10 recomendaciones prácticas para adaptar tu empresa al nuevo marco regulatorio sobre IA

Para adaptarse con éxito al nuevo marco regulatorio, las empresas deben tomar medidas proactivas y, aunque el cumplimiento legal pueda parecer complejo en un principio, existen una serie de pasos eficaces que pueden aplicarse de forma gradual para garantizar el uso responsable y seguro de estas tecnologías:

1.     Identificar las herramientas de IA utilizadas

El primer paso para adaptarse al nuevo marco regulatorio es hacer un inventario de todas las soluciones tecnológicas que incorporan inteligencia artificial en la empresa, incluyendo cualquier tipo de software o herramienta digital que tome decisiones sin intervención humana directa. Este primer paso, permitirá conocer qué tipo de inteligencias artificiales se están utilizando y evaluar así mejor el nivel de riesgo y responsabilidad.

2.     Clasificar los riesgos según el AI Act

Una vez identificadas las herramientas de IA, se debe evaluar en qué nivel de riesgo encaja cada una de ellas según el AI Act, englobándolas dentro de cada uno de los cuatro niveles identificados en la norma: mínimo, limitado, alto o inaceptable. Esto determinará las obligaciones legales a cumplir y facilitará la toma de medidas de forma proactiva para evitar infracciones.

3.     Revisar contratos con proveedores tecnológicos

Cuando se utilicen soluciones de IA desarrolladas por terceros, es esencial revisar los contratos y acuerdos de servicio, asegurándose de que los proveedores cumplen con las obligaciones del AI Act y de que proporcionen toda la documentación y garantías necesarias. Esta medida es especialmente relevante en los casos en los que la empresa es la usuaria final, pero el sistema lo opera o lo entrena un proveedor externo.

4.     Exigir garantías de cumplimiento normativo

Antes de implementar cualquier herramienta de IA, desarrollada de forma interna o externa, se debe solicitar a los proveedores o desarrolladores las consecuentes certificaciones, informes de evaluación de riesgos o cualquier prueba de que su tecnología cumple con la normativa europea.

5.     Informar a usuarios y empleados del uso de la IA

La transparencia es uno de los pilares claves del AI Act por lo que, siempre que una persona interactúe con un sistema de IA de la organización, se le debe informar claramente de que está tratando con una inteligencia artificial, aplicando por igual tanto a clientes como a empleados u cualquier otro agente usuario del sistema.

6.     Documentar decisiones y asegurar la trazabilidad

Siempre se debe poder justificar las decisiones tomadas por los sistemas de IA, pero especialmente si se utilizan para ejecutar procesos importantes o actividades clasificadas como de alto riesgo (como, por ejemplo, otorgar préstamos, clasificar candidatos o evaluar riesgos, entre otros). La organización debe, por tanto, ser capaz de explicar cómo y por qué el sistema inteligente toma dichas decisiones. Para ello, es imprescindible mantener registros claros de cómo funciona la IA, en qué datos se basa y cómo se supervisan sus resultados. Toda esta documentación debe estar lista para facilitarse en procesos de auditoría o en caso de reclamaciones.

7.     Formar al equipo técnico y legal

Hay que tener presente que la adaptación a esta regulación no va a tener un carácter meramente técnico, si no también organizativo. Por lo tanto, es crucial establecer programas de formación del equipo en los conceptos clave del AI Act y la normativa española, así como conocer los fundamentos de IA ética y responsable para aplicarlos en el día a día. Esta formación será especialmente prioritaria entre los departamentos legales y de recursos humanos, pero debe hacerse extensible a toda la organización para facilitar una aplicación de la norma bien coordinada.

8.     Participar en formaciones, guías y Sandbox

Las agencias de supervisión europea y estatal están empezando a poner en marcha iniciativas de divulgación de la norma, cursos gratuitos y fondos destinados a la aplicación de la norma. Por lo tanto, es recomendable estar al tanto de ellos y buscar posibles oportunidades de participación en los entornos de prueba (Sandbox). Participar en estos recursos puede ser de ayuda para adquirir conocimiento más rápidamente y adaptarse a la norma con menor impacto en los costes.

9.     Adaptación gradual (2024–2026)

Dado que el AI Act tiene planteado un despliegue progresivo: primero se prohíben ciertos usos (2025), después se aplica a sistemas de propósito general (finales de 2025) y más adelante a sistemas de alto riesgo (2026), se debe aprovechar este margen de tiempo para adaptar los procesos poco a poco, aunque sin esperar al último momento, con el objetivo de estar plenamente adaptados a la norma para inicios de 2027.

10.  Aprovechar el cumplimiento como ventaja competitiva

Como ocurre en todo proceso de gestión del cambio, adaptarse no solo va a servir para evitar efectos disruptivos y sanciones si no que también debe contemplarse como una oportunidad. En este caso, para convertir a la organización en un referente de IA responsable o generar confianza y fidelidad entre clientes, empleados y socios a partir de una cultura basada en la ética y la seguridad. Esta estrategia puede servir para crear un valor diferencial frente a otros competidores que no logren adaptarse a la norma con la misma precisión o eficacia. Además, abre la puerta a certificaciones que pueden mejorar la reputación de la empresa y facilitar la entrada a nuevos mercados.