Que la IA se mueve muy rápido, nadie lo pone en duda. Estamos en un momento de crecimiento exponencial de la capacidad, duplicándose cada 100 días, lo que en sí es una barbaridad si se mantiene a medio plazo: en 3 años (1000 días) estamos hablando de 1024 veces la capacidad actual. A algunos nos asombra, a otros nos asusta, pero a nadie deja indiferente porque nos va a afectar. Qué significa el tener 1000 veces la potencia actual, qué significa que una parte de esa capacidad pueda ser autónoma o Edge (en sistemas parcial o totalmente desconectados) y qué significa en términos de riesgo.
La IA lo puede cambiar todo. Hacer un negocio rentable, hacer que ciertos negocios tengan sentido, transformar la experiencia de clientes o proveedores, cambiar la forma en que decidimos y lo que decidimos. Es en el aspiracional de muchas organizaciones una lámpara de Aladino que puede satisfacer deseos que no sabíamos ni que podíamos formular. Pero hay que entender qué significa adoptar la IA y qué debemos tener en cuenta. Nos vamos a enfocar concretamente en la parte legal.
Hay diferentes estilos de abordar este escenario. Buscando regularlo, por si acaso o buscando acelerarlo y plantear reacciones rápidas si algo se tuerce. El primero responde más a la visión europea, garantista; el segundo más al libre capitalismo americano. Habrá quien apuntará que hay una tercera dimensión en la línea china de gobernar la desregulación, pero es más difícil de replicar: cultural y económicamente el modelo chino es más difícil de encajar en otros países por filosofía y volumen (y régimen político).
Así que permítanme que nos centremos en el ámbito europeo (que nos toca de cerca). Por hacer un poco de resumen:
- Con la digitalización y el tratamiento masivo de datos llegó GDPR europea y la posterior adaptación a la legislación española con LOPDGDD (digna evolución de la mítica LOPD) que ya lleva unos años en activo.
- El buque insignia de la regulación de la IA, la denominada AI Act de la Unión Europea, en ciernes de aplicarse con toda su intensidad en 2026
Sectorialmente determinadas normativas (MiFiD II, PSD2 – PSD3, DORA, …) impactan de forma directa e indirecta también en algunos casos de uso por lo que vamos sumando normativa. No es exhaustivo, pero hay mucha normativa que entender, asumir, aplicar y cumplir a nivel empresarial.
Si bien empresas grandes tienen perfiles bien formados, especializados y consultoría externa que les mantiene al día de las necesidades regulatorias y cumplimiento, cuando bajamos a mediana y pequeña empresa (y todo el tejido de autónomos) esto decae notablemente. El cumplimiento sistemático pasa a ser un cumplimiento por ciclos (cuando toca auditar, reviso y ajusto) y por tanto en un compliance más reactivo.
Sin entrar en el debate de si estar regulando por adelantado es mejor o peor que regular a posteriori, como organización hemos de cumplir con la legislación, no queda otra. Así que centrémonos en los aspectos clave que hemos de tener en cuenta.
Si no hay IA, no hay negocio
Y en breve podremos decir que sin IA no hay negocio, pero esto va a matizarse mucho por sectores, actividades y tamaños de empresa. Partimos siempre de una aplicación que desde la actividad de la compañía nos deje un impacto deseable (sea cualitativo o cuantitativo) que podamos definir y medir con KPIs (aplicad criterios SMART ante la duda) antes y después para saber si lo que preveemos se ajusta o no luego a la realidad. Si el uso que queremos darle a la IA no pasa el cribaje del negocio, no seguimos. De tecnología “chula” que no impacta tenemos la vitrina llena.
Diseñar pensando en cumplir
Tenemos múltiples opciones para diseñar cómo puede ser la solución que queremos aplicar al negocio. Algunas se basan en productos, otras en tecnología más a medida, … Hay dos cribajes clave que tenemos que aplicar: diseño basado en el cumplimiento normativo y modelo de propiedad. El primero pasa por establecer criterio sobre el tratamiento, uso, estructura, clasificación de esa IA que vamos a aplicar. Hay que diseñar teniendo en cuenta lo que hemos de cumplir, cómo lo vamos a supervisar y gobernar y cómo vamos a dar fé delante de terceros (clientes y administración pública) del cumplimiento normativo. Incluirlo ya en ese momento es clave para no construir castillos de naipes y quemar recursos. Si estamos haciendo una interpretación de la ley, ojo, estamos al límite y asumamos que es una inversión de alto riesgo pues la jurisprudencia le puede dar la vuelta en cualquier momento. El segundo, el financiero, nos ha de indicar en qué modalidad CAPEX u OPEX nos interesa integrar la iniciativa. Si la expectativa no encaja con la visión de financiación interna acorde, pues no empezamos. Tal vez en unos meses pueda cambiar la visión técnica o la visión interna, pero sale de la lista de iniciativas a corto plazo.
Construye pensando en documentar y validar
El proceso de desarrollo ha de contemplar un ejercicio sistemático de recoger información de los acuerdos de proveedor (plataformas, herramientas) y de los procesos internos que se usan para facilitar la trazabilidad de las soluciones y la justificación. Toca leer mucha letra pequeña y asumir que lo que usemos estamos asumiendo nosotros la responsabilidad de asegurar que también cumple con la normativa. Proveedores, suscripciones y políticas internas han de asegurar que en la hoja de ruta se mantiene el pulso que el diseño marcó. Y por más confianza que tengamos, validemos y contrastemos todas las piezas que incluimos. Además, hemos de establecer mecanismos para que cuando una de estas piezas cambie alguno de sus acuerdos (es bastante habitual que vayan novando sus condiciones particulares las soluciones PaaS y SaaS sobre todo cuando han tenido algún litigio o cambio normativo). Hemos de tener la capacidad de detectarlo y evaluar cómo nos impacta. Salir bien en la foto el día 1 no quiere decir que en cualquier momento esto pueda cambiar.
Gobierna el resultado
Es beneficioso para todos el supervisar el uso que se hace de la IA y si estamos cumpliendo con ese uso previsto. Es más habitual de lo que parece que cuando algo funciona muy bien y es un funcionalmente amplio (como un GPT) los usuarios empiecen a aportar y explorar casos de uso que no están estrictamente validados. Aportar datos personales, de negocio, confidenciales, … hasta la radiografía del hombro para ver qué dice …. Por muchos “guardarraíles” (argot que se utiliza en la IA para establecer las restricciones que se prevén para delimitar la intención de uso) hay que monitorizar y ajustar.
En resumen, la IA es una palanca transformadora de los negocios que va mucho más allá de las mejoras operativas. Integrarla adecuadamente, definiéndola ya desde el inicio con las necesidades de cumplimiento y justificación durante todo su ciclo de vida, dotándonos de un modelo de gobierno que garantice su gestión adecuada y los impactos de evolución tanto tecnológico como normativo, nos permite desarrollar todo el potencial y no asumir deudas tecnológicas y legales que deshagan el valor creado.
