¿Tu empresa cumple con la normativa de Inteligencia Artificial en 2026? La guía legal que necesitas antes de usar IA (y cómo pasar una auditoría de cumplimiento)

19 marzo, 2026
–
Inteligencia artificial / Propiedad intelectual, Sin categoría
–
Lucas Charnet

!Empresa usando inteligencia artificial: guía legal de cumplimiento y auditoría normativa IA 2026

Hay un tipo de riesgo legal que se cuela sin hacer ruido. No llega con un burofax, ni con una demanda, ni con un requerimiento de retirada. Llega antes, cuando una empresa empieza a usar inteligencia artificial “como quien instala una nueva app”: para redactar textos, automatizar respuestas, seleccionar candidatos, diseñar imágenes para campañas, generar vídeos, resumir contratos o incluso crear música y locuciones. Todo funciona… hasta que alguien pregunta la frase incómoda: “¿Esto cumple?”.

En 2026, esa pregunta ya no es teórica. Europa ha puesto en marcha el marco regulatorio más ambicioso del mundo en materia de inteligencia artificial. España, además, ha activado organismos de supervisión y está aterrizando el modelo europeo para convertirlo en cumplimiento real. Y, para el sector creativo, el impacto es doble: no solo hablamos de “normativa de IA”, sino de propiedad intelectual, derechos de autor, licencias, transparencia y trazabilidad. En MES Advocats lo vemos cada semana: muchas empresas no buscan “hacer algo mal”, pero sí están usando IA sin mapa, y eso es justo lo que genera problemas.

Este artículo está escrito para que cualquier responsable de empresa, marketing, legal, RR. HH. o producción cultural pueda entender el panorama y, sobre todo, para que pueda hacerse una radiografía rápida: dónde estoy, qué riesgos tengo y cuándo necesito una auditoría legal de IA. Si prefieres escucharlo en formato divulgativo, lo tratamos también en nuestro podcast Autores con Derechos, episodio #58.

Como hacemos habitualmente en nuestro blog, el enfoque es práctico y narrativo, orientado a evitar sustos y a convertir el cumplimiento en ventaja competitiva.

La normativa de inteligencia artificial no es una sola ley: es un sistema por capas

Una de las confusiones más habituales es pensar que existe una “ley única” que lo regula todo. En realidad, lo que tenemos es un marco por capas. Primero aparecen principios internacionales que fijan un suelo mínimo. Después llega el gran bloque europeo que armoniza las reglas para todo el mercado interior. Y por último, cada Estado —España incluida— organiza autoridades, procedimientos y mecanismos de supervisión. El resultado es muy práctico: usar inteligencia artificial deja de ser un “tema de IT” y pasa a ser un tema de gobernanza corporativa y cumplimiento. Lo importante no es si tu empresa “desarrolla” IA, sino si la usa en actividades que afectan a personas, a consumidores, a datos o a contenidos creativos.

En otras palabras: igual que conducir no consiste solo en saber acelerar, frenar y girar, usar IA ya no consiste solo en “saber pedirle cosas a la herramienta”. El regulador pregunta por cuatro cosas muy concretas: para qué la usas, con qué datos, qué impacto tiene y qué controles has implantado.

Nivel internacional: la IA no puede ser una “zona sin ley”

A escala internacional, el movimiento más relevante no es una lista interminable de normas, sino una idea que se está consolidando: la IA debe respetar derechos humanos, democracia y Estado de Derecho. En Europa, un hito importante ha sido el Convenio Marco del Consejo de Europa sobre IA y derechos fundamentales, abierto a firma el 5 de septiembre de 2024, precisamente con la vocación de fijar ese “suelo” común. No se trata de frenar la innovación, sino de evitar que el despliegue tecnológico normalice prácticas que, en cualquier otro contexto, serían inaceptables: manipulación, discriminación, opacidad, suplantaciones o decisiones automatizadas sin garantías.

Y si miramos a Estados Unidos, el contraste es útil para entender por qué en Europa se habla tanto de “cumplimiento”. Allí el gran problema suele ser la fragmentación regulatoria, con enfoques que varían por estados, sectores y agencias. Esto importa muchísimo a cualquier empresa que opere en varios territorios: en Europa, el cumplimiento tenderá a ser más uniforme por la existencia de un reglamento común; en EE. UU., el reto suele ser gestionar diferencias y adaptar políticas de forma más compleja.

Europa: el AI Act es el nuevo “código de circulación” de la IA

El corazón del sistema europeo es el Reglamento Europeo de Inteligencia Artificial, conocido como AI Act. Y conviene decirlo sin rodeos: es la norma que marca “las reglas del juego” para introducir, ofrecer y usar sistemas de IA en Europa. La Comisión Europea lo explica de forma muy clara en su portal oficial, con calendario y enfoque por riesgos.

Lo más importante del AI Act es que no intenta regular la IA como un bloque homogéneo. Lo que hace es clasificar los usos según el nivel de riesgo. Esto evita el típico debate abstracto de “IA sí / IA no” y lo transforma en preguntas concretas: ¿estás usando IA en un ámbito sensible? ¿afecta a derechos? ¿puede generar discriminación o daño? ¿estás creando contenido que puede confundir al público?

Esa clasificación se traduce en tres grandes consecuencias prácticas. En primer lugar, hay prácticas que la Unión Europea considera tan peligrosas que directamente las prohíbe. En segundo lugar, hay usos de alto riesgo, donde la IA puede afectar seriamente a personas —su acceso a empleo, a servicios, a oportunidades, a seguridad— y ahí la ley exige un paquete de medidas: gestión de riesgos, documentación, trazabilidad, calidad de datos, supervisión humana, controles de seguridad y obligación de poder explicar lo que hace el sistema. Y, en tercer lugar, existe un bloque donde lo clave es la transparencia, especialmente cuando se trata de interacción con sistemas automatizados o de contenidos sintéticos capaces de simular realidad.

Aquí es donde muchas empresas se sorprenden. Porque “transparencia” no es un concepto teórico: en marketing, audiovisual o redes sociales puede significar que, en determinados casos, tengas que informar de que un contenido está generado o manipulado con IA, o de que el usuario está interactuando con un sistema automatizado. Y esto no solo evita sanciones: reduce riesgos reputacionales, protege a consumidores y genera confianza en la marca.

El calendario de aplicación: lo que ya aplica y lo que entra en breve

Otra idea esencial para cualquier auditoría de IA es el calendario. El AI Act entró en vigor el 1 de agosto de 2024 y su aplicación es progresiva. La Comisión Europea detalla el cronograma: desde el 2 de febrero de 2025 comenzaron a aplicarse las prohibiciones y la obligación de alfabetización en IA; el 2 de agosto de 2025 entraron en vigor reglas de gobernanza y obligaciones para modelos de propósito general (GPAI); y el 2 de agosto de 2026 llega la aplicación general, con una transición más larga hasta 2027 para ciertos sistemas de alto riesgo integrados en productos regulados.

Este calendario es clave porque desmonta un mito: “esto ya lo veremos”. No. Una empresa que usa IA hoy ya debería haber abordado, como mínimo, la formación básica interna sobre uso responsable, la identificación de casos sensibles y la trazabilidad de herramientas. Y si trabaja con modelos de propósito general, debería conocer también las guías y el “código de práctica” europeo que busca facilitar el cumplimiento.

Modelos de propósito general y el código de práctica: por qué afecta también a tu empresa, aunque no seas una Big Tech

En 2025, la Comisión Europea publicó el Código de práctica para modelos de IA de propósito general (GPAI) como herramienta voluntaria para ayudar a la industria a cumplir obligaciones de seguridad, transparencia y copyright en el marco del AI Act.

¿Por qué debería importarle esto a una empresa “normal”? Porque la mayoría de compañías no entrenan grandes modelos, pero sí los utilizan: integran sistemas de terceros en sus procesos, crean contenidos con herramientas basadas en modelos generalistas o despliegan asistentes en atención al cliente. Cuando tu proveedor te diga “cumplimos”, lo sensato es poder preguntar: ¿cómo documentan el modelo? ¿qué medidas de transparencia ofrecen? ¿cómo gestionan cuestiones de copyright? Este es precisamente el tipo de preguntas que se formalizan en una auditoría legal de IA.

España: aplicación directa del AI Act y supervisión a través de AESIA

En España, el punto de partida es simple: el AI Act se aplica directamente por ser un Reglamento europeo. Lo que España debe organizar es el “cómo”: autoridades, coordinación, supervisión, y régimen operativo. En ese aterrizaje institucional destaca la creación de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) mediante el Real Decreto 729/2023, publicado en el BOE.

Para una empresa, esto tiene un efecto claro: el cumplimiento deja de ser un PDF en un cajón y pasa a ser una realidad con interlocutores, criterios y supervisión. Y, además, en España se está intensificando el debate regulatorio y social en torno a contenidos sintéticos, suplantaciones y deepfakes, especialmente cuando impactan derechos de la personalidad como honor, intimidad e imagen. Aunque no entremos aquí en reformas concretas, la tendencia es inequívoca: el uso de IA en imagen y voz exige cada vez más diligencia y protocolos.

Propiedad intelectual: el punto donde la IA “toca” el negocio creativo de verdad

Para productoras, sellos, editoriales, agencias y empresas que viven del contenido, la IA no es solo “cumplir el AI Act”. Es una pregunta de negocio: ¿qué pasa con mis obras, mis catálogos y mis licencias cuando la IA se entrena con contenidos creativos o genera outputs similares?

Aquí conviene distinguir dos momentos. El primero es el entrenamiento. Para que un sistema genere música, guiones, imágenes o voces de calidad, suele haber aprendido de grandes volúmenes de contenido preexistente. En Europa, el marco legal clave está en la Directiva (UE) 2019/790 (Directiva DSM), que regula, entre otras cosas, la minería de textos y datos (TDM) y contempla que los titulares puedan reservar derechos (opt-out) en determinadas circunstancias.

Esto no es teoría. La discusión actual gira precisamente en torno a cómo debe expresarse ese opt-out de forma eficaz y “legible” para sistemas automatizados, y a cómo impacta eso en el entrenamiento de modelos y en la gestión de contenidos por sectores creativos. Despachos y autores especializados están analizando en detalle la “máquina” del opt-out y su papel creciente en el ecosistema europeo.

El segundo momento es el resultado. Un output generado por IA puede parecer original, pero aun así puede incorporar elementos reconocibles, reproducir patrones demasiado cercanos o confundir al público sobre autoría, fuente o identidad. Además, cuando hablamos de voces y rostros, el riesgo no es solo copyright: entra de lleno la protección de la imagen, la reputación y, en ciertos casos, la suplantación. Por eso, para empresas creativas, el cumplimiento real no se limita a “usar una herramienta”: requiere gobernanza, contratos y controles.

Conclusión: en 2026 la IA ya no es “solo tecnología”, es cumplimiento (y oportunidad)

La pregunta correcta ya no es si tu empresa usa IA. La realidad es que casi todas la usan, a veces sin llamarla IA. La pregunta correcta es si la usa con seguridad jurídica, respetando el enfoque por riesgos del AI Act, aplicando criterios de transparencia cuando corresponde, organizando la supervisión interna y cuidando especialmente el impacto en propiedad intelectual, imagen y contenidos.

En MES Advocats, ofrecemos asesoramiento integral y acompañamiento en el proceso de registro, protección y gestión de obras creativas, brindando un servicio personalizado y eficiente para nuestros clientes. Nuestra experiencia nos permite ofrecer un servicio rápido, a medida y con un resultado excelente. Si necesitas más información o estás interesado en la obtención de un presupuesto, no dudes en consultarnos.

###


Inteligencia artificialPopietat intel·lectual

---