El Gobierno ha dado luz verde al anteproyecto de ley de gobernanza de la Inteligencia Artificial, que busca garantizar un uso de la IA que sea ético, inclusivo y beneficioso para las personas.
Además, desde el pasado 2 de febrero de 2025, el Reglamento Europeo de IA (AI Act) ha establecido nuevas obligaciones para todas las organizaciones que implementen cualquier tipo de iniciativa con IA. El artículo 4 del AI Act exige específicamente que las organizaciones garanticen un “nivel suficiente de alfabetización en IA” entre sus empleados y todas las personas que operen o utilicen sistemas de IA.
Entrevistamos a Alfredo Zurdo, Director de Digital Change en Entelgy, para analizar en profundidad el contenido de esta nueva normativa así como en el impacto que tendrá sobre las organizaciones públicas y privadas en España.
1. Cómo afectará el anteproyecto de ley y el AI Act a las empresas y administraciones públicas en España.
El impacto será significativo tanto para empresas como para administraciones. Por un lado, las empresas tendrán que adaptar sus procesos y sistemas de IA para cumplir con el nuevo marco regulatorio, lo que supondrá inversiones en formación, concienciación, documentación técnica y evaluación de riesgos. Especialmente las pymes necesitarán apoyo para esta transición, ya que cuentan con menos recursos.
Para las administraciones públicas, el cambio será profundo. El Gobierno ya ha aprobado la Estrategia de Inteligencia Artificial 2024 que contempla la implantación de la IA en la Administración General del Estado a través del proyecto GobTech Lab, que canalizará los casos de uso mediante un laboratorio de innovación.
Además, deberán desarrollar un modelo de gobernanza común de datos que garantice estándares de seguridad, calidad e interoperabilidad.
Lo más inmediato es que desde febrero de 2025 ya han entrado en vigor las primeras obligaciones del Reglamento Europeo, como la alfabetización en IA y la prohibición de sistemas de alto riesgo.
Y ojo, porque en agosto de 2025 entrará en vigor el régimen sancionador, con multas que pueden llegar hasta los 35 millones de euros o el 7% de la facturación mundial anual en los casos más graves.
2. ¿Cuáles son las nuevas obligaciones legales en torno al uso ético, inclusivo y seguro de la IA?
Las nuevas obligaciones se centran en tres pilares fundamentales: ética, inclusión y seguridad. En primer lugar, se prohíben expresamente prácticas que representan riesgos inaceptables, como los sistemas de manipulación encubierta, la explotación de vulnerabilidades de ciertos colectivos o la puntuación social.
En cuanto a inclusión, la normativa exige que los sistemas de IA no discriminen por razón de género, edad, discapacidad o situación social. Se prohíben específicamente los sistemas de categorización biométrica que puedan utilizarse para discriminar en función de características como raza u orientación sexual.
Respecto a la seguridad, se establece la obligación de realizar evaluaciones de impacto en materia de derechos fundamentales para sistemas de alto riesgo, documentando de manera clara y comprensible todos los riesgos identificados.
Además, los proveedores de modelos de IA de uso general deben ser transparentes sobre las capacidades y limitaciones de sus sistemas, facilitando información técnica para su buen uso e integración.
Un aspecto clave es que estas obligaciones aplican tanto a entidades de la UE como a aquellas fuera de la UE cuyos sistemas se utilicen en el mercado europeo, lo que demuestra la vocación global de esta regulación. Muy en la línea de lo que ya vivimos con el RGPD en su momento.
3. El papel de la alfabetización en IA como requisito clave según el artículo 4 del AI Act.
La alfabetización en IA se ha convertido en uno de los pilares fundamentales del Reglamento. El artículo 4, que entró en vigor el 2 de febrero de 2025, establece que tanto proveedores como implantadores de sistemas de IA deben garantizar que su personal tenga un nivel suficiente de conocimientos sobre esta tecnología.
No se trata simplemente de saber usar herramientas, sino de comprender cómo funcionan, sus limitaciones, riesgos y oportunidades. Esta alfabetización combina habilidades técnicas, conciencia ética sobre transparencia y sesgos, y comprensión contextual de las aplicaciones específicas dentro de cada organización.
Para cumplir con esta obligación, las organizaciones deberán evaluar los niveles actuales de conocimiento, crear programas de formación y concienciación adaptados a diferentes perfiles, establecer políticas internas que exijan completar estas formaciones, y mantener documentación que acredite todo este proceso.
Lo interesante es que esta obligación va más allá del mero cumplimiento normativo. Las empresas que inviertan en alfabetización en IA no solo evitarán sanciones, sino que mejorarán su productividad, impulsarán la innovación y aumentarán su competitividad en el mercado. Es una oportunidad para crecer e innovar, no solo un requisito legal.
4. Qué sectores se verán más impactados por las restricciones y obligaciones para sistemas de alto riesgo.
Los sectores que manejan datos sensibles o toman decisiones críticas serán los más afectados. El ámbito sanitario, por ejemplo, donde los sistemas de IA pueden diagnosticar enfermedades o recomendar tratamientos, tendrá que implementar rigurosos controles de calidad y supervisión humana.
El sector financiero también enfrentará importantes desafíos, especialmente en sistemas de evaluación crediticia o detección de fraude, donde deberán garantizar que sus algoritmos no discriminen a ningún colectivo y sean transparentes en su funcionamiento.
La administración pública, especialmente en áreas como justicia o servicios sociales, deberá adaptar sus procesos cuando utilice IA para tomar decisiones que afecten a derechos fundamentales. El Reglamento exige evaluaciones de impacto en materia de derechos fundamentales y establece obligaciones específicas cuando las entidades locales actúan como responsables del despliegue de estos sistemas.
También el sector de seguridad y vigilancia se verá fuertemente impactado, con prohibiciones expresas sobre reconocimiento facial en espacios públicos en tiempo real (salvo excepciones muy limitadas) y sistemas de perfilado delictivo predictivo.
En general, cualquier sector que utilice IA para tomar decisiones que afecten significativamente a las personas deberá implementar medidas de control, transparencia y supervisión humana. Bajo mi punto de vista, el cumplimiento exigido es positivo para garantizar el bienestar, la seguridad, la privacidad y la igualdad de oportunidades.
5. Cómo fomentar la innovación sin perder de vista la gobernanza y el cumplimiento normativo.
El equilibrio entre innovación y cumplimiento es posible y necesario. La clave está en integrar los requisitos normativos desde las fases iniciales del diseño de los sistemas, lo que se conoce como «compliance by design«. Esto evita costosas modificaciones posteriores y garantiza que la innovación avance por caminos seguros.
Un enfoque estratégico implica adoptar estándares como la ISO/IEC 42001, publicada a finales de 2023 y que está ganando relevancia en 2025. Este primer estándar internacional certificable para sistemas de gestión de IA proporciona un marco estructurado para el desarrollo ético y transparente, alineándose perfectamente con los requisitos del AI Act europeo.
La colaboración con reguladores y participación en foros sobre políticas de IA también es fundamental. Esto no solo ayuda a dar forma al desarrollo regulatorio, sino que posiciona a las organizaciones para adaptarse rápidamente a futuros cambios normativos.
Por último, aprovechar las iniciativas públicas de apoyo a la innovación es esencial. La Comisión Europea ha puesto en marcha herramientas para que las pymes autoevalúen su madurez digital y un paquete de innovación específico para startups y pymes de IA. En España, la Estrategia de IA 2024 también contempla medidas para promover el desarrollo de la IA en el sector privado, especialmente para pymes y autónomos.
6. Buenas prácticas para implantar un marco de control y supervisión humana sobre la IA en entornos críticos.
La supervisión humana efectiva es un requisito fundamental, especialmente en sistemas de alto riesgo. Para implementarla adecuadamente, recomendaría varias prácticas:
Primero, diseñar sistemas transparentes y explicables. Los operadores humanos deben poder entender cómo y por qué el sistema toma determinadas decisiones para detectar posibles errores o sesgos. Esto implica documentar el funcionamiento del algoritmo de manera comprensible.
Segundo, establecer mecanismos claros de intervención. Los sistemas deben permitir que los supervisores humanos puedan detener o modificar decisiones cuando sea necesario, especialmente en aplicaciones críticas como las médicas, legales o de seguridad.
Tercero, formar adecuadamente al personal supervisor. No basta con tener personas vigilando; estas deben contar con la capacitación necesaria para comprender el funcionamiento del sistema y sus posibles fallos. Esto conecta directamente con la obligación de alfabetización en IA del artículo 4.
Cuarto, realizar evaluaciones de riesgo continuas. La supervisión humana debe adaptarse al nivel de riesgo del sistema, siendo más exhaustiva en aquellos de mayor impacto potencial. Estas evaluaciones deben documentarse detalladamente y actualizarse regularmente.
Por último, establecer procesos de mejora continua basados en el feedback de los supervisores humanos, lo que permitirá refinar los sistemas y hacerlos más seguros y eficientes con el tiempo.
Entrevistado: Alfredo Zurdo, Director de Digital Change en Entelgy
Alfredo es Director de Digital Change en Entelgy, donde combina su pasión por la tecnología y las personas para impulsar cambios significativos en grandes organizaciones. Ingeniero Informático de formación, comenzó como programador y consultor TIC, pero desde 2010 está plenamente enfocado en la transformación digital y la gestión del cambio. Es el creador y product manager de IAbility y The Firewall Mindset, soluciones innovadoras que combinan storytelling y gamificación para fomentar el uso seguro, ético y responsable de la tecnología en grandes colectivos. Como formador en uso productivo y sin riesgos de la tecnología, y ponente en foros sobre cambio cultural y transformación digital, Alfredo se describe como un optimista digital, comprometido en guiar a las organizaciones hacia un futuro más innovador, seguro y humano.
