- 1) Qué es el AI Act (versión humana) y por qué te afecta
- 2) Calendario 2025 (lo que sí te afecta ya)
- 3) Mapa de riesgos por usos típicos (elige tu carril)
- 4) Obligaciones prácticas 2025 (lo mínimo para dormir tranquilo)
- 5) Cláusulas con proveedores (corta y pega en tus contratos)
- 6) Checklist legal light (para colgar en tu pared)
- 7) Plantillas rápidas (copiar/pegar)
- 8) FAQ express
1) Qué es el AI Act (versión humana) y por qué te afecta
¿Usas ChatGPT para copiar, un chatbot en la web o filtros “smart” en RR. HH.? Entonces te toca. El AI Act es la norma europea que pone reglas de transparencia, control de riesgos y buenas prácticas para el uso de IA. No hace falta que “construyas modelos”; si la usas, hay mínimos que cumplir en 2025.
Traducción al autónomo/pyme: pon reglas internas, deja rastro de lo que haces con IA, forma a tu equipo y pide garantías a tus proveedores. Cero drama, pero cero improvisación.
2) Calendario 2025 (lo que sí te afecta ya)
| Fecha 2025 | Qué entra en juego (para pymes/usuarios de IA) |
|---|---|
| Febrero 2025 | Arrancan prohibiciones (cosas que no puedes hacer con IA) y la ola de alfabetización/formación básica. |
| Agosto 2025 | Más gobernanza (órganos y coordinación) y obligaciones para GPAI (modelos de propósito general). También transparencia reforzada en usos típicos (chatbots, contenido sintético). |
Con esto basta para 2025: Transparencia, registros, formación y cláusulas con proveedores. Lo “hardcore” de alto riesgo llegará después; hoy nos centramos en lo práctico para quien usa IA (no la construye).
3) Mapa de riesgos por usos típicos (elige tu carril)
Marketing (copys, anuncios, creatividades) → Riesgo limitado
- Haz: etiquetar contenido sintético cuando proceda, revisión humana, registro de prompts y fuentes.
- Evita: claims no verificables, datos personales en prompts, “deepfakes” sin aviso.
Atención al cliente (chat/FAQ) → Riesgo limitado–medio
- Haz: disclaimer “te atiende una IA”, opción de escala humana, logs básicos de conversación.
- Evita: respuestas como “asesoramiento legal/fiscal definitivo” sin revisión humana.
RR. HH. (cribado CVs, preguntas automáticas) → Riesgo medio–alto
- Haz: revisión humana obligatoria, criterios documentados, evaluación de sesgos, minimiza datos personales.
- Evita: decisiones automáticas sin intervención humana.
Operaciones/finanzas (clasificar tickets, forecasts, pricing) → Riesgo medio
- Haz: registro de datasets/fuentes, trazabilidad y métricas de error.
- Evita: automatismos “ciegos” que afecten a clientes o empleados sin control.
4) Obligaciones prácticas 2025 (lo mínimo para dormir tranquilo)
- Transparencia: avisa cuando un usuario interactúa con IA (chat) o cuando un contenido es generado/alterado por IA (texto/imagen/vídeo).
- Revisión humana en decisiones con impacto (RR. HH., precios, scoring).
- Registro de usos (logbook): qué herramienta, para qué, quién, con qué datos y con qué revisión.
- Protección de datos: no metas datos personales/sensibles en prompts abiertos; usa entornos privados o anonimiza.
- Política de IA interna: 1–2 páginas con normas, roles y sanciones internas si se incumple.
- Formación exprés: 60–90 minutos/año sobre riesgos, datos y transparencia.
- Gestión de incidencias: cómo parar un sistema, corregir un output y avisar a afectados.
- Conservación de evidencias: guarda logs y decisiones relevantes 6–12 meses (según tu riesgo/procesos).
- Control de sesgos y calidad: checklist trimestral de muestras (marketing, chat, RR. HH.).
- Gobernanza light: designa un responsable IA (aunque sea el CEO) para coordinar todo esto.
5) Cláusulas con proveedores (corta y pega en tus contratos)
Incluye (como anexo o condiciones particulares):
- Seguridad y privacidad: cifrado en tránsito/descanso, control de accesos, regiones de datos, no uso de tus datos para entrenar sin permiso.
- Trazabilidad: logs disponibles bajo solicitud, retención mínima y exportables.
- Transparencia: documentación de modelo/servicio, límites, métricas de error y advertencias.
- Incidencias: notificación en 72 h (o menos) y plan de mitigación.
- Cumplimiento: cumplimiento de marco europeo de IA y RGPD; cooperación en auditorías razonables.
- Portabilidad/salida: exportación de datos y prompts en 30 días si cambias de proveedor.
- Propiedad intelectual: aclarar derechos de uso de outputs y exclusiones de responsabilidad por material de terceros.
- Subencargados: listado actualizado y derecho a oponerte por motivos razonables.
6) Checklist legal light (para colgar en tu pared)
- Política de IA interna aprobada y comunicada.
- Avisos de transparencia activos (web/chat, piezas de contenido).
- Registro de usos (herramienta → propósito → datos → revisor → fecha).
- Procedimiento de revisión humana documentado.
- Protocolo de incidencias y canal de reporte.
- Formación básica impartida (equipo clave).
- Cláusulas IA en contratos con proveedores.
- Logs habilitados y retenidos.
- Evaluación de sesgos/errores trimestral.
- Responsable IA designado.
7) Plantillas rápidas (copiar/pegar)
A) Política de IA (one-pager)
Objetivo: uso responsable y seguro de IA en [Tu Empresa].
Ámbito: marketing, atención, RR. HH., finanzas, operaciones.
Roles: Responsable IA ([Nombre]); Revisores por área ([Nombres]).
Principios: transparencia, revisión humana, minimización de datos, trazabilidad.
Normas:
- Etiqueta de contenido IA cuando proceda.
- Prohibido subir datos personales/sensibles a entornos no aprobados.
- Toda decisión con impacto en personas tendrá revisión humana.
- Mantén el registro de usos y conserva evidencias 6–12 meses.
Incidencias: notifica a Responsable IA; posible parada del sistema.
Sanciones internas: advertencia → suspensión de acceso → medidas disciplinarias.
B) Aviso de transparencia (web/chat/email)
“Este servicio utiliza herramientas de inteligencia artificial para generar/optimizar respuestas. Siempre podrás hablar con una persona y revisamos los contenidos antes de decisiones relevantes.”
C) Registro de usos (plantilla)
| Fecha | Área | Herramienta | Propósito | Datos usados | Revisor | Resultado/Enlace |
|---|---|---|---|---|---|---|
| 2025-MM-DD | Marketing | ChatGPT/Asistente | Borrador post | Sin datos personales | [Nombre] | OK/ajustes |
| 2025-MM-DD | Atención | Chatbot | FAQ clientes | Logs anónimos | [Nombre] | Derivado a humano (X%) |
8) FAQ express
¿Me aplica si “solo” uso ChatGPT para ideas? Sí: al menos transparencia cuando publiques contenido IA, revisión humana y registro.
¿Necesito DPO nuevo por IA? Si ya tratas datos personales, RGPD manda; IA no te exime. Ajusta tu registro de actividades, bases legales y avisos.
¿Puedo automatizar decisiones de RR. HH.? No sin revisión humana y controles de sesgo.
¿Y las imágenes/vídeos generados? Si pueden confundir, aviso/etiqueta. Si afectan a reputación/terceros, más cautela.
¿Multas? Las hay. Pero si demuestras buena fe y diligencia (política, registros, formación), ya estás a años luz de la media.
Y ya sabes, si necesitas informacion relaciona con este tema u otro con los que creas que nuestro equipo te puede ayudar, solo tienes que AGENDAR UNA ASESORIA 1:1 GRATUITA con uno de nuestros asesores para despejar las dudas que te puedan surgir.
