Qué puede y qué no puede hacer una empresa con IA en España: guía práctica para usar ChatGPT, Copilot y Gemini sin riesgos

Hay que separar dos planos que se mezclan constantemente. El primero es el Reglamento Europeo de Inteligencia Artificial (Reglamento UE 2024/1689), el conocido AI Act. Ya existe, está en vigor desde agosto de 2024 y es directamente aplicable en todos los Estados miembros: no hay que esperar a que ningún país lo transponga. Sus obligaciones entran de forma escalonada.

El segundo plano es el proyecto de ley español aprobado el 26 de mayo de 2026. Atención al matiz, porque es importante y se está contando mal: es un proyecto de ley, no una ley en vigor. El Gobierno lo ha remitido al Congreso para su tramitación parlamentaria y puede cambiar antes de aprobarse. Lo que hace es adaptar al contexto nacional la gobernanza, la supervisión y el régimen sancionador del reglamento europeo, reforzando el papel de la AESIA —la Agencia Española de Supervisión de la IA— junto a la AEPD y el CGPJ en sus ámbitos respectivos.

El AI Act clasifica los sistemas por nivel de riesgo: riesgo inacceptable (prácticas prohibidas), alto riesgo (sujeto a obligaciones estrictas), riesgo limitado (obligaciones de transparencia) y riesgo mínimo. Sobre esa pirámide se construye todo lo demás: cuanto mayor es el impacto potencial sobre las personas, más control, documentación y supervisión humana se exige. La mayoría de los usos cotidianos de IA generativa en una empresa caen en las franjas bajas, pero algunos —y conviene identificarlos pronto— no.

Sobre las sanciones, sí, pueden ser elevadas. El proyecto español plantea multas de hasta 35 millones de euros o el 7% del volumen de negocio en los casos más graves, como comercializar un sistema prohibido, y sanciones menores que parten de cifras mucho más bajas. Pero centrar toda la conversación en el miedo es un error de gestión: las multas son la consecuencia, no el punto de partida. El punto de partida es saber qué estás haciendo con la IA.

1. Agosto de 2024

   el AI Act entra en vigor como marco europeo.

2. Febrero de 2025

   aplican las prácticas prohibidas (artículo 5) y la obligación de alfabetización en IA (artículo 4).

3. Agosto de 2025

   obligaciones para los modelos de IA de propósito general.

4. 2026-2028

   las obligaciones de los sistemas de alto riesgo se aplican de forma escalonada; un paquete de simplificación europeo de 2026 ha ido ajustando y posponiendo varios de estos plazos, así que conviene seguir el calendario oficial actualizado.

Empecemos por la buena noticia, que es la que menos se cuenta: la inmensa mayoría de usos profesionales de la IA generativa son perfectamente legítimos. No solo están permitidos, sino que dejar de usarlos es hoy una desventaja competitiva. La clave no es si puedes, sino cómo lo haces.

Estos son usos razonables cuando existen criterios claros, protección de datos, revisión humana y un equipo formado:

• Redactar borradores de emails, propuestas comerciales, informes o documentación, que después una persona revisa y valida.
• Resumir documentos internos largos, siempre que controles dónde se procesa esa información y qué datos contiene.
• Generar ideas de marketing, conceptos creativos, guiones o variantes de campaña.
• Analizar datos no sensibles o correctamente anonimizados para detectar patrones o preparar informes.
• Crear asistentes internos sobre tu propia documentación corporativa (manuales, procesos, base de conocimiento).
• Automatizar tareas repetitivas —clasificar, etiquetar, transcribir, extraer— manteniendo revisión humana en los puntos críticos.
• Apoyar a los equipos de ventas, soporte, RRHH, formación u operaciones como copiloto, no como sustituto de la decisión.

Hay un segundo grupo de usos que conviene evitar o someter a controles estrictos. No porque la tecnología sea mala, sino porque el coste de equivocarse —en datos, en reputación o en cumplimiento— es alto. Estos son los errores más habituales que vemos en empresas:

• Introducir datos personales, confidenciales o estratégicos en herramientas públicas sin garantías contractuales sobre cómo se tratan.
• Tomar decisiones laborales, financieras, sanitarias o educativas de forma totalmente automatizada, sin intervención humana real.
• Publicar o enviar respuestas de IA sin que una persona las haya validado, especialmente cuando hay un cliente o una obligación legal detrás.
• Generar contenido engañoso, suplantaciones o comunicaciones que oculten que se ha usado IA cuando existe obligación de informarlo.
• Clasificar o perfilar personas sin base legal, sin transparencia y sin garantías.
• Permitir que cada empleado use cualquier herramienta que quiera, sin política interna ni criterio común.
• Usar IA en selección, evaluación o promoción de empleados sin evaluar antes si ese sistema es de alto riesgo.

Entre lo claramente permitido y lo claramente prohibido hay una zona gris donde se concentra buena parte del riesgo real. Son áreas donde la IA puede aportar mucho, pero donde un sistema puede caer en la categoría de alto riesgo del AI Act y activar obligaciones específicas de documentación, supervisión y evaluación. Si tu empresa opera en alguna de estas áreas, es donde primero deberías mirar:

• RRHH y selección de personal: cribado de candidatos, ranking automático de currículos, entrevistas analizadas por IA.
• Evaluación del rendimiento y decisiones de promoción o despido.
• Educación y formación: evaluación de alumnos, acceso a programas, certificaciones.
• Salud y bienestar: cualquier sistema que oriente diagnósticos, tratamientos o decisiones clínicas.
• Servicios financieros y scoring: concesión de crédito, evaluación de solvencia, precios personalizados.
• Seguridad, biometría o reconocimiento emocional, con prohibiciones específicas en el entorno laboral y educativo.
• Atención al cliente cuando el usuario puede creer que habla con una persona y no se le informa de que es una IA.
• Automatización de decisiones con impacto relevante sobre las personas, sin supervisión humana efectiva.

Shadow AI es el uso de herramientas de inteligencia artificial por parte de empleados sin conocimiento, autorización ni control de la empresa. Es la versión 2026 del shadow IT, y está mucho más extendida de lo que la mayoría de directivos cree, precisamente porque no deja rastro en los sistemas corporativos.

Ocurre por razones perfectamente comprensibles: la IA generativa mejora la productividad, las herramientas son gratuitas y fáciles de usar, no hay formación que oriente qué se puede hacer y, muchas veces, la empresa no ofrece una alternativa corporativa validada. El empleado no está saboteando nada; está resolviendo su trabajo con lo que tiene a mano.

El problema es lo que se pierde por el camino. Fuga de datos hacia servicios que pueden usar esa información para entrenar sus modelos. Errores que nadie revisa porque nadie sabe que existen. Incumplimiento normativo silencioso. Pérdida total de trazabilidad sobre qué decisiones se han apoyado en IA. Y una dependencia creciente de herramientas que nadie ha validado ni aprobado.

La respuesta correcta no es prohibir. Prohibir la IA generativa en 2026 es como prohibir las hojas de cálculo: no funciona, empuja el uso a la clandestinidad y deja a la empresa sin trazabilidad ni control. La respuesta es dar una alternativa clara, con herramientas autorizadas, reglas comprensibles y formación. Es decir: una política interna realista.

No hace falta un gran proyecto ni un presupuesto extraordinario para empezar a ordenar el uso de IA. Hace falta método. Esta es la secuencia que recomendamos, en este orden, porque cada paso se apoya en el anterior:

• Hacer inventario de las herramientas de IA que se están usando realmente, incluidas las no oficiales.
• Identificar qué datos se introducen en cada herramienta y de dónde salen.
• Clasificar los casos de uso por nivel de riesgo según el AI Act.
• Definir una política interna de uso de IA generativa, clara y breve.
• Formar al personal según su rol: no todos necesitan lo mismo.
• Establecer reglas explícitas para datos personales, confidenciales y estratégicos.
• Validar los proveedores y leer sus condiciones de uso y tratamiento de datos.
• Documentar las decisiones relevantes que se apoyen en IA.
• Mantener supervisión humana en los procesos sensibles.
• Revisar periódicamente los nuevos casos de uso, porque aparecen cada mes.

Una política interna de uso de IA no es un documento legal de cuarenta páginas que nadie lee. Es una guía operativa que cualquier empleado entiende en cinco minutos y aplica al día siguiente. Si la gente no la entiende, no la usa, y vuelves al punto de partida. Como mínimo debería responder a estas preguntas:

• Qué herramientas están permitidas y cuáles no.
• Qué tipos de datos no deben introducirse nunca en una herramienta de IA.
• Qué casos de uso están autorizados sin pedir permiso.
• Qué casos requieren aprobación previa de un responsable.
• Cuándo es obligatoria la revisión humana antes de usar un resultado.
• Qué criterios se aplican a los contenidos generados con IA, incluido cuándo hay que informar de su uso.
• Quién es responsable de la gobernanza de IA dentro de la empresa.
• Qué formación mínima necesita cada perfil.
• Cómo se registran los casos de uso para mantener trazabilidad.

En DatIACode acompañamos a empresas que están exactamente en este punto: ya usan IA, intuyen que deberían ordenarla y no saben por dónde empezar. Lo hacemos en tres niveles, y casi siempre en este orden.

Diagnóstico inicial. Mapeamos qué herramientas de IA se usan de verdad, qué datos se manejan y dónde están los riesgos, y clasificamos tus casos de uso según el AI Act. Es el trabajo que articula nuestro servicio de cumplimiento del AI Act: de la foto real a un plan de acción priorizado.

Formación y alfabetización en IA. Formamos a los equipos según su rol —dirección, negocio, IT, RRHH— para que usen las herramientas con criterio y de forma responsable, cubriendo además la obligación del artículo 4. Es el núcleo de nuestra formación en IA generativa, siempre a medida del puesto y del sector.

Acompañamiento en cumplimiento. Te ayudamos a construir la política interna, definir responsables, documentar decisiones y mantener el sistema vivo a medida que aparecen nuevos casos de uso y evoluciona la normativa.