Contenido

    Estos son los 7 puntos que cubre este artículo sobre qué deben saber los equipos legales y los DPO sobre la AI Act:

    1. Por qué la AI Act no es solo un tema de ingeniería
    2. Qué papel juega el equipo legal y el DPO en la gobernanza de IA
    3. Cómo funciona la clasificación de riesgo y qué debes revisar
    4. Qué implica la categoría de alto riesgo para la carga documental
    5. Qué cambia con los modelos fundacionales y el propósito general
    6. Cómo conectar AI Act y RGPD sin duplicar esfuerzos
    7. Errores que te pueden frenar al empezar (y cómo abordarlos)

    La AI Act ya no es “una conversación”.

    Es un marco legal que afecta a cómo se diseñan, se integran y se operan sistemas de IA.

    Y, aunque la ingeniería es clave, la gobernanza de la AI Act requiere interpretación, trazabilidad documental y coordinación con responsabilidades legales y de protección de datos.

    Por qué la AI Act también afecta a legal y a los DPO

    Cuando una organización incorpora IA en productos, procesos o decisiones, aparecen preguntas legales y de derechos fundamentales.

    Esas preguntas no desaparecen al entregar “la parte técnica”.

    El equipo legal y el DPO suelen ser quienes ya manejan: riesgo, responsabilidad, documentación, y coordinación entre áreas.

    La AI Act refuerza ese encaje porque convierte la gobernanza en un proceso verificable: clasificar, documentar, supervisar y demostrar.

    Qué aporta legal y qué aporta el DPO (sin solaparse mal)

    El equipo legal suele liderar interpretación normativa, contratos, responsabilidad y gobernanza frente a dirección.

    El DPO suele liderar el encaje con protección de datos, derechos de las personas y coherencia con el programa de privacidad existente.

    La AI Act no “reemplaza” al DPO, pero sí obliga a que el DPO entienda dónde la IA toca datos personales y dónde la gobernanza de IA necesita puentes con DPIA, registro de actividades y políticas.

    Si ambos equipos trabajan en silos, lo típico es documentación duplicada o contradictoria.

    Clasificación de riesgo: lo que legal y DPO deben revisar primero

    El primer paso práctico es entender en qué categoría cae el uso de IA.

    La AI Act utiliza un modelo escalonado: sistemas prohibidos, alto riesgo, obligaciones de transparencia y, en ciertos casos, riesgo mínimo.

    Para el equipo legal y el DPO, la clasificación no es un ejercicio teórico.

    Determina qué documentación es necesaria, qué mecanismos de control deben existir y cómo se gestionan las responsabilidades internas.

    En la práctica, antes de “escribir procedimientos”, revisa: qué casos de uso reales existen, qué impacto tienen sobre derechos de las personas, y si el sistema influye en decisiones (por ejemplo, contratación, crédito, salud o diagnósticos).

    Esa base es la que permite diseñar un plan de gobernanza con orden.

    Un inventario mínimo de casos de uso (plantilla de trabajo)

    Antes de discutir “herramientas”, conviene una tabla simple:

    • Nombre del caso de uso (qué hace el sistema en el negocio)
    • Entrada/salida (qué datos entran y qué resultado sale)
    • Quién decide (humano en el bucle o no)
    • Impacto en personas (si afecta a derechos, acceso a servicios, oportunidades, salud, etc.)
    • Proveedor (si es tercero) y alcance contractual básico

    Ese inventario no sustituye el análisis legal, pero evita que el debate sea abstracto.

    Alto riesgo: por qué la carga documental se vuelve crítica

    Cuando un sistema cae en alto riesgo, la empresa se enfrenta a requisitos más exigentes.

    Esto suele traducirse en una mayor necesidad de: documentación técnica, evaluaciones de conformidad, trazabilidad y registros, información clara para el usuario, y mecanismos de supervisión humana efectiva.

    Aunque la ingeniería produce parte de la evidencia, legal y DPO deben asegurar que: la documentación tiene propósito, la trazabilidad responde a preguntas regulatorias, y que la gobernanza no se queda en un “repositorio” sin coherencia.

    Aquí es donde los equipos que ya trabajan con accountability y registros suelen aportar valor inmediato.

    Documentación con propósito: preguntas que debe poder responder legal

    Cuando revises un paquete documental, haz que “cierre” con respuestas claras:

    • ¿qué hace el sistema y para qué se usa?
    • ¿qué riesgos identifica la organización y cómo se mitigan?
    • ¿quién supervisa y cómo se corrige si algo va mal?
    • ¿qué información recibe el usuario final y cómo puede ejercer derechos cuando aplique?

    Si la documentación no responde esas preguntas, probablemente falta gobernanza operativa, no “más PDF”.

    Modelos fundacionales y propósito general: nuevas preguntas para legal

    Los modelos fundacionales y los sistemas de propósito general introducen un matiz importante: muchas organizaciones no “desarrollan” el modelo, pero sí lo integran mediante APIs, ajustes o componentes embebidos.

    Eso puede generar obligaciones por el uso y por el contexto en el que se opera el sistema.

    Para legal y DPO, aparecen preguntas adicionales: qué representaciones ofrecen los proveedores, cómo se gestiona el uso posterior de outputs, y cómo se controla la trazabilidad del tratamiento de datos dentro del flujo completo.

    En vez de esperar a que el equipo técnico resuelva “la conformidad”, conviene que legal y DPO lideren el mapeo de incertidumbres.

    Así, la documentación no se improvisa al final.

    Checklist de contratación (sin sustituir asesoramiento legal)

    En proveedores de modelos o APIs, suele ayudar alinear expectativas sobre:

    • alcance del servicio y límites de uso
    • representaciones sobre cumplimiento y actualizaciones
    • subencargados y transferencias (si existen)
    • registros y cooperación ante incidentes
    • salida del proveedor (qué pasa si cambias de modelo)

    El objetivo no es “meter cláusulas bonitas”.

    Es que el contrato refleje cómo operáis en la práctica y qué evidencia podéis exigir.

    AI Act y RGPD: se cruzan, pero no son lo mismo

    La AI Act no sustituye al RGPD.

    Pero en la operación real se tocan.

    La intersección suele aparecer cuando hay: uso de datos personales en entrenamiento o inferencia, perfilado y decisiones automatizadas, evaluaciones de impacto, y responsabilidades frente a proveedores.

    En ese punto, el DPO es un “puente” natural.

    Si quieres refrescar qué abarca el rol del DPO en la UE, revisa Data Protection Officer (DPO) Responsibilities in the EU.

    La meta es evitar duplicidades y contradicciones. Para eso, no basta con tener dos líneas de trabajo separadas. Necesitas una coordinación explícita entre “gobernanza de datos” y “gobernanza de IA”.

    DPIA y evaluaciones de riesgo: evitar duplicar sin perder rigor

    Cuando un sistema usa datos personales, es habitual que existan procesos de evaluación en privacidad.

    La clave es definir qué parte cubre el RGPD y qué parte cubre la gobernanza de IA, sin generar dos universos paralelos que nadie mantenga.

    Una práctica útil es un mapa de controles: un mismo riesgo, un dueño, una evidencia, una periodicidad de revisión.

    Cómo conectar gobierno de IA con un sistema auditable

    La pregunta práctica para un equipo legal y DPO es: ¿cómo convierto estas obligaciones en un proceso que sobreviva a los cambios de producto?

    Una forma de estructurar gobernanza de IA sin inventar desde cero es apoyarte en estándares de sistema de gestión.

    Por ejemplo, puedes usar ISO/IEC 42001:2023 (AIMS) – AI management systems como referencia para ordenar responsabilidades, documentación y evaluación continua.

    No reemplaza la ley. Pero ayuda a que el trabajo sea coherente, auditable y mantenible.

    Rutina recomendada: revisión trimestral “ligera”

    No hace falta un comité eterno.

    Pero sí una revisión periódica corta que responda:

    • ¿hay nuevos casos de uso?
    • ¿cambió el proveedor o el modelo?
    • ¿hubo incidentes o feedback regulatorio interno?
    • ¿se actualizó documentación y propietarios?

    Esa rutina evita que la gobernanza se quede congelada en el momento del lanzamiento.

    Cómo coordinar con producto, ingeniería y compras sin convertir legal en cuello de botella

    El riesgo más común no es “no saber la ley”.

    Es llegar tarde al ciclo de decisión.

    Definir “gates” mínimos (ligero, pero real)

    No hace falta bloquear cada PR.

    Sí suele ayudar definir momentos en los que legal/DPO entran sí o sí:

    • nuevo caso de uso con datos personales o decisiones automatizadas
    • cambio de proveedor de modelo o API
    • ampliación a nuevos mercados o segmentos sensibles
    • integración en flujos de cliente final (UX, mensajes, transparencia)

    El objetivo es evitar el patrón “ya está en producción, ahora arreglamos compliance”.

    Compras y vendor management: dejar claro qué evidencia exiges

    Legal puede ayudar a estandarizar un paquete mínimo de preguntas y cláusulas para proveedores de IA.

    No sustituye negociación comercial, pero reduce improvisación cuando cada compra es un mundo distinto.

    Lenguaje común entre legal y tecnología

    Mucha fricción viene de vocabulario.

    Conviene acordar definiciones internas simples: qué es un “caso de uso”, qué cuenta como “dato personal” en vuestro contexto, qué es un “output” y cómo se registra, y qué significa “supervisión humana” en vuestro producto.

    Eso acelera revisiones y reduce malentendidos en documentación.

    Registro de decisiones (ligero)

    Un log corto de decisiones (fecha, caso, conclusión, responsable) ayuda a mantener trazabilidad sin convertir el día a día en un juicio.

    Es especialmente útil cuando el producto itera rápido.

    Errores que te pueden frenar

    Tratar la AI Act como un asunto solo de ingeniería

    Si legal y DPO quedan fuera del ciclo de clasificación y documentación, el resultado suele ser “evidencia” sin trazabilidad de responsabilidad.

    La AI Act pide coordinación, no delegación total.

    No hacer una clasificación real de usos

    Clasificar a mano al final genera retrabajo.

    Si no mapeas casos de uso e impacto, no sabes qué obligaciones te aplican ni qué evidencia faltará.

    Separar governance de IA y RGPD sin puentes

    Puedes terminar con procedimientos que dicen cosas distintas.

    La corrección exige conectar la lógica de DPIA/gestión de riesgo con el ciclo de documentación y supervisión de IA.

    Olvidar contratos y gestión de proveedores con foco en IA

    La gobernanza no vive solo en el sistema.

    Vive en cómo compras, integras y controlas proveedores y modelos.

    Si no lo incorporas desde el diseño, la documentación se rompe cuando cambia el proveedor.

    Cómo puede ayudarte PrivaLex con la AI Act para legal y DPO

    En PrivaLex ayudamos a equipos legales y DPO a convertir la AI Act en un plan de gobernanza comprensible y documentalmente coherente.

    Trabajamos con un enfoque de:

    • mapeo de casos de uso y clasificación de riesgo
    • alineación entre obligaciones de IA y RGPD para evitar duplicidades
    • documentación y trazabilidad lista para revisión
    • coordinación con tecnología y producto para que la implementación no se desconecte del cumplimiento

    Agenda una sesión estratégica con PrivaLex para definir un punto de partida realista.

    Preguntas Frecuentes (FAQs)

    A más áreas de las que mucha gente piensa. La AI Act requiere que la organización clasifique usos, documente evidencia y supervisa sistemas. Eso involucra legal, riesgo y protección de datos, no solo ingeniería.

    También suele afectar a producto (mensajes al usuario, flujos), ventas (promesas en demos) y soporte (uso interno de asistentes), porque el riesgo regulatorio no solo vive en el código.

    Primero, un mapeo de casos de uso reales y cómo impactan en derechos.Con esa base, se entiende la clasificación y las obligaciones documentales asociadas.
    Si empezáis por “comprar herramienta” sin mapa, normalmente pagáis el coste después en retrabajo documental y en incoherencias entre equipos.

    Significa más exigencia documental, más trazabilidad y una gobernanza más estructurada de supervisión humana y seguimiento. Tu equipo debe asegurar que la evidencia tenga propósito y coherencia.

    En la práctica, suele implicar más revisiones, más registros y más disciplina en cambios de producto, porque cada cambio puede alterar el perfil de riesgo.

    Se cruzan sobre datos personales, perfilado, decisiones automatizadas y responsabilidades con proveedores. El objetivo es que el ciclo de documentación y evaluación no choque entre sí.

    Un enfoque útil es tratar la AI Act y el RGPD como dos lentes sobre el mismo sistema: una lente de gobierno de IA y otra de derechos y tratamiento de datos, con un solo “dueño” de coherencia entre ambas.

    Aunque no los desarrolles, integrarlos puede generar obligaciones según el uso y el contexto. Legal y DPO deben asegurar que la trazabilidad y las garantías del proveedor se integran en los procesos internos.
    En muchos casos, el trabajo clave es acotar uso, definir límites en el producto y documentar qué datos entran y salen del flujo.

    Definiendo una ruta: mapear casos, clasificar, ordenar documentación y acordar responsabilidades entre legal, DPO y tecnología. Así evitas improvisar al final.

    Un arranque pragmático suele ser: inventario mínimo, gates claros, plantillas de revisión y un ritmo de seguimiento que el equipo pueda mantener.

    Aunque el detalle lo lleven legal y DPO, dirección suele ser quien fija prioridades y recursos. Sin un mensaje claro de arriba, la gobernanza degenera en “proyecto paralelo” que se aparca cuando hay release.

    Un patrón sencillo es que dirección apruebe el inventario de casos de uso, el apetito de riesgo y el calendario de revisiones.

    Siguiente paso

    Si quieres transformar la AI Act en un plan de gobernanza que sea mantenible, empieza por los casos de uso y el mapeo de riesgos.

    El siguiente paso operativo suele ser acordar un calendario de revisiones y un inventario vivo: sin eso, la gobernanza se desactualiza en cuanto el producto cambia.

    Empieza pequeño, pero deja constancia: una decisión documentada hoy evita debates interminables mañana.

    Agenda una sesión estratégica con PrivaLex y definimos la hoja de ruta con tu equipo.

    Foto del avatar

    Diana Illueca

    Diana specializes in data protection and privacy, guiding companies through the practical realities of GDPR compliance and European privacy regulation. At PrivaLex Partners, she helps organizations build robust compliance programs from the ground up and acts as an external DPO for clients across a range of industries. Diana’s strength lies in making the law accessible, translating dense regulatory requirements into clear, actionable steps that fit seamlessly within each client’s business objectives. Her approach is collaborative, pragmatic, and always grounded in what actually works in practice.

    Webinar gratuito el 20 de mayo: prepárate para la auditoría con NIS2, ISO 27001 y ENS, con PrivaLex y Factorial IT.

    Ver webinar