Cumplimiento normativo de la Ley de Inteligencia Artificial de la UE (AI Act)
IA20261
ÍNDICE
Módulo 5. Obligaciones de los usuarios 5.1. Proveedores, usuarios, importadores y distribuidores 5.2. Responsabilidades legales 5.3. Evaluación de conformidad 5.4. Marcado CE en sistemas de IA
OBJETIVOS
Objetivo general Adquirir conocimientos fundamentales sobre la Inteligencia Artificial, su funcionamiento, aplicaciones, riesgos y marco normativo en la Unión Europea, con especial énfasis en el cumplimiento del AI Act, la gestión del riesgo y la aplicación ética y responsable de los sistemas de IA en distintos ámbitos, incluyendo el sector público. Objetivos específcios 1. Comprender los fundamentos de la Inteligencia Artificial, incluyendo sus conceptos básicos, tipos de aprendizaje, tecnologías y la relación entre datos e IA. 2. Analizar el marco jurídico del AI Act, identificando su estructura, principios, ámbito de aplicación y su relación con otras normativas europeas como el RGPD. 3. Identificar y clasificar los sistemas de IA según su nivel de riesgo, diferenciando entre sistemas prohibidos, de alto riesgo, limitado y mínimo, mediante ejemplos prácticos. 4. Conocer los requisitos y obligaciones legales asociados a los sistemas de IA, especialmente en lo relativo a sistemas de alto riesgo, evaluación de conformidad y responsabilidades de los distintos actores. 5. Aplicar principios de ética, transparencia y gestión del riesgo en IA, desarrollando capacidades para implantar medidas de cumplimiento, prevenir sesgos y garantizar un uso responsable y confiable de la tecnología.
MÓDULO 5. OBLIGACIONES DE LOS USUARIOS Y LA CADENA DE VALOR
En el mundo de la Inteligencia Artificial, el riesgo legal no se reparte a partes iguales. La Ley de IA de la UE (EU AI Act) se basa en un principio fundamental de protección al consumidor: la responsabilidad recae sobre quien tiene el control del sistema. Sin embargo, un mismo algoritmo puede ser programado en Estados Unidos, empaquetado por un mayorista en Alemania y utilizado por un hospital en España. ¿De quién es la culpa si falla? En este módulo desgranaremos la cadena de valor de la IA, aprenderemos a identificar nuestro rol exacto (Proveedor, Implantador, Importador o Distribuidor) y descubriremos los procesos formales, como la Evaluación de Conformidad y el Marcado CE, que actúan como pasaporte legal para que la tecnología opere en Europa.
MÓDULO 5. OBLIGACIONES DE LOS USUARIOS Y LA CADENA DE VALOR
Módulo 5. Obligaciones de los usuarios y la cadena de valor
5.1. Proveedores, usuarios, importadores y distribuidores
El error más común en la gobernanza corporativa es que una empresa asuma que, por el simple hecho de haber comprado una licencia de IA, toda la responsabilidad legal es del fabricante. El EU AI Act distribuye las obligaciones a lo largo de lo que llama la "Cadena de Valor de la IA". Nota terminológica clave para el AIGP: Aunque coloquialmente hablemos de "usuarios", la ley europea evita este término para no confundirlo con el ciudadano de a pie (el consumidor final afectado por la IA). En su lugar, la ley utiliza el término Implantador o Responsable del despliegue (Deployer en inglés) para referirse a la empresa que utiliza la herramienta. Identificar qué "sombrero" llevas puesto es el paso 1 en cualquier auditoría de cumplimiento.
Módulo 5. Obligaciones de los usuarios y la cadena de valor
El Importador: es la entidad establecida en la Unión Europea que introduce en el mercado un sistema de IA que pertenece a un Proveedor de fuera de la UE. Obligación principal: Asegurarse de que el Proveedor extranjero ha hecho los deberes (Evaluación de conformidad, documentación) y poner su propio nombre y datos de contacto en el producto.
Su carga legal: aunque no construyeron el sistema, son los responsables de cómo impacta en el mundo real. Sus obligaciones principales son:
- Usar el sistema estrictamente de acuerdo con las instrucciones de uso proporcionadas por el Proveedor.
- Garantizar que la supervisión humana es real y la ejerce personal capacitado.
- Mantener y proteger los registros generados automáticamente (logs) por el sistema (trazabilidad).
- Suspender el uso del sistema e informar al Proveedor si detectan que la IA está generando un riesgo imprevisto.
Es el creador. Se define como la persona física o jurídica que desarrolla un sistema de IA (o que encarga su desarrollo) y lo comercializa o pone en servicio bajo su propio nombre o marca.
La ley europea no permite lagunas internacionales. Si una empresa de Silicon Valley o Shenzhen crea una IA, alguien tiene que responder por ella en Europa.
Este es el artículo más peligroso para las empresas y una pregunta fija en cualquier certificación de Gobernanza. Un Implantador, Importador o Distribuidor pasará a ser considerado automáticamente proveedor (asumiendo toda la carga legal y responsabilidad por multas) si hace alguna de estas tres cosas:
Es la empresa o entidad pública que utiliza el sistema de IA bajo su propia autoridad en el marco de su actividad profesional (no aplica al uso personal/doméstico).
El proveedor (provider)
- Pone su propio nombre o marca en un sistema de IA de Alto Riesgo que ya existía.
- Modifica el propósito previsto del sistema (ej. compras una IA diseñada para clasificar correos de clientes y la reprogramas para evaluar el desempeño de tus empleados).
- Realiza una modificación sustancial en el sistema de IA (ej. modificar los pesos matemáticos del algoritmo o reentrenarlo con una base de datos propia que altere su comportamiento).
El "efecto bumerán" (Artículo 25)
El importador y el distribuidor (Los guardianes del mercado)
Su carga legal: es la más pesada. El proveedor de un sistema de Alto Riesgo asume casi todas las obligaciones que vimos en el Módulo 4: debe garantizar la calidad de los datos, redactar la documentación técnica (Art. 11), diseñar la supervisión humana, someter el sistema a una Evaluación de Conformidad y estampar el Marcado CE antes de venderlo.
El Distribuidor: es cualquier intermediario en la cadena de suministro (como una tienda de software de terceros) que comercializa la IA. Obligación principal: Verificar que el sistema lleva el Marcado CE y viene con sus instrucciones.
El implantador o usuario profesional (deployer)
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Actividad práctica
Módulo 5. Obligaciones de los usuarios y la cadena de valor
5.2. Responsabilidades legales y régimen sancionador
En la gobernanza de la IA, la responsabilidad legal (liability) no se puede transferir por completo mediante un contrato. Si una empresa despliega un sistema de IA que discrimina a sus clientes o causa un accidente, no bastará con echarle la culpa al desarrollador del software. La ley de inteligencia artificial de la UE introduce uno de los regímenes sancionadores más duros del mundo tecnológico, superando incluso las famosas multas del reglamento general de protección de datos (RGPD). Como profesionales de la gobernanza, conocer este esquema de sanciones es nuestra mejor herramienta para justificar presupuestos de cumplimiento ante la dirección.
Módulo 5. Obligaciones de los usuarios y la cadena de valor
El régimen sancionador: las tres escalas de multas (Art. 99) El EU AI Act castiga el incumplimiento basándose en la gravedad de la infracción, utilizando un modelo de "el importe que resulte mayor" (una cantidad fija o un porcentaje de la facturación global anual de la empresa en el ejercicio fiscal anterior):
Desarrollar o usar sistemas de IA de riesgo inaceptable (ej. manipulación subliminal, puntuación social, reconocimiento facial indiscriminado).
Motivo
Escala 1: infracciones muy graves (prácticas prohibidas)
Hasta 35 millones de euros o el 7 % del volumen de negocios total anual a nivel mundial.
Multa
10
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Incumplir las obligaciones de los sistemas de Alto Riesgo (ej. no tener documentación técnica, falta de gobernanza de datos, ausencia de Marcado CE o falta de supervisión humana).
Motivo
Escala 2: infracciones graves (requisitos de alto riesgo)
Hasta 15 millones de euros o el 3 % del volumen de negocios total a nivel mundial.
Multa
11
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Proporcionar información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades nacionales.
Motivo
Escala 3: infracciones administrativas
Hasta 7,5 millones de euros o el 1,5 % del volumen de negocios total a nivel mundial.
Multa
12
Módulo 5. Obligaciones de los usuarios y la cadena de valor
La responsabilidad directa del implantador (deployer liability) ¿Qué pasa si el proveedor hizo un sistema perfecto (con su marcado CE y sus instrucciones), pero el problema ocurre durante su uso en la empresa? El Implantador asume responsabilidades legales directas si:
Ignora las instrucciones: usa el sistema fuera de su "propósito previsto" (ej. usar un software de análisis de voz de atención al cliente para diagnosticar estrés laboral en los empleados).
Falla en la vigilancia: no suspende el sistema cuando detecta que está generando resultados discriminatorios o peligrosos, y no lo notifica al proveedor y a las autoridades.
Sesgo de automatización: si un humano aprueba ciegamente una decisión errónea de la IA que causa un perjuicio, la empresa usuaria (implantador) asume la responsabilidad civil frente a la víctima.
13
Módulo 5. Obligaciones de los usuarios y la cadena de valor
La evaluación de impacto sobre los derechos fundamentales (FRIA - Art. 27) Esta es una obligación legal crítica exclusiva para ciertos Implantadores (especialmente administraciones públicas y entidades privadas en sectores como banca o seguros). Antes de desplegar un sistema de Alto Riesgo que evalúe a personas, están obligados a realizar y documentar una evaluación de impacto sobre los derechos fundamentales (FRIA, por sus siglas en inglés).
- Deben detallar a qué grupos de personas afectará, qué riesgos específicos existen para sus derechos (ej. derecho a la no discriminación o a un juicio justo) y qué medidas humanas se han puesto para mitigarlos.
Actividdad práctica
14
Módulo 5. Obligaciones de los usuarios y la cadena de valor
5.3. Evaluación de conformidad
Sabemos qué normas hay que cumplir y qué pasa si las incumplimos. Pero la ley no se basa en la confianza ciega; exige pruebas. Antes de que un sistema de IA de Alto Riesgo pueda usarse o venderse en la Unión Europea, debe someterse a una evaluación de conformidad (conformity assessment). Piensa en esto como la "ITV" (inspección técnica de vehículos) de los algoritmos: un proceso formal y auditable para demostrar de forma irrefutable que el sistema cumple con todos los requisitos de gobernanza de datos, transparencia, ciberseguridad y supervisión humana.
¿Qué es la evaluación de conformidad?
15
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Los dos caminos de evaluación (Artículo 43) No todos los sistemas de Alto Riesgo se examinan igual. Dependiendo del tipo de sistema y de las normativas existentes, la ley establece dos vías principales:
Vía A: evaluación de control interno (autoevaluación)
¿En qué consiste?
¿Cuándo se usa?
La propia empresa desarrolladora (el proveedor) realiza la auditoría internamente, asegurándose de que cumple con el Anexo IV (documentación técnica) y aplica un sistema de gestión de calidad.
Es el camino preferido y más rápido. Se permite para muchos sistemas de Alto Riesgo (como IA para RRHH o educación) siempre y cuando la empresa haya aplicado estrictamente las "normas armonizadas" europeas (estándares técnicos reconocidos, como las futuras adaptaciones de la ISO/IEC 42001) para mitigar los riesgos.
16
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Vía B: evaluación por un organismo notificado (auditoría de terceros)
¿En qué consiste?
Un auditor externo, independiente y autorizado por un Estado Miembro de la UE (el Organismo Notificado o Notified Body) debe examinar la documentación, probar el sistema y emitir el certificado. Es un proceso más lento y costoso.
¿Cuándo se usa?
Es obligatorio para los sistemas de IA más sensibles (por ejemplo, sistemas de identificación biométrica remota) o cuando el proveedor no ha utilizado normas armonizadas para desarrollar su sistema.
17
Módulo 5. Obligaciones de los usuarios y la cadena de valor
¿Por qué le importa esto al usuario / implantador? Aunque la evaluación la hace el proveedor, como responsable de Gobernanza de la empresa que compra la IA (el implantador), este punto te afecta de dos maneras críticas:
El peligro de las modificaciones (recuerda el Art. 25): si tu empresa compra un sistema ya evaluado, pero tú decides modificar sustancialmente su algoritmo o entrenarlo con datos nuevos que cambian su propósito, el certificado de conformidad original queda anulado. En ese instante, tu empresa se convierte en "proveedor" y estás obligado a pagar y pasar una nueva evaluación de conformidad desde cero.
Diligencia debida (due diligence): nunca debes firmar la compra ni desplegar un sistema de Alto Riesgo si el proveedor no te entrega su declaración UE de conformidad. Si lo haces, asumes un riesgo inaceptable.
18
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Actividad práctica
19
Módulo 5. Obligaciones de los usuarios y la cadena de valor
5.4. Marcado CE en sistemas de IA
Todos estamos acostumbrados a ver el logotipo "CE" (conformité européenne) en juguetes, electrodomésticos o maquinaria industrial. Es el sello que nos da tranquilidad como consumidores. Con la entrada en vigor de la Ley de IA de la UE, este famoso marcado da el salto definitivo al mundo de los algoritmos y el software. El marcado CE es la declaración visible del proveedor de que su sistema de IA de Alto Riesgo ha superado con éxito la evaluación de conformidad y cumple con todos los requisitos legales para operar en el mercado europeo.
20
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Las reglas del marcado CE (Artículo 48) Estampar este logo no es un mero trámite de diseño; es un acto con profundas implicaciones legales. La ley establece reglas muy claras sobre cómo y cuándo usarlo:
Prohibición de engaño: está terminantemente prohibido usar marcados que puedan confundir a terceros sobre el significado o la forma del marcado CE (por ejemplo, el famoso logo falso de "China Export" que se parece visualmente).
El reto del software: ¿Cómo le pones una "pegatina" a un código informático en la nube? La ley especifica que, si el sistema es puramente digital (software independiente), el marcado CE debe aparecer en la interfaz de usuario, en las instrucciones de uso o en la documentación técnica que lo acompaña.
Visibilidad y permanencia: el marcado CE debe fijarse de manera visible, legible e indeleble en el sistema de IA.
21
Módulo 5. Obligaciones de los usuarios y la cadena de valor
La declaración UE de conformidad (Artículo 47) El logotipo CE es solo la punta del iceberg. Detrás de él debe existir siempre un documento legal llamado declaración UE de conformidad.
Si el sistema de IA forma parte de un producto físico (ej. un robot médico) que ya requiere marcado CE por otras normativas europeas, se debe elaborar una única Declaración de Conformidad que englobe todas las leyes aplicables, evitando la duplicidad burocrática (recordando el principio de eficiencia del Artículo 8).
El proveedor está obligado a redactar este documento y mantenerlo a disposición de las autoridades nacionales durante 10 años después de que el sistema de IA se haya introducido en el mercado.
22
Módulo 5. Obligaciones de los usuarios y la cadena de valor
El registro en la base de datos de la UE (Artículo 49) Para que el marcado CE sea válido y el sistema pueda venderse, hay un paso final ineludible: la transparencia pública.
Esto permite que cualquier ciudadano, empresa o investigador pueda verificar si la IA que está utilizando es legal, quién la ha fabricado y para qué propósito exacto ha sido certificada.
Antes de poner un sistema de Alto Riesgo en el mercado, el proveedor debe registrarlo en una base de datos pública gestionada por la Comisión Europea.
23
Módulo 5. Obligaciones de los usuarios y la cadena de valor
La obligación del distribuidor e importador Como vimos en la cadena de valor, los intermediarios tienen un papel fundamental aquí. Un distribuidor (como una tienda de aplicaciones de terceros) o un importador no pueden comercializar un sistema de IA de Alto Riesgo si este no lleva el marcado CE correspondiente y no va acompañado de la documentación requerida.
Actividad práctica
24
Siguiente unidad
Actividad práctica 5.1
Vais a mapear la cadena de valor en un escenario comercial complejo y detecten el riesgo del Artículo 25.
Lee el siguiente caso real de negocio e identifica qué rol legal (proveedor, Implantador, importador o distribuidor) asume cada una de las 4 empresas implicadas:
Para proteger el tejido empresarial, si la empresa infractora es una PYME o una start-up, la multa será el importe que resulte menor entre el porcentaje y la cantidad fija.
¿Qué es exactamente la evaluación de conformidad?
Es el procedimiento oficial mediante el cual un proveedor verifica y documenta que su sistema de IA de Alto Riesgo es seguro y legal. El resultado de superar con éxito este proceso es la emisión de una "declaración UE de conformidad", el pasaporte definitivo que permite registrar el sistema en la base de datos pública de la UE.
Actividad práctica 5.2
Eres el responsable de Gobernanza de GlobalBank, un banco internacional con una facturación global de 1.000 millones de euros anuales. El banco ha comprado un sistema de IA de recursos humanos a un proveedor externo. El proveedor entregó el sistema con Marcado CE y un manual que advertía: "Este sistema filtra CVs, pero requiere validación humana obligatoria en caso de descartar a un candidato". Para ahorrar tiempo, el Director de RRHH de GlobalBank configuró el sistema para que enviara emails automáticos de rechazo sin que nadie los revisara. Tras una auditoría, el regulador descubre esto y, además, constata que la IA discriminó a candidatas embarazadas.
Actividad práctica 5.3
Vais a decidir la estrategia regulatoria de una empresa tecnológica, eligiendo el camino de evaluación correcto.
Trabajas como AIGP en VisionTech, una empresa que está a punto de lanzar dos nuevos sistemas de IA de Alto Riesgo al mercado europeo. Tu CEO te pide un presupuesto para las auditorías, pero tú debes indicarle primero qué tipo de evaluación requiere cada proyecto:
Actividad práctica 5.4
Esta actividad de cierre pone a prueba la diligencia debida del alumno a la hora de adquirir un nuevo sistema para su empre
Eres el responsable de compras tecnológicas de una gran cadena de supermercados. Un proveedor extranjero te ofrece una licencia para un revolucionario sistema de IA de Alto Riesgo que predice robos analizando el lenguaje corporal de los clientes en tiempo real a través de las cámaras de seguridad. El comercial te asegura por email que "el software es totalmente legal y seguro en Europa". Antes de firmar un contrato de un millón de euros, debes realizar tu Due Diligence (diligencia debida) basándote en la normativa.
Módulo 5. Obligaciones de los usuarios
Training team
Created on March 23, 2026
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Microlearning: Teaching Innovation with AI
View
Microlearning: Design Learning Modules
View
Video: Responsible Use of Social Media and Internet
View
Mothers Days Card
View
Momentum: First Operational Steps
View
Momentum: Employee Introduction Presentation
View
Mind Map: The 4 Pillars of Success
Explore all templates
Transcript
Cumplimiento normativo de la Ley de Inteligencia Artificial de la UE (AI Act)
IA20261
ÍNDICE
Módulo 5. Obligaciones de los usuarios 5.1. Proveedores, usuarios, importadores y distribuidores 5.2. Responsabilidades legales 5.3. Evaluación de conformidad 5.4. Marcado CE en sistemas de IA
OBJETIVOS
Objetivo general Adquirir conocimientos fundamentales sobre la Inteligencia Artificial, su funcionamiento, aplicaciones, riesgos y marco normativo en la Unión Europea, con especial énfasis en el cumplimiento del AI Act, la gestión del riesgo y la aplicación ética y responsable de los sistemas de IA en distintos ámbitos, incluyendo el sector público. Objetivos específcios 1. Comprender los fundamentos de la Inteligencia Artificial, incluyendo sus conceptos básicos, tipos de aprendizaje, tecnologías y la relación entre datos e IA. 2. Analizar el marco jurídico del AI Act, identificando su estructura, principios, ámbito de aplicación y su relación con otras normativas europeas como el RGPD. 3. Identificar y clasificar los sistemas de IA según su nivel de riesgo, diferenciando entre sistemas prohibidos, de alto riesgo, limitado y mínimo, mediante ejemplos prácticos. 4. Conocer los requisitos y obligaciones legales asociados a los sistemas de IA, especialmente en lo relativo a sistemas de alto riesgo, evaluación de conformidad y responsabilidades de los distintos actores. 5. Aplicar principios de ética, transparencia y gestión del riesgo en IA, desarrollando capacidades para implantar medidas de cumplimiento, prevenir sesgos y garantizar un uso responsable y confiable de la tecnología.
MÓDULO 5. OBLIGACIONES DE LOS USUARIOS Y LA CADENA DE VALOR
En el mundo de la Inteligencia Artificial, el riesgo legal no se reparte a partes iguales. La Ley de IA de la UE (EU AI Act) se basa en un principio fundamental de protección al consumidor: la responsabilidad recae sobre quien tiene el control del sistema. Sin embargo, un mismo algoritmo puede ser programado en Estados Unidos, empaquetado por un mayorista en Alemania y utilizado por un hospital en España. ¿De quién es la culpa si falla? En este módulo desgranaremos la cadena de valor de la IA, aprenderemos a identificar nuestro rol exacto (Proveedor, Implantador, Importador o Distribuidor) y descubriremos los procesos formales, como la Evaluación de Conformidad y el Marcado CE, que actúan como pasaporte legal para que la tecnología opere en Europa.
MÓDULO 5. OBLIGACIONES DE LOS USUARIOS Y LA CADENA DE VALOR
Módulo 5. Obligaciones de los usuarios y la cadena de valor
5.1. Proveedores, usuarios, importadores y distribuidores
El error más común en la gobernanza corporativa es que una empresa asuma que, por el simple hecho de haber comprado una licencia de IA, toda la responsabilidad legal es del fabricante. El EU AI Act distribuye las obligaciones a lo largo de lo que llama la "Cadena de Valor de la IA". Nota terminológica clave para el AIGP: Aunque coloquialmente hablemos de "usuarios", la ley europea evita este término para no confundirlo con el ciudadano de a pie (el consumidor final afectado por la IA). En su lugar, la ley utiliza el término Implantador o Responsable del despliegue (Deployer en inglés) para referirse a la empresa que utiliza la herramienta. Identificar qué "sombrero" llevas puesto es el paso 1 en cualquier auditoría de cumplimiento.
Módulo 5. Obligaciones de los usuarios y la cadena de valor
El Importador: es la entidad establecida en la Unión Europea que introduce en el mercado un sistema de IA que pertenece a un Proveedor de fuera de la UE. Obligación principal: Asegurarse de que el Proveedor extranjero ha hecho los deberes (Evaluación de conformidad, documentación) y poner su propio nombre y datos de contacto en el producto.
Su carga legal: aunque no construyeron el sistema, son los responsables de cómo impacta en el mundo real. Sus obligaciones principales son:
Es el creador. Se define como la persona física o jurídica que desarrolla un sistema de IA (o que encarga su desarrollo) y lo comercializa o pone en servicio bajo su propio nombre o marca.
La ley europea no permite lagunas internacionales. Si una empresa de Silicon Valley o Shenzhen crea una IA, alguien tiene que responder por ella en Europa.
Este es el artículo más peligroso para las empresas y una pregunta fija en cualquier certificación de Gobernanza. Un Implantador, Importador o Distribuidor pasará a ser considerado automáticamente proveedor (asumiendo toda la carga legal y responsabilidad por multas) si hace alguna de estas tres cosas:
Es la empresa o entidad pública que utiliza el sistema de IA bajo su propia autoridad en el marco de su actividad profesional (no aplica al uso personal/doméstico).
El proveedor (provider)
El "efecto bumerán" (Artículo 25)
El importador y el distribuidor (Los guardianes del mercado)
Su carga legal: es la más pesada. El proveedor de un sistema de Alto Riesgo asume casi todas las obligaciones que vimos en el Módulo 4: debe garantizar la calidad de los datos, redactar la documentación técnica (Art. 11), diseñar la supervisión humana, someter el sistema a una Evaluación de Conformidad y estampar el Marcado CE antes de venderlo.
El Distribuidor: es cualquier intermediario en la cadena de suministro (como una tienda de software de terceros) que comercializa la IA. Obligación principal: Verificar que el sistema lleva el Marcado CE y viene con sus instrucciones.
El implantador o usuario profesional (deployer)
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Actividad práctica
Módulo 5. Obligaciones de los usuarios y la cadena de valor
5.2. Responsabilidades legales y régimen sancionador
En la gobernanza de la IA, la responsabilidad legal (liability) no se puede transferir por completo mediante un contrato. Si una empresa despliega un sistema de IA que discrimina a sus clientes o causa un accidente, no bastará con echarle la culpa al desarrollador del software. La ley de inteligencia artificial de la UE introduce uno de los regímenes sancionadores más duros del mundo tecnológico, superando incluso las famosas multas del reglamento general de protección de datos (RGPD). Como profesionales de la gobernanza, conocer este esquema de sanciones es nuestra mejor herramienta para justificar presupuestos de cumplimiento ante la dirección.
Módulo 5. Obligaciones de los usuarios y la cadena de valor
El régimen sancionador: las tres escalas de multas (Art. 99) El EU AI Act castiga el incumplimiento basándose en la gravedad de la infracción, utilizando un modelo de "el importe que resulte mayor" (una cantidad fija o un porcentaje de la facturación global anual de la empresa en el ejercicio fiscal anterior):
Desarrollar o usar sistemas de IA de riesgo inaceptable (ej. manipulación subliminal, puntuación social, reconocimiento facial indiscriminado).
Motivo
Escala 1: infracciones muy graves (prácticas prohibidas)
Hasta 35 millones de euros o el 7 % del volumen de negocios total anual a nivel mundial.
Multa
10
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Incumplir las obligaciones de los sistemas de Alto Riesgo (ej. no tener documentación técnica, falta de gobernanza de datos, ausencia de Marcado CE o falta de supervisión humana).
Motivo
Escala 2: infracciones graves (requisitos de alto riesgo)
Hasta 15 millones de euros o el 3 % del volumen de negocios total a nivel mundial.
Multa
11
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Proporcionar información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades nacionales.
Motivo
Escala 3: infracciones administrativas
Hasta 7,5 millones de euros o el 1,5 % del volumen de negocios total a nivel mundial.
Multa
12
Módulo 5. Obligaciones de los usuarios y la cadena de valor
La responsabilidad directa del implantador (deployer liability) ¿Qué pasa si el proveedor hizo un sistema perfecto (con su marcado CE y sus instrucciones), pero el problema ocurre durante su uso en la empresa? El Implantador asume responsabilidades legales directas si:
Ignora las instrucciones: usa el sistema fuera de su "propósito previsto" (ej. usar un software de análisis de voz de atención al cliente para diagnosticar estrés laboral en los empleados).
Falla en la vigilancia: no suspende el sistema cuando detecta que está generando resultados discriminatorios o peligrosos, y no lo notifica al proveedor y a las autoridades.
Sesgo de automatización: si un humano aprueba ciegamente una decisión errónea de la IA que causa un perjuicio, la empresa usuaria (implantador) asume la responsabilidad civil frente a la víctima.
13
Módulo 5. Obligaciones de los usuarios y la cadena de valor
La evaluación de impacto sobre los derechos fundamentales (FRIA - Art. 27) Esta es una obligación legal crítica exclusiva para ciertos Implantadores (especialmente administraciones públicas y entidades privadas en sectores como banca o seguros). Antes de desplegar un sistema de Alto Riesgo que evalúe a personas, están obligados a realizar y documentar una evaluación de impacto sobre los derechos fundamentales (FRIA, por sus siglas en inglés).
Actividdad práctica
14
Módulo 5. Obligaciones de los usuarios y la cadena de valor
5.3. Evaluación de conformidad
Sabemos qué normas hay que cumplir y qué pasa si las incumplimos. Pero la ley no se basa en la confianza ciega; exige pruebas. Antes de que un sistema de IA de Alto Riesgo pueda usarse o venderse en la Unión Europea, debe someterse a una evaluación de conformidad (conformity assessment). Piensa en esto como la "ITV" (inspección técnica de vehículos) de los algoritmos: un proceso formal y auditable para demostrar de forma irrefutable que el sistema cumple con todos los requisitos de gobernanza de datos, transparencia, ciberseguridad y supervisión humana.
¿Qué es la evaluación de conformidad?
15
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Los dos caminos de evaluación (Artículo 43) No todos los sistemas de Alto Riesgo se examinan igual. Dependiendo del tipo de sistema y de las normativas existentes, la ley establece dos vías principales:
Vía A: evaluación de control interno (autoevaluación)
¿En qué consiste?
¿Cuándo se usa?
La propia empresa desarrolladora (el proveedor) realiza la auditoría internamente, asegurándose de que cumple con el Anexo IV (documentación técnica) y aplica un sistema de gestión de calidad.
Es el camino preferido y más rápido. Se permite para muchos sistemas de Alto Riesgo (como IA para RRHH o educación) siempre y cuando la empresa haya aplicado estrictamente las "normas armonizadas" europeas (estándares técnicos reconocidos, como las futuras adaptaciones de la ISO/IEC 42001) para mitigar los riesgos.
16
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Vía B: evaluación por un organismo notificado (auditoría de terceros)
¿En qué consiste?
Un auditor externo, independiente y autorizado por un Estado Miembro de la UE (el Organismo Notificado o Notified Body) debe examinar la documentación, probar el sistema y emitir el certificado. Es un proceso más lento y costoso.
¿Cuándo se usa?
Es obligatorio para los sistemas de IA más sensibles (por ejemplo, sistemas de identificación biométrica remota) o cuando el proveedor no ha utilizado normas armonizadas para desarrollar su sistema.
17
Módulo 5. Obligaciones de los usuarios y la cadena de valor
¿Por qué le importa esto al usuario / implantador? Aunque la evaluación la hace el proveedor, como responsable de Gobernanza de la empresa que compra la IA (el implantador), este punto te afecta de dos maneras críticas:
El peligro de las modificaciones (recuerda el Art. 25): si tu empresa compra un sistema ya evaluado, pero tú decides modificar sustancialmente su algoritmo o entrenarlo con datos nuevos que cambian su propósito, el certificado de conformidad original queda anulado. En ese instante, tu empresa se convierte en "proveedor" y estás obligado a pagar y pasar una nueva evaluación de conformidad desde cero.
Diligencia debida (due diligence): nunca debes firmar la compra ni desplegar un sistema de Alto Riesgo si el proveedor no te entrega su declaración UE de conformidad. Si lo haces, asumes un riesgo inaceptable.
18
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Actividad práctica
19
Módulo 5. Obligaciones de los usuarios y la cadena de valor
5.4. Marcado CE en sistemas de IA
Todos estamos acostumbrados a ver el logotipo "CE" (conformité européenne) en juguetes, electrodomésticos o maquinaria industrial. Es el sello que nos da tranquilidad como consumidores. Con la entrada en vigor de la Ley de IA de la UE, este famoso marcado da el salto definitivo al mundo de los algoritmos y el software. El marcado CE es la declaración visible del proveedor de que su sistema de IA de Alto Riesgo ha superado con éxito la evaluación de conformidad y cumple con todos los requisitos legales para operar en el mercado europeo.
20
Módulo 5. Obligaciones de los usuarios y la cadena de valor
Las reglas del marcado CE (Artículo 48) Estampar este logo no es un mero trámite de diseño; es un acto con profundas implicaciones legales. La ley establece reglas muy claras sobre cómo y cuándo usarlo:
Prohibición de engaño: está terminantemente prohibido usar marcados que puedan confundir a terceros sobre el significado o la forma del marcado CE (por ejemplo, el famoso logo falso de "China Export" que se parece visualmente).
El reto del software: ¿Cómo le pones una "pegatina" a un código informático en la nube? La ley especifica que, si el sistema es puramente digital (software independiente), el marcado CE debe aparecer en la interfaz de usuario, en las instrucciones de uso o en la documentación técnica que lo acompaña.
Visibilidad y permanencia: el marcado CE debe fijarse de manera visible, legible e indeleble en el sistema de IA.
21
Módulo 5. Obligaciones de los usuarios y la cadena de valor
La declaración UE de conformidad (Artículo 47) El logotipo CE es solo la punta del iceberg. Detrás de él debe existir siempre un documento legal llamado declaración UE de conformidad.
Si el sistema de IA forma parte de un producto físico (ej. un robot médico) que ya requiere marcado CE por otras normativas europeas, se debe elaborar una única Declaración de Conformidad que englobe todas las leyes aplicables, evitando la duplicidad burocrática (recordando el principio de eficiencia del Artículo 8).
El proveedor está obligado a redactar este documento y mantenerlo a disposición de las autoridades nacionales durante 10 años después de que el sistema de IA se haya introducido en el mercado.
22
Módulo 5. Obligaciones de los usuarios y la cadena de valor
El registro en la base de datos de la UE (Artículo 49) Para que el marcado CE sea válido y el sistema pueda venderse, hay un paso final ineludible: la transparencia pública.
Esto permite que cualquier ciudadano, empresa o investigador pueda verificar si la IA que está utilizando es legal, quién la ha fabricado y para qué propósito exacto ha sido certificada.
Antes de poner un sistema de Alto Riesgo en el mercado, el proveedor debe registrarlo en una base de datos pública gestionada por la Comisión Europea.
23
Módulo 5. Obligaciones de los usuarios y la cadena de valor
La obligación del distribuidor e importador Como vimos en la cadena de valor, los intermediarios tienen un papel fundamental aquí. Un distribuidor (como una tienda de aplicaciones de terceros) o un importador no pueden comercializar un sistema de IA de Alto Riesgo si este no lleva el marcado CE correspondiente y no va acompañado de la documentación requerida.
Actividad práctica
24
Siguiente unidad
Actividad práctica 5.1
Vais a mapear la cadena de valor en un escenario comercial complejo y detecten el riesgo del Artículo 25.
Lee el siguiente caso real de negocio e identifica qué rol legal (proveedor, Implantador, importador o distribuidor) asume cada una de las 4 empresas implicadas:
Para proteger el tejido empresarial, si la empresa infractora es una PYME o una start-up, la multa será el importe que resulte menor entre el porcentaje y la cantidad fija.
¿Qué es exactamente la evaluación de conformidad?
Es el procedimiento oficial mediante el cual un proveedor verifica y documenta que su sistema de IA de Alto Riesgo es seguro y legal. El resultado de superar con éxito este proceso es la emisión de una "declaración UE de conformidad", el pasaporte definitivo que permite registrar el sistema en la base de datos pública de la UE.
Actividad práctica 5.2
Eres el responsable de Gobernanza de GlobalBank, un banco internacional con una facturación global de 1.000 millones de euros anuales. El banco ha comprado un sistema de IA de recursos humanos a un proveedor externo. El proveedor entregó el sistema con Marcado CE y un manual que advertía: "Este sistema filtra CVs, pero requiere validación humana obligatoria en caso de descartar a un candidato". Para ahorrar tiempo, el Director de RRHH de GlobalBank configuró el sistema para que enviara emails automáticos de rechazo sin que nadie los revisara. Tras una auditoría, el regulador descubre esto y, además, constata que la IA discriminó a candidatas embarazadas.
Actividad práctica 5.3
Vais a decidir la estrategia regulatoria de una empresa tecnológica, eligiendo el camino de evaluación correcto.
Trabajas como AIGP en VisionTech, una empresa que está a punto de lanzar dos nuevos sistemas de IA de Alto Riesgo al mercado europeo. Tu CEO te pide un presupuesto para las auditorías, pero tú debes indicarle primero qué tipo de evaluación requiere cada proyecto:
Actividad práctica 5.4
Esta actividad de cierre pone a prueba la diligencia debida del alumno a la hora de adquirir un nuevo sistema para su empre
Eres el responsable de compras tecnológicas de una gran cadena de supermercados. Un proveedor extranjero te ofrece una licencia para un revolucionario sistema de IA de Alto Riesgo que predice robos analizando el lenguaje corporal de los clientes en tiempo real a través de las cámaras de seguridad. El comercial te asegura por email que "el software es totalmente legal y seguro en Europa". Antes de firmar un contrato de un millón de euros, debes realizar tu Due Diligence (diligencia debida) basándote en la normativa.