7 cosas que tu empresa deberá demostrar para cumplir con la Ley de IA

La Ley de Inteligencia Artificial de la Unión Europea, conocida como Act AI o Ley de IA de la UE, fue aprobada en julio de 2024, convirtiéndose en la primera ley del mundo que regula el desarrollo y utilización de la IA

El camino fue largo, ya que la propuesta inicial de la Comisión Europea se publicó en abril de 2021, pasando después por un proceso de consulta pública, el estudio por parte de diversas comisiones parlamentarias, análisis del Consejo Europeo…

Este proceso todavía no ha concluido, ya que los países miembros de la UE han de trasponer la ley a su ordenamiento jurídico y aplicar el Reglamento UE 2024/1689, que en nuestro país se desarrollará a través de la Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial, que debería estar listo para el próximo mes de agosto.

Claves de la Ley de IA

Knowmad Mood recuerda que la Ley de IA de la UE “establece un marco normativo sin precedentes que obliga a las empresas, especialmente a aquellas que desarrollan o utilizan sistemas de IA de alto riesgo, a garantizar aspectos como la calidad de los datos, la explicabilidad de los modelos, la supervisión humana, la ciberseguridad o la formación del talento”.

Así pues, identifica siete evidencias clave que las empresas españolas deberán ser capaces de demostrar de forma fehaciente en 2026.

1. Trazabilidad completa del dato

“Las empresas deberán ser capaces de demostrar el origen, la calidad, el linaje y el uso de los datos empleados en el entrenamiento, validación y operación de los sistemas de IA”, detalla. Y dicha trazabilidad se extiende a lo largo de todo el ciclo de vida del dato.

“Esto implica contar con mecanismos que aseguren que los datos son representativos, actualizados y libres de sesgos indebidos, así como con procesos que permitan reconstruir cualquier decisión automatizada a partir de los datos que la hicieran posible”, especifica.

2. Modelos auditables, explicables y documentados

Knowmad Mood subraya que la Ley de IA exige que los modelos de IA no sean ‘cajas negras’.

“Las organizaciones deberán disponer de documentación técnica y funcional que permita entender cómo se han diseñado los modelos, qué variables influyen en sus resultados y bajo qué supuestos operan. Esta auditabilidad será clave tanto para los reguladores como para los propios equipos internos”, recalca.

Asimismo, Cosmomedia recalca que “la primera medida de control que debe incorporar una pyme es el registro de las herramientas IA con las que trabaja”.

“Las empresas deben anotar cada aplicación que emplean, desde asistentes de redacción hasta software de análisis de datos, identificando su finalidad y el nivel de riesgo asociado. Este inventario es la base para la transparencia que pide la Ley”, detalla.

De igual modo, dado que las empresas no suelen generar su propia IA, sino que se valen de terceros o proveedores profesionales, deben recabar de éstos toda la documentación técnica e instrucciones de uso para certificar que cumplen con la normativa. “La Ley establece que el proveedor tiene que facilitar toda la información sobre un uso seguro”, anota.

En caso de incumplimiento, Knowmad Mood recuerda que la Ley de IA contempla multas de hasta 35 millones de euros o el 7% de la facturación global por infracciones graves, como la ausencia de documentación técnica o si no hay suficiente transparencia.

No obstante, Cosmomedia reseña que “en el caso de las pequeñas y medianas empresas, la ley asegura la proporcionalidad para pymes y startups, aplicando siempre la cuantía menor para no comprometer la viabilidad del negocio”.

3. Supervisión humana obligatoria y demostrable

“Uno de los pilares de la AI Act es la supervisión humana efectiva. No basta con que una persona esté ‘en el circuito’. Será necesario demostrar que existen roles definidos, procedimientos claros y capacidad real de intervención, corrección o anulación de decisiones automatizadas cuando se detecten errores o riesgos”, puntualiza Knowmad Mood.

Cosmomedia recuerda que en los usos calificados de ‘Alto riesgo’, la Ley de IA prohíbe automatizar al 100%. “Es decir, que siempre debe existir la supervisión humana”, remarca.

“IA de alto riesgo es aquella vinculada directamente a la selección de personal, por ejemplo, en el cribado de CV y en análisis de rendimiento de trabajadores. También necesitarán revisión humana los usos de calificación crediticia, análisis de solvencia, puntuación educativa o aquellos usos que están directamente vinculados con infraestructuras críticas, como son agua, gas o electricidad”, agrega.

4. Gestión integral y proactiva del riesgo

Knowmad Mood hace hincapié en que las empresas deberán identificar y evaluar de forma continua los riesgos asociados a sus sistemas de IA, incluyendo riesgos técnicos, éticos, legales y reputacionales.

“Esto supone implementar marcos de evaluación que contemplen posibles sesgos, impactos sobre derechos fundamentales y consecuencias no deseadas para clientes, empleados o la sociedad”, precisa.

5. Ciberseguridad específica para IA

En EMPRENEDORES ya hemos hablado alguna ocasión de los posibles riesgos de seguridad a los que se exponen las empresas si no son suficientemente escrupulosas en el uso de la IA.

“La protección de los sistemas de IA frente a ataques, manipulaciones de datos, envenenamiento de modelos o fugas de información será una evidencia crítica”, advierte Knowmad Mood.

“Según Perforce, el 60% de las organizaciones han experimentado brechas de datos o robos en entornos no productivos donde habitualmente se entrena la IA, lo que demuestra la urgencia de robustecer la seguridad de estos sistemas antes de su despliegue productivo. Por ello, la ciberseguridad deja de ser un elemento transversal para convertirse en una capacidad integrada desde el diseño y durante toda la operación de los sistemas inteligentes”, añade.

6. Observabilidad y monitorización continua del modelo.

Knowmad Mood recalca que cumplir con la Ley de IA no concluye con el despliegue de esta tecnología.

“Las organizaciones deberán demostrar que monitorizan de forma continua el rendimiento y el comportamiento de sus modelos en producción, detectando desviaciones, degradaciones o usos fuera de contexto, y actuando de forma preventiva antes de que se materialicen riesgos”, expone.

7. Talento capacitado y recertificación continua

Knowmad Mood recalca que la regulación presta especial atención en la capacitación de las personas.

“Las empresas deberán acreditar que los equipos que desarrollan, operan y supervisan la IA cuentan con la formación adecuada, así como con programas de actualización y recertificación que garanticen competencias alineadas con la evolución tecnológica y normativa”.

“No es suficiente con instalar un software. La plantilla tiene que recibir formación sobre su funcionamiento y los sesgos que pueden conllevar, mostrando las instrucciones para un uso adecuado, que minimice cualquier riesgo incorrecto”, concluye Cosmomedia.