La inteligencia artificial ya no es una promesa. Es una realidad operativa. Y, como suele pasar cuando la tecnología se adelanta al derecho, ahora empieza la fase interesante: la de ordenar, limitar y, en cierta medida, domesticar su uso.

En los últimos meses se han producido varios movimientos que conviene no perder de vista.

1. La aplicación progresiva del Reglamento de IA en Europa

El Reglamento de Inteligencia Artificial de la Unión Europea (conocido como AI Act) ya no es un debate académico. Está entrando en fase de aplicación escalonada, y eso tiene consecuencias prácticas.

Lo relevante aquí no es solo la clasificación por niveles de riesgo (inaceptable, alto, limitado y mínimo). Lo realmente importante es que:

• Las empresas van a tener que justificar el uso de IA en determinados procesos.

• Se exige trazabilidad: qué hace el sistema, con qué datos y con qué lógica.

• Se introduce una obligación clara de supervisión humana en sistemas de alto riesgo.

En términos sencillos: se acabó el “lo usamos porque funciona”.

2. El foco en la IA generativa

Herramientas como OpenAI o Google han llevado la IA generativa al día a día de las empresas. Redacción automática, análisis de documentos, soporte a clientes… todo eso ya está pasando.

El problema es que el uso real va bastante por delante del cumplimiento normativo.

Empiezan a verse tres riesgos claros:

• Uso de datos personales sin base jurídica clara, especialmente en entornos internos (RRHH, auditoría, compliance).

• Falta de control sobre los prompts y la información introducida.

• Dependencia tecnológica sin evaluación previa del proveedor.

Aquí el encaje con el RGPD no es automático. Y en muchos casos, tampoco cómodo.

3. El cambio de enfoque: de “¿puedo usar IA?” a “¿cómo la uso bien?”

Hace un año la pregunta habitual era si se podía usar IA. Hoy esa pregunta está superada. La cuestión es otra:

• ¿Qué base legitimadora tengo?

• ¿Estoy tratando datos personales? ¿De qué tipo?

• ¿He evaluado riesgos (EIPD o similar)?

• ¿Quién es responsable y quién es encargado?

Y, sobre todo, algo que muchas empresas siguen sin resolver:
¿tengo realmente control sobre el tratamiento o estoy delegándolo sin saberlo?

4. Las primeras consecuencias prácticas

Empiezan a aparecer ya algunos efectos concretos en el mercado:

• Requerimientos de clientes para justificar el uso de IA en servicios.

• Inclusión de cláusulas específicas en contratos (muy especialmente en materia de art. 28 RGPD).

• Auditorías internas sobre herramientas como notebooks, asistentes o plataformas de análisis automático.

• Y algo más silencioso, pero relevante: decisiones de no uso por riesgo jurídico.

5. Lo que viene (

Si uno mira con cierta perspectiva, lo que viene no es tanto una revolución tecnológica (esa ya ha pasado) sino una revolución en la responsabilidad.

La IA introduce un problema jurídico clásico con una complejidad nueva:
quién responde cuando la decisión no la toma una persona.

Y aquí se conectan varias piezas:

• Reglamento General de Protección de Datos (art. 22, decisiones automatizadas)

• AI Act (sistemas de alto riesgo)

• Responsabilidad civil por daños

• Y, en algunos casos, incluso cumplimiento penal

 En definitiva

La inteligencia artificial no se va a frenar. Pero tampoco va a poder seguir funcionando en un entorno sin control.

Las organizaciones que entiendan esto a tiempo no solo evitarán sanciones.
Van a tener una ventaja competitiva clara: usar la tecnología con criterio.

Las que no… probablemente descubrirán el problema cuando ya sea demasiado tarde.