Guía completa y actualizada sobre leyes de inteligencia artificial vigentes en España y la Unión Europea. Incluye EU AI Act (Reglamento 2024/1689), RGPD (GDPR), LOPDGDD, Art. 50 transparencia, Art. 22 decisiones automatizadas, Art. 9 datos sensibles, riesgo limitado vs. riesgo alto, DPIA, obligaciones PYMEs, plazos de cumplimiento (2026-2027), multas, supervisión humana, consentimiento, y checklist práctico. Información orientativa sin asesoramiento jurídico vinculante, para empresas que usan chatbots, agentes de IA, automatización y sistemas de inteligencia artificial.
Leyes y Normativa de IA Vigente
Guía completa sobre EU AI Act, RGPD y LOPDGDD aplicado a sistemas de inteligencia artificial. Obligaciones legales, riesgos, plazos de cumplimiento y checklist práctico para PYMEs en España.
Información orientativa. No constituye asesoramiento jurídico vinculante. Consulta con tu asesor legal para implementación específica.
EU AI Act — Reglamento (UE) 2024/1689
¿Qué es?
El primer marco regulatorio integral sobre inteligencia artificial en el mundo. Aplica a cualquier empresa que desarrolle, despliegue o use sistemas de IA en la Unión Europea, sin importar donde esté registrada. Adopted: 13 marzo 2024. Entrada en vigor: 1 agosto 2024.
Timeline de Cumplimiento
Clasificación de Riesgo
Sistemas que suponen amenaza a derechos fundamentales: scoring social, manipulación subliminal, explotación de vulnerabilidades, reconocimiento facial masivo no autorizado.
Decisiones en áreas críticas: evaluación educativa, empleo, servicios públicos, infraestructuras. Requiere gobernanza completa, documentación técnica, registros, supervisión humana continua.
Mayoría de chatbots PYMEs aquí. Requiere principalmente transparencia (informar usuario que es IA). Ejemplos: chatbots, asistentes virtuales, sistemas de recomendación.
Filtros antispam, videojuegos, recomendaciones sin impacto crítico. Sin obligaciones específicas.
RGPD y LOPDGDD Aplicado a IA
Art. 9 RGPD — Datos Especiales (Sensibles)
Datos de categoría especial requieren protección reforzada:
- Datos de salud (síntomas, tratamientos, historiales)
- Información genética
- Datos biométricos
- Origen étnico/racial, opiniones políticas, creencias religiosas
- Afiliación sindical, datos sobre condenados penales
Tratarlos requiere: consentimiento explícito, base legal especial, y medidas técnicas reforzadas (cifrado, anonimización, supervisión).
Art. 22 RGPD — Decisiones Automatizadas
Ningún interesado puede ser objeto de decisión basada únicamente en tratamiento automatizado si produce efectos jurídicos o afecta significativamente derechos.
SÍ aplica (requiere consentimiento + revisión humana):
- • Sistema automatizado rechaza un crédito
- • IA prioriza candidatos para empleo
- • Sistema automatizado cancela servicios
NO aplica (conversacional puro):
- • Chatbot responde preguntas de soporte
- • Sistema de recomendación de productos
Art. 35 RGPD — DPIA (Evaluación de Impacto)
Obligatoria cuando probable riesgo alto para derechos y libertades. Para sistemas de IA: si procesas datos de salud, realizas perfilado sistemático, o vigilancia a gran escala. Contiene: descripción tratamiento, evaluación riesgos, medidas mitigación.
EU AI Act — Tres Tramos de Sanciones
1️⃣ Sanción Máxima: Sistemas PROHIBIDOS (Riesgo Inaceptable)
Hasta 35 millones EUR
O el 7% de la facturación global anual — se aplica el importe mayor
Aplica SOLO por prácticas expresamente prohibidas en Art. 5 EU AI Act. Ejemplo: scoring social (asignar puntuaciones a personas para clasificarlas socialmente), manipulación subliminal, explotación de vulnerabilidades. La mayoría de PYMEs no llega aquí.
2️⃣ Sanción Media: INCUMPLIMIENTO DE OBLIGACIONES (Riesgo Limitado y Alto)
Hasta 15 millones EUR
O el 3% de la facturación global anual — se aplica el importe mayor
Este es el que OS AFECTA. Incluye:
- • NO poner aviso de IA (Art. 50) — "Soy un asistente virtual" — desde 2 agosto 2026
- • Incumplir obligaciones de riesgo alto (gobernanza, documentación técnica, registros, supervisión humana)
- • Usar sistemas prohibidos por Art. 5 (pero sin suponer peligro = sanción media, no máxima)
Para una PYMEs con chatbot sin aviso de IA cuando llegue el 2 de agosto: aquí es donde pueden caer. Quedan menos de 2 meses.
3️⃣ Sanción Menor: Información Incorrecta a Autoridades
Hasta 7,5 millones EUR
O el 1% de la facturación global anual — se aplica el importe mayor
Aplica si, en un proceso de auditoría, proporcionáis información falsa o incompleta a la AEPD. Menos frecuente.
⚠️ IMPORTANTE: Cálculo para PYMEs
El Art. 99 EU AI Act especifica que para PYMEs se aplica siempre el menor de los dos valores (cantidad fija o porcentaje), NUNCA el mayor.
Ejemplo:
Una PYMEs con facturación 500.000 EUR/año que incumple Art. 50 (sin aviso de IA):
- • 15 millones EUR (sanción fija)
- • O 3% de 500.000 = 15.000 EUR
- • Se aplica: 15.000 EUR (el menor)
🔗 Comparativa: EU AI Act vs RGPD
Anonimización vs Seudonimización — Qué Hacer con Datos Sensibles
Conceptos clave
ANONIMIZACIÓN (irreversible)
Borrar el dato de forma IRREVERSIBLE. Como quemar la lista de quién es quién — ya no hay forma de saber quién era. Una vez hecho, el RGPD no aplica. Pero es muy difícil hacer anonimización verdadera.
SEUDONIMIZACIÓN (reversible)
Sustituir el dato real por un código que se PUEDE revertir. Como cambiar el nombre por un mote: la IA ve el mote, vosotros sabéis quién es. El RGPD sigue aplicando porque podéis revertirlo. La mayoría de casos requieren seudonimización, no anonimización total.
Tabla: cómo aplica según el tipo de dato
🔴 Datos de SALUD
Diagnósticos, lesiones, historial clínico, discapacidad, bajas, síntomas.
→ SEUDONIMIZACIÓN obligatoria + cifrado AES-256 + DPIA previa (Art. 9 + 32 + 35 RGPD)
🟠 Datos IDENTIFICATIVOS
Nombre, NIF/NIE, email, teléfono, dirección, IBAN, tarjeta crédito.
→ SEUDONIMIZACIÓN antes de enviar a IA. Solo personal autorizado recupera el dato real.
🟡 Datos PERSONALES NO SENSIBLES para la tarea
Descripción de un caso sin identificar persona. Número de cliente/expediente.
→ MINIMIZACIÓN: enviar solo lo imprescindible, quitar identificadores.
🟢 Datos SIN IDENTIFICACIÓN (documentación, procedimientos)
Documentación técnica, normativa, FAQ, estadísticas anónimas irreversibles.
→ Puede usarse en claro. Verificar que realmente no hay datos personales escondidos.
Pasos de anonimización/seudonimización
- 1. Identificar: ¿Qué datos voy a procesar? (lista completa)
- 2. Clasificar: ¿Son sensibles? (tabla anterior)
- 3. Sustituir ANTES de la IA: Reemplazar datos reales por códigos internos.
Ejemplo: "Juan García, diabetes tipo 2" → "PATIENT_REF_001, CONDITION_A" - 4. Guardar la tabla código-real CIFRADA en Europa: AES-256, clave en servidor europeo bajo vuestro control. La IA no tiene acceso.
- 5. Entregar respuesta al usuario: El sistema recupera el dato real. El usuario ve "Juan García". La IA nunca lo procesó en claro.
- 6. Registrar acceso: Quién accedió a qué dato y cuándo. Logs máximo 6 meses.
Checklist de Compliance Pre-Implementación
Clasificar riesgo del sistema
¿Es chatbot conversacional (riesgo limitado) o toma decisiones con efectos jurídicos (alto)?
Identificar datos sensibles
¿Procesas datos de salud, biométricos, étnicos, religiosos? Requieren protección reforzada + consentimiento explícito.
Implementar transparencia (Art. 50)
Informar claramente al usuario: "Soy un asistente virtual impulsado por IA" ANTES de que comparta datos.
Configurar supervisión humana (Art. 14)
Escalado a humano disponible, logs registrados, persona responsable designada, capacidad de desactivar sistema.
Documentar y auditar
Crear ficha de transparencia con capacidades/limitaciones, DPIA si procesas datos sensibles, registros de conformidad.
Preguntas Frecuentes Legales
¿Qué es el EU AI Act?
El EU AI Act (Reglamento UE 2024/1689) es la primera ley integral sobre inteligencia artificial aprobada en el mundo. Aplica a cualquier empresa que desarrolle, despliegue o use sistemas de IA en la Unión Europea. Clasifica los sistemas por nivel de riesgo (inaceptable, alto, limitado y mínimo) e impone obligaciones específicas según la clasificación. Entrada en vigor: 1 de agosto de 2024. Obligaciones principales para PYMEs: 2 de agosto de 2026.
¿Cuándo debo informar a los usuarios de que uso IA?
El Art. 50 EU AI Act (vigente desde 2 de agosto de 2026) requiere que informes claramente al usuario que está interactuando con un sistema de inteligencia artificial, ANTES de que comparta datos personales. La forma más simple es un mensaje en el primer saludo del chatbot: "Soy un asistente virtual de [empresa], impulsado por IA". El aviso debe ser comprensible y en el idioma del usuario.
¿Qué es riesgo limitado versus riesgo alto?
Riesgo limitado: sistemas que interactúan con personas pero no toman decisiones críticas con efectos jurídicos (ej: chatbots, asistentes virtuales). Requieren transparencia (Art. 50). Riesgo alto: sistemas que afectan significativamente derechos fundamentales, especialmente en educación, empleo, servicios públicos o decisiones crediticias. Requieren gobernanza completa, registros y supervisión humana continua.
¿Qué datos son especiales o sensibles según el RGPD?
Los datos especiales (Art. 9 RGPD) incluyen: datos de salud, información genética, datos biométricos, origen étnico/racial, opiniones políticas, creencias religiosas, afiliación sindical, datos de condenados penales. Tratarlos requiere consentimiento explícito o base legal especial. En sistemas de IA para clinicas dentales, cualquier dato sobre síntomas o tratamientos es especial y necesita protección reforzada.
¿Cuál es el Art. 22 RGPD sobre decisiones automatizadas?
El Art. 22 RGPD prohíbe decisiones basadas únicamente en tratamiento automatizado (sin intervención humana) si producen efectos jurídicos o afectan significativamente derechos. Si tu sistema IA toma decisiones con consecuencias legales (rechazar un crédito, priorizar candidatos, cancelar servicios), debes obtener consentimiento previo y permitir revisión humana. Si es solo un chatbot conversacional, no aplica.
¿Necesito una DPIA (Evaluación de Impacto)?
Una DPIA es obligatoria cuando el tratamiento de datos probablemente entrañe riesgo alto para derechos y libertades. Para sistemas de IA: si procesas datos de salud, realizas perfilado sistemático, o vigilancia a gran escala. Para una clinica dental con chatbot que recibe síntomas de pacientes, una DPIA es muy recomendable. Contiene: descripción del tratamiento, evaluación de riesgos, medidas de mitigación, consideración de derechos.
¿Cuál es el plazo para cumplir EU AI Act?
Plazos clave: (1) Prohibiciones riesgo inaceptable: ya vigentes desde 2 feb 2025. (2) Obligaciones riesgo limitado (Art. 50, transparencia): 2 agosto 2026 (14 meses desde hoy). (3) Obligaciones riesgo alto (gobernanza completa): 2 agosto 2027. (4) Revisión completa de la ley: 2 agosto 2029. Para la mayoría de chatbots PYMEs: deadline agosto 2026.
¿Qué multas hay por incumplimiento?
EU AI Act: multas hasta 35 millones EUR o 7% de facturación global por sistemas prohibidos; 15 millones EUR o 3% por incumplimiento obligaciones. RGPD: hasta 20 millones EUR o 4% facturación por violaciones graves. Para PYMEs: se aplica el menor de los dos valores. En la práctica, las autoridades priorizan infracciones graves (datos masivos comprometidos, discriminación sistemática).
¿Tu empresa necesita auditoría de compliance?
Ofrecemos auditoría gratuita de cumplimiento EU AI Act + RGPD: clasificación de riesgo, checklist customizado y plan de acción.
Referencias y Recursos
Fuentes oficiales: Reglamento (UE) 2024/1689 (DOUE, 12 julio 2024), RGPD (Reglamento 2016/679), LOPDGDD (Ley Orgánica 3/2018).
Guías de interpretación: AEPD (Agencia Española de Protección de Datos), EDPB (European Data Protection Board), AESIA (Autoridad Española de Supervisión de IA, pendiente creación).
Plazos críticos de hoy: Deadline agosto 2026 para chatbots y sistemas riesgo limitado. Recomendamos inicio de auditoría ahora (6-8 meses es período prudente).
