¿La Ley de IA de la UE aplica a despachos de abogados?

Sí. Cualquier organización que despliegue o desarrolle sistemas de IA en la UE está sujeta a la Ley de IA de la UE, incluidos los despachos de abogados. Si su firma utiliza herramientas de IA para revisión de documentos, análisis de contratos, investigación jurídica o captación de clientes, es un 'implementador' según el reglamento.

¿Cuándo entra en vigor la Ley de IA de la UE para servicios profesionales?

La Ley de IA de la UE entró en vigor el 1 de agosto de 2024. Las prácticas prohibidas son ejecutables desde el 2 de febrero de 2025. Las obligaciones para modelos de IA de propósito general (ChatGPT, Copilot, Claude) aplican desde el 2 de agosto de 2025. La aplicación completa de todas las disposiciones comienza el 2 de agosto de 2026.

¿Cuáles son las sanciones por incumplimiento de la Ley de IA de la UE?

Las multas pueden alcanzar hasta 35 millones de EUR o el 7% de la facturación global anual para prácticas prohibidas, 15 millones de EUR o el 3% para infracciones de alto riesgo, y 7,5 millones de EUR o el 1% por proporcionar información incorrecta. Para pymes aplican límites proporcionales.

Ley de IA de la UE: Guía de cumplimiento para servicios profesionales [2026]

La Ley de IA de la UE (EU AI Act) es el primer reglamento integral sobre inteligencia artificial del mundo. Entró en vigor el 1 de agosto de 2024, con obligaciones que se implementan por fases hasta 2027. Para las firmas de servicios profesionales, las consecuencias son directas (sus propias herramientas de IA están reguladas) e indirectas (sus clientes necesitarán ayuda para navegar estas normas).

Esta guía cubre lo que despachos de abogados, consultoras y firmas de auditoría necesitan saber. Sin teoría jurídica. Requisitos prácticos, plazos y pasos concretos.

Contenido

Qué exige la Ley de IA de la UE
Plazos clave para servicios profesionales
Clasificación de riesgo de herramientas que ya utilizan
Sus obligaciones como implementador
IA de propósito general: ChatGPT, Copilot, Claude
Orientación sectorial
Lista de verificación en 10 pasos
Sanciones y aplicación
5 conceptos erróneos comunes
Qué hacer este trimestre

73%

de los despachos de la UE usan IA pero carecen de políticas formales de uso

Encuesta CCBE, 2025

Ago. 2025

Obligaciones GPAI ya en vigor (ChatGPT, Claude, Copilot)

Ley IA UE art. 51-56

35 M €

multa máxima por prácticas prohibidas (o 7% de facturación global)

Ley IA UE art. 99

1. Qué exige la Ley de IA de la UE

La Ley de IA de la UE clasifica los sistemas de IA en cuatro niveles de riesgo. Cada nivel conlleva obligaciones diferentes. El reglamento se aplica a cualquiera que desarrolle o despliegue sistemas de IA en la UE, independientemente de dónde se encuentre el proveedor.

Para las firmas de servicios profesionales, el rol más relevante es el de implementador: una entidad que utiliza un sistema de IA bajo su autoridad. Si su firma usa Harvey, Luminance, Kira, CoCounsel o incluso ChatGPT para trabajo con clientes, es un implementador.

Riesgo inaceptable: Prohibido. Puntuación social, reconocimiento de emociones en el trabajo (con excepciones limitadas), técnicas manipulativas. Aplicable desde febrero 2025.
Alto riesgo: Permitido pero fuertemente regulado. Evaluación de conformidad, documentación, supervisión humana y transparencia. Aplicación completa desde agosto 2026.
Riesgo limitado: Solo obligaciones de transparencia. Los usuarios deben ser informados cuando interactúan con IA o cuando el contenido es generado por IA.
Riesgo mínimo: Sin obligaciones específicas. Se fomentan códigos de conducta voluntarios.

2. Plazos clave para servicios profesionales

1 de agosto de 2024

La Ley de IA de la UE entra en vigor

Publicación oficial. Período de transición de 24 meses para la mayoría de las disposiciones.

2 de febrero de 2025

Prácticas prohibidas aplicables

Los sistemas de IA prohibidos deben descontinuarse. Cubre puntuación social, IA manipulativa y reconocimiento de emociones en el trabajo.

2 de agosto de 2025

Obligaciones de modelos GPAI

Los proveedores de modelos de IA de propósito general deben cumplir requisitos de transparencia y documentación. Los implementadores deben verificar el cumplimiento de sus herramientas.

2 de agosto de 2026

Aplicación completa

Todas las disposiciones aplicables, incluidos requisitos para sistemas de IA de alto riesgo. Las evaluaciones de conformidad y sistemas de gestión de riesgos deben estar implementados.

2 de agosto de 2027

Los sistemas existentes deben cumplir

Los sistemas de IA ya en el mercado antes de agosto 2026 tienen un año adicional para alcanzar el cumplimiento total.

Por qué importa ahora: Las obligaciones GPAI (agosto 2025) ya están en vigor. Si su firma usa ChatGPT, Claude, Copilot u otra herramienta de IA de propósito general, ya debería tener medidas de transparencia implementadas. El plazo para sistemas de alto riesgo (agosto 2026) está a 5 meses.

3. Clasificación de riesgo de herramientas que ya utilizan

El nivel de riesgo depende del caso de uso, no de la herramienta. El mismo sistema de IA puede ser de riesgo mínimo en un contexto y de alto riesgo en otro.

Herramienta IA / Caso de uso	Nivel de riesgo	Razón
Revisión de documentos IA (Harvey, Luminance, Kira)	Limitado	Búsqueda y análisis asistidos por IA. El humano toma la decisión final. Obligación de transparencia con clientes.
Redacción de contratos por IA	Limitado	La IA genera contenido que un humano revisa antes de entregar. Aplica transparencia.
IA para decisiones de RRHH (contratación, promoción)	Alto	El Anexo III lista explícitamente la IA en empleo y gestión de trabajadores. Cumplimiento completo de alto riesgo requerido.
Evaluación crediticia / análisis financiero IA	Alto	Listado en Anexo III. Evaluación de conformidad requerida.
Chatbots para captación de clientes	Limitado	Debe informarse que el usuario interactúa con un sistema de IA.
Investigación jurídica IA (Westlaw AI, CoCounsel)	Mínimo	Herramienta interna de apoyo. Sin impacto directo en clientes. Códigos voluntarios.
Contabilidad automatizada / cumplimiento fiscal IA	Limitado	Produce resultados que un humano revisa. Si la IA toma decisiones fiscales autónomas, puede escalar a alto riesgo.
Reconocimiento de emociones en entrevistas	Prohibido	El reconocimiento de emociones en el trabajo/educación está prohibido. Desde febrero 2025.
Due diligence asistida por IA	Limitado	La IA analiza documentos, el humano decide. Puede escalar si la IA evalúa transacciones autónomamente.
Análisis predictivo de resultados de casos	Alto (potencial)	Si se usa en administración de justicia o para influir en decisiones judiciales, cae bajo Anexo III.

4. Sus obligaciones como implementador

Para todos los niveles de riesgo

Transparencia hacia personas físicas: Cuando los resultados de la IA afectan a alguien, esa persona debe ser informada del uso de IA (art. 50).
Competencia en IA: Asegúrese de que su personal tenga suficiente comprensión de los sistemas de IA que utiliza. Esto es un requisito legal (art. 4).

Para sistemas de IA de alto riesgo

Supervisión humana: Asigne personas cualificadas para supervisar la operación del sistema (art. 14).
Calidad de datos de entrada: Asegúrese de que los datos sean relevantes y representativos (art. 10).
Registro: Mantenga registros de la operación del sistema (art. 12).
Evaluación de impacto en derechos fundamentales: Para organismos públicos y ciertas entidades privadas (art. 27).
Supervisión: Monitorice la operación e informe de incidentes graves (art. 72).
Informar a empleados: El personal que trabaja con o está afectado por IA de alto riesgo debe ser informado (art. 26(7)).

5. IA de propósito general: ChatGPT, Copilot, Claude

Los modelos GPAI tienen su propia vía regulatoria (Título IIIa). Desde agosto 2025, los proveedores GPAI deben:

Publicar documentación técnica y un resumen público
Implementar políticas de cumplimiento de derechos de autor
Identificar y mitigar riesgos sistémicos (para modelos con designación de riesgo sistémico)

Como implementador de herramientas GPAI, sus obligaciones son:

Informar a clientes y contrapartes cuando se utilice contenido generado por IA.
Mantener políticas de uso internas documentando herramientas aprobadas, propósitos y salvaguardas.
Formar a su equipo en uso responsable, limitaciones y revisión humana obligatoria.
Verificar el cumplimiento del proveedor. Si su proveedor GPAI no puede demostrar cumplimiento, comparten el riesgo de responsabilidad.

Implicación práctica: Si utilizan ChatGPT Enterprise, Microsoft Copilot, Claude o herramientas similares, ya deberían tener una política escrita de uso de IA, un programa de formación y cláusulas de divulgación en las cartas de compromiso con clientes. Desde agosto 2025 esto no es una buena práctica, es un requisito legal.

6. Orientación sectorial

Despachos de abogados

Secreto profesional: Las herramientas de IA en la nube implican que los datos de clientes salen de sus sistemas. Actualicen políticas de privacidad y acuerdos de procesamiento de datos.
Normas deontológicas: Los colegios de abogados europeos están emitiendo orientaciones complementarias. El CCBE publicó su posición en 2025.
Riesgo de responsabilidad profesional: Análisis jurídicos generados por IA que un abogado no verifica crean responsabilidad.
Nueva oportunidad de negocio: Asesoría en cumplimiento de la Ley de IA, revisión de contratos de IA, preparación de FRIA y consultoría de gobernanza de IA son áreas en crecimiento.

Consultoras

Asesoría en estrategia de IA: Si asesoran a clientes en implementación de IA, sus recomendaciones deben considerar la Ley de IA de la UE.
Analítica interna: IA para análisis de mercado y presentaciones suele caer en riesgo mínimo o limitado, pero se requieren políticas de uso.
Aplicaciones de RRHH: IA para evaluación de talento o gestión del rendimiento es territorio de alto riesgo.

Auditoría y asesoría fiscal

IA en procedimientos de auditoría: IA para analizar estados financieros cae en riesgo limitado cuando el auditor mantiene la autoridad de decisión.
Cumplimiento fiscal automatizado: Si la IA presenta declaraciones autónomamente, puede escalar a alto riesgo. Mantengan la supervisión humana para todas las decisiones fiduciarias.
Kit Digital: En España, las subvenciones Kit Digital para pymes pueden financiar herramientas de IA, pero estas también deben cumplir la Ley de IA de la UE.

7. Lista de verificación en 10 pasos

1
Inventariar todos los sistemas de IA en uso
Listen todas las herramientas de IA que usa su firma. Desde plataformas enterprise hasta cuentas individuales de ChatGPT. Incluida la TI en la sombra. Lo que no conocen no lo pueden poner en cumplimiento.
2
Clasificar cada sistema por nivel de riesgo
Mapeen cada herramienta a su caso de uso y determinen el nivel de riesgo. El nivel depende del caso de uso, no de la herramienta en sí.
3
Verificar usos prohibidos
Confirmen que ningún sistema de IA se usa para puntuación social, reconocimiento de emociones en el trabajo u otras prácticas prohibidas. Aplicable desde febrero 2025.
4
Redactar o actualizar la política de uso de IA
Documenten herramientas aprobadas, casos de uso permitidos, salvaguardas requeridas y usos prohibidos. Revisen trimestralmente.
5
Implementar medidas de transparencia
Actualicen cartas de compromiso, términos web y comunicaciones internas para divulgar el uso de IA. Los chatbots necesitan etiquetado claro de "IA". Para entregables asistidos por IA, incluyan cláusulas de divulgación.
6
Establecer protocolos de supervisión humana
Para cada sistema de IA, definan quién revisa los resultados, cómo los revisa y qué autoridad tiene para anular. Para sistemas de alto riesgo, designen personas cualificadas.
7
Realizar formación en competencia de IA
El artículo 4 exige que todo el personal que usa sistemas de IA tenga suficiente comprensión. Esto significa formación estructurada, no solo un correo. Comiencen con una sesión de 2 horas. Repitan trimestralmente.
8
Revisar procesamiento de datos y privacidad
Las herramientas de IA que procesan datos personales deben cumplir tanto la Ley de IA como el RGPD. Revisen acuerdos de procesamiento y evaluaciones de impacto.
9
Verificar cumplimiento del proveedor
Soliciten documentación de cumplimiento a sus proveedores de IA. Para modelos GPAI, confirmen que el proveedor ha publicado la documentación técnica requerida.
10
Establecer monitorización e informes de incidentes
Establezcan procesos para detectar mal funcionamiento, resultados sesgados o incidentes de seguridad. Para sistemas de alto riesgo, informen incidentes graves al proveedor y la autoridad nacional.

8. Sanciones y aplicación

Infracción	Multa máxima
Prácticas prohibidas de IA (art. 5)	35 millones EUR o 7% de facturación global anual
Obligaciones de sistemas de IA de alto riesgo	15 millones EUR o 3% de facturación global anual
Proporcionar información incorrecta a autoridades	7,5 millones EUR o 1% de facturación global anual

Para pymes aplican límites proporcionales. Pero para la mayoría de firmas de servicios profesionales, el daño reputacional del incumplimiento puede superar las sanciones financieras.

9. Cinco conceptos erróneos comunes

Error 1: "Solo usamos ChatGPT, así que no estamos regulados."

Incorrecto. Usar ChatGPT les convierte en implementadores de un sistema GPAI. Aplican obligaciones de transparencia.

Error 2: "La Ley de IA es sobre desarrolladores de IA, no usuarios."

El reglamento crea obligaciones tanto para proveedores (desarrolladores) como para implementadores (usuarios). Las obligaciones de implementadores son más ligeras pero legalmente vinculantes.

Error 3: "Nuestro proveedor de IA se encarga del cumplimiento."

Los proveedores cumplen sus obligaciones. Las obligaciones de implementador (transparencia, supervisión humana, formación, informes de incidentes) son suyas.

Error 4: "La aplicación completa no es hasta 2026."

Parcialmente correcto. Prácticas prohibidas desde febrero 2025. Obligaciones GPAI desde agosto 2025. Alto riesgo desde agosto 2026.

Error 5: "Esto solo aplica a firmas en la UE."

La Ley de IA tiene alcance extraterritorial. Si los resultados de su sistema de IA se usan en la UE, el reglamento aplica, independientemente de dónde esté su sede.

10. Qué hacer este trimestre

Completar el inventario de IA (1 semana). Máxima prioridad. Lo que no conocen no lo pueden gestionar.
Publicar la política de uso de IA (2 semanas). Incluso una política básica les sitúa por delante de la mayoría.
Actualizar cartas de compromiso (1 semana). Añadan cláusulas de divulgación sobre uso de IA.
Programar formación en competencia de IA (continuo). Comiencen con una sesión de 2 horas. Repitan trimestralmente.
Identificar sistemas de IA de alto riesgo (2 semanas). Si existen (más común en RRHH), inicien el proceso de evaluación de conformidad.

Las firmas que actúen primero definirán el estándar. En cada ciclo regulatorio, los pioneros establecen el nivel de lo que significa "cumplimiento razonable". Los rezagados heredan el estándar sin haberlo configurado. Para las firmas de servicios profesionales, donde la confianza es el producto, ser percibido como líder en uso responsable de IA crea una ventaja competitiva difícil de replicar.

Evalúe la preparación IA de su firma

Nuestra evaluación de 3 minutos identifica brechas de cumplimiento y genera un plan de acción personalizado.

Iniciar evaluación

Ley de IA de la UE: Guía de cumplimiento para servicios profesionales