MENU
Buscar...
MENU

La Ley de Inteligencia Artificial en el ámbito mercantil: guía de cumplimiento para pymes vascas (2026)

7 abril, 2026
Sin categoría

El Reglamento (UE) 2024/1689, conocido como Ley de Inteligencia Artificial, ha dejado de ser un proyecto normativo para convertirse en una realidad jurídica de aplicación directa en todo el territorio nacional. Para la pyme vasca, especialmente aquella integrada en los sectores industrial, logístico, comercial y de servicios avanzados, este hito no supone únicamente un desafío tecnológico o de protección de datos. Representa, ante todo, una exigencia de naturaleza mercantil, corporativa y contractual.

El tejido productivo del País Vasco, caracterizado por su alta densidad de empresas familiares, su orientación exportadora y su participación en cadenas de valor europeas exigentes, se enfrenta a un punto de inflexión. La normativa europea no solo regula el desarrollo de sistemas de inteligencia artificial, sino que impone deberes de diligencia a los administradores sociales, modifica el equilibrio de responsabilidad en los contratos tecnológicos y redefine los estándares de compliance en las relaciones con clientes tractora.

En este artículo, nuestro despacho analiza con rigor jurídico los ámbitos mercantiles críticos que toda pyme vasca debe revisar antes del 2 de agosto de 2026, fecha en la que entran en vigor las obligaciones plenas para los sistemas de IA de alto riesgo. El objetivo es proporcionar una hoja de ruta estructurada, fundamentada en el Derecho mercantil vigente y en la interpretación institucional actual, que permita a la empresa vasca anticiparse, blindar su patrimonio y transformar la obligación normativa en ventaja competitiva.

El Reglamento (UE) 2024/1689: de la teoría a la obligación mercantil directa

El Reglamento de IA es un acto legislativo de la Unión Europea de aplicación directa. Esto significa que no requiere transposición mediante ley nacional para surtir efectos en el ordenamiento español. Desde su publicación en el Diario Oficial de la Unión Europea, sus disposiciones han generado derechos y obligaciones inmediatos para proveedores y desplegados de sistemas de IA establecidos en la UE.

Desde una perspectiva mercantil, es fundamental distinguir entre dos figuras jurídicas con responsabilidades diferenciadas:

  1. Proveedor (provider): La empresa que desarrolla o comercializa un sistema de IA, o que lo adapta con una finalidad específica.
  2. Desplegado (deployer): La empresa que utiliza un sistema de IA bajo su autoridad, ya sea propio o adquirido a terceros.

La mayoría de las pymes vascas actúan como desplegadas: integran soluciones de IA en sus líneas de producción, las utilizan en selección de personal, las aplican en scoring financiero o las emplean en atención al cliente y gestión logística. No obstante, el carácter de proveedor puede alcanzarse fácilmente si la empresa modifica sustancialmente un sistema adquirido, lo integra en su propio producto o lo comercializa bajo su marca. En estos supuestos, la responsabilidad mercantil se intensifica y se activa el régimen de evaluación de conformidad.

La normativa establece un enfoque basado en el riesgo, clasificando los sistemas en cuatro categorías: prohibidos, de alto riesgo, de transparencia limitada y de riesgo mínimo o nulo. Solo una parte reducida de las herramientas utilizadas por las pymes entran en la categoría de alto riesgo, pero son precisamente estas las que generan mayores implicaciones contractuales, de gobernanza y de responsabilidad patrimonial.

Cronograma normativo: qué ya es exigible y qué cambia el 2 de agosto de 2026

La entrada en vigor del Reglamento ha sido progresiva. A fecha de hoy, abril de 2026, el marco normativo presenta la siguiente estructura de exigibilidad:

  • Obligaciones ya vigentes: Prohibición absoluta de sistemas de manipulación subliminal, explotación de vulnerabilidades o puntuación social. Obligaciones de transparencia para sistemas de interacción humana (chatbots, deepfakes) y generación de contenido sintético. Estas normas son de cumplimiento inmediato y su infracción puede dar lugar a sanciones administrativas y acciones de responsabilidad civil.
  • 2 de agosto de 2026: Entrada en vigor del régimen completo para sistemas de alto riesgo. Incluye: evaluación de conformidad previa a la comercialización o puesta en servicio, documentación técnica exhaustiva, gobernanza de datos de entrenamiento, trazabilidad y registro de actividad, supervisión humana efectiva y mecanismos de gestión de riesgos continuos.
  • Plazos posteriores (2027-2028): Aplicación de requisitos para modelos de IA de propósito general con impacto sistémico y armonización plena de los regímenes de supervisión nacionales.

Para la pyme vasca, la fecha límite de agosto de 2026 no es un horizonte lejano. Los procesos de auditoría interna, renegociación contractual con proveedores tecnológicos, adecuación de actas corporativas y formación de cuadros directivos requieren una planificación de al menos tres a seis meses. La inacción no solo expone a sanciones, sino que compromete la capacidad de la empresa para mantener relaciones comerciales con grandes grupos y participar en licitaciones públicas o privadas.

Cinco ámbitos mercantiles críticos para la pyme vasca

1. Gobierno corporativo y deberes de diligencia del administrador

El artículo 225 de la Ley de Sociedades de Capital (LSC) impone a los administradores sociales el deber de actuar con la diligencia de un ordenado empresario y de un representante leal. La jurisprudencia mercantil y los criterios de supervisión de la Comisión Nacional del Mercado de Valores (CNMV) han consolidado que la omisión de evaluación de riesgos tecnológicos relevantes puede constituir un incumplimiento de este deber, especialmente cuando el riesgo es previsible, de impacto patrimonial significativo y está regulado por normativa de aplicación directa.

La implementación de sistemas de IA de alto riesgo debe documentarse en el órgano de administración correspondiente (Consejo de Administración o Administrador Único). Se recomienda aprobar una resolución expresa que:

  • Identifique los sistemas de IA utilizados o previstos.
  • Autorice la inversión en medidas de cumplimiento.
  • Designe un responsable interno o externo de supervisión.
  • Establezca un calendario de revisión periódica.

Esta documentación no es un mero trámite formal. Constituye la primera línea de defensa frente a reclamaciones de socios, acreedores o terceros, y acredita el cumplimiento del deber de diligencia en caso de incidentes.

2. Revisión contractual y gestión de proveedores tecnológicos

La mayoría de las pymes vascas no desarrollan sus propios sistemas de IA, sino que los adquieren o licencian a proveedores nacionales o internacionales. El Reglamento establece que el despliegue de un sistema de alto riesgo no exime al proveedor de sus obligaciones, pero reparte responsabilidades que deben quedar claramente delimitadas en el contrato.

Los acuerdos vigentes con proveedores de software, plataformas de gestión, herramientas de RRHH o soluciones de control de calidad deben revisarse para incluir, como mínimo:

  • Cláusula de garantía expresa de conformidad con el Reglamento (UE) 2024/1689.
  • Derecho de auditoría técnica y acceso a la documentación de conformidad.
  • Obligación de notificación inmediata de incidencias, actualizaciones de modelo o cambios en el nivel de riesgo.
  • Delimitación de responsabilidades por daños a terceros, incluyendo indemnización y seguro de responsabilidad civil del proveedor.
  • Cesión de derechos de uso de los datos de entrenamiento y garantías de no vulneración de propiedad intelectual.

La falta de estas cláusulas expone a la pyme a asumir responsabilidad subsidiaria o solidaria frente a la autoridad de control, y dificulta la reclamación de daños y perjuicios en caso de fallos del sistema.

3. Responsabilidad patrimonial y cobertura aseguradora

El uso de sistemas de IA introduce nuevos vectores de riesgo operativo y de responsabilidad civil. Las pólizas de responsabilidad civil general o de directivos y gerentes (D&O) vigentes en muchas empresas vascas no incluyen cobertura explícita para incidentes derivados de algoritmos, sesgos discriminatorios, decisiones automatizadas erróneas o interrupciones por fallos de modelo.

Se recomienda realizar una revisión exhaustiva de las condiciones particulares con el corredor o asegurador, verificando:

  • La inclusión o exclusión expresa de tecnología emergente e IA.
  • Límites de indemnización y franquicias aplicables a ciberriesgos y decisiones automatizadas.
  • Requisitos de notificación y cooperación en caso de investigación regulatoria.

La adaptación de la cobertura aseguradora no debe entenderse como un gasto, sino como una herramienta de gestión de patrimonio empresarial alineada con los estándares de compliance actuales.

4. Cadenas de suministro y exigencias de clientes tractora

El sector industrial vasco mantiene relaciones estrechas con grandes grupos automovilísticos, energéticos, aeronáuticos y de distribución. Estos clientes están sometidos a presiones regulatorias y de mercado que les exigen garantizar la trazabilidad y el cumplimiento normativo en toda su cadena de suministro.

Es previsible que, durante el ejercicio 2026, las grandes empresas incorporen cláusulas de cumplimiento de IA en sus condiciones generales de compra, exigiendo a sus proveedores:

  • Certificaciones o declaraciones de conformidad.
  • Informes de auditoría interna.
  • Compromisos de transparencia y no uso de sistemas prohibidos.

La pyme que pueda acreditar un programa de cumplimiento estructurado no solo evitará la pérdida de contratos, sino que se posicionará como un proveedor fiable y preferente, diferenciándose en un mercado cada vez más exigente.

5. Propiedad intelectual, know-how y protección del activo digital

La integración de IA en procesos productivos o comerciales genera activos intangibles de valor: flujos de trabajo optimizados, conjuntos de datos propietarios, parámetros ajustados a la realidad de la empresa y modelos híbridos. Estos elementos pueden estar protegidos mediante:

  • Secreto empresarial (Ley 1/2019), siempre que se adopten medidas razonables para mantener su confidencialidad.
  • Derechos de autor sobre el código fuente o la estructura del sistema.
  • Patentes en supuestos excepcionales de invención técnica.

No obstante, las obligaciones de transparencia y trazabilidad del Reglamento pueden entrar en tensión con la protección del know-how. La solución jurídica radica en establecer acuerdos de confidencialidad robustos con empleados, colaboradores y proveedores, y en documentar internamente qué elementos se consideran secretos empresariales y cómo se protegen. Esta delimitación es esencial para evitar la divulgación involuntaria en auditorías o procedimientos administrativos.

Recursos institucionales vascos y hoja de ruta práctica

El ecosistema vasco cuenta con instrumentos de apoyo que pueden facilitar la transición normativa:

  • SPRI / Basque Industry 4.0: Programas de diagnóstico de madurez digital y guías sectoriales sobre compliance tecnológico.
  • Cámaras de Comercio de Bilbao, Donostia y Vitoria: Jornadas técnicas, plantillas contractuales y servicios de asesoramiento para pymes.
  • Clústers sectoriales (AFM, ACICAE, GAIA, HAZI): Documentación adaptada a las realidades productivas y modelos de cláusulas negociadas colectivamente.

No obstante, estos recursos no sustituyen el análisis jurídico individualizado. Cada empresa debe mapear sus sistemas, clasificar su nivel de riesgo, revisar su gobernanza corporativa y adaptar su cartera contractual. Una hoja de ruta mínima, viable y ejecutable en 90 días incluye:

  1. Inventario de sistemas de IA utilizados o previstos.
  2. Clasificación conforme al Reglamento y identificación de obligaciones aplicables.
  3. Revisión y actualización de actas corporativas y políticas internas.
  4. Auditoría contractual con proveedores tecnológicos.
  5. Formación específica a directivos y responsables de área.

Preguntas frecuentes

¿Necesita mi pyme vasca un delegado de protección de datos para cumplir la Ley de IA?
No necesariamente. La figura del Delegado de Protección de Datos (DPD) responde a la normativa de privacidad. Para la Ley de IA, lo exigible es la designación de un responsable interno o externo que supervise el cumplimiento, garantice la documentación técnica y coordine con las autoridades de control.

¿Qué ocurre si mi empresa utiliza un sistema de IA adquirido antes de agosto de 2026?
Los sistemas puestos en servicio o comercializados antes de la fecha límite deben adaptarse a los requisitos de alto riesgo si entran en esa categoría. No existe un régimen de «abuelo» automático. Se requiere una evaluación de conformidad y, en su caso, actualización contractual y técnica.

¿Puedo ser sancionado si el proveedor del sistema no cumple?
El Reglamento establece un reparto de responsabilidades. Como desplegado, debe verificar la conformidad del proveedor, disponer de documentación técnica y actuar con diligencia. La falta de verificación puede implicar responsabilidad administrativa y civil, incluso si el incumplimiento primario corresponde al proveedor.

¿Afecta esta normativa a las empresas familiares no cotizadas?
Sí. El deber de diligencia del administrador, la gestión de riesgos tecnológicos y la adaptación contractual son exigibles a todas las sociedades mercantiles, independientemente de su tamaño o forma de cotización. La normativa se aplica por el uso del sistema, no por la estructura societaria.

Conclusión

La Ley de Inteligencia Artificial no es una barrera para la innovación, sino un marco de certidumbre jurídica que premia la gestión responsable. Para la pyme vasca, anticiparse al 2 de agosto de 2026 significa blindar el gobierno corporativo, asegurar la continuidad comercial, proteger el patrimonio social y fortalecer la relación con clientes, proveedores y administraciones.

El cumplimiento normativo, abordado con rigor y planificación, se convierte en un activo intangible de alto valor. No se trata solo de evitar sanciones; se trata de estructurar la empresa para operar con solvencia jurídica en un entorno digital cada vez más regulado.

📩 ¿Desea realizar una revisión mercantil de su exposición a la normativa de IA? Nuestro equipo jurídico, con experiencia contrastada en derecho mercantil, contratación tecnológica y gobierno corporativo, le ofrece un diagnóstico preliminar estructurado en 30 minutos. Contacte con nuestro departamento para agendar una sesión confidencial y recibir un informe de viabilidad y actuaciones prioritarias:

📞 94 679 23 23 / 636 856 005
📧 info@monterodecisneros.com
📍 Gran Vía de Don Diego López de Haro, 38, Planta 3ª, Abando, 48009 Bilbao

⚖️ Aviso legal: Este artículo tiene carácter estrictamente informativo y divulgativo. No constituye asesoramiento jurídico vinculante ni sustituye el análisis personalizado de cada situación concreta. La normativa europea y su interpretación están sujetas a desarrollos reglamentarios, guías de autoridades supervisoras y jurisprudencia en evolución. Se recomienda contactar con nuestro despacho de abogados para un estudio individualizado adaptado a la actividad, estructura societaria y contexto territorial de su empresa.