PSL Avocat acompaña a los deployers de IA, a los editores SaaS y a las plataformas en la cartografía de sus obligaciones, la documentación contractual, la negociación de los contratos con proveedores LLM y la gestión de riesgos. Práctica operativa construida sobre quince años de asesoramiento in-house en organizaciones internacionales (OCDE, ESA, ITER Organization, ADP, CMA CGM). En francés, inglés y español.
AI Act: calendario de aplicación progresiva
El AI Act está entrando en vigor progresivamente desde febrero de 2025. El acuerdo político del 7 de mayo de 2026 sobre el reglamento Digital Omnibus IA reajusta el calendario de obligaciones aplicables a los sistemas de alto riesgo, sujeto a la adopción formal por el Parlamento Europeo y el Consejo y a la publicación en el Diario Oficial de la Unión Europea. Hasta que dicha adopción no sea definitiva, el calendario de referencia es el del Reglamento (UE) 2024/1689.
Entrada en aplicación de las prohibiciones del artículo 5 del Reglamento (UE) 2024/1689 (prácticas de IA prohibidas) y de la obligación de alfabetización en IA (artículo 4).
Entrada en aplicación de las obligaciones relativas a los modelos de IA de uso general (capítulo V) para los modelos puestos en el mercado a partir de esta fecha. Período transitorio hasta el 2 de agosto de 2027 para los modelos anteriores (artículo 111(3)). Gobernanza europea en funcionamiento (Oficina de IA, Comité Europeo de Inteligencia Artificial).
Entrada en aplicación de las obligaciones aplicables a los sistemas de IA de alto riesgo previstos en el anexo III del Reglamento (UE) 2024/1689, en particular biometría, infraestructuras críticas, educación y formación profesional, empleo y gestión de recursos humanos, acceso a servicios privados esenciales y a servicios y prestaciones públicas esenciales, aplicación de la ley, migración, asilo y control fronterizo, administración de justicia y procesos democráticos, según el acuerdo político del 7 de mayo de 2026 sobre el reglamento que modifica el Reglamento (UE) 2024/1689 (Digital Omnibus AI). Sujeto a la adopción formal por el Parlamento Europeo y el Consejo de la UE y a la publicación en el Diario Oficial de la Unión Europea.
Entrada en aplicación de las obligaciones aplicables a los sistemas de IA integrados en productos sometidos a la legislación de armonización de la Unión (artículo 6(1) del Reglamento (UE) 2024/1689 y anexo I), incluidos ascensores, juguetes, máquinas, equipos radioeléctricos, productos sanitarios, según el acuerdo político del 7 de mayo de 2026 sobre el Digital Omnibus AI. Sujeto a la adopción formal.
HR AI y ed-tech: los dos sectores en primera línea
Los proveedores de herramientas HR AI y los editores ed-tech pertenecen a dos ámbitos explícitamente enumerados en el anexo III del AI Act (educación y formación profesional, empleo y gestión de los trabajadores). La clasificación de alto riesgo es probable para la mayoría de los casos de uso. El deployer soporta obligaciones distintas de las del proveedor, que se suman al marco base del RGPD.
Plataformas de aprendizaje adaptativo, herramientas de puntuación automatizada, tutores de IA, sistemas de supervisión de exámenes, orientación algorítmica de los itinerarios formativos.
Clasificación de alto riesgo probable conforme al anexo III para la mayoría de los casos de uso escolares y universitarios.
Información reforzada a los alumnos y a las familias, en particular cuando los usuarios finales son menores (articulación entre las disposiciones del RGPD sobre datos de menores y las obligaciones de transparencia del AI Act).
Supervisión humana efectiva sobre toda decisión que afecte a la evaluación, la orientación o la selección.
Contratos con proveedores LLM revisados para trasladar en cascada las obligaciones del deployer.
Herramientas de sourcing, puntuación de candidaturas, análisis de vídeo de entrevistas, gestión algorítmica del desempeño, predicción de rotación, optimización de los horarios.
Clasificación de alto riesgo probable conforme al anexo III (contratación, gestión de los trabajadores).
Análisis de impacto sobre los derechos fundamentales (artículo 27 del AI Act) antes del despliegue.
Información al candidato o al empleado sobre la existencia y la lógica del tratamiento (artículo 14 del RGPD y artículo 50 del AI Act a partir del 2 de agosto de 2026).
Auditoría de sesgos y registro de pruebas, a raíz de la sentencia Foundever de la Audiencia Nacional (SAN 2867/2025, de 4 de julio de 2025), susceptible de recurso ante el Tribunal Supremo.
Información y consulta a los representantes de los trabajadores en Francia (artículo L. 2312-38 del Código de Trabajo) y en España (artículo 64.4.d del Estatuto de los Trabajadores desde la Ley 12/2021).
Decisiones de referencia
Tres decisiones que estructuran hoy la práctica para los deployers de IA en Francia, en España y a nivel europeo.
El artículo 22 del RGPD se aplica a las puntuaciones algorítmicas producidas por un tercero y utilizadas para fundamentar una decisión individual automatizada, incluso cuando quien utiliza la puntuación no es quien la calcula. Lectura directa para los deployers HR AI y ed-tech que se apoyan en herramientas de puntuación proporcionadas por un tercero.
Leer la decisiónPrimera decisión española que consagra el derecho de los representantes de los trabajadores a conocer los parámetros de los algoritmos utilizados en las relaciones laborales. Alineación entre el derecho francés y el derecho español sobre la transparencia de las herramientas de evaluación automatizada y de gestión algorítmica de la carrera.
Leer la decisiónPrimera sanción RGPD de envergadura contra un proveedor de IA generativa en Europa. La decisión establece que el entrenamiento de un gran modelo de lenguaje constituye un tratamiento de datos personales en sí mismo, sujeto a la identificación de una base jurídica, a la información de las personas concernidas y a la gestión de los incidentes. Referencia central para todo deployer de un LLM de terceros.
Leer la decisiónNIS2: ciberseguridad de las entidades esenciales e importantes
La Directiva (UE) 2022/2555, denominada NIS2, amplía el perímetro de las obligaciones de ciberseguridad a un número significativo de empresas tech, en particular los proveedores de servicios gestionados, los servicios cloud, los marketplaces y los editores SaaS que superan los umbrales de pyme. Las categorías de entidades esenciales e importantes se definen en los anexos I y II de la Directiva. La fecha límite de transposición estaba fijada el 17 de octubre de 2024. A fecha de 12 de mayo de 2026, ni Francia ni España han completado su transposición. En Francia, el proyecto de ley relativo a la resiliencia de las infraestructuras críticas y al refuerzo de la ciberseguridad continúa su tramitación parlamentaria y la promulgación se espera a lo largo de 2026. En España, el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se encuentra en tramitación. La Comisión Europea dirigió un dictamen motivado a ambos Estados miembros el 7 de mayo de 2025 por falta de notificación. No obstante, las empresas concernidas están expuestas al régimen de la Directiva y a su efecto directo vertical para las disposiciones incondicionales, así como a las exigencias de los clientes europeos que ya aplican los estándares NIS2 en sus pliegos de condiciones.
¿Está usted dentro del ámbito de NIS2?
Tres preguntas binarias. Tres respuestas positivas indican una aplicabilidad probable y justifican un análisis en profundidad.
¿Su actividad pertenece a un sector enumerado en los anexos I o II de la Directiva 2022/2555 (energía, transporte, banca, salud, infraestructura digital, servicios gestionados TIC, proveedores cloud, marketplaces, motores de búsqueda, redes sociales, fabricación, investigación, etc.)?
¿Su empresa alcanza el umbral de mediana o gran empresa (al menos 50 empleados o 10 millones de euros de volumen de negocios anual)? Algunas entidades están dentro del ámbito con independencia de su tamaño.
¿Sus servicios se prestan a al menos un destinatario establecido en la Unión Europea?
Reglamentos conexos
Preguntas frecuentes
Mi empresa está establecida fuera de la UE pero vende a clientes europeos. ¿Se aplica el RGPD?
Sí. El RGPD se aplica desde el momento en que usted dirige su actividad a personas residentes en la UE, esté o no establecido en Europa.
¿Cómo saber si mi sistema de IA está concernido por el AI Act?
El AI Act clasifica los sistemas de IA según su nivel de riesgo (inaceptable, alto, limitado, mínimo). La clasificación determina las obligaciones aplicables. Un análisis previo permite identificar rápidamente lo que se aplica a su situación concreta.
¿Cuál es la sanción máxima prevista por el AI Act?
El AI Act prevé tres niveles de sanciones administrativas, en función de la naturaleza de la infracción. La puesta en el mercado o el uso de un sistema de IA de riesgo inaceptable (por ejemplo, puntuación social generalizada o reconocimiento facial en tiempo real en espacios públicos con fines represivos) expone a una multa de hasta 35 millones de euros o el 7% del volumen de negocios anual mundial, según la cantidad más elevada. El incumplimiento de las obligaciones aplicables a los sistemas de alto riesgo se sanciona hasta 15 millones de euros o el 3% del volumen de negocios. Los incumplimientos de las obligaciones de transparencia (en particular para los sistemas de IA en interacción con humanos) pueden dar lugar a multas de hasta 7,5 millones de euros o el 1,5% del volumen de negocios. Para pymes y start-ups, los topes se calculan sobre el volumen de negocios efectivo cuando ello conduce a un importe inferior a los umbrales fijos.
Nuestra empresa es deployer de un LLM de terceros (OpenAI, Anthropic, Mistral). ¿Cuáles son nuestras obligaciones?
El deployer de un sistema de IA soporta obligaciones distintas de las del proveedor. Las principales: uso conforme a las instrucciones del proveedor, supervisión humana adecuada, información a los usuarios cuando la IA interactúa con ellos, trazabilidad de las salidas, gestión de los riesgos residuales. Para los sistemas de alto riesgo (por ejemplo, contratación, educación, scoring), las obligaciones se refuerzan: análisis de impacto, registro, formación de los operadores. Una cartografía de sus casos de uso permite calibrar rápidamente su programa de conformidad.
Ya tenemos una política de protección de datos. ¿Somos conformes?
No necesariamente. La conformidad RGPD no se reduce a un documento publicado en una web. Implica una organización interna, contratos con sus encargados de tratamiento, una gestión de los derechos de las personas y una capacidad de respuesta a los incidentes. Una auditoría rápida permite identificar las brechas reales.
¿Cuánto tiempo lleva una puesta en conformidad RGPD?
Para una pyme o una start-up, un primer nivel de conformidad operacional puede alcanzarse en 4 a 8 semanas según la complejidad de los tratamientos.
DSA y DMA: ¿mi empresa es una plataforma concernida?
El DSA se aplica a todas las plataformas en línea que operan en la UE. El DMA solo se aplica a los gatekeepers (plataformas muy grandes designadas por la Comisión). Un análisis dirigido de su modelo de negocio y de su audiencia identifica con precisión sus obligaciones.
Actualizado el 12 de mayo de 2026
Solicitar una primera llamada
Describa su necesidad en pocas líneas. Respuesta en 24 horas hábiles.