La adopción de sistemas de inteligencia artificial para tomar decisiones automatizadas está transformando sectores como el financiero, sanitario, laboral o educativo. Sin embargo, junto a sus ventajas, emergen riesgos legales importantes: un algoritmo puede discriminar a determinados colectivos, afectar derechos fundamentales y generar responsabilidad para la empresa que lo utiliza.
En el ordenamiento jurídico español y europeo, estos riesgos no son difusos: están claramente regulados a través del RGPD, la LOPDGDD y, muy especialmente, el nuevo Reglamento Europeo de Inteligencia Artificial (Ley de IA).
¿Qué son los sesgos algorítmicos?
Los sesgos algorítmicos son desviaciones sistemáticas que generan decisiones injustas o discriminatorias. Su origen suele estar en los datos de entrenamiento (por ejemplo, históricos con prejuicios), en variables indirectas (proxies) como el código postal o en la propia interpretación humana de los resultados. Estos sesgos pueden impactar en decisiones relevantes: desde conceder un crédito hasta seleccionar a un candidato para un puesto de trabajo.
RGPD y LOPDGDD
El artículo 22 del RGPD prohíbe las decisiones basadas exclusivamente en tratamientos automatizados que produzcan efectos legales o afecten significativamente a una persona, salvo excepciones tasadas (consentimiento explícito, necesidad contractual o legal).
Además, impone obligaciones de transparencia, derecho a obtener intervención humana, explicación sobre la lógica aplicada y posibilidad de impugnar la decisión.
La normativa española refuerza estos derechos e impone deberes de información específicos cuando se utilizan decisiones automatizadas o elaboración de perfiles.
Igualdad y no discriminación
La Constitución Española (art. 14) y diversas leyes sectoriales prohíben la discriminación por sexo, raza, religión, edad, discapacidad u otros factores. Si una decisión automatizada discrimina, aunque sea de forma indirecta, la empresa usuaria puede ser responsable por vulnerar estas normas.
Reglamento Europeo de IA: nuevo marco para decisiones automatizadas
El Reglamento (UE) 2024/1689 de Inteligencia Artificial, aprobado en 2024, establece un régimen obligatorio y directamente aplicable en España. Clasifica los sistemas de IA según su riesgo (mínimo, alto, inaceptable) y fija obligaciones diferenciadas según su nivel.
Los sistemas de alto riesgo (por ejemplo, los utilizados en procesos de selección laboral, concesión de crédito, educación o sanidad) están sujetos a obligaciones estrictas:
- Gestión y mitigación de riesgos.
- Uso de datos de alta calidad para evitar sesgos injustos.
- Supervisión humana cualificada.
- Trazabilidad, transparencia y documentación.
- Uso conforme a instrucciones técnicas del proveedor.
La norma distingue entre proveedores (quienes desarrollan el sistema) y responsables del despliegue (quienes lo utilizan). Las empresas usuarias de IA deben aplicar medidas técnicas y organizativas adecuadas para garantizar un uso correcto y evitar efectos discriminatorios.
Responsabilidad legal de la empresa usuaria
Las empresas que utilizan IA para tomar decisiones automatizadas no quedan exentas de responsabilidad. Pueden enfrentarse a distintos frentes:
- Administrativo: sanciones de la AEPD por infracciones del RGPD, como no realizar evaluaciones de impacto o aplicar decisiones automatizadas sin base legal. Las multas pueden llegar a 20 millones de euros o el 4 % de la facturación global.
- Civil: reclamaciones de indemnización por daños materiales o morales derivados de decisiones discriminatorias (art. 82 RGPD y 1902 CC).
- Laboral: sanciones por vulnerar derechos fundamentales en procesos de selección o asignación mediante algoritmos.
- Regulatorio (IA Act): responsabilidad específica cuando se usan sistemas de alto riesgo sin cumplir las medidas técnicas, organizativas y de supervisión exigidas.
En definitiva, la nueva regulación europea y el RGPD sitúan a las empresas en el centro de la rendición de cuentas. Antes de desplegar un sistema de IA, deben evaluar riesgos, garantizar transparencia y supervisión humana real, y evitar que los sesgos algorítmicos se traduzcan en decisiones discriminatorias.
Las decisiones automatizadas no son terreno sin ley: están sujetas a responsabilidad jurídica clara, y el Reglamento Europeo de IA marcará un antes y un después en la gobernanza empresarial de la IA en España.
- Decisiones automatizadas y sesgos algorítmicos: responsabilidad legal de las empresas en España
- Privacidad digital: ¿es posible en un mundo hiperconectado?
- Aceptación de cookies, cookie wall y pago como alternativa: qué permite la AEPD
- ¿Cómo sé que mi empresa es un sujeto obligado de la Ley 10/2010?
- Protección de los menores en Internet: claves para garantizar sus derechos
- Contratos de outsourcing tecnológico: puntos críticos legales en España