• Made In

Inteligencia artificial en la empresa: cinco reglas básicas para prevenir riesgos legales

  • «Conviene estar seguros de que el propósito que introducimos en la máquina es realmente el propósito que deseamos.»

— Norbert Wiener, The Human Use of Human Beings (1950)

La reciente visita del papa León XIV a España ofrece una ocasión especialmente oportuna para reflexionar de nuevo sobre una cuestión que ya no pertenece al futuro, sino a la gestión cotidiana de cualquier organización: cómo aprovechar la inteligencia artificial sin perder el control humano sobre ella. La IA redacta textos, resume documentos, traduce contenidos, analiza datos, atiende consultas y fundamenta decisiones. Precisamente por ello, la cuestión decisiva no es solo qué puede hacer, sino a qué fines sirve, quién responde de su uso y qué queda del juicio profesional cuando una parte de nuestras tareas se desplaza hacia la máquina.

Desde ópticas muy distintas, la encíclica Magnifica Humanitas, de León XIV, y La república tecnológica, de Alex Karp (director ejecutivo de Palantir) y Nicholas Zamiska, coinciden en una intuición de fondo: la tecnología nunca es moralmente neutra. No basta con admirar su potencia ni con medir su utilidad. Toda técnica encierra una concepción del ser humano, de la libertad, del poder y de la sociedad. La IA puede optimizar procesos, ahorrar tiempo y abrir oportunidades; pero también es capaz de concentrar el poder, condicionar decisiones sensibles, diluir responsabilidades y reducir a las personas a meros datos administrables.

Ahí comienzan las divergencias. La república tecnológica reclama que la innovación abandone la frivolidad, recupere la ambición pública y sirva a fines relevantes: la seguridad, la defensa de las democracias, la competitividad y la fortaleza institucional. Por su parte, Magnifica Humanitas eleva la mirada: no basta con que la tecnología sirva a un propósito firme; ese propósito debe quedar subordinado a la dignidad de la persona, la conciencia, la libertad, la justicia y el bien común. La técnica puede coadyuvar en la decisión, pero no sustituir el juicio moral; puede ordenar la información, pero no asumir la responsabilidad.

Esta tensión resulta especialmente útil para la empresa. No se trata de elegir entre el entusiasmo tecnológico y el rechazo defensivo, ni de convertir cada uso de la IA en un expediente jurídico complejo. Se trata de emplearla con criterio: saber dónde se utiliza, qué datos maneja, qué riesgos genera, quién responde de sus resultados y qué decisiones deben permanecer bajo supervisión humana.

Desde la perspectiva de Elkargi, habituada a acompañar a las empresas en la adopción de decisiones prudentes, viables y jurídicamente seguras, la conclusión es nítida: usar la IA, sí; pero con una finalidad legítima, datos protegidos, reglas internas, transparencia y una revisión humana efectiva. Bajo esta premisa, integramos en nuestra actividad y ofrecemos formación en inteligencia artificial aplicada a la gestión empresarial, no como fruto de una fascinación tecnológica, sino con el propósito de contribuir a la mejora de la gestión y a la prevención de riesgos en nuestras empresas.

El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial no prohíbe su uso empresarial. Al contrario, parte de la premisa de que puede favorecer la innovación y la competitividad. No obstante, exige control, transparencia y atención al riesgo. Además, adopta un enfoque gradual: distingue entre prácticas prohibidas, sistemas de alto riesgo, obligaciones de transparencia y otros usos de menor riesgo.

Para una pyme, el reto no consiste en erigir una estructura burocrática compleja, sino en adoptar unas reglas internas mínimas. En 2026, emplear la IA de forma improvisada empieza a considerarse una mala práctica empresarial. Conviene tratarla como una herramienta de gestión que requiere responsables, criterios de uso y controles proporcionados. A continuación, se exponen cinco reglas básicas para utilizar la IA para prevenir riesgos legales:

Inventariar los usos de la IA

La primera regla consiste en conocer con precisión en qué ámbitos se está utilizando la inteligencia artificial dentro de la organización. No se puede controlar lo que se ignora. La pyme debería identificar qué herramientas de IA se emplean, quién las utiliza, con qué finalidad y qué tipo de información procesan. No es lo mismo valerse de la IA para mejorar la redacción de un correo comercial que emplearla para analizar datos de clientes, seleccionar candidatos, valorar riesgos o fundamentar decisiones con efectos relevantes sobre las personas. Un inventario sencillo permite deslindar los usos ordinarios de los sensibles. Asimismo, ayuda a detectar aplicaciones utilizadas sin autorización, sin garantías contractuales o mediante la introducción de información que no debería salir del entorno controlado de la empresa. Para ello, puede bastar una tabla interna que identifique la herramienta, el departamento, la finalidad, la clase de datos tratados, el proveedor, el responsable interno y la valoración inicial del riesgo.

Clasificar los usos según su riesgo

El Reglamento europeo de IA se fundamenta en un enfoque de riesgo. No todos los usos tienen la misma trascendencia jurídica. En una pyme, muchas aplicaciones serán de bajo riesgo: el apoyo en la redacción, la organización interna, las traducciones, la generación de ideas o el auxilio administrativo. Sin embargo, otras pueden resultar especialmente delicadas: los recursos humanos, la evaluación de los trabajadores, la selección de personal, el perfilado de clientes, la concesión de créditos, el acceso a servicios, la seguridad o cualquier decisión que pueda afectar significativamente a una persona física. Cuando la IA se aplica en ámbitos sensibles, no basta con confiar ciegamente en la herramienta. Deben revisarse su finalidad, los datos utilizados, la intervención humana, las garantías del proveedor y la posibilidad de explicar o auditar el resultado. En particular, conviene prestarse atención a los usos que puedan encuadrarse en el anexo III del Reglamento —como determinados sistemas aplicados al empleo, la gestión de trabajadores, el acceso a servicios esenciales, la solvencia crediticia o la evaluación de riesgos—, puesto que pueden quedar sometidos al riguroso régimen de los sistemas de alto riesgo. Esta clasificación debe documentarse, aunque sea de forma somera. Dejar constancia de los motivos por los cuales un uso se considera ordinario, sensible o potencialmente de alto riesgo facilita la revisión posterior y acredita una actuación de buena fe y debida diligencia.

Proteger los datos y la información confidencial

La tercera regla consiste en evitar que la IA se convierta en una vía informal de fuga de información sensible. La empresa debería prohibir —salvo autorización expresa y mediante una herramienta validada— la introducción en sistemas externos de IA de datos personales innecesarios, contratos, información confidencial de clientes, secretos empresariales, estrategias comerciales, expedientes internos o documentación protegida por deberes legales de reserva. Esta norma es especialmente perentoria cuando se utilizan herramientas gratuitas o cuentas personales. La facilidad de uso no debe eclipsar el riesgo: copiar y pegar información interna en una aplicación externa puede generar graves problemas de confidencialidad, protección de datos, propiedad intelectual y cumplimiento contractual. Antes de autorizar una herramienta, la empresa debería verificar, al menos, quién es el proveedor, dónde se tratan o almacenan los datos, si la información introducida puede emplearse para el entrenamiento de modelos, qué condiciones contractuales se aplican y si existen garantías adecuadas de seguridad y protección de datos. Una regla práctica consiste en trabajar, siempre que sea posible, con datos anonimizados, seudonimizados o minimizados. Si la IA no requiere nombres, identificadores, contratos íntegros o información estratégica para ejecutar su tarea, tales datos no deben ser introducidos.

Formar a los usuarios de la IA

El artículo 4 del Reglamento (UE) 2024/1689 introduce la obligación de alfabetización en materia de IA. En términos prácticos, la empresa debe procurar que quienes utilicen estos sistemas posean un conocimiento suficiente de sus posibilidades, límites y riesgos. Para una pyme, esto no exige grandes programas formativos. Puede bastar con una instrucción breve, clara y adaptada al uso real de la empresa: qué herramientas pueden utilizarse, qué información no debe introducirse, cuándo debe revisarse el resultado, qué usos están prohibidos y en qué casos debe consultarse a un responsable interno. La IA es una herramienta sumamente útil, pero también puede generar respuestas incorrectas, incompletas, sesgadas o aparentemente convincentes pero falsas. Por ello, la formación debe insistir en una premisa fundamental: la IA asiste, pero no sustituye el criterio profesional. También debería explicarse que los resultados generados por estos sistemas pueden infringir derechos de terceros, reproducir errores, incorporar sesgos o presentar como cierto un contenido inexistente. Por consiguiente, el usuario debe fiscalizar el resultado antes de remitirlo a clientes, trabajadores, proveedores o administraciones públicas. Desde una perspectiva organizativa, es recomendable conservar evidencias mínimas de dicha alfabetización: la fecha de la sesión, los materiales empleados, la relación de asistentes y las reglas internas comunicadas.

Garantizar la transparencia y el control humano

La quinta regla consiste en mantener la transparencia frente a terceros y salvaguardar el control humano sobre las decisiones relevantes. El artículo 50 del Reglamento establece obligaciones de transparencia para determinados sistemas de IA. Por ejemplo, cuando una persona interactúa directamente con un sistema de IA, como un asistente virtual (chatbot), debe ser advertida de ello, a menos que resulte evidente por el contexto. Asimismo, pueden existir obligaciones de información cuando se generen o manipulen artificialmente determinados contenidos. Además, si la IA se utiliza como apoyo para adoptar decisiones relevantes, debe existir una revisión humana efectiva. El artículo 26 del Reglamento, referido a los sistemas de alto riesgo, subraya la importancia de que quienes desplieguen estos sistemas adopten medidas técnicas y organizativas adecuadas, y encomienden la supervisión humana a personas que gocen de la competencia, formación y autoridad suficientes. Esta directriz resulta sumamente útil incluso fuera de los casos de alto riesgo: ninguna pyme debería adoptar decisiones de trascendencia sobre clientes, trabajadores o terceros basándose de manera exclusiva en una respuesta automatizada por la IA, sin la debida revisión humana. La transparencia no exige desvelar todos los pormenores técnicos del modelo, pero sí informar de forma comprensible cuando el usuario interactúa con una IA o cuando un contenido ha sido generado o manipulado artificialmente en los supuestos previstos por la norma. El control humano debe ser real y no meramente formal. La persona encargada de fiscalizar el resultado debe ser capaz de comprenderlo, cuestionarlo, corregirlo y, en su caso, desestimarlo.

Conclusión

La IA puede ayudar a una pyme a trabajar mejor, optimizar el tiempo y simplificar tareas. Sin embargo, no es aconsejable emplearla de forma improvisada. Para proceder correctamente, basta con articular cinco medidas básicas: saber dónde se utiliza, evaluar sus posibles riesgos, proteger los datos y la información confidencial, formar a quienes la manejan y preservar siempre la transparencia y el control humano. La ventaja competitiva no radicará únicamente en el uso de la IA, sino en su correcta aplicación, guiada por el criterio empresarial, la responsabilidad corporativa y la prudencia jurídica.

La moraleja es clara: la tecnología puede servir a fines de gran calado, pero no debe gobernarse solo por su potencia ni por su utilidad inmediata. La IA no debe suplantar la inteligencia, la conciencia ni la libertad humanas, sino contribuir a su servicio; un mandato que exige erigir las disposiciones de Magnifica Humanitas en una carta magna universal reguladora de la inteligencia artificial.

Joaquín Maza Erauskin
Abogado y Director de los Servicios Jurídicos de Elkargi

Comparte la noticia:

También te puede interesar

Descubre contenido relacionado y mantente al tanto de las últimas novedades. Te compartimos algunas noticias seleccionadas especialmente para ti.

¡Llámanos al 943 30 90 60!

¡Llámanos al 679 63 25 11!

Para acceder a la descarga de este documento, por favor, rellena el formulario.

"*" señala los campos obligatorios

Este campo es un campo de validación y debe quedar sin cambios.
Nombre y apellidos*
elkargi