¿Qué es la discriminación algorítmica?

La discriminación algorítmica ocurre cuando un sistema de inteligencia artificial toma decisiones automatizadas que generan un trato desigual o injusto basado en características protegidas como el género, la raza, la edad o la discapacidad, a menudo debido a sesgos en los datos de entrenamiento o en el diseño del modelo.

¿Qué obligaciones tiene el AI Act respecto al sesgo?

El Reglamento de IA (AI Act) impone obligaciones estrictas para los sistemas de alto riesgo, incluyendo la implementación de sistemas de gestión de riesgos, la gobernanza de datos para minimizar sesgos, documentación técnica detallada, transparencia para los usuarios y una supervisión humana efectiva para corregir posibles desviaciones algorítmicas.

¿Qué multas puede haber por incumplir el AI Act?

Las sanciones pueden ser masivas, alcanzando hasta 35 millones de euros o el 7% de la facturación global anual de la empresa por el uso de prácticas prohibidas, y hasta 15 millones de euros o el 3% por el incumplimiento de las obligaciones generales establecidas en el Reglamento.

¿Cómo afecta el RGPD a la inteligencia artificial?

El RGPD exige que cualquier tratamiento de datos personales mediante IA cumpla con principios fundamentales como la transparencia, la licitud, la limitación de la finalidad y la minimización de datos. Además, garantiza derechos como la oposición a decisiones automatizadas y el derecho a obtener una explicación humana.

¿Es obligatorio realizar una EIPD en proyectos de IA?

SÍ, es obligatoria siempre que el tratamiento de datos mediante IA entrañe un alto riesgo para los derechos y libertades de las personas, lo cual es común en sistemas de perfilado, decisiones automatizadas o tratamiento masivo de categorías especiales de datos.

¿Qué es la responsabilidad proactiva en el contexto de la IA?

La responsabilidad proactiva o 'accountability' implica que el responsable del tratamiento no solo debe cumplir con la normativa (RGPD/AI Act), sino que debe ser capaz de demostrar dicho cumplimiento mediante documentación, auditorías, evaluaciones de impacto y medidas técnicas desde el diseño.

Firma Scarpa

Reglamento Europeo de Inteligencia Artificial (AI Act): análisis jurídico y claves para el sector legal

31 de diciembre de 2024•

PorRicardo Scarpa

Volver a Firma Scarpa

Análisis jurídico integral del AI Act: arquitectura normativa, enfoque basado en riesgos y obligaciones para el sector legal.

El Reglamento Europeo de Inteligencia Artificial representa un hito normativo sin precedentes en la regulación de sistemas de IA. Este análisis examina su arquitectura jurídica, las obligaciones que impone y sus implicaciones directas para el ejercicio profesional del Derecho.

La aprobación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, conocido como AI Act o Reglamento Europeo de Inteligencia Artificial, constituye un punto de inflexión en la relación entre el ordenamiento jurídico y los sistemas de inteligencia artificial. Por primera vez, una jurisdicción de relevancia global establece un marco normativo integral, horizontal y vinculante para el desarrollo, comercialización y uso de sistemas de IA.

Para el sector jurídico, el Reglamento no es únicamente objeto de estudio académico o de asesoramiento a terceros. Afecta directamente a la práctica profesional: desde el uso de herramientas de IA en despachos y tribunales hasta las obligaciones de cumplimiento normativo que recaen sobre administraciones públicas y empresas tecnológicas. El jurista se sitúa, así, en una posición de especial responsabilidad como intérprete, garante y agente de implementación de este nuevo marco regulatorio.

Este análisis ofrece una lectura estructurada del Reglamento, orientada a profesionales del Derecho, con el objetivo de facilitar su comprensión, identificar sus implicaciones prácticas y señalar los retos pendientes desde una perspectiva crítica y constructiva.

1. Contexto y finalidad del Reglamento Europeo de Inteligencia Artificial

El AI Act tiene su origen en la propuesta legislativa presentada por la Comisión Europea en abril de 2021, como parte de la Estrategia Europea de Inteligencia Artificial iniciada en 2018. Tras un proceso de negociación interinstitucional prolongado, el texto fue definitivamente aprobado en 2024, entrando en vigor de forma escalonada según las distintas categorías de sistemas regulados.

La finalidad declarada del Reglamento es doble. Por un lado, pretende garantizar que los sistemas de IA comercializados y utilizados en la Unión Europea respeten los derechos fundamentales, la seguridad y los valores democráticos. Por otro, busca proporcionar seguridad jurídica a los operadores económicos y fomentar la innovación mediante un marco normativo armonizado que evite la fragmentación regulatoria entre Estados miembros.

Este equilibrio entre protección e innovación atraviesa todo el texto normativo. El legislador europeo ha optado por un enfoque que no prohíbe la inteligencia artificial de forma genérica, sino que modula las obligaciones en función del riesgo que cada sistema representa para los derechos y la seguridad de las personas. Se trata de una decisión regulatoria consciente: permitir el desarrollo tecnológico, pero dentro de límites jurídicamente definidos.

El Reglamento se aplica a proveedores que comercialicen o pongan en servicio sistemas de IA en la Unión, con independencia de su lugar de establecimiento, así como a usuarios de dichos sistemas cuando se encuentren en territorio europeo. Esta vocación de aplicación extraterritorial refuerza su potencial como estándar regulatorio global, similar al efecto que ha tenido el Reglamento General de Protección de Datos en el ámbito de la privacidad.

2. Enfoque basado en el riesgo: arquitectura normativa del AI Act

El elemento estructural más distintivo del Reglamento es su sistema de clasificación de sistemas de IA en función del nivel de riesgo que representan. Esta arquitectura normativa establece cuatro categorías principales, cada una con un régimen jurídico diferenciado.

En primer lugar, los sistemas de riesgo inaceptable quedan directamente prohibidos. El artículo 5 del Reglamento enumera prácticas consideradas incompatibles con los valores de la Unión, tales como los sistemas de puntuación social por parte de autoridades públicas, la explotación de vulnerabilidades de grupos específicos, o determinados usos de identificación biométrica en tiempo real en espacios públicos. Estas prohibiciones son absolutas y no admiten excepciones salvo en supuestos muy tasados relacionados con la seguridad pública.

En segundo lugar, los sistemas de alto riesgo constituyen el núcleo regulatorio del Reglamento. Se trata de sistemas de IA utilizados en ámbitos especialmente sensibles, definidos en el Anexo III: infraestructuras críticas, educación, empleo, acceso a servicios esenciales, aplicación de la ley, gestión de la migración y administración de justicia, entre otros. Para estos sistemas, el Reglamento establece un conjunto exhaustivo de obligaciones que analizaremos en la siguiente sección.

En tercer lugar, los sistemas de riesgo limitado están sujetos principalmente a obligaciones de transparencia. El ejemplo paradigmático son los sistemas de IA generativa o los chatbots, respecto de los cuales se exige que el usuario sea informado de que está interactuando con un sistema automatizado.

Finalmente, los sistemas de riesgo mínimo no están sujetos a obligaciones específicas derivadas del Reglamento, aunque pueden quedar afectados por otras normas sectoriales o por códigos de conducta voluntarios que el propio texto fomenta.

Esta arquitectura basada en el riesgo permite una regulación proporcionada: las cargas más intensas recaen sobre los sistemas que mayor potencial lesivo presentan, mientras que se preserva un espacio de libertad para aplicaciones inocuas o de bajo impacto. Desde una perspectiva jurídica, esta técnica regulatoria plantea el desafío de la correcta clasificación de cada sistema, una operación que no siempre resulta evidente y que será fuente de controversias interpretativas.

3. Sistemas de alto riesgo y obligaciones principales

El régimen jurídico aplicable a los sistemas de alto riesgo constituye el eje central del Reglamento. Los artículos 8 a 15 establecen un conjunto de obligaciones que los proveedores deben cumplir antes de la comercialización o puesta en servicio del sistema, y que deben mantenerse durante todo su ciclo de vida.

La primera obligación fundamental es el establecimiento de un sistema de gestión de riesgos. Este sistema debe identificar, analizar y evaluar los riesgos conocidos y razonablemente previsibles asociados al uso del sistema de IA, tanto en condiciones normales como en situaciones de mal uso razonablemente previsible. La gestión de riesgos no es un ejercicio puntual, sino un proceso continuo que debe actualizarse a lo largo de la vida del sistema.

La segunda obligación se refiere a la calidad de los datos. Los conjuntos de datos utilizados para el entrenamiento, validación y prueba de sistemas de alto riesgo deben cumplir criterios de relevancia, representatividad, corrección y completitud. Esta exigencia tiene especial importancia en el contexto jurídico, donde los sesgos en los datos de entrenamiento pueden traducirse en discriminaciones sistemáticas en las decisiones automatizadas.

La tercera obligación exige la elaboración de documentación técnica suficiente para demostrar la conformidad del sistema con los requisitos del Reglamento y para permitir a las autoridades competentes evaluar dicha conformidad. Esta documentación debe incluir información sobre el diseño, desarrollo, funcionamiento y gestión de riesgos del sistema.

La cuarta obligación impone el registro automático de eventos durante el funcionamiento del sistema, de modo que pueda trazarse su comportamiento y detectarse situaciones de riesgo o incidentes. Esta trazabilidad resulta esencial para la supervisión efectiva y para la eventual determinación de responsabilidades.

Para el sector jurídico, estas obligaciones tienen relevancia directa. Los sistemas de IA utilizados en la administración de justicia, en la evaluación de riesgos penales, en la asistencia a decisiones judiciales o en la gestión de expedientes administrativos quedan, en principio, sujetos al régimen de alto riesgo. Esto significa que su desarrollo y uso deberán ajustarse a estándares exigentes de calidad, documentación y supervisión.

4. Transparencia, supervisión humana y responsabilidad

El Reglamento consagra la transparencia como principio rector del uso de sistemas de IA. Esta transparencia opera en varios niveles. Frente a los usuarios profesionales del sistema, el proveedor debe suministrar instrucciones de uso claras, incluyendo información sobre las capacidades y limitaciones del sistema, los riesgos residuales conocidos y las condiciones de uso previstas. Frente a las personas afectadas por decisiones tomadas con asistencia de IA, debe garantizarse el derecho a ser informado de que se está utilizando un sistema automatizado.

La supervisión humana constituye otro de los pilares del Reglamento. Los sistemas de alto riesgo deben diseñarse de modo que permitan una supervisión efectiva por parte de personas físicas durante su funcionamiento. Esta supervisión tiene por objeto prevenir o minimizar los riesgos para la salud, la seguridad o los derechos fundamentales que puedan derivarse del uso del sistema.

El concepto de supervisión humana efectiva conecta directamente con principios clásicos del Derecho. En el ámbito judicial, enlaza con la exigencia de motivación de las resoluciones y con el derecho a un juez humano. En el ámbito administrativo, se vincula con el deber de resolver de forma individualizada y con la prohibición de automatización completa de decisiones que afecten a derechos. En el ámbito procesal, se relaciona con el derecho de defensa y con la posibilidad de impugnar decisiones basadas en criterios opacos.

La responsabilidad por los daños causados por sistemas de IA no se regula de forma exhaustiva en el Reglamento, que remite a los regímenes nacionales y a instrumentos específicos en tramitación. No obstante, el cumplimiento de las obligaciones del AI Act será un elemento relevante para la determinación de responsabilidades civiles, administrativas y, en su caso, penales. El incumplimiento de los requisitos normativos podrá fundamentar reclamaciones por negligencia o por infracción de deberes de diligencia.

5. Gobernanza, control y régimen sancionador

El Reglamento establece una estructura de gobernanza multinivel. A escala europea, se crea la Oficina Europea de Inteligencia Artificial, integrada en la Comisión, con funciones de coordinación, orientación y supervisión de los modelos de IA de propósito general. A escala nacional, cada Estado miembro debe designar una o varias autoridades competentes para la vigilancia del mercado y el control del cumplimiento del Reglamento.

El régimen sancionador previsto es severo, en línea con la aproximación adoptada en el Reglamento General de Protección de Datos. Las infracciones más graves, como la comercialización de sistemas prohibidos, pueden sancionarse con multas de hasta 35 millones de euros o el 7% del volumen de negocios mundial anual, la cifra que resulte mayor. Otras infracciones, como el incumplimiento de obligaciones de transparencia o documentación, pueden dar lugar a sanciones de hasta 15 millones de euros o el 3% del volumen de negocios.

Este régimen sancionador tiene vocación disuasoria. Sin embargo, su efectividad dependerá de la capacidad real de las autoridades nacionales para supervisar un mercado tecnológico complejo, dinámico y en buena medida opaco. La dotación de recursos técnicos y humanos a los organismos de control será determinante para que el Reglamento no quede en letra muerta.

El Reglamento también prevé mecanismos de cooperación entre autoridades nacionales y con la Oficina Europea, así como procedimientos de consulta y de intercambio de información. Se establecen igualmente obligaciones de notificación de incidentes graves por parte de los proveedores, lo que permitirá a las autoridades reaccionar ante situaciones de riesgo.

6. Impacto práctico del Reglamento en el sector jurídico

El AI Act tendrá consecuencias directas y tangibles para el sector jurídico en sus diversas manifestaciones. Distinguimos varios ámbitos de impacto.

Para los despachos de abogados, el Reglamento supone una doble exigencia. Por un lado, como usuarios de sistemas de IA, deberán verificar que las herramientas que emplean cumplen con los requisitos normativos, especialmente cuando se trate de sistemas de alto riesgo. Por otro lado, como asesores, deberán estar en condiciones de orientar a sus clientes sobre las obligaciones derivadas del Reglamento, lo que exigirá una actualización formativa significativa.

Para las administraciones públicas, el impacto es especialmente intenso. El uso de sistemas de IA en la tramitación de expedientes, en la evaluación de solicitudes o en la asistencia a decisiones administrativas quedan sujeto a las obligaciones de alto riesgo. Esto implicará la necesidad de auditar los sistemas existentes, adaptar los procedimientos de contratación pública y establecer protocolos de supervisión humana efectiva.

Para los proveedores de software jurídico, el Reglamento introduce requisitos de cumplimiento que afectan al diseño, desarrollo y comercialización de sus productos. Los sistemas de gestión documental con funcionalidades de IA, las herramientas de análisis predictivo o los asistentes de redacción jurídica deberán evaluarse a la luz de las categorías de riesgo establecidas.

En el ámbito judicial, el uso de sistemas de IA para la asistencia a jueces y magistrados plantea cuestiones específicas. El Reglamento no prohíbe estos sistemas, pero los sujeta a obligaciones estrictas. La transparencia sobre su funcionamiento, la posibilidad de supervisión humana y la trazabilidad de las recomendaciones generadas serán elementos clave para garantizar el respeto al debido proceso.

Finalmente, el Reglamento genera nuevas oportunidades profesionales para juristas especializados en cumplimiento normativo, auditoría de sistemas de IA y asesoramiento en materia de riesgos tecnológicos. La demanda de estos perfiles previsiblemente aumentará en los próximos años.

7. Retos abiertos y críticas jurídicas

El AI Act no está exento de críticas y presenta retos significativos que la práctica jurídica deberá afrontar.

En primer lugar, el Reglamento emplea conceptos jurídicos indeterminados cuya interpretación no resulta evidente. Nociones como "riesgo significativo", "supervisión humana efectiva" o "uso razonablemente previsible" requerirán desarrollo jurisprudencial y doctrinal. Esta indeterminación genera incertidumbre para los operadores y puede dificultar la aplicación uniforme del Reglamento en los distintos Estados miembros.

En segundo lugar, la capacidad real de supervisión de las autoridades competentes es cuestionable. La complejidad técnica de los sistemas de IA, la opacidad de muchos modelos y la velocidad de evolución del sector plantean dudas sobre la efectividad del control público. Sin una inversión sustancial en capacidades técnicas, el riesgo de que la supervisión sea meramente formal es elevado.

En tercer lugar, existe un debate legítimo sobre el posible efecto restrictivo del Reglamento sobre la innovación. Las cargas administrativas y los costes de cumplimiento pueden resultar desproporcionados para pequeñas y medianas empresas, favoreciendo una concentración del mercado en grandes operadores con capacidad para asumir dichos costes. El Reglamento prevé ciertas medidas de apoyo a pymes, pero su suficiencia está por demostrar.

En cuarto lugar, el enfoque horizontal del Reglamento presenta limitaciones. La regulación uniforme de sistemas de IA muy diversos puede resultar inadecuada para captar las especificidades de cada sector. En el ámbito jurídico, las particularidades del proceso judicial, de la función notarial o de la actividad registral pueden requerir desarrollos normativos específicos que el Reglamento no proporciona.

Finalmente, la articulación del AI Act con otras normas sectoriales y con los ordenamientos nacionales generará fricciones interpretativas. La relación con el Reglamento General de Protección de Datos, con la normativa de productos y con las legislaciones procesales de cada Estado miembro requerirá un esfuerzo de integración que corresponderá en buena medida a los tribunales y a la doctrina.

8. Conclusión editorial

El Reglamento Europeo de Inteligencia Artificial representa un marco inicial, no definitivo, para la gobernanza de los sistemas de IA en el espacio jurídico europeo. Su aprobación marca el fin de una etapa de vacío normativo y el comienzo de un proceso de implementación, interpretación y, previsiblemente, revisión que se extenderá durante años.

Para el jurista, el AI Act no es solo un texto que aplicar o del que asesorar. Es una invitación a reflexionar sobre el papel del Derecho ante transformaciones tecnológicas de alcance sistémico. La inteligencia artificial desafía categorías jurídicas tradicionales, cuestiona la centralidad de la voluntad humana en la toma de decisiones y pone a prueba la capacidad del ordenamiento para adaptarse sin perder sus fundamentos.

El Reglamento apuesta por un modelo en el que la tecnología se desarrolla dentro de límites jurídicamente definidos, con supervisión pública y responsabilidad atribuible. Este modelo no es el único posible, ni está garantizado que resulte exitoso. Pero expresa una elección política y jurídica clara: la innovación tecnológica no puede desenvolverse al margen del Estado de Derecho.

Corresponde a los profesionales del Derecho asumir un papel activo en la implementación de este marco: como intérpretes de sus disposiciones, como garantes de su cumplimiento y como voces críticas que señalen sus insuficiencias. El AI Act es un punto de partida. Su desarrollo dependerá, en buena medida, del rigor y la responsabilidad con que el sector jurídico asuma este nuevo desafío.