La responsabilidad del consejo en el uso de IA: lo que ya aplica

El Artículo 4 del Reglamento Europeo de IA lleva en vigor desde febrero de 2025. La mayoría de consejos no sabe que ya tiene obligaciones legales concretas sobre el uso de IA en su empresa.

La responsabilidad del consejo en el uso de IA: lo que ya aplica

Los consejeros y CEOs con los que hablo habitualmente ya no subestiman la IA. Tienen claro su potencial estratégico, algunos incluso la están desplegando en procesos core. Lo que subestiman, a veces de forma bastante sistemática, es su exposición legal, y esa exposición ya está activa.

Este fin de semana estaba preparando material para un taller sobre IA en consejos que imparto en el Instituto de Gobernanza Empresarial y, repasando la parte regulatoria, pensaba que el debate en los consejos se concentra en oportunidad y riesgo estratégico, pero casi nadie ha revisado qué obliga la ley ahora mismo. Este post intenta cubrir esa brecha.

Un artículo que muy poca gente ha leído

El 2 de febrero de 2025 entró en vigor el Artículo 4 del Reglamento Europeo de IA (UE 2024/1689). No es una legislación futura ni una propuesta en consulta, lleva más de un año activa.

El artículo obliga a cualquier empresa que use sistemas de IA, no que los desarrolle, que los use, a garantizar que su personal tiene “un nivel suficiente de alfabetización en materia de IA”. No hay umbral numérico, hay criterio de proporcionalidad; la obligación es proporcional al rol, el contexto y la complejidad del sistema usado. Y hay que poder demostrar que existe un plan formativo.

En ninguno de los consejos con los que he hablado me han confirmado que tengan uno (tampoco conozoco a todos, pero bueno).

La razón es comprensible. Cuando el Reglamento entró en vigor en agosto de 2024, la atención pública se concentró en las obligaciones para sistemas de alto riesgo, que llegan más tarde. Pero el Artículo 4 aplica a IA de cualquier nivel de riesgo, incluso el mínimo. Si tu empresa usa ChatGPT, Copilot o cualquier herramienta con IA integrada (y casi todas lo hacemos), el artículo aplica.

El calendario que viene

El Reglamento no termina en el Artículo 4. Aquí va la cronología completa:

Agosto de 2025: entra el régimen sancionador. Las infracciones de obligaciones generales alcanzan hasta 15 millones de euros o el 3% de la facturación mundial anual, la mayor de las dos cifras. Las prácticas prohibidas pueden llegar a 35 millones o el 7%. No como amenaza futura, como multa disponible desde este verano.

Agosto de 2026: llega el grueso del Reglamento, incluyendo el Artículo 26, que exige supervisión humana formal en sistemas de alto riesgo. Hay que designar personas con competencia, formación y autoridad para esa supervisión. Hay que conservar logs durante seis meses. Los sistemas de cribado de candidatos en recursos humanos o de scoring crediticio entran en la categoría de alto riesgo, lo que cubre a más empresas de las que parece.

Lo que las sanciones ya dicen

La arquitectura sancionadora no es teórica. La AEPD, que en 2025 recibió 30.931 reclamaciones e impuso 48,1 millones de euros en sanciones, ha anunciado que puede actuar contra sistemas de IA que no cumplan el RGPD sin esperar al desarrollo completo del AI Act.

Los precedentes más claros vienen de otros reguladores europeos. La autoridad italiana de protección de datos sancionó a OpenAI con 15 millones de euros en diciembre de 2024. Clearview AI acumula más de 100 millones en sanciones repartidas por Francia, Grecia, Italia y los Países Bajos. Y no hay que mirar sólo a grandes tecnológicas internacionales. En España, la AEPD impuso a Mercadona 2,52 millones de euros en 2021 por implantar reconocimiento facial en 48 tiendas sin base legal.

Estos casos comparten un patrón: sistemas de IA desplegados sin análisis previo de riesgo, sin base legal documentada, sin evaluación de impacto. Exactamente el tipo de déficit que el trabajo que exige el Artículo 4 debería detectar primero.

Las preguntas que los inversores ya hacen

En marzo de 2024, el ICGN, una red global de gobernanza corporativa que representa a inversores institucionales con 77 billones de dólares bajo gestión, publicó una guía con las diez preguntas que sus miembros esperan poder hacer al consejo sobre IA. No como proyección futura: como expectativa de engagement actual.

Estas son las diez preguntas:

  1. ¿Se ha integrado la IA en la estrategia y planificación operativa de la empresa?
  2. ¿Qué mecanismos garantizan que los consejeros tienen conocimiento adecuado de IA?
  3. ¿Ha articulado la empresa principios de IA responsable y los ha incorporado a sus políticas?
  4. ¿Qué procesos identifican riesgos materiales de IA y quién es responsable de gestionarlos?
  5. ¿Se han evaluado posibles sesgos discriminatorios y cuestiones de privacidad en los sistemas desplegados?
  6. ¿Ha revisado el consejo cómo se diseñan, entrenan y prueban los sistemas de IA que usa la empresa?
  7. ¿Cómo se evalúa el impacto de la IA en el empleo y la composición de la plantilla?
  8. ¿Existen programas de reskilling para los empleados afectados por automatización?
  9. ¿Cómo se realizan evaluaciones de impacto en sociedad y medio ambiente?
  10. ¿Con qué frecuencia discute el consejo asuntos de IA con empleados y otros stakeholders?

La mayoría de los consejos puede responder vagamente la primera. Muy pocos tienen respuesta concreta para la segunda. Y casi ninguno tiene proceso estructurado para las demás.

Lo interesante de estas preguntas no es que sean exigentes, es que son razonables. No preguntan si la empresa lidera en IA, preguntan si el consejo sabe lo que hace, si ha articulado principios, si tiene procesos de seguimiento. El estándar es de gobierno, no de innovación. Lo que estamos haciendo en los consejos en muchos otros ámbitos, vamos. Y este estándar ya lo están aplicando los fondos de inversión cuando se sientan con los consejos.

La responsabilidad personal del consejero

Debajo del Reglamento Europeo está el derecho societario español. El Artículo 225 de la Ley de Sociedades de Capital obliga a los administradores a actuar como “ordenado empresario”, lo que incluye organización razonable de la información, control y supervisión efectivos, y decisiones suficientemente informadas.

La doctrina extiende este deber al cumplimiento normativo tecnológico. No hace falta una sentencia específica sobre IA para que el deber sea exigible: si un consejero no se ha informado razonablemente sobre el marco regulatorio que afecta a los sistemas que opera su empresa, la defensa de la diligencia debida es difícil de sostener.

Todavía no hay sentencias españolas sobre responsabilidad de consejo por mal uso de IA, pero la jurisprudencia sobre el deber general de diligencia está establecida, el marco regulatorio de la IA está vigente, y el cruce entre ambos no va a tardar.

Cuatro obligaciones que ya deberías tener mapeadas

Resumiendo el estado actual:

Obligación Marco Estado
Plan de alfabetización en IA del personal EU AI Act Art. 4 Vigente desde feb. 2025
Cumplimiento RGPD en tratamientos con IA RGPD + Guías AEPD Vigente
Deber de diligencia del administrador Art. 225 LSC Vigente
Supervisión humana en sistemas de alto riesgo EU AI Act Art. 26 Agosto 2026

El marco regulatorio de la IA no está llegando, parte de él ya está aquí, y el resto tiene fecha exacta.


Puedes consultar este y otros artículos directamente en mi blog, Latente