoptan medidas de seguridad proporcionales. En sectores regulados, como el financiero o el sanitario, deben cumplirse normativas específicas adicionales. Para reforzar la seguridad, es fundamental establecer políticas internas que regulen el uso de los datos en proyectos de IA, definir límites temporales para su retención y utilizar herramientas avanzadas de autenticación y prevención de fugas de información.

En conclusión, el éxito de la IA en el ámbito empresarial dependerá de la capacidad de las organizaciones para navegar en este complejo entorno regulatorio. La implementación de controles de acceso, auditorías y sistemas de supervisión ética garantizarán que las herramientas que utilicen IA operen de manera razonablemente segura y conforme a la ley. A medida que la tecnología sigua evolucionando, el compromiso adaptativo con la legalidad y los principios éticos será clave para consolidar la confianza en la inteligencia artificial, la transmisión de esa confianza a clientes, accionistas, empleados y proveedores y el aprovechamiento de su potencial dentro de un marco de respeto a los derechos fundamentales.

 

******

Mas información:

Lupicinio International Law Firm
C/ Villanueva 29
28001 Madrid
T: +34 91 436 00 90