La nueva Ley de Inteligencia Artificial (IA) de la Unión Europea ya es una realidad en España. Lejos de ser una norma técnica para ingenieros, es una regulación que redefine las reglas del juego para empresas, administraciones y ciudadanos. Su objetivo es claro: fomentar una IA segura y fiable que respete nuestros derechos. Pero su aplicación práctica genera una pregunta clave: ¿dónde está la línea entre la innovación y la infracción?
Este artículo es una guía de supervivencia. A través de un formato de debate con preguntas claras y más de 50 ejemplos prácticos, desvelamos qué es legal, qué es ilegal y cómo evitar sanciones que pueden llegar a los 35 millones de euros.
Preguntas y respuestas clave para entender la ley europea IA
P: En pocas palabras, ¿qué es la Ley de IA? R: Es el primer marco regulatorio completo para la IA a nivel mundial. No prohíbe la tecnología, sino que la clasifica según el riesgo que supone para las personas y establece obligaciones proporcionales. Su lema podría ser: «A mayor riesgo, mayores exigencias».
P: ¿Cuáles son esos niveles de riesgo? R: La ley crea una pirámide con cuatro niveles:
Riesgo inaceptable: la punta de la pirámide. Prácticas de IA que se consideran una amenaza directa a los derechos y la seguridad de las personas. Están terminantemente prohibidas.
Riesgo alto: sistemas que pueden impactar de forma significativa en nuestras vidas (por ejemplo, selección de personal, diagnóstico médico). Son legales, pero deben pasar controles muy estrictos antes y durante su comercialización.
Riesgo limitado: IA con la que interactuamos, como chatbots o generadores de deepfakes. La principal obligación es la transparencia: siempre debes saber que estás ante una máquina o un contenido artificial.
Riesgo mínimo: la base de la pirámide y la gran mayoría de IAs (por ejemplo, filtros de spam, IA en videojuegos). No tienen obligaciones legales adicionales.
P: ¿Quién vigila y sanciona en España? R: La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, es la entidad encargada de supervisar, inspeccionar y, en caso de incumplimiento, sancionar a las entidades que operen en territorio español.
Casos prácticos: ¿cuándo se incumple la ley y cuándo no?
Aquí empieza el verdadero manual práctico. Analizamos más de 30 escenarios para que puedas identificar si una práctica es una infracción o un uso correcto de la IA.
Categoría 1: riesgo inaceptable (totalmente prohibido)
Cualquier uso de estos sistemas es una infracción grave. No hay matices.
| Caso Práctico |  Incumplimiento (Infracción) | Solución compliance (Acción Correcta) |
| 1. Puntuación social gubernamental | Un ayuntamiento crea un sistema de «crédito social» que puntúa a los ciudadanos por su comportamiento, limitando el acceso a servicios a quienes tienen mala nota. | Abstenerse completamente de desarrollar, comercializar o usar sistemas de puntuación social. |
| 2. Manipulación del comportamiento | Una aplicación de móvil utiliza IA para analizar el estado de ánimo de un adolescente y le envía notificaciones subliminales para incitarle a realizar compras compulsivas. | Garantizar que los sistemas de IA no utilicen técnicas subliminales ni exploten la información emocional para distorsionar el comportamiento. |
| 3. Explotación de vulnerabilidades | Una financiera online usa IA para detectar a personas mayores con bajo conocimiento digital y les ofrece productos financieros complejos y perjudiciales. | Diseñar sistemas de IA que no identifiquen ni exploten las vulnerabilidades de grupos específicos (edad, discapacidad, situación económica) para manipular su comportamiento. |
| 4. Vigilancia biométrica en tiempo real | La seguridad privada de un centro comercial instala cámaras con reconocimiento facial en tiempo real para identificar y seguir a todos los clientes sin distinción. | Limitar el uso de identificación biométrica remota en tiempo real a las excepciones muy tasadas por la ley y con previa autorización judicial. |
| 5. Categorización biométrica sensible | Una empresa usa IA para «adivinar» la orientación sexual o las creencias políticas de sus clientes a partir de sus fotos de perfil para segmentar publicidad. | Evitar cualquier sistema de IA que clasifique a personas en categorías sensibles (raza, etnia, orientación sexual, creencias) basándose en datos biométricos. |
| 6. Policía predictiva por perfiles | La policía utiliza una IA que predice que en un barrio con alta tasa de inmigración habrá más delitos, y aumenta la vigilancia sobre todos sus residentes. | Asegurarse de que los sistemas de IA para la aplicación de la ley no se basen únicamente en perfiles para predecir riesgos delictivos en individuos o grupos. |
| 7. «Raspado» de imágenes faciales | Una startup crea una base de datos facial «scrapeando» (extrayendo masivamente) fotos de Instagram, Facebook y webs de noticias sin consentimiento. | No crear ni utilizar bases de datos de reconocimiento facial mediante la recolección indiscriminada de imágenes de acceso público sin consentimiento expreso. |
| 8. Reconocimiento de emociones en el trabajo | Una empresa obliga a sus teletrabajadores a usar un software que analiza por webcam sus emociones para medir su productividad. | Abstenerse de utilizar sistemas de IA para inferir emociones en contextos laborales o educativos. |
Categoría 2: riesgo alto (permitido, pero con control estricto)
Aquí la clave es el cumplimiento de requisitos. La infracción no es usar la IA, sino usarla sin las garantías adecuadas.
| Caso Práctico | Incumplimiento (Infracción) | Solución compliance (Acción Correcta) |
| 9. Selección de personal (CVs) | Una empresa usa una IA para filtrar currículums que descarta automáticamente a mujeres por la posibilidad de embarazo o a mayores de 50 años, sin supervisión humana ni transparencia. | Realizar una evaluación de conformidad obligatoria, asegurar la ausencia de sesgos discriminatorios en los datos de entrenamiento y resultados, garantizar la supervisión humana y la transparencia con los candidatos. |
| 10. Concesión de créditos | Un banco utiliza un sistema de IA «opaco» que deniega un préstamo sin explicar los motivos, basándose en variables no declaradas como el código postal del solicitante. | Implementar una IA con alta trazabilidad, auditable y explicable; informar al cliente sobre su uso y ofrecer una justificación clara de las decisiones tomadas. |
| 11. Diagnóstico médico | Un hospital compra un software de IA para detectar tumores en radiografías que no cuenta con el marcado CE ni ha sido validado clínicamente para su uso en Europa. | Asegurarse de que la IA cumpla con la normativa específica de productos sanitarios (por ejemplo, marcado CE), tenga documentación técnica exhaustiva y sea utilizada bajo supervisión humana cualificada. |
| 12. Acceso a la universidad | Una universidad pública utiliza una IA para asignar plazas que penaliza a estudiantes de ciertos institutos basándose en datos históricos sesgados, sin ser auditada. | Asegurar la transparencia en los criterios de la IA, realizar auditorías regulares para detectar y corregir sesgos, y establecer un procedimiento de revisión humana de las decisiones. |
| 13. Sistemas de triage en urgencias | Un hospital implementa una IA para priorizar pacientes en urgencias, pero no ha registrado el sistema en la base de datos de la UE ni documentado su funcionamiento. | Registrar el sistema de IA en la base de datos europea, mantener registros detallados de su funcionamiento, y formar adecuadamente al personal que lo utiliza. |
| 14. Control de fronteras | Se usa una IA en un aeropuerto para evaluar el riesgo de los viajeros, pero los datos con los que fue entrenada no son de alta calidad ni representativos de la población mundial. | Entrenar la IA con conjuntos de datos de alta calidad y representativos, realizar pruebas rigurosas para minimizar sesgos y garantizar la supervisión y responsabilidad humana. |
| 15. Gestión de prestaciones sociales | Una administración pública automatiza la concesión de ayudas sociales con una IA, pero no ofrece una vía para que los ciudadanos apelen una decisión negativa. | Informar a los usuarios del uso de IA, garantizar la explicabilidad de las decisiones y establecer un mecanismo de apelación efectivo con intervención humana. |
| 16. IA en vehículos (seguridad) | Un fabricante de coches lanza un nuevo sistema de frenado automático asistido por IA sin haber realizado la evaluación de riesgos de conformidad con la ley. | Realizar una evaluación de conformidad obligatoria por un organismo notificado, asegurar la robustez, precisión y ciberseguridad del sistema antes de su comercialización. |
| 17. Juguetes con IA | Se vende un robot para niños que interactúa con ellos. El fabricante no ha evaluado los riesgos para la seguridad mental y física de los menores. | Evaluar los riesgos específicos para la seguridad y la salud de los menores, garantizar la privacidad y la seguridad de los datos, y obtener la certificación de conformidad. |
Categoría 3: riesgo limitado (la transparencia es la clave)
La infracción aquí es el engaño, no el uso. El usuario debe saber que está interactuando con una IA.
| Caso Práctico | Incumplimiento (Infracción) | Solución compliance (Acción Correcta) |
| 18. Chatbots de atención al cliente | Una web de seguros tiene un chat de ayuda que se hace pasar por un agente humano llamado «Carlos» para generar más confianza. | Informar claramente al usuario desde el principio que está interactuando con un sistema de IA (chatbots, asistentes virtuales). |
| 19. Generación de deepfakes | Un usuario crea un vídeo deepfake de un político diciendo algo que nunca dijo y lo viraliza sin ninguna advertencia, haciéndolo pasar por real. | Etiquetar explícitamente el contenido generado o manipulado por IA (deepfakes, synthetic media) para evitar engaños, especialmente si afecta a la reputación o es sobre temas sensibles. |
| 20. Contenido generado por IA | Un medio de comunicación publica una noticia sobre economía redactada íntegramente por una IA, pero la firma un periodista para darle credibilidad. | Indicar claramente que el contenido (texto, imágenes, audio) ha sido generado o asistido por IA, especialmente en publicaciones informativas o creativas. |
| 21. Avatares virtuales | Una empresa utiliza un avatar hiperrealista generado por IA en una campaña de publicidad en redes sociales, presentándolo como un influencer real. | Identificar a los avatares o influencers virtuales como creaciones de IA, no como personas reales, en sus perfiles o comunicaciones. |
| 22. Sistemas de reconocimiento de emociones | Una empresa de videojuegos usa IA para analizar las reacciones emocionales del jugador y adaptar la dificultad, pero no le informa de esta función. | Informar a los usuarios si se utiliza IA para reconocer o inferir emociones, especialmente si esto impacta en la interacción o experiencia del usuario, y solicitar consentimiento si es necesario. |
Categoría 4: riesgo mínimo (uso libre con ética)
Aquí no hay infracción legal directa, pero sí una recomendación de buenas prácticas.
| Caso Práctico |  Mala práctica (aunque no ilegal) | Solución compliance (Acción Correcta) |
| 23. Filtros de spam | Un servicio de correo electrónico configura su filtro de spam de IA de forma tan agresiva que elimina correos legítimos importantes sin que el usuario pueda revisarlos. | Ofrecer al usuario control sobre el sistema (por ejemplo, revisar spam, marcar falsos positivos) y asegurar la posibilidad de recuperación de información. |
| 24. Sistemas de recomendación | Una plataforma de streaming utiliza un algoritmo que solo recomienda el mismo tipo de contenido, creando una «burbuja de filtro» que limita la exposición del usuario a nuevas ideas. | Diseñar los algoritmos de recomendación de forma que fomenten la diversidad y eviten la creación de «burbujas de filtro» excesivas, ofreciendo opciones para explorar nuevos contenidos. |
| 25. IA en videojuegos | Un videojuego utiliza una IA para los personajes no jugadores (NPCs) que presenta comportamientos ofensivos o estereotipados sin ninguna justificación narrativa. | Desarrollar la IA de los personajes de manera ética, evitando estereotipos o comportamientos ofensivos, y adhiriéndose a códigos de conducta voluntarios del sector. |
| 26. IA para gestión de inventario | Una tienda usa una IA para predecir la demanda, pero el sistema es muy ineficiente y provoca roturas de stock constantes, afectando negativamente al cliente. | Monitorizar y mejorar continuamente la precisión y eficiencia de la IA, invirtiendo en mantenimiento y actualizaciones para garantizar un buen servicio. |
Usos correctos de la IA: 20 ejemplos de cuándo sí se puede y cómo hacerlo bien
Más allá de las prohibiciones y las estrictas regulaciones, la IA ofrece un vasto campo de aplicaciones beneficiosas. Aquí presentamos 20 ejemplos de usos permitidos y compliant con la Ley de IA, siempre y cuando se apliquen siguiendo los principios éticos y de seguridad.
En salud y bienestar:
- Asistentes de diagnóstico: IA que analiza imágenes médicas (radiografías, resonancias) para ayudar a los médicos a identificar patrones y posibles enfermedades.
Acción correcta: la decisión final es siempre de un médico humano.
- Monitorización de pacientes: Dispositivos wearables con IA que alertan sobre anomalías en el ritmo cardíaco o niveles de glucosa.
Acción correcta: obtener consentimiento explícito del paciente y garantizar la privacidad de los datos.
- Descubrimiento de fármacos: IA que acelera la identificación de nuevas moléculas y compuestos para el desarrollo de medicamentos.
Acción correcta: utilizar datos anonimizados y validados.
- Robótica asistencial: Robots que ayudan a personas mayores en tareas domésticas o de movilidad.
Acción correcta: diseño seguro, fácil de usar y con opción de control manual.
- Personalización de tratamientos: IA que sugiere planes de tratamiento basados en el historial médico y genético del paciente, bajo supervisión médica.
Acción correcta: la información debe ser transparente y el paciente puede optar por no usar la IA.
En educación:
Tutores inteligentes: Plataformas de IA que adaptan el contenido educativo al ritmo y estilo de aprendizaje de cada estudiante.
Acción correcta: siempre como apoyo, no reemplazando al profesor, y con control parental.
Evaluación formativa: IA que corrige ejercicios y ofrece feedback instantáneo a los estudiantes sobre sus progresos.
Acción correcta: garantizar que la IA no introduzca sesgos en la evaluación y que los resultados puedan ser revisados.
Recomendación de cursos: IA que sugiere itinerarios formativos o cursos complementarios basados en los intereses y rendimiento del alumno. Acción correcta: la recomendación es una sugerencia, no una imposición.
En industria y logística:
Optimización de rutas: IA que planifica las rutas de entrega más eficientes para el transporte de mercancías. Acción correcta: enfocarse en la eficiencia y la reducción de emisiones, sin violar la privacidad.
Mantenimiento predictivo: IA que analiza datos de sensores en maquinaria para predecir fallos y realizar mantenimiento antes de que ocurran. Acción correcta: mejorar la seguridad y la eficiencia, sin uso para vigilancia laboral intrusiva.
Control de calidad: Sistemas de visión artificial con IA que inspeccionan productos en una cadena de montaje para detectar defectos. Acción correcta: programados para criterios objetivos y con supervisión humana periódica.
Gestión energética: IA que optimiza el consumo de energía en edificios o procesos industriales. Acción correcta: priorizar la eficiencia y la sostenibilidad, sin recoger datos personales innecesarios.
En el ámbito público y gubernamental (con las máximas garantías):
- Gestión del tráfico: IA que optimiza los semáforos y el flujo de vehículos en ciudades para reducir atascos. Acción correcta: basada en datos anónimos de tráfico, no en seguimiento individual.
Previsión meteorológica: IA que mejora la precisión de los pronósticos del tiempo para la gestión de riesgos. Acción correcta: validada y auditada por expertos en meteorología.
Detección de fraudes fiscales: IA que analiza patrones en declaraciones de impuestos para identificar posibles fraudes. Acción correcta: el sistema solo sugiere casos sospechosos, la investigación y decisión final es de un inspector humano.
En servicios y consumo:
Asistentes de voz (ej. Siri, Alexa): IA que responde a preguntas, programa recordatorios y controla dispositivos inteligentes. Acción correcta: informar sobre el uso de datos, permitir la desactivación y garantizar la privacidad del audio.
Traductores automáticos: IA que facilita la comunicación en diferentes idiomas en tiempo real.
Acción correcta: ofrecer la opción de no guardar las conversaciones para proteger la privacidad.
Filtros de contenidos (seguridad): IA que detecta y bloquea material ilegal o dañino (ej. pornografía infantil) en plataformas online.
Acción correcta: enfocado en la protección, con criterios claros y posibilidad de revisión.
Personalización de experiencias (contenido): IA que sugiere películas, libros o música basados en las preferencias del usuario.
Acción correcta: ofrecer control al usuario para ajustar las preferencias y «descubrir» nuevo contenido.
Procesamiento de lenguaje natural para resumen: IA que resume documentos largos o noticias para facilitar la comprensión.
Acción correcta: siempre indicar la fuente original y el uso de IA para el resumen.
Conclusión: no es un freno, es un manual de instrucciones
La Ley de Inteligencia Artificial no ha venido a detener la innovación, sino a canalizarla. Es un manual de instrucciones para construir un futuro digital donde la tecnología esté a nuestro servicio, de forma segura, justa y transparente. Conocer estas reglas no solo es una obligación para evitar sanciones millonarias; es una oportunidad para generar confianza y liderar el desarrollo de una IA verdaderamente humana. La alerta ya está activada: ignorar la ley ya no es una opción.
