Volver al blog
Normativa y Legal

AI Act para despachos y asesorías: cumplimiento

A
Sobeklab Admin
17 de julio de 202614 min de lectura
AI Act para despachos y asesorías: cumplimiento

El asesoramiento legal sobre el AI Act ayuda a tu despacho a cumplir el Reglamento (UE) 2024/1689, la primera ley europea de inteligencia artificial. Como usuario de sistemas de IA, tu despacho es responsable del despliegue y ya afronta obligaciones vigentes: alfabetizar a tu personal desde febrero de 2025, garantizar transparencia y proteger el secreto profesional y los datos personales.

  • El AI Act ya está en vigor. El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024 y se aplica por fases hasta 2028.
  • Tu despacho es "responsable del despliegue", no proveedor. Usar IA de terceros (redacción, transcripción, investigación) genera obligaciones más ligeras que fabricarla, pero reales.
  • La alfabetización en IA es obligatoria desde el 2 de febrero de 2025 (art. 4) para todo el personal que use estas herramientas, con independencia del nivel de riesgo.
  • Cuatro niveles de riesgo: inaceptable (prohibido), alto, limitado (transparencia) y mínimo. La mayoría de herramientas de un despacho son de riesgo limitado o mínimo.
  • El AI Act no sustituye al RGPD ni al secreto profesional: se suman. Introducir datos de clientes en una IA pública puede vulnerar ambos.

¿Qué es el AI Act y por qué afecta a tu despacho?

El AI Act es el nombre común del Reglamento (UE) 2024/1689, el primer marco jurídico integral del mundo sobre inteligencia artificial. Al ser un reglamento europeo, se aplica de forma directa en toda España sin necesidad de una ley de trasposición: no es una recomendación, es derecho vigente. Regula la IA con un enfoque basado en el riesgo, imponiendo obligaciones proporcionales al daño potencial de cada sistema.

La clave para un despacho de abogados, una asesoría o una gestoría es entender qué papel juega dentro de la cadena. El reglamento distingue, sobre todo, entre el proveedor (quien desarrolla o comercializa un sistema de IA) y el responsable del despliegue —lo que en inglés se llama deployer— que es quien utiliza esa IA bajo su propia autoridad en el marco de su actividad profesional. Un despacho que usa un asistente de redacción, una herramienta de transcripción de vistas o un buscador de jurisprudencia potenciado por IA es, casi siempre, responsable del despliegue, no proveedor.

Esta distinción importa porque las obligaciones más pesadas del AI Act en España recaen sobre los proveedores. El responsable del despliegue tiene un conjunto de deberes más acotado, pero que no puede ignorar: alfabetización del personal, transparencia frente a clientes y terceros, supervisión humana y —cuando usa sistemas de alto riesgo— controles reforzados. Este artículo se centra en esa cara normativa. Si lo que buscas son casos de uso prácticos de la IA en el trabajo diario, los desarrollamos en nuestra guía principal sobre IA para despachos de abogados en España.

¿Cuándo se aplica el AI Act? El calendario por fases

El reglamento europeo de inteligencia artificial no se aplica de golpe. Entró en vigor el 1 de agosto de 2024, pero sus obligaciones se activan de forma escalonada para dar tiempo a empresas e instituciones a adaptarse. Conocer el calendario es la primera decisión de cumplimiento: te dice qué te obliga hoy y qué es todavía preparación.

Fecha Hito Qué se aplica
1 de agosto de 2024 Entrada en vigor El reglamento existe y empiezan a contar los plazos.
2 de febrero de 2025 Prohibiciones + alfabetización Prácticas de riesgo inaceptable prohibidas y obligación de alfabetización en IA (art. 4).
2 de agosto de 2025 Modelos de propósito general + gobernanza Obligaciones para modelos fundacionales (GPAI) y estructura de supervisión europea.
2 de agosto de 2026 Aplicación general Entra la mayor parte del reglamento, incluidas las obligaciones de transparencia (art. 50).
2 de diciembre de 2027 Alto riesgo (Anexo III) Sistemas de alto riesgo por su uso: empleo, educación, biometría, servicios esenciales.
2 de agosto de 2028 Alto riesgo (Anexo I) IA integrada en productos ya sujetos a legislación de seguridad de la UE.

Conviene una precisión importante y reciente. En 2026 la UE aprobó un paquete de simplificación —conocido como Digital Omnibus— que aplazó las obligaciones de los sistemas de alto riesgo. El Consejo de la UE dio su luz verde final el 29 de junio de 2026, tras el respaldo del Parlamento Europeo. Ese aplazamiento afecta al alto riesgo (la fila de diciembre de 2027 recoge ya el plazo revisado), pero no mueve las prohibiciones, la alfabetización ni la transparencia. Es decir: las obligaciones que más probablemente te afectan como despacho ya están —o estarán muy pronto— en vigor.

¿Qué niveles de riesgo define el reglamento europeo de inteligencia artificial?

El corazón del AI Act es su pirámide de riesgo. Cada sistema de IA se clasifica en uno de cuatro niveles, y de esa clasificación dependen las obligaciones. Antes de preocuparte por el papeleo, tu primer ejercicio debería ser situar cada herramienta que usas en el nivel que le corresponde.

Nivel de riesgo Qué incluye Qué implica para un despacho
Inaceptable (prohibido) Manipulación subliminal, puntuación social, categorización biométrica de datos sensibles, ciertos usos de reconocimiento de emociones. Prohibidos desde el 2 de febrero de 2025. Ningún despacho debería usarlos.
Alto riesgo IA para selección y evaluación de personal, acceso a servicios esenciales, biometría o administración de justicia. Obligaciones reforzadas para el responsable del despliegue. Aplicables (Anexo III) desde el 2 de diciembre de 2027.
Riesgo limitado (transparencia) Chatbots que atienden clientes, deepfakes y contenido generado por IA. Deber de informar de que se interactúa con una IA o de que el contenido es artificial (art. 50).
Riesgo mínimo Filtros de spam, correctores, la mayoría de asistentes de redacción e investigación jurídica. Sin obligaciones específicas más allá de la alfabetización y el RGPD.

La buena noticia para la mayoría de despachos es que la inteligencia artificial jurídica de uso corriente cae en las franjas de riesgo limitado o mínimo. Un asistente que te ayuda a redactar un borrador de contrato, a resumir una sentencia o a transcribir una reunión no es, por sí mismo, un sistema de alto riesgo. El alto riesgo aparece en usos muy concretos —lo veremos más abajo— y las prohibiciones son prácticas que un despacho serio jamás emplearía. El grueso de tu esfuerzo, por tanto, se concentra en unas pocas obligaciones transversales.

¿Qué obligaciones concretas tiene un despacho que usa IA?

Aunque tus herramientas sean de riesgo bajo, el AI Act y la normativa conexa te imponen deberes que conviene tener por escrito. Estas son las cuatro obligaciones que un despacho o asesoría no puede pasar por alto.

Alfabetización en IA de tu personal (artículo 4)

Es, probablemente, la obligación más inmediata y la más olvidada. El artículo 4 del reglamento exige a proveedores y responsables del despliegue garantizar un nivel suficiente de "alfabetización en IA" del personal que maneja estos sistemas. En la práctica: tu equipo debe entender qué hace la herramienta, sus límites, sus riesgos y cómo usarla con criterio. Según la guía de la Comisión Europea sobre alfabetización en IA, no se exige medir el conocimiento con exámenes ni certificaciones formales; se pide formación proporcionada y adaptada al contexto. Un despacho pequeño cumple con una sesión formativa documentada y una política interna de uso.

Transparencia frente a clientes y terceros (artículo 50)

Si tu despacho utiliza un chatbot para atender a clientes, debes informar de que están hablando con una IA. Si generas o manipulas imágenes, audio o vídeo que puedan parecer reales (deepfakes), o publicas texto generado por IA sobre asuntos de interés público, existe un deber de divulgación. Estas obligaciones de transparencia se aplican con la fase general del reglamento, en agosto de 2026, y son razonables: la relación con el cliente en un despacho se sostiene sobre la confianza.

Supervisión humana y responsabilidad profesional

El AI Act insiste en la supervisión humana de los sistemas de IA, pero para un despacho esto va más allá del reglamento: es deontología. Ningún escrito, dictamen o cálculo generado por IA debería salir del despacho sin la revisión de un profesional que asuma la responsabilidad. La IA redacta un borrador; el abogado o el asesor responde de él. Documentar este principio en una política interna protege tanto al cliente como al despacho.

RGPD y secreto profesional: las dos capas que el AI Act no deroga

Este es el punto donde más despachos tropiezan. El AI Act se suma al Reglamento General de Protección de Datos, no lo sustituye. Introducir datos personales de un cliente en una herramienta de IA pública sin base jurídica ni garantías puede vulnerar el RGPD y, además, el secreto profesional. La Agencia Española de Protección de Datos ofrece una guía sobre la adecuación al RGPD de tratamientos que incorporan IA que conviene tener a mano. La regla de oro: no vuelques información confidencial en herramientas que puedan reutilizar tus datos para entrenar sus modelos, y prioriza soluciones con garantías contractuales de confidencialidad.

¿Qué herramientas de inteligencia artificial jurídica pueden ser de "alto riesgo"?

Hemos dicho que la mayoría de la inteligencia artificial jurídica no es de alto riesgo. Pero hay usos concretos que sí pueden serlo, y conviene reconocerlos porque disparan obligaciones mucho más exigentes. El Anexo III del reglamento enumera los ámbitos sensibles; para un despacho o asesoría, los más relevantes son estos:

  • Selección y gestión de personal. Si usas IA para cribar currículos, puntuar candidatos o evaluar a tus empleados —algo habitual en despachos y asesorías que crecen—, ese sistema es de alto riesgo según el Anexo III (empleo).
  • Acceso a servicios esenciales. IA que decide sobre solvencia o acceso a determinadas prestaciones. Es más propio de tus clientes (bancos, aseguradoras) que del despacho, pero puede aparecer al asesorarlos.
  • Administración de justicia. El reglamento marca como alto riesgo la IA destinada a asistir a una autoridad judicial en la investigación e interpretación de hechos y del derecho. Un despacho privado no es "autoridad judicial", por lo que un buscador de jurisprudencia que uses internamente no encaja aquí; pero es un matiz que conviene conocer.
  • Biometría. Sistemas de identificación o categorización biométrica, poco frecuentes en un despacho salvo en control de accesos.

La conclusión práctica es tranquilizadora: la mayoría de despachos no operan sistemas de alto riesgo en su trabajo jurídico. El punto de fricción más probable es el uso de IA en recursos humanos. Si tu asesoría gestiona nóminas o selección para clientes, ese cumplimiento del AI Act para pymes merece una revisión específica, porque ahí sí entran obligaciones reforzadas.

¿Cómo es un checklist de cumplimiento del AI Act para un despacho pequeño?

Cumplir no requiere un departamento legal enorme. Un despacho pequeño puede cubrir lo esencial con un proceso ordenado. Este es un checklist accionable por el que empezar:

  • 1. Inventaría tus herramientas de IA. Enumera todo lo que usa el despacho: asistentes de redacción, transcripción, buscadores de jurisprudencia, CRM con IA, chatbots web.
  • 2. Clasifica cada herramienta por nivel de riesgo con la tabla de más arriba. Marca en rojo cualquier uso relacionado con selección de personal.
  • 3. Forma a tu equipo y documéntalo. Una sesión de alfabetización en IA (art. 4) con un acta o registro de asistencia es suficiente para empezar.
  • 4. Redacta una política interna de uso de IA. Qué se puede usar, para qué, y qué datos nunca deben introducirse en herramientas externas.
  • 5. Blinda el secreto profesional y el RGPD. Define qué información de clientes puede entrar en qué herramienta y revisa que el proveedor no reutilice tus datos.
  • 6. Aplica transparencia. Si tienes un chatbot en la web, indica que es una IA. Etiqueta el contenido generado artificialmente cuando proceda.
  • 7. Garantiza la supervisión humana. Deja por escrito que ningún entregable sale sin revisión profesional.
  • 8. Designa un responsable interno. Una persona que vigile el calendario y actualice la política. No hace falta que sea externa.
  • 9. Revisa los contratos con proveedores. Cláusulas de tratamiento de datos, confidencialidad y ubicación del procesamiento.
  • 10. Vigila las fechas del calendario, especialmente el alto riesgo si usas IA en recursos humanos.

Si al leer esta lista no sabes por dónde empezar, un diagnóstico gratuito te ayuda a mapear tus herramientas y su exposición normativa antes de invertir en nada.

¿Asesoramiento externo o gestión interna del cumplimiento?

La última decisión es cómo abordar todo esto. Hay dos vías, y no son excluyentes.

La gestión interna es perfectamente viable para un despacho pequeño con usos de riesgo bajo. El inventario, la política de uso, la sesión de alfabetización y las cláusulas de proveedor están al alcance de cualquier equipo organizado. Es la ruta más económica y suficiente cuando tu IA se limita a redactar, resumir y transcribir bajo supervisión humana.

El asesoramiento legal externo sobre el AI Act aporta valor cuando la exposición crece: operas sistemas de alto riesgo (típicamente IA en selección de personal), necesitas una auditoría formal, un cliente corporativo te exige evidencias de cumplimiento, o quieres una evaluación de impacto que combine AI Act y RGPD. En esos escenarios, delegar en un especialista ahorra tiempo y reduce el riesgo de sanción, que se despliega con la aplicación general del reglamento.

La combinación más eficiente suele ser híbrida: montar la base internamente y reservar el asesoramiento externo para las zonas de alto riesgo y las auditorías. En Sobeklab acompañamos a despachos y asesorías precisamente en ese punto intermedio, uniendo el cumplimiento normativo con la implantación práctica de la IA. Si quieres una lectura completa del contexto, vuelve a nuestra guía sobre IA para despachos de abogados en España.

Preguntas frecuentes

¿El AI Act obliga a mi despacho aunque solo use herramientas como asistentes de redacción?

Sí. Como responsable del despliegue tienes obligaciones transversales: alfabetizar a tu personal (vigente desde febrero de 2025), aplicar transparencia y cumplir el RGPD, con independencia de la herramienta concreta. Son deberes ligeros, pero exigibles.

¿Usar IA para redactar demandas convierte mi despacho en "alto riesgo"?

No necesariamente. La mayoría de asistentes de redacción e investigación jurídica son de riesgo limitado o mínimo. El alto riesgo aparece sobre todo si usas IA para seleccionar personal o para decisiones automatizadas que afecten a personas, no por redactar escritos bajo supervisión humana.

¿Qué pasa si introduzco datos de un cliente en una IA pública?

Puedes vulnerar el RGPD y el secreto profesional a la vez. Necesitas base jurídica, garantías del proveedor y, preferiblemente, herramientas que no reutilicen tus datos para entrenar sus modelos. La AEPD ofrece una guía específica sobre tratamientos con IA que conviene seguir.

¿Cuándo empiezan las sanciones del AI Act?

El régimen sancionador se despliega principalmente con la aplicación general del reglamento, en agosto de 2026. Las prohibiciones y la obligación de alfabetización, sin embargo, rigen desde el 2 de febrero de 2025, así que ya son exigibles.

¿Necesito asesoramiento legal externo sobre el AI Act para mi asesoría?

Depende del tamaño y del uso. Un despacho pequeño puede empezar internamente con un inventario y una política de uso. El asesoramiento externo aporta valor cuando hay sistemas de alto riesgo, auditorías o clientes corporativos que te exigen evidencias de cumplimiento.

¿Quieres usar IA en tu despacho sin miedo al AI Act?

Te ayudamos a mapear tus herramientas, clasificar su riesgo y montar una política de cumplimiento a medida de tu asesoría o despacho, uniendo normativa e implantación práctica.

Habla con nosotros

¿Te ha gustado este artículo?

Únete a nuestra newsletter para recibir análisis exclusivos directamente en tu bandeja de entrada.

Comentarios (0)

Deja tu comentario

Aún no hay comentarios. ¡Sé el primero en participar!