Auditoría legal de IA en empresas: documentos, riesgos y pasos mínimos
Una auditoría legal de IA no debería empezar preguntando qué documento hay que firmar. Debería empezar con una pregunta más incómoda: qué sistemas de IA se están usando realmente en la empresa, con qué datos, por quién y para qué decisiones.
Muchas organizaciones ya utilizan ChatGPT, Copilot, asistentes internos, herramientas de análisis, automatizaciones o software de terceros que incorpora IA. El riesgo aparece cuando ese uso crece sin inventario, sin responsables, sin revisar proveedores, sin política interna y sin evidencias mínimas.
Este artículo resume qué conviene revisar en una auditoría legal de IA y qué pasos mínimos ayudan a pasar de un uso informal a una gobernanza razonable.
1. Inventario de usos de IA
El primer trabajo es identificar los usos reales. No basta con preguntar si la empresa usa inteligencia artificial. Hay que revisar departamentos, procesos y herramientas concretas.
Conviene documentar al menos:
- Herramientas de IA generativa como ChatGPT, Copilot o asistentes equivalentes.
- Automatizaciones conectadas a CRM, atención al cliente, marketing o soporte.
- Software de selección de personal, scoring, clasificación o priorización.
- Herramientas de análisis documental, resumen o extracción de información.
- Plataformas SaaS que incorporan funciones de IA aunque no se vendan como producto de IA.
- Pruebas piloto realizadas por equipos sin validación central.
Para cada uso, la empresa debería saber quién lo utiliza, con qué finalidad, qué datos entran, qué resultado genera, quién revisa ese resultado y qué proveedor interviene.
Sin inventario no hay control. Y sin control es difícil aplicar RGPD, revisar el AI Act, negociar garantías con proveedores o demostrar diligencia si surge una incidencia.
2. Clasificación jurídica y nivel de riesgo
No todos los usos de IA tienen el mismo riesgo. Un asistente que ayuda a redactar borradores internos no plantea los mismos problemas que un sistema que filtra candidatos, prioriza reclamaciones, valora solvencia o influye en decisiones sobre personas.
La auditoría debería separar:
- Usos internos de productividad.
- Usos que tratan datos personales.
- Usos con impacto sobre clientes, trabajadores, candidatos o usuarios.
- Usos que puedan requerir obligaciones de transparencia.
- Sistemas que podrían necesitar una revisión específica bajo el AI Act.
- Automatizaciones que afectan a decisiones relevantes.
El objetivo no es etiquetar todo como alto riesgo. El objetivo es clasificar con método para saber dónde hacen falta controles reales y dónde bastan reglas proporcionadas.
Si el uso puede afectar a derechos, empleo, crédito, educación, servicios esenciales, salud, seguridad o acceso a prestaciones relevantes, no conviene asumir que es de bajo riesgo sin revisar el caso concreto.
3. RGPD y datos personales
La IA no elimina las obligaciones de protección de datos. Si una empresa introduce datos personales en una herramienta, analiza documentos identificables o automatiza procesos con información de clientes, empleados o candidatos, el RGPD sigue siendo aplicable.
La revisión debería contestar preguntas como:
- Qué datos personales se tratan.
- Para qué finalidad se usan.
- Qué base jurídica sostiene el tratamiento.
- Si se han informado correctamente las personas afectadas.
- Si hay categorías especiales de datos o información sensible.
- Si el proveedor actúa como encargado, responsable independiente u otra figura.
- Si existen transferencias internacionales o subproveedores relevantes.
- Si los datos se usan para entrenar o mejorar modelos.
También conviene comprobar si pueden usarse datos anonimizados, seudonimizados o reducidos. En IA generativa, el principio de minimización es especialmente importante: no pegar documentos completos si basta con un resumen sin identificadores.
Cuando el proyecto combina IA y datos personales, puede ser necesario revisar el encaje con /consultor-rgpd-zaragoza/ antes de escalar el uso.
4. Proveedores, contratos y configuración
Muchas empresas usan IA a través de proveedores externos. Eso no traslada automáticamente toda la responsabilidad al proveedor. La empresa debe revisar qué servicio contrata, qué garantías ofrece y qué configuración utiliza.
Puntos habituales de auditoría:
- Condiciones de uso y documentación contractual.
- Tratamiento de entradas, salidas y registros.
- Conservación de datos.
- Seguridad y control de accesos.
- Subproveedores y ubicación del tratamiento.
- Opciones para desactivar entrenamiento con datos de la empresa.
- Posibilidad de auditoría, trazabilidad o exportación de evidencias.
- Responsabilidades asumidas por cada parte.
Un error frecuente es aprobar una herramienta porque es conocida o porque ya la usa otro departamento. La revisión debe bajar al contrato, la configuración y el caso de uso concreto.
5. Política interna de uso de IA
La auditoría debería comprobar si existe una política interna clara. Si no existe, es recomendable definir reglas mínimas antes de que cada equipo improvise.
Una política útil debería explicar:
- Qué herramientas están permitidas.
- Qué usos quedan prohibidos o requieren autorización.
- Qué información no puede introducirse.
- Cómo tratar datos personales y documentación confidencial.
- Quién valida los resultados antes de usarlos.
- Qué hacer ante errores, sesgos o respuestas dudosas.
- Qué evidencias deben conservarse en usos relevantes.
La política no debe ser un documento decorativo. Debe estar adaptada a los equipos que la van a aplicar: dirección, legal, IT, RRHH, marketing, ventas, atención al cliente o compliance.
En empresas que usan IA generativa de forma habitual, esta política encaja dentro de una revisión más amplia de /compliance-tecnologia-zaragoza/.
6. Supervisión humana y decisiones automatizadas
La supervisión humana es una de las palabras más repetidas en proyectos de IA, pero no siempre significa lo mismo. No basta con que una persona aparezca formalmente en el proceso.
Una supervisión razonable exige que la persona pueda:
- Entender el propósito del sistema.
- Revisar la salida con tiempo y criterio.
- Detectar errores evidentes.
- Apartarse del resultado si procede.
- Documentar decisiones relevantes.
- Escalar dudas o incidencias.
Si la IA ordena, puntúa, recomienda o excluye personas, la revisión debe ser más cuidadosa. La empresa debería valorar transparencia, sesgos, explicabilidad, posibilidad de reclamación y conservación de evidencias.
7. Evidencias y trazabilidad
Una auditoría legal de IA no termina con recomendaciones genéricas. Debe ayudar a dejar pruebas de que la empresa ha actuado con diligencia.
Evidencias útiles:
- Inventario de sistemas y casos de uso.
- Evaluación de riesgos por herramienta o proceso.
- Revisión de proveedores y contratos.
- Decisiones sobre datos personales y bases jurídicas.
- Política interna de uso de IA.
- Formación o comunicación a empleados.
- Registros de validación humana en procesos relevantes.
- Plan de revisión periódica.
La trazabilidad no significa burocracia excesiva. Significa poder reconstruir por qué se decidió usar una herramienta, bajo qué condiciones y con qué controles.
8. Plan mínimo de acción
Para una empresa que ya usa IA de forma informal, un plan razonable puede empezar así:
- Identificar herramientas y usos reales.
- Priorizar procesos con datos personales o impacto sobre personas.
- Revisar proveedores y configuración.
- Definir reglas internas de uso.
- Formar a los equipos que usan IA.
- Documentar decisiones y controles mínimos.
- Revisar periódicamente nuevos usos y cambios de proveedor.
El objetivo no es frenar la innovación. Es evitar que la empresa dependa de automatizaciones que nadie controla, contratos que nadie ha leído o datos que no deberían haberse introducido.
Una auditoría legal de IA bien planteada ayuda a usar estas herramientas con más seguridad, mejores evidencias y menos improvisación. Si tu empresa ya utiliza IA y quiere ordenar riesgos, proveedores y controles, puedes solicitar una revisión inicial en /contacto/.