Los directores jurídicos son ahora personalmente responsables de la gobernanza de la IA, no sólo sus proveedores de TI. La Ley de IA de la UE es el primer marco integral de gobernanza de la IA que pone en marcha este tipo de iniciativas. Establecida por la Unión Europea, entró en vigor en agosto de 2024. Y se ha ido aplicando progresivamente en todos los Estados miembros. La siguiente oleada importante de obligaciones está prevista a partir de agosto de 2026. Por ello, la supervisión legal pasa de ser una cuestión de proveedores a una responsabilidad de los consejos de administración.
El director jurídico y la función jurídica se están convirtiendo en coordinadores de la Ley a nivel interno. Y van transformando una normativa en un modelo operativo viable.
La gestión de riesgos de la IA no es un proyecto puntual.
A diferencia de otras normativas, la Ley de IA necesita una hoja de ruta y un seguimiento continuo. Su enfoque gradual, con el cumplimiento de la obligación desde 2024 y la previsión de que finalice en agosto de 2027, indica esta necesidad de supervisión continua.
Cuatro retos clave para el Director Jurídico
La siguiente lista no es exhaustiva, ya que los retos varían sin duda en función del sector, el tamaño de la empresa y, por supuesto, la preparación para la IA. No obstante, identificamos cuatro retos comunes de la Ley de IA que supondrán un desafío para los equipos jurídicos internos.
Clasificación en un contexto complejo
El marco normativo de la UE comprende un amplio conjunto de normas a seguir a la hora de clasificar los riesgos de las herramientas de IA, ya sean creadas e implantadas internamente o por terceros proveedores de servicios. Un dato clave que hay que tener en cuenta es que, según la Ley de IA, un sistema que en principio parece de bajo riesgo puede resultar ser de alto riesgo en función del uso, la integración o la personalización de la herramienta.
El papel del Director Jurídico se ampliará más allá del asesoramiento. Debe establecer procesos claros para definir las herramientas y servicios de IA de alto riesgo y asignar. O, al menos, ayudar a asignar a los responsables de esas decisiones.
Elegir a los proveedores adecuados
El riesgo contractual será una preocupación importante para muchas organizaciones. Esto se debe a que la mayoría de las empresas confían en herramientas de IA de terceros para el trabajo interno (piense en una herramienta de revisión de contratos impulsada por IA) y, aunque los proveedores proporcionarán cierta información, el director jurídico y su equipo deberán asegurarse de que no existan brechas de riesgo jurídico.
Según la normativa, los proveedores de servicios de IA deben facilitar información transparente sobre el comportamiento del sistema, los datos de entrenamiento y las actualizaciones. Pero para estar completamente seguros, el director jurídico debe asegurarse de que los contratos asignen claramente las responsabilidades. El antiguo modelo que trasladaba toda la responsabilidad de cualquier incidente al proveedor ya no es válido. Los directores jurídicos deben ahora verificar, documentar y asumir la responsabilidad del cumplimiento normativo de cada sistema de IA de alto riesgo que implementen.
Nota sobre la gobernanza de datos:
Los requisitos del artículo 10 sobre la calidad de los datos de entrenamiento, la representatividad y el examen de sesgos son especialmente relevantes para las herramientas de IA jurídica entrenadas con documentos jurídicos históricos, que corren el riesgo de codificar sesgos jurisdiccionales, demográficos o jurisprudenciales. Los proveedores deben realizar auditorías proactivas de sesgos, y el principio de minimización de datos del RGPD crea una tensión inherente con la exigencia de la Ley de contar con conjuntos de datos suficientemente representativos.
Hacer operativo el cumplimiento
Un tercer reto consiste en hacer que el cumplimiento sea operativo. La Ley de IA exige algo más que una interpretación jurídica; requiere documentación, formación, gobernanza y un seguimiento continuo. Para los directores jurídicos, la verdadera cuestión es cómo integrar estos controles en los procesos de adquisición, las aprobaciones de implementación y las revisiones periódicas.
La paradoja del «secreto profesional»
Esta es quizás la tensión más aguda para los directores jurídicos: los requisitos de transparencia y registro de la Ley (artículos 12 y 13) exigen pistas de auditoría documentadas de las operaciones de los sistemas de IA. Esto parecería normal, pero en contextos jurídicos esos mismos registros, indicaciones y metadatos pueden convertirse en registros susceptibles de ser revelados que comprometan el secreto profesional.
Se han identificado varias áreas de riesgo importantes, como la clasificación errónea por parte de la IA de documentos confidenciales en el eDiscovery o la transcripción por IA de comunicaciones confidenciales. Para la función jurídica en su conjunto, es necesario mantener estos riesgos bajo control.
Imaginemos un escenario en el que un director jurídico recibe una solicitud de divulgación que incluye registros generados por IA procedentes de flujos de trabajo de revisión de contratos internos. Esos registros pueden revelar razonamientos estratégicos, estrategias de litigio o asesoramiento confidencial a clientes. Todo ello protegido históricamente por secreto profesional. Ahora son pistas de auditoría exigidas por ley. La tensión es real: el cumplimiento exige transparencia, pero el secreto profesional depende de la confidencialidad.
La respuesta radica en diseñar una gobernanza de la IA que tenga en cuenta el secreto profesional desde el principio. Esto implica implementar controles de acceso basados en roles, segregar los flujos de trabajo confidenciales del uso empresarial general y garantizar que los registros de IA distingan entre datos operativos y análisis jurídicos protegidos. En la práctica, se trata de integrar el secreto profesional en la arquitectura del sistema. No consiste en adaptarlo a posteriori tras la implementación.
La buena noticia es que la Ley de IA establece una serie de obligaciones prácticas de control para mitigar tales riesgos. El cumplimiento de estas obligaciones no es una auditoría puntual, sino un modelo operativo continuo.
Cumplimiento de la normativa por parte de los equipos jurídicos
El tiempo corre: a partir de agosto de 2026, todo despacho de abogados y departamento jurídico que despliegue herramientas de IA clasificadas como de alto riesgo por la Ley deberá cumplir con las obligaciones establecidas en el artículo 26, citado a continuación.
| Un inventario de IA | Debe clasificar todas las herramientas en las categorías del anexo III. Estas herramientas se consideran automáticamente de alto riesgo. |
| Determinación de funciones | Los proveedores y los implementadores deben estar claramente definidos. Cabe destacar que, en determinadas circunstancias, el «white labelling» puede convertir a los implementadores en proveedores. |
| Protocolos de supervisión humana | Debe haber responsables designados y formados con autoridad para anular decisiones.* |
| Sistemas de conservación de registros | La conservación de registros es de un mínimo de 6 meses para los implementadores de sistemas de IA. |
| Formación en conocimientos de IA | Esto es obligatorio desde febrero de 2025. La formación debe estar disponible para todos los usuarios. |
| Contratos con proveedores | Debe garantizar el acceso a la documentación técnica, la notificación de incidentes y el cumplimiento del tratamiento de datos. |
Director Jurídico y equipos jurídicos, la responsabilidad también está en sus manos
La Ley de IA de la UE hace que la gobernanza de la información deje de ser una función administrativa. Y pase a convertirse en una disciplina de cumplimiento de primera línea. Para que las organizaciones prosperen, la Ley de IA debe verse como una oportunidad para crear arquitecturas de gobernanza interna que hagan que la IA sea defendible y valiosa.
La función jurídica y el director jurídico están en una posición única para llevar la normativa a la realidad operativa y vincularla a los objetivos de toda la empresa. En la práctica, esto significa educar a los usuarios. Y, a la vez, integrar controles de cumplimiento en agentes o flujos de trabajo de IA.
Por eso, la verdadera cuestión no es si el ámbito jurídico participa en la gobernanza de la IA, sino cómo debe y puede liderarla.
Referencias:
[1] AI Act | El futuro digital de Europa
[2] Entra en vigor la Ley de IA – Comisión Europea
[3] Calendario de aplicación de la Ley de Inteligencia Artificial de la UE
[4] Calendario de aplicación de la Ley de AI de la UE | AI Act Service Desk
[5] Ley de IA De los plazos a las tensiones Resumen de mediados de 2025
[6] La Ley de AI de la UE: Actualización sobre el calendario de aplicación e implicaciones …
[7] Actualización de la Ley 2026 sobre IA de la UE: Requisitos de cumplimiento y …
