Política de uso de la IA

El Reglamento de inteligencia artificial de la Unión Europea, conocido como AI Act ya ha entrado en vigor y, eso significa que si tienes una empresa en España que use la IA para sus consultas, gestiones o desarrollo profesional debes cumplir con la normativa IA, independientemente del tamaño que tenga tu negocio.

Y aunque uses ChatGPT para consultas

Podríamos decir que el objetivo principal del AI Act es generar una sociedad con una IA fiable, que asegure una innovación que proteja los derechos fundamentales de las personas.

Esa es la matriz de esta normativa, que se basa, principalmente en aspectos como la prevención, el registro y la formación del uso que la empresa hace de la IA, reflejado todo ello en un documento, la Política de uso de IA.

Pero ¿qué tiene que tener esa política de uso de la inteligencia artificial?

Por qué tu empresa tiene que tener una Política de uso de la IA

Lo primero y más importante es aclarar… La Ley IA (Reglamento (UE) 2024/1689) establece las obligaciones que tienen las empresas, basadas en el riesgo de los sistemas de IA.

Y sí, afecta a todas las empresas que usen IA

Porque si utilizas herramientas de IA para tu actividad profesional (como ChatGPT, un software de análisis de datos o un generador de imágenes), te conviertes en un "Usuario" del sistema, y esto conlleva una serie de responsabilidades.

Riesgos de uso de la IA y sanciones

La normativa IA española en base al reglamento europeo establece el riesgo en cuatro niveles, que deben aparecer reflejados de manera adaptada a la empresa o sector, dentro de la Política de uso de la IA que desarrolle la empresa.

Estos niveles de uso de la IA son:

1. Riesgo inaceptable (prohibido)

Prácticas que atentan contra los derechos fundamentales (por ejemplo, los sistemas de "puntuación social"). Es improbable que una pyme use este tipo de IA, pero hay veces que puede valerse de software poco transparente, de dudosa procedencia y que puede tener esos usos sin que la empresa lo sepa.

Por eso es importante disponer de una Política de uso que explique qué sistemas IA se pueden utilizar o cómo revisar y notificar usos de software con IA.

2. Riesgo alto

Sistemas que afectan significativamente a la salud, la seguridad o a los derechos fundamentales.

Esto incluye IA usada para la contratación o selección de personal (por ejemplo cribar CV), o sistemas que evalúan la solvencia o riesgo crediticio de personas.

Si utilizas IA de alto riesgo, debes cumplir requisitos estrictos de documentación, gobernanza de datos y supervisión humana.

3. Riesgo limitado

Herramientas comunes como chatbots o generadores de deepfakes. La obligación clave aquí es la transparencia: debes informar al usuario que interactúa con una IA y etiquetar claramente el contenido generado artificialmente.

4. Riesgo mínimo o nulo

Filtros de spam, juegos… Es una IA de bajo impacto, en la que no hay obligaciones legales estrictas, pero en la que se recomiendan las buenas prácticas de transparencia.

Y es mejor delimitar dónde está el riesgo en el uso que hace tu empresa, porque las sanciones pueden llegar a ser elevadas.

El incumplimiento, especialmente en prácticas prohibidas o en la calidad de los datos para sistemas de alto riesgo, pueden suponer multas muy elevadas, de hasta 35.000.000 euros o el 7% de la facturación mundial anual.

Y sí, aunque la Ley tiene en cuenta las características de la pyme para ajustar las multas con cierta proporcionalidad, la negligencia grave es sancionable, con multas muy elevadas.

Política de uso de IA: la tabla de salvación de la pyme

La clave para evitar sanciones no está sólo en evitar esos usos prohibidos, sino en demostrar que cumples con la normativa en inteligencia artificial.

Aunque la Ley IA establece requisitos específicos como el Sistema de Gestión de Riesgos y la Documentación Técnica para los sistemas de Alto Riesgo, la forma más efectiva para que cualquier pyme gestione su responsabilidad proactiva es mediante una Política de Uso de IA interna y formal.

El documento que demuestra que se toma en serio el uso de la IA, que sirva como formación para cualquier trabajador y marque qué se puede hacer y qué no.

La Política de uso de la IA en la pyme sería un documento práctico, compartido y vivo, es decir, ajustable, escrito según la normativa IA y que, además, refleja las buenas prácticas y los límites de uso de la IA dentro de la empresa.

Una especie de manual, pero técnico y detallado, vamos.

Cómo preparo la Política de uso de IA para mi empresa

En Cosmomedia te queremos ayudar a que puedas definir tu Política de uso de IA de una manera sencilla y fiable.

Puedes seguir el siguiente esquema, adaptado de las directrices de cumplimiento y gestión interna, por supuesto.

1. Definición y límites de uso

Tienes que determinar qué herramientas de IA están autorizadas, para qué fines y cuáles son sus límites. Fija las medidas internas para minimizar los posibles riesgos de su uso.

2. Registro de herramientas de IA (inventario)

Mantén un listado de todas las herramientas de IA que utilizas (ChatGPT, Gemini, IA en herramientas propias…). Para cada herramienta, te proponemos registrar:

• El proveedor
• El uso específico, el tipo de datos tratados, ¿son personales? Indícalo
• El nivel de riesgo (Bajo, Limitado o Alto). Evaluar el riesgo es básico para determinar las obligaciones que tienes.

3. Transparencia y etiquetado de contenidos

Para cumplir con la obligación de transparencia, si generas contenido (texto, imágenes, vídeo, voz…) con IA que pueda inducir a error o confusión (un deepfake), debes indicarlo claramente, con un aviso de, por ejemplo: "Este contenido ha sido generado con IA".

Indica un protocolo claro para que cada persona del equipo, según sus funciones, sepa cuándo tiene que indicarlo y de qué manera.

4. Formación de los trabajadores en IA y normativa

La Política de uso de la IA también debe servir para instruir o marcar qué formación complementaria debe tener el equipo. El documento en sí mismo sirve para indicar qué es la IA, que usos se consideran aceptables y cuáles están prohibidos.

Explica el AI Act, la normativa aplicable a empresas españolas y cómo se va a gestionar. El punto de “alfabetización en IA” aparece de forma destacada en la Ley IA.

5. Revisión humana y supervisión

Si usas IA de alto riesgo debes dejar muy claro un protocolo de revisión humana que, además, en este caso será obligatorio. Indica quién y cómo debe realizarse, registrando todo en un informe.

La Ley establece que los sistemas IA de alto riesgo deben estar diseñados para permitir la vigilancia humana, de modo que el operador pueda intervenir o invalidar la decisión de la IA.

En otros usos de riesgo limitado, establece también un registro individual de usos de IA, que indique la herramienta y el fin.

6. Auditoría y gestión de riesgos

Contempla realizar revisiones periódicas, que se reflejen en esa Política de IA. Cada cierto tiempo puedes auditar su cumplimiento, detectando riesgos y corrigiendo errores. En la IA de alto riesgo es indispensable, pero sería también recomendable en el resto de usos.

7. Acuerdos con proveedores IA

Revisa que las herramientas IA externas cumplan con la normativa IA. Si el proveedor trata datos personales en tu nombre, debes firmar los acuerdos de tratamiento de datos pertinentes.

8. Declaración de cumplimiento

Crea un documento a modo resumen, que esté firmado por el responsable y que pueda actualizarse y validarse con cualquier cambio significativo.

Como ya hemos dicho en otros artículos, para cumplir con la Ley IA hay que demostrar que cumples, de forma proactiva y responsable.

Para tener una Política de uso de IA en tu pyme que te proteja de posibles sanciones, refleja todos estos aspectos, con supervisión y ajustes, si fuera preciso. Cada Política de uso de IA debe actualizarse a las novedades que puedan surgir y también a los propios cambios de la operativa diaria de la empresa.

¿Te interesa la IA? ¿Quieres más recursos de IA para tu empresa? Suscríbete a nuestra newsletter y recibe todo en tu correo. Así de fácil. Llevamos la IA al alcance de tu pyme.