El Reglamento de IA de la UE es la regulación basada en riesgo de la Unión Europea sobre los sistemas de inteligencia artificial, en vigor desde agosto de 2024 con aplicación gradual hasta 2027. Para los equipos legales que operan en la UE o que prestan servicios a clientes en la UE, crea dos capas de obligaciones: (a) cumplimiento para los sistemas de AI que el propio equipo legal usa (su política de AI interna), y (b) trabajo de asesoramiento para clientes que implementan AI en dominios de mayor riesgo. El Reglamento se sitúa junto al GDPR (sin reemplazarlo), que continúa rigiendo el procesamiento de datos personales, incluido el entrenamiento e inferencia de AI.
Los cuatro niveles de riesgo
| Nivel | Ejemplos relevantes para la práctica legal | Obligaciones |
|---|---|---|
| Inaceptable | Puntuación social, reconocimiento de emociones en el lugar de trabajo, AI manipuladora | Prohibidos completamente |
| Alto riesgo | AI utilizada en la administración de justicia (apoyo a decisiones judiciales), empleo (screening de CV, evaluación de desempeño), acceso a infraestructura crítica | Evaluación de conformidad, registro, monitoreo continuo, supervisión humana |
| Riesgo limitado | La mayoría de las herramientas de AI legal (asistentes de redacción, revisión de contratos, investigación) cuando interactúan con personas | Transparencia: divulgar el uso de AI a las partes con las que se interactúa |
| Riesgo mínimo | Filtros de spam, videojuegos habilitados con AI | Sin obligaciones específicas |
Para la mayoría de los equipos legales internos que utilizan AI para la revisión y redacción interna de contratos, el nivel relevante es el de riesgo limitado —aplican obligaciones de transparencia, pero no la evaluación de conformidad—.
Cuándo el uso de AI propio del equipo legal pasa a ser de alto riesgo
El uso de AI por parte de un equipo legal rara vez cruza al nivel de alto riesgo por sí mismo. Puede hacerlo cuando:
- La AI se utiliza en decisiones de empleo (evaluaciones de desempeño, decisiones de contratación, despidos) sobre el personal del despacho o los empleados del cliente
- La AI se utiliza para apoyar la toma de decisiones judiciales (p. ej., herramientas de AI utilizadas por los tribunales que el despacho suministra u opera)
- La AI se utiliza para evaluar la solvencia crediticia o la elegibilidad para seguros de personas físicas
Para la mayoría de los trabajos de revisión de contratos, investigación y redacción, la AI es de riesgo limitado y las obligaciones son principalmente de transparencia.
Obligaciones de transparencia
Los sistemas de AI de riesgo limitado deben:
- Divulgar a las personas con las que interactúan. Cuando la AI interactúa con personas (chatbot, comunicación redactada por AI), el sistema debe divulgar la naturaleza de AI salvo que sea claramente evidente por el contexto.
- Marcar el contenido generado por AI. Algunas categorías de contenido generado por AI (deepfakes, medios sintéticos) requieren etiquetado.
- Documentar para los usuarios downstream. Los proveedores de modelos de AI de propósito general deben publicar documentación que permita a los implementadores downstream cumplir con sus propias obligaciones.
Para la práctica legal: las comunicaciones con clientes redactadas por AI, los escritos generados por AI y los resúmenes creados por AI deben divulgarse al destinatario cuando sea material.
Aplicación gradual
| Fecha | Qué aplica |
|---|---|
| Feb 2025 | Prácticas prohibidas prohibidas; obligaciones de alfabetización en AI comienzan |
| Ago 2025 | Normas de gobernanza; obligaciones de modelos de AI de propósito general |
| Ago 2026 | Requisitos para sistemas de alto riesgo (la mayoría de las categorías) |
| Ago 2027 | Requisitos para sistemas de alto riesgo (categorías restantes) |
Los equipos legales que asesoran a clientes sobre cumplimiento de AI deben rastrear cuidadosamente las fechas graduales —diferentes obligaciones entran en vigor en diferentes momentos—.
Interacción con el GDPR
El Reglamento de IA de la UE no reemplaza al GDPR. Ambos aplican cuando la AI procesa datos personales:
- El GDPR rige el procesamiento de datos personales. Base legal, minimización de datos, derechos de los interesados, requisitos de DPA con proveedores de AI.
- El Reglamento de IA de la UE rige el propio sistema de AI. Transparencia, clasificación de riesgo, conformidad para sistemas de alto riesgo.
Para un proveedor de AI que procesa datos personales, aplican ambas regulaciones. Los equipos legales que revisan contratos de proveedores de AI deben verificar el cumplimiento de ambos regímenes.
Cómo operacionalizarlo para equipos legales internos
- Inventariar las herramientas de AI utilizadas. Cada sistema de AI en uso por el equipo legal y las funciones adyacentes, con clasificación de nivel de riesgo bajo el Reglamento de IA.
- Incorporar el cumplimiento en la diligencia debida de proveedores. Los proveedores de AI reciben un addendum de Reglamento de IA durante la diligencia: confirmación del nivel de riesgo, divulgaciones de transparencia, cumplimiento del GDPR, origen de los datos de entrenamiento.
- Actualizar la política de AI para la transparencia. El uso interno de AI para trabajo con clientes debe divulgar la participación de la AI según corresponda; el uso externo (chatbots, comunicaciones redactadas por AI) requiere divulgación explícita.
- Formación en alfabetización de AI. El Reglamento crea una obligación de alfabetización —el personal que utiliza AI debe tener formación adecuada—. Incorpora en los ciclos de formación existentes sobre política de AI.
- Seguir los desarrollos regulatorios. La Oficina de AI de la UE está publicando orientaciones hasta 2027; las clasificaciones de riesgo y las listas de alto riesgo evolucionarán.
Errores frecuentes
- Asumir que la AI legal es de alto riesgo por defecto. La mayoría de los usos de AI legal son de riesgo limitado; una sobre-clasificación crea una carga de cumplimiento innecesaria.
- Tratar el Reglamento de IA y el GDPR como un solo régimen. Son distintos; cumplir uno no completa el otro.
- Ignorar el alcance extraterritorial. Las firmas de EE. UU. con clientes o operaciones en la UE pueden estar sujetas a los requisitos del Reglamento de IA incluso sin establecimiento en la UE.
- Evaluación de cumplimiento estática. La clasificación de nivel de riesgo es por implementación, no por proveedor; la misma herramienta de AI utilizada en diferentes contextos puede tener diferentes obligaciones.
Relacionado
- Política de AI para equipos legales — el marco de política interna más amplio
- GDPR para equipos legales — la capa de protección de datos que se intersecta con la AI
- Checklist de DPA — condiciones de protección de datos de proveedores relevantes para proveedores de AI
- ¿Qué es Legal Ops? — la función que coordina el cumplimiento del Reglamento de IA internamente