Imagina un asistente de IA que resume los contratos con proveedores o encuentra al vuelo la última versión de un pliego. Cómodo, hasta que te preguntas a qué documentos está accediendo realmente, y quién decidió que pudiera hacerlo. Ahí entra el AI Act, el Reglamento (UE) 2024/1689, en vigor desde agosto de 2024 y con aplicación progresiva hasta agosto de 2026, el primer marco normativo vinculante del mundo sobre inteligencia artificial, que también afecta a las IA que se limitan a leer y resumir documentos internos. Esto no es asesoramiento legal, sino una guía práctica para quien gestiona documentos y quiere abordar el tema con la cabeza bien puesta.

El AI Act en breve para quien gestiona documentos

El reglamento razona por niveles de riesgo, que van desde las prácticas prohibidas como el social scoring hasta los sistemas de alto riesgo en sectores tasados como crédito, empleo y justicia, pasando por el riesgo limitado y mínimo. La buena noticia para quien gestiona documentos es que los usos típicos como buscar, resumir y extraer información no entran normalmente en las categorías de alto riesgo. Siguen vigentes algunas obligaciones transversales, entre ellas la transparencia (quien interactúa con una IA debe saberlo), además de los principios de gobernanza de datos que obligan a saber qué datos trata la IA, quién accede a ellos y con qué base.

Un segundo concepto útil es la distinción que el AI Act hace entre quien suministra el sistema de IA, el provider, y quien lo usa en la empresa, el deployer. Si eres una pyme, casi siempre eres deployer, lo que significa que una parte de las obligaciones recae sobre ti, en particular sobre cómo das acceso a los datos. Elegir proveedores que hagan explícito este reparto de responsabilidades, en lugar de declararse genéricamente "compliant", simplifica mucho tu parte.

Cuando la IA lee tus documentos: obligaciones y riesgos

El punto delicado es uno solo: el acceso. Si un agente de IA puede leer documentos que contienen datos personales o confidenciales, debes poder demostrar que ese acceso está limitado a lo necesario, trazado y revocable. Una IA que pesca de un export sin gobernanza, ya sea una carpeta copiada o un archivo pegado en un prompt, hace esa prueba casi imposible. Y ahí es donde el riesgo del AI Act y el riesgo del RGPD dejan de ser dos problemas separados y se convierten en el mismo problema.

Gobernanza: permisos, logs, datos en la UE

Aquí hay una convergencia útil, porque las mismas medidas que te ponen en regla son también buena ingeniería. Los permisos granulares aplicados también a los agentes hacen que la IA solo vea lo que ve el usuario que está detrás, mientras un registro traza cada acceso y los datos permanecen en Europa. Si la IA lee los documentos a través de un canal gobernado, en lugar de una copia paralela, la supervisión y la trazabilidad ya están incluidas y no hay que añadirlas a posteriori. Es también una cuestión de soberanía de los datos: saber dónde viven y quién los toca es la premisa de cualquier cumplimiento.

Checklist práctica de cumplimiento

Cinco puntos de partida concretos:

  • Mapea dónde viven los datos personales y confidenciales en tus documentos
  • Asegúrate de que los agentes hereden los permisos de los usuarios, no un rol elevado
  • Activa un log de cada acceso de la IA
  • Verifica dónde se procesan los datos
  • Pon por escrito el propósito y la base de cada uso de la IA sobre los documentos, y aclara con el proveedor quién responde de qué

Después valida todo con tu DPO o un asesor legal, porque esta checklist te permite llegar preparado a la conversación, pero no la sustituye.

Nota: Contenido informativo, no asesoramiento legal. Las evaluaciones de cumplimiento dependen del caso concreto y deben confirmarse con un profesional.