El AI Act para abogados españoles: guía práctica de compliance en 2026

Puntos clave

El AI Act clasifica los sistemas de IA por niveles de riesgo y establece obligaciones diferenciadas para cada nivel, con sanciones de hasta 30 millones de euros o el 6% de la facturación global.
Los despachos de abogados que utilicen herramientas como ChatGPT, sistemas de análisis predictivo o software de revisión documental deben inventariarlos y evaluar su nivel de riesgo.
La supervisión humana efectiva no es opcional: es un requisito legal para cualquier sistema de IA que intervenga en decisiones con consecuencias jurídicas para terceros.
El solapamiento con el RGPD crea obligaciones acumuladas que afectan especialmente a la figura del DPO y a los departamentos de compliance.

1. Qué es el AI Act y por qué afecta a los abogados

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, relativo a la inteligencia artificial —conocido como AI Act o Reglamento IA— constituye el primer marco normativo horizontal y vinculante sobre inteligencia artificial en el mundo. Publicado en el Diario Oficial de la Unión Europea el 12 de julio de 2024, entró en vigor el 1 de agosto de 2024 con aplicación progresiva según el tipo de disposición.

La norma no se dirige exclusivamente a las grandes tecnológicas. Cualquier empresa, despacho profesional o institución pública que utilice, desarrolle o distribuya sistemas de inteligencia artificial en el territorio de la UE —o cuyos sistemas afecten a personas en la UE— queda sujeta a sus obligaciones. Esto incluye a los despachos de abogados que emplean herramientas como asistentes de redacción basados en LLM, sistemas de búsqueda jurisprudencial con IA, software de revisión documental automatizada o plataformas de análisis predictivo.

Definición legal de "sistema de IA"

El art. 3.1 del AI Act define sistema de IA como «un sistema basado en máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación tras su implantación y que, a partir de las entradas que recibe, infiere cómo generar salidas tales como predicciones, contenidos, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales». Esta definición es deliberadamente amplia e incluye la mayoría del software basado en modelos de lenguaje o aprendizaje automático.

2. Los cuatro niveles de riesgo y qué sistemas usa un despacho

El AI Act estructura sus obligaciones en torno a cuatro categorías de riesgo, cuya determinación es el primer paso del proceso de compliance:

Nivel de riesgo	Descripción	Ejemplos en despachos	Régimen
Inaceptable	Sistemas prohibidos por vulnerar derechos fundamentales	Sistemas de puntuación social, manipulación subliminal	Prohibición absoluta
Alto riesgo	Sistemas que afectan a ámbitos críticos como justicia, empleo o servicios esenciales	IA para valoración de riesgo en litigios, software predictivo de resoluciones judiciales, sistemas de evaluación de solvencia en operaciones societarias	Obligaciones estrictas: evaluación de conformidad, registro, supervisión humana
Riesgo limitado	Sistemas con obligaciones de transparencia	Chatbots de atención al cliente, asistentes de redacción (ChatGPT, Copilot)	Obligación de informar al usuario que interactúa con IA
Riesgo mínimo	Sistemas sin obligaciones específicas	Filtros de correo spam, correctores gramaticales básicos	Sin obligaciones adicionales

Para la mayoría de despachos, el grueso de las herramientas de IA que utilizan hoy —asistentes basados en LLM como ChatGPT, Gemini o Claude— caen en la categoría de riesgo limitado. Sin embargo, si esas herramientas se emplean en el contexto de toma de decisiones con efectos jurídicos directos para clientes —valoración de estrategias procesales, análisis de viabilidad de reclamaciones, selección de candidatos en un proceso de due diligence— pueden elevarse a la categoría de alto riesgo según el uso concreto y el sector.

3. Obligaciones concretas para despachos: el plan de acción mínimo

3.1 Inventario de sistemas de IA

El primer paso es identificar y documentar todos los sistemas de IA que el despacho utiliza, ha contratado a terceros o ha desarrollado internamente. Este inventario debe recoger al menos: nombre del sistema, proveedor, versión, finalidad de uso, datos que procesa, y clasificación de riesgo provisional.

En la práctica, muchos despachos descubren en este proceso que utilizan IA sin saberlo: plataformas de gestión procesal con recomendaciones automatizadas, sistemas de búsqueda jurisprudencial con filtrado semántico, o herramientas de OCR inteligente para documentos.

3.2 Evaluación de conformidad para sistemas de alto riesgo

Los sistemas clasificados como alto riesgo requieren, antes de su puesta en servicio, una evaluación de conformidad (art. 43 AI Act). Esto incluye: análisis de riesgos documentado, especificación técnica del sistema, métricas de precisión y fiabilidad, descripción de los datos de entrenamiento y validación, y plan de supervisión post-comercialización.

Para sistemas desarrollados por terceros (lo más habitual en despachos), el despacho actúa como deployer (desplegador) y debe verificar que el proveedor ha cumplido sus propias obligaciones como provider (proveedor), exigiendo la documentación técnica correspondiente.

3.3 Supervisión humana efectiva

El art. 14 del AI Act establece que los sistemas de alto riesgo deben diseñarse y desarrollarse de manera que puedan ser supervisados eficazmente por personas físicas. Esta supervisión implica que el profesional responsable:

Comprende las capacidades y limitaciones del sistema y puede detectar anomalías o comportamientos inesperados.
Puede intervenir o detener el sistema en tiempo real si detecta resultados incorrectos.
No delega la decisión final al sistema en ámbitos que afecten a derechos o intereses de terceros.

Este requisito tiene consecuencias prácticas inmediatas: un abogado que firma un escrito generado íntegramente por IA sin revisarlo, o que acepta sin contraste una valoración de riesgo producida por un algoritmo predictivo, no cumple con la obligación de supervisión humana.

3.4 Documentación y trazabilidad

El AI Act exige documentar las decisiones adoptadas con el apoyo de sistemas de IA de alto riesgo, de modo que sea posible una auditoría posterior. Para los despachos, esto puede traducirse en la incorporación de notas al expediente que identifiquen cuándo y cómo se utilizó una herramienta de IA, qué salidas produjo, y cómo se supervisó el resultado.

4. Solapamiento con el RGPD: el marco de doble obligación

La aplicación simultánea del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) y el AI Act genera un marco de obligaciones acumuladas cuando el sistema de IA procesa datos personales —lo que ocurre en la práctica totalidad de las herramientas jurídicas que operan sobre expedientes de clientes.

En estos casos, el despacho debe cumplir simultáneamente con:

Bajo RGPD: base jurídica del tratamiento, información al interesado, derechos de acceso y supresión, evaluación de impacto (DPIA) cuando el tratamiento suponga alto riesgo para derechos y libertades.
Bajo AI Act: evaluación de conformidad, supervisión humana, documentación técnica del sistema, notificación a la autoridad de vigilancia del mercado.

La figura del Delegado de Protección de Datos (DPO) cobra especial relevancia en este contexto: sus funciones de supervisión del cumplimiento normativo se extienden naturalmente al control del AI Act, aunque formalmente este no atribuye al DPO un papel específico. Es recomendable que el despacho amplíe expresamente el mandato del DPO o designe un responsable de cumplimiento IA.

5. Plazos de aplicación en España

El AI Act establece un calendario de aplicación progresiva con hitos específicos:

2 de febrero de 2025: Prohibición de los sistemas de IA de riesgo inaceptable (art. 5).
2 de agosto de 2025: Aplicación de las obligaciones relativas a modelos de IA de uso general (GPAI) —incluidos los grandes modelos de lenguaje como GPT-4 o Gemini.
2 de agosto de 2026: Plena aplicación del régimen de alto riesgo para la mayoría de sectores. Esta es la fecha clave para despachos que utilicen o desarrollen sistemas de alto riesgo.
2 de agosto de 2027: Extensión a sistemas de alto riesgo ya en funcionamiento antes de la entrada en vigor.

En España, el Ministerio de Asuntos Económicos y Transformación Digital trabaja en la designación de la autoridad nacional de supervisión de IA y en el desarrollo reglamentario complementario, aunque a la fecha de este análisis el proceso está pendiente de conclusión.

6. Sanciones: el coste del incumplimiento

El AI Act establece un régimen sancionador de tres niveles (art. 99):

Hasta 35 millones de euros o el 7% de la facturación mundial anual para infracciones relacionadas con sistemas de IA prohibidos.
Hasta 15 millones de euros o el 3% de la facturación mundial anual para incumplimiento de obligaciones aplicables a proveedores, representantes autorizados, importadores o desplegadores.
Hasta 7,5 millones de euros o el 1,5% de la facturación mundial anual para suministro de información incorrecta a autoridades.

Para las PYMEs —categoría en la que se encuadra la mayoría de despachos españoles— se aplica el límite más favorable entre la cuantía fija y el porcentaje de facturación.

7. Recomendaciones prácticas para despachos en 2026

Realizar un inventario de herramientas de IA en uso en el despacho antes del 2 de agosto de 2026. Incluir no solo las herramientas contratadas expresamente, sino también las funcionalidades IA integradas en plataformas de gestión procesal, CRMs o software de productividad.
Clasificar cada herramienta por nivel de riesgo en función del art. 6 y el Anexo III del AI Act. Para sistemas dudosos, la presunción conservadora es la más adecuada.
Revisar los contratos con proveedores de herramientas IA para verificar que incluyen compromisos de conformidad con el AI Act y facilitan la documentación técnica exigida al desplegador.
Establecer un protocolo interno de uso de IA que defina qué tareas pueden delegarse a sistemas de IA, cuáles requieren supervisión humana reforzada, y cómo se documenta el uso en el expediente.
Formar al equipo en los conceptos básicos del AI Act y en las implicaciones deontológicas del uso de IA en el ejercicio de la abogacía, especialmente en materia de secreto profesional y responsabilidad civil.
Coordinar la respuesta entre el área de compliance, el DPO y la dirección del despacho, dado el solapamiento inevitable con el RGPD y la necesidad de una visión integrada del cumplimiento normativo en materia de tecnología.

Referencias normativas

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024. DOUE L, 12 de julio de 2024.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD). DOUE L 119, 4 de mayo de 2016.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). BOE núm. 294, de 6 de diciembre de 2018.
Comunicación de la Comisión Europea: Orientaciones sobre la aplicación del Reglamento de IA. Bruselas, marzo de 2025.
CGAE: Nota informativa sobre el uso de herramientas de inteligencia artificial en el ejercicio de la abogacía. Madrid, enero de 2026.

Reciba cada semana los análisis más relevantes

Doctrina, jurisprudencia y práctica forense sobre IA y Derecho en su bandeja de entrada, cada lunes.

Suscribirse al boletín