Ir al contenido
Legal Actualización Regulatoria

IA y responsabilidad del administrador: el nuevo estándar de diligencia tras el AI Act

El Reglamento (UE) 2024/1689 (AI Act), el anteproyecto de ley español de IA y el marco de compliance penal crean un nuevo estándar de diligencia para administradores societarios. Aunque no hay responsabilidad personal directa, la omisión de gobernanza de IA expone al órgano de administración.

8 min de lectura
Carousel LinkedIn (PDF)

El **Reglamento (UE) 2024/1689** del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (AI Act), junto con el **anteproyecto de ley español para el buen uso y la gobernanza de la IA** y el marco existente de compliance penal, configuran un nuevo estándar de diligencia para los administradores societarios en relación con el uso de sistemas de inteligencia artificial.

Calendario del AI Act: dónde estamos

FechaHito
1 agosto 2024Entrada en vigor del Reglamento
2 febrero 2025Prohibiciones y obligación de AI literacy en vigor
2 agosto 2025Gobernanza, autoridades supervisoras y obligaciones GPAI
2 agosto 2026Aplicación plena: sistemas de alto riesgo
2 agosto 2027Sistemas de alto riesgo integrados en productos regulados

Desde el 2 de febrero de 2025, las prohibiciones de prácticas inaceptables y la obligación de alfabetización en IA (art. 4) ya son exigibles. Cualquier empresa que utilice sistemas de IA en la UE debe cumplir estas obligaciones hoy.

La pregunta: ¿responde el administrador personalmente?

Lo que dice el AI Act

El AI Act no establece responsabilidad personal directa para administradores o directivos. Las sanciones se imponen a la entidad (proveedor, implementador o distribuidor del sistema de IA):

InfracciónMulta máxima% facturación
Prácticas prohibidas (art. 5)35M EUR7 %
Obligaciones de alto riesgo (art. 6-49)15M EUR3 %
Información incorrecta (arts. varios)7,5M EUR1,5 %

Para pymes y startups, se aplica el importe o porcentaje menor.

Lo que dice el anteproyecto español

El anteproyecto de ley para el buen uso y la gobernanza de la IA (Consejo de Ministros, 11 de marzo de 2025) transpone el régimen sancionador del AI Act al derecho español:

  • Infracciones muy graves: 7,5M - 35M EUR o 2-7 % de facturación.
  • Infracciones graves: 500K - 7,5M EUR o 1-2 %.
  • Infracciones leves: 6K - 500K EUR o 0,5-1 %.

Para entidades del sector público: no se imponen multas, sino amonestación con denominación del cargo responsable. Esto sí señala personalmente al directivo.

Cuando la empresa infractora pertenece a un grupo de empresas, se toma la facturación del grupo para calcular la sanción, evitando que las grandes corporaciones canalicen la responsabilidad a través de filiales de bajo volumen.

Pero la responsabilidad existe por otras vías

El administrador que no implante gobernanza de IA se expone a responsabilidad a través de tres vías convergentes:

Vía 1: Deberes de diligencia y lealtad (LSC)

Los artículos 225 y 226 de la Ley de Sociedades de Capital imponen a los administradores:

  • Deber de diligencia: actuar con la diligencia de un ordenado empresario, lo que incluye implantar los sistemas de control interno necesarios para gestionar los riesgos de la empresa.
  • Deber de lealtad: actuar de buena fe y en el mejor interés de la sociedad.
  • Protección de la discrecionalidad empresarial (business judgment rule, art. 226 LSC): solo protege las decisiones tomadas con información suficiente y procedimiento adecuado.

Si la empresa es sancionada con multas millonarias por incumplimiento del AI Act y se demuestra que el órgano de administración no había implantado ningún sistema de gobernanza de IA, la sociedad o los socios pueden ejercer la acción social de responsabilidad (art. 238 LSC) contra los administradores por los daños causados.

Vía 2: Compliance penal (art. 31 bis CP)

El artículo 31 bis del Código Penal establece la responsabilidad penal de las personas jurídicas por delitos cometidos por sus representantes legales o empleados cuando no exista un modelo de organización y gestión que incluya medidas de vigilancia y control idóneas para prevenir delitos.

Los sistemas de IA pueden ser el instrumento de comisión de delitos corporativos:

  • Discriminación (art. 314 CP): un algoritmo de selección de personal que discrimine por sexo, edad o raza.
  • Estafa (art. 248 CP): un sistema de IA que genere información engañosa para clientes.
  • Descubrimiento de secretos (art. 197 CP): un sistema de IA que acceda a datos personales sin base legal.
  • Delitos contra la propiedad intelectual (arts. 270-272 CP): entrenamiento con datos protegidos.

Si la empresa no tiene un modelo de prevención de delitos que incluya los riesgos específicos de IA, los administradores pueden responder penalmente por omisión del deber de vigilancia del art. 31 bis.2 CP.

Vía 3: Obligación de AI literacy (art. 4 AI Act)

El artículo 4 del AI Act impone a proveedores e implementadores la obligación de garantizar que su personal tenga un nivel suficiente de alfabetización en IA, teniendo en cuenta sus conocimientos técnicos, experiencia, formación y contexto de uso.

Esta obligación recae directamente sobre la organización, pero su cumplimiento es responsabilidad del órgano de administración, que debe:

  1. Identificar qué sistemas de IA se utilizan en la empresa.
  2. Evaluar el nivel de riesgo de cada sistema.
  3. Diseñar e impartir formación adecuada al personal que opera, supervisa o decide sobre sistemas de IA.
  4. Documentar el cumplimiento.

La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), operativa desde 2023 y con poderes de inspección y sanción plenos desde agosto de 2025, puede requerir esta documentación en cualquier momento.

La Instrucción 2/2026 del CGPJ

El 28 de enero de 2026, el Pleno del Consejo General del Poder Judicial aprobó la Instrucción 2/2026 sobre la utilización de sistemas de inteligencia artificial en el ejercicio de la actividad jurisdiccional (BOE-A-2026-2205).

Esta instrucción es relevante para los administradores porque:

  • Establece un marco de referencia sobre cómo los tribunales españoles van a evaluar el uso de IA.
  • Exige transparencia, explicabilidad y supervisión humana en las decisiones judiciales asistidas por IA.
  • Crea un precedente de gobernanza que los tribunales aplicarán analógicamente al evaluar la diligencia de los administradores en el sector privado.

Autoridades supervisoras en España

El anteproyecto de ley español distribuye la supervisión entre múltiples autoridades:

AutoridadÁmbito
AESIASupervisión general, coordinación, sandbox
AEPDBiometría, migraciones, datos personales
CGPJAdministración de justicia
Banco de EspañaClasificación crediticia
CNMVMercados de capitales
DG SegurosSector asegurador
Junta Electoral CentralProcesos electorales

Qué debe hacer el administrador diligente

Plan de gobernanza de IA mínimo

  1. Inventario de sistemas de IA: catalogar todos los sistemas de IA en uso, clasificándolos por nivel de riesgo (prohibido, alto, limitado, mínimo).
  2. Responsable de IA: designar un responsable o comité de gobernanza de IA con acceso directo al órgano de administración.
  3. Política interna de IA: aprobar una política que establezca los principios de uso, los sistemas autorizados, las prohibiciones internas y los procedimientos de aprobación de nuevos sistemas.
  4. Evaluación de impacto: para sistemas de alto riesgo, documentar la evaluación de conformidad, los datos de entrenamiento, los sesgos identificados y las medidas de mitigación.
  5. Formación (AI literacy): diseñar e impartir programas de formación para el personal que opera, supervisa o toma decisiones basadas en sistemas de IA.
  6. Supervisión humana: garantizar que toda decisión significativa asistida por IA tiene supervisión humana efectiva, no meramente formal.
  7. Procedimiento de incidentes: establecer un canal de comunicación interna para reportar incidentes o fallos de sistemas de IA, conectado con el sistema de compliance.
  8. Auditoría periódica: revisar anualmente el inventario, la política y la formación, actualizando conforme a la evolución normativa y tecnológica.

Integración con el modelo de compliance existente

El plan de gobernanza de IA no debe ser un documento aislado, sino integrarse en el modelo de prevención de delitos (art. 31 bis CP) y en el sistema de compliance general de la empresa:

  • Actualizar el mapa de riesgos incluyendo los riesgos específicos de IA.
  • Incorporar los controles de IA en el programa de auditoría interna.
  • Añadir la IA como materia de formación obligatoria en el plan de compliance.
  • Incluir los incidentes de IA en el canal de denuncias (Ley 2/2023).

Conclusión: responsabilidad de facto, no de iure

El AI Act no dice textualmente que el administrador es personalmente responsable. Pero el efecto combinado de:

  • Sanciones millonarias a la entidad (hasta 35M EUR o 7 % de facturación).
  • Deberes de diligencia de la LSC (arts. 225-226).
  • Compliance penal (art. 31 bis CP).
  • Obligación de AI literacy (art. 4 AI Act).
  • AESIA con poderes de inspección plenos.
  • Instrucción CGPJ 2/2026 como precedente judicial.

Crea un estándar de diligencia que, de no cumplirse, expone al administrador a responsabilidad civil (acción social, art. 238 LSC), responsabilidad penal (art. 31 bis CP) y daño reputacional.

El mensaje es claro: la gobernanza de IA ya no es una recomendación técnica, sino una obligación del deber de diligencia del administrador.

En BMC asesoramos a empresas y a sus órganos de administración en la implantación de sistemas de gobernanza de IA conformes al AI Act y al marco de compliance español. Conozca nuestros servicios de AI Act compliance.

Descargue este análisis como carousel para LinkedIn: PDF carousel

AI-Act compliance gobernanza-IA administradores responsabilidad BOE

Descargar en PDF

Carousel LinkedIn (PDF)
← Volver a Insights
Servicios Relacionados

Servicios Relacionados

Cumplimiento del Reglamento de IA (AI Act)

Adaptación al Reglamento Europeo de Inteligencia Artificial: clasificación de riesgos, evaluaciones de conformidad, obligaciones de transparencia y prohibiciones vigentes.

Mapa de Riesgos de Cumplimiento

Mapa integral de riesgos regulatorios: registro de obligaciones de cumplimiento, heat maps, gap analysis multirregulatorio (RGPD, NIS2, AI Act, AML) y gestión del cambio normativo.

Compliance Penal

Programas de compliance penal corporativo para eximir o atenuar la responsabilidad penal de las personas jurídicas conforme al artículo 31 bis del Código Penal.

Glosario

Glosario

Reglamento de IA (AI Act)

El Reglamento de Inteligencia Artificial de la Unión Europea (AI Act) es el primer marco legal…

Leer definición

Artículos relacionados

Legal

AI Act: obligaciones para sistemas de alto riesgo

Análisis de BMC: AI Act: obligaciones para sistemas de alto riesgo. Implicaciones, novedades y recomendaciones para empresas.

10 de febrero de 2025 · 6 min de lectura
Legal

Reglamento IA europeo publicado: lo que las empresas deben saber

Análisis de BMC: Reglamento IA europeo publicado: lo que las empresas deben saber. Implicaciones, novedades y recomendaciones para empresas.

20 de mayo de 2024 · 5 min de lectura
Legal

Alquiler congelado hasta 2028: prórroga obligatoria y tope del 2% (RDL 8/2026)

El RDL 8/2026 congela las subidas de alquiler al 2% anual y permite al inquilino forzar hasta 2 años de prórroga en contratos que venzan antes de diciembre de 2027. Análisis de impacto para propietarios e inquilinos.

21 de marzo de 2026 · 4 min de lectura

Le interesa saber más?

Hablemos de como aplicar estas ideas a su empresa.

Ver servicio: Cumplimiento del Reglamento de IA (AI Act)
Llamar Contacto