Análisis jurídico tras el Reglamento de Inteligencia Artificial (AI Act)

Análisis jurídico tras el Reglamento de Inteligencia Artificial (AI Act)

La adopción del Reglamento (UE) 2024/1689 (AI Act) reconfigura la responsabilidad asociada a la inteligencia artificial en la UE. En adelante, no bastará con invocar “buenas prácticas” o “uso ético”: será esencial acreditar, con trazabilidad y evidencia, que el sistema ha sido concebido, comercializado y utilizado conforme a un esquema de diligencia debida, gobernanza y gestión del riesgo.

En cuanto a su calendario, el AI Act prevé su entrada en vigor a los veinte días de su publicación en el DOUE y fija su aplicación general desde el 2 de agosto de 2026, con obligaciones escalonadas que se anticipan en 2025. Por ello, el periodo 2025-2026 opera como fase de transición hacia un cumplimiento cada vez más exigible.

En este marco, destacan tres vectores que ya se están consolidando:

1. La imputación de deberes según el rol en la cadena de valor.
2. La progresiva asegurabilidad del riesgo por la estandarización de controles.
3. La evaluación ex ante como umbral jurídico de salida al mercado.

Atribución de responsabilidades: el “buen uso” como deber de diligencia

El AI Act parte de una idea central: la responsabilidad se organiza por roles y control dentro de la cadena de valor, no solo por el daño final. El Reglamento impone obligaciones a proveedores, desplegadores (usuarios profesionales), importadores, distribuidores y otros operadores, incluso si están fuera de la UE cuando el sistema se comercializa o utiliza en la Unión.

El “buen uso” se concreta jurídicamente en dos planos de diligencia:

1. Por un lado, el proveedor debe poner en el mercado un sistema con salvaguardas adecuadas a su perfil de riesgo.
2. Por otro, el desplegador define el contexto de uso y debe evitar usos desviados, garantizar la supervisión humana y respetar las condiciones e instrucciones, especialmente en ámbitos sensibles.

En sistemas de alto riesgo, la exigencia se intensifica: el AI Act impone un sistema de gestión de riesgos continuo durante todo el ciclo de vida. En la práctica, esto desplaza el foco hacia lo probatorio: será determinante poder demostrar qué riesgos se identificaron, cómo se evaluaron, qué medidas se adoptaron y cómo se revisaron ante cambios del sistema o del contexto de uso.

Además, para ciertos despliegues de alto riesgo, se prevé la Evaluación de Impacto en Derechos Fundamentales (FRIA) previa al uso, especialmente en sector público y en determinadas entidades privadas que prestan servicios públicos. La FRIA obliga a describir el uso previsto, colectivos afectados, riesgos para derechos fundamentales, medidas de supervisión humana y mitigación. Su ausencia o formalismo puede agravar el riesgo regulatorio y civil.

El AI Act, además, no sustituye otros marcos: se mantiene la aplicación del RGPD, la normativa de privacidad y otros regímenes (consumo, contractual, responsabilidad por producto), lo que hace frecuente una responsabilidad “multifrente”.

El riesgo asegurador: de la incertidumbre a la auditabilidad

El mercado asegurador está reconfigurando coberturas porque el riesgo asociado a la IA rara vez es estrictamente técnico. Habitualmente se manifiesta como riesgo compuesto: daños a terceros, incumplimientos contractuales, fallos de seguridad, reclamaciones por discriminación o por decisiones automatizadas y, en sectores regulados, exposición a medidas correctivas o sancionadoras.

En este punto, el AI Act genera un efecto indirecto, pero decisivo: introduce un estándar normativo que facilita la auditabilidad del riesgo y, por ende, su asegurabilidad, siempre que la organización pueda demostrar gobernanza y controles. En línea con ello, EIOPA ha impulsado criterios para integrar la IA en marcos existentes de control interno y gestión del riesgo en el sector asegurador.

De forma paralela, la Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos amplía el concepto de “producto” para abarcar, entre otros, el software, reforzando la exposición a responsabilidad objetiva en determinados escenarios. Por consiguiente, adquiere mayor importancia una estrategia coherente que articule cumplimiento técnico, diseño contractual y gestión aseguradora.

Evaluación ex ante y ciclo de vida: el nuevo umbral de salida al mercado

Desde una óptica empresarial, el cambio más relevante es que la puesta en el mercado deja de ser un hito puramente tecnológico para convertirse en un umbral jurídico de diligencia. Para sistemas de alto riesgo, la exigencia mínima se articula en torno al risk management system: un proceso continuo, documentado y actualizable que permita identificar y mitigar riesgos, con revisión periódica.

Cuando resulta exigible, la FRIA actúa como pieza de conexión entre el sistema y los derechos fundamentales en el caso concreto. Y, en entornos donde intervienen datos personales, la coherencia con RGPD resulta imprescindible: un proyecto puede estar razonablemente alineado con el AI Act y, sin embargo, incurrir en incumplimientos por déficits en base jurídica, transparencia, minimización o ejercicio de derechos.

Por último, el cumplimiento no se agota con el lanzamiento. La lógica del AI Act impone un enfoque de ciclo de vida: monitorización, detección de desviaciones, revisión ante cambios significativos y capacidad de reacción ante incidentes. En definitiva, ese enfoque será el que, en la práctica, distinga proyectos meramente “pilotables” de proyectos realmente “escalables” en un entorno regulatorio crecientemente exigente.