L

La incorporación de la inteligencia artificial («IA») en las grandes empresas ha revolucionado tanto los procesos operativos como la forma de gestionar los riesgos inherentes a la actividad empresarial. Lejos de limitarse a tareas de bajo valor añadido, la IA se integra hoy en sistemas estratégicos y de gestión que permiten automatizar procesos, optimizar la toma de decisiones y liberar a los profesionales para que se concentren en actividades de mayor impacto. Sin embargo, mientras la IA abre un abanico de oportunidades, también plantea desafíos en materia de responsabilidad penal para las empresas y la alta dirección. En este contexto, los programas de cumplimiento normativo o «Compliance» se erigen como herramientas esenciales para mitigar riesgos y garantizar un uso ético y legal de esta tecnología.

El auge de la IA y sus implicaciones en el entorno empresarial

La IA es una tecnología capaz de realizar tareas que tradicionalmente requerían inteligencia humana, como el reconocimiento de imágenes, el procesamiento del lenguaje natural y la toma de decisiones complejas. La integración de la robotización con la IA —mediante tecnologías como RPA (automatización de procesos robóticos) y DPA (automatización de procesos digitales)— ha transformado sectores como la auditoría, ya que permite la monitorización continua de procesos y la identificación casi instantánea de anomalías. Esta sinergia no solo mejora la eficiencia operativa, sino que también propicia un entorno en el que se pueden detectar y corregir riesgos potenciales de forma proactiva.

No obstante, la capacidad de la IA para actuar de manera autónoma e, incluso, en ocasiones de forma difícil de anticipar, plantea cuestiones clave sobre la imputación de responsabilidades. La posibilidad de que un sistema de IA cause daños —ya sean económicos, reputacionales, a la integridad física o a derechos fundamentales— obliga a las empresas a revisar sus protocolos de supervisión y control. El desafío consiste en aprovechar los beneficios de la IA sin descuidar las obligaciones legales y éticas que conlleva su implementación.

La clasificación de la IA y su relevancia en el Compliance

La IA puede clasificarse según diversos criterios, como el grado de autonomía, la finalidad de su aplicación o su capacidad de aprendizaje. Respecto a esta última clasificación, entre las principales técnicas destacan el aprendizaje supervisado, en el que un «entrenador» orienta el proceso mediante datos etiquetados; el aprendizaje no supervisado, en el que el sistema identifica patrones y estructuras sin intervención externa; y el aprendizaje por refuerzo, en el que las decisiones se ajustan en función de recompensas y penalizaciones derivadas de los resultados obtenidos. Cada uno de estos enfoques tiene implicaciones específicas en cuanto a la previsión de riesgos, ya que el grado de autonomía y la complejidad del sistema determinan en gran medida la posibilidad de que se produzcan errores o conductas imprevistas.

En respuesta a estos desafíos, la Unión Europea ha adoptado el Reglamento (UE) 2024/1689 («Reglamento de IA»), que establece un marco para la gestión de riesgos y la gobernanza de la IA. Este reglamento impone obligaciones específicas a proveedores, importadores, distribuidores y responsables del despliegue de sistemas de IA en función del nivel de riesgo que estos puedan representar. Quedan prohibidos los sistemas con riesgos inaceptables, mientras que los considerados de alto riesgo deben cumplir estrictos requisitos en cuanto a diseño, implementación y supervisión. Por su parte, las tecnologías clasificadas como de riesgo limitado o mínimo pueden desarrollarse bajo un régimen de obligaciones menos estrictas, siempre que se garantice la transparencia y la seguridad en su funcionamiento.

La responsabilidad penal de las empresas en la era de la IA

Por otro lado, el creciente uso de la IA en el ámbito empresarial ha impulsado la necesidad de establecer criterios claros para la imputación de responsabilidad penal en las organizaciones. En España, el artículo 31 bis del Código Penal establece la responsabilidad penal de las personas jurídicas, lo que permite sancionar a una empresa por delitos cometidos en su nombre o por sus representantes en beneficio directo o indirecto de la empresa. Esta responsabilidad se extiende a situaciones en las que se incumplen gravemente los deberes de supervisión y control, lo que puede acarrear sanciones como multas u otras consecuencias mucho más onerosas.

El reto se intensifica cuando se trata de delitos asociados al uso de la IA, abriendo la puerta a nuevas modalidades de comisión de delitos tipificados, que pueden manifestarse tanto de forma intencionada como involuntaria. La tecnología, al ser capaz de operar de forma autónoma, puede servir tanto como instrumento como, en algunos casos, actuar prácticamente como «autora» del delito. Esto genera un debate sobre qué organización debe responder penalmente: ¿el desarrollador, el proveedor, el responsable del despliegue u otros terceros implicados en su uso? En efecto, la complejidad radica en que la IA puede utilizarse como instrumento de un delito o incluso como protagonista del mismo, lo que dificulta la determinación de responsabilidades y hace que puedan identificarse una variedad de escenarios de imputación, entre otros:

• Cuando la IA se utiliza como medio para ejecutar un delito, la responsabilidad recae en el autor o inductor que ha decidido aprovechar la tecnología para sus fines ilícitos.

Por ejemplo, el caso en el que una empresa decide utilizar un sistema de IA para mejorar su presencia en redes sociales. La dirección de la empresa, consciente de las capacidades del sistema, aprueba que este cree cuentas falsas para publicar opiniones positivas sobre la empresa y negativas sobre sus competidores, utilizando la IA como herramienta para cometer actos contra la competencia.

• Cuando la IA actúa como ejecutora de un delito, pero, a diferencia del caso anterior, sin que quien hace uso de ella tenga la voluntad de delinquir e intervenga de forma directa, la organización podría ser considerada penalmente responsable si se concluyen deficiencias en los protocolos de supervisión o en la asignación de responsabilidades.

Supongamos una fábrica del sector químico que cuenta con un sistema de IA encargado de gestionar la liberación de gases mediante unas válvulas, con el objetivo de regular los procesos de producción o ventilar las áreas de la planta. Diseñado para tomar decisiones en función de variables en tiempo real (como la presión, la temperatura y la composición del aire), el sistema se activa automáticamente para abrir las válvulas en momentos determinados. Sin embargo, debido a una deficiente supervisión y a la falta de protocolos de control adecuados, la IA comete un error en el cálculo y abre las válvulas en condiciones no previstas, lo que provoca la liberación de una cantidad excesiva de gases tóxicos. Esta liberación descontrolada deteriora significativamente la calidad del aire en las inmediaciones de la fábrica, lo que afecta a la población local y al medio ambiente.

• Pero, pese a disponer de controles en principio adecuados, ¿qué sucedería si un trabajador de una empresa cometiera un ilícito inducido por la propia IA?

Imaginemos un escenario en el que una empresa del sector de las finanzas utiliza un sistema de IA con capacidad de autoaprendizaje para anticipar el comportamiento del mercado. Este sistema, mediante el análisis continuo de la información, empieza a recomendar a los trabajadores cuándo deben ejecutar órdenes de compra o venta de forma autónoma, lo que genera una percepción engañosa sobre la demanda o la oferta e influye en las decisiones de otros inversores, lo que supone una manipulación del mercado. ¿Quién sería considerado responsable de dichos actos? En estos casos, la solución deja de ser tan evidente.

Como se puede observar, sin perjuicio de situaciones que ponen en jaque la atribución de la responsabilidad penal de los distintos intervinientes, como la expuesta con este último ejemplo, la respuesta sobre quién debe responder por el delito cometido en el ámbito de la empresa dependerá, en gran medida, del grado de autonomía del sistema y de la existencia de controles adecuados. En estos casos, la asignación de responsabilidades exige un enfoque basado en la identificación de quién posee el poder de decisión o control sobre el sistema, lo que resulta fundamental para establecer medidas correctivas y preventivas.

La responsabilidad penal de la alta dirección y la administración

La responsabilidad penal no se limita a la empresa en abstracto, sino que incumbe directamente a la alta dirección y a los administradores. Estos actores, al tener el poder de decisión y control sobre la implementación de tecnologías de IA, deben asegurarse de que los sistemas operen dentro de un marco legal y ético riguroso. La falta de supervisión adecuada puede derivar en la comisión de delitos, lo que acarrearía sanciones para la empresa y, eventualmente, para sus responsables.

Los directivos pueden ser penalmente responsables si se demuestra que han actuado de forma negligente o que han permitido, de manera deliberada o por omisión, la utilización de la IA para cometer actos ilícitos. Por ello, es imprescindible que la alta dirección se involucre activamente en la definición y supervisión del programa de Compliance, garantizando que se establezcan y cumplan medidas de control efectivas y eficaces cuando se haga uso de esta tecnología.

Para responder a estas cuestiones planteadas, las empresas deben adoptar programas de Compliance sólidos que incluyan análisis de riesgos específicos para la IA, códigos éticos y sistemas de control internos. Estos programas deben contemplar la identificación de los riesgos asociados a la implementación de la IA, establecer protocolos para la supervisión y control de los sistemas y definir claramente las funciones y responsabilidades de cada actor involucrado en el ciclo de vida de la tecnología.

Los elementos clave de un programa de Compliance para la IA

En consonancia con lo anterior, un programa de Compliance orientado a la gestión de riesgos derivados de la IA debe ser integral y adaptarse a las particularidades de la tecnología. Entre sus componentes más importantes se encontrarían:

1. Un análisis de riesgos específico que identifique los posibles delitos o incumplimientos derivados del uso de la IA. Dicho análisis, debe realizarse con carácter periódico y ha de tener en cuenta cuestiones como la capacidad de aprendizaje del sistema, es decir, si se trata de un aprendizaje supervisado, no supervisado o por refuerzo, así como los riesgos inherentes a la tecnología y los asociados al entorno operativo de la empresa. Por supuesto, también debe tener en cuenta el nivel de riesgo asociado a la IA en cuestión, ya que las obligaciones establecidas por el Reglamento de IA no son las mismas para un sistema categorizado como de alto riesgo que para uno con riesgo limitado.
2. Un código ético o de conducta que establezca los principios y valores que guíen el uso de la IA y promueva una cultura de responsabilidad y transparencia en todas las actividades relacionadas con su implementación.
3. Un sistema de gobernanza que defina las responsabilidades y competencias de los distintos actores involucrados en la creación, implementación y supervisión de los sistemas de IA. Esta estructura organizativa debe facilitar la coordinación entre los departamentos y garantizar la aplicación de medidas de control efectivas.
4. Procedimientos y herramientas de auditoría que permitan supervisar el cumplimiento normativo de la IA y detectar posibles desviaciones o anomalías. Estos mecanismos son necesarios para intervenir de manera oportuna ante cualquier incidente que pueda derivar en un riesgo penal o de reputación.
5. Un sistema de alerta temprana que garantice la identificación y mitigación rápida de los riesgos asociados al uso de la tecnología, de modo que la empresa pueda reaccionar de forma preventiva ante situaciones potencialmente peligrosas.
6. Programas de formación y sensibilización dirigidos a todos los empleados y colaboradores para garantizar que conocen adecuadamente el funcionamiento de la IA y sus implicaciones legales y éticas, cumpliendo así con la obligación de alfabetización prevista en el Reglamento de IA.
7. La designación de un Compliance Officer especializado, que actúe como punto de referencia y coordine las acciones preventivas y correctivas relacionadas con el uso de la IA en la organización.

Al integrarse de manera coherente, estos elementos permiten que la empresa no solo cumpla con la normativa vigente, sino que también refuerce la confianza en sus sistemas y en su capacidad para gestionar los riesgos asociados a la implementación de nuevas tecnologías.

Una mirada hacia el futuro: innovación, seguridad y conclusiones

La revolución digital y el auge de la IA ofrecen una oportunidad sin precedentes para transformar los modelos de negocio, pero su integración debe ir acompañada de un firme compromiso con la ética, la legalidad y la transparencia. La experiencia en el ámbito del Compliance demuestra que la adopción de programas sólidos no solo evita riesgos legales, sino que también fortalece la reputación y la sostenibilidad de la organización con el paso del tiempo.

Las empresas que consigan equilibrar la innovación con sistemas de control y supervisión robustos se posicionarán como líderes en sectores estratégicos en los que la tecnología es el núcleo de la actividad. La clave estará en anticiparse a los desafíos, invertir en formación y fomentar una cultura corporativa que valore la integridad y la responsabilidad en el uso de herramientas avanzadas.

El uso de la IA en el entorno empresarial representa una doble oportunidad: por un lado, potencia la eficiencia y la competitividad, pero, por otro, su uso puede suponer la asunción de nuevos riesgos en materia de responsabilidad penal, sin olvidar los de otra naturaleza. En este contexto, la adopción de programas de Compliance se convierte en la herramienta primordial para garantizar que el avance tecnológico se desarrolle de la mano de la integridad y el cumplimiento normativo, y permitirá que las organizaciones aprovechen al máximo el potencial de la IA sin comprometer sus valores.

En definitiva, la integración de la IA en la gestión empresarial es tan compleja como apasionante. Las empresas que inviertan en crear marcos de gobernanza sólidos y en formar a sus equipos estarán mejor preparadas para afrontar los desafíos que plantea esta tecnología y transformarán el riesgo en una oportunidad para innovar y crecer de manera más sostenible y orgánica.