"Compliance" no es sinónimo de burocracia. Para las administraciones públicas que adoptan inteligencia artificial, el cumplimiento normativo es la base de la confianza ciudadana: si los ciudadanos no confían en que la IA del ayuntamiento actúa dentro de la ley, no la usarán. Y si no la usan, la inversión no retorna.
Esta guía resume las obligaciones de compliance que afectan a cualquier administración pública española que use o planee usar sistemas de IA, con qué normativas, qué plazos y quién es responsable de cada cosa.
El mapa normativo: tres regulaciones, un sistema
Los sistemas de IA en el sector público español están regulados por tres marcos que se superponen y complementan:
| Regulación | Qué regula | Quién supervisa | Entra en vigor |
|---|---|---|---|
| EU AI Act (UE 2024/1689) | Requisitos del sistema de IA en sí: riesgo, transparencia, supervisión humana | AESIA (España) | 2025-2027 escalonado |
| ENS (RD 311/2022) | Seguridad de la información tratada | CCN | Ya en vigor |
| RGPD + LOPDGDD | Protección de datos personales | AEPD | Ya en vigor |
Los tres marcos aplican simultáneamente. No es posible elegir uno y prescindir de los demás.
Para una guía detallada de cada uno:
Quién es responsable de qué
El compliance de IA en una administración pública involucra a varios roles. Tener claro quién responde de qué es el primer paso para que nada quede sin cubrir:
| Rol | Responsabilidades |
|---|---|
| Órgano directivo (alcalde, consejero, director general) | Aprobación de la política de IA, garantía de recursos, firma de la declaración de conformidad |
| Responsable del sistema de información | Categorización ENS, aprobación del plan de seguridad, decisión de poner en servicio |
| Responsable de seguridad | Análisis de riesgos, medidas de seguridad, auditorías ENS |
| Delegado de Protección de Datos (DPO) | Evaluación de impacto en protección de datos, asesoramiento sobre legalidad del tratamiento, relación con la AEPD |
| Responsable TIC / área de innovación | Selección y supervisión técnica del proveedor, integración del sistema, logs y monitorización |
| Unidad de contratación | Pliegos de condiciones, verificación de certificaciones del proveedor, cláusulas contractuales de cumplimiento |
En municipios pequeños, varios de estos roles pueden recaer en la misma persona. Lo importante es que estén documentados y asignados, no que sean personas distintas.
Las cinco obligaciones que ninguna administración puede ignorar
1. Transparencia hacia el ciudadano
Si tu organismo usa un chatbot de atención ciudadana o cualquier sistema que interactúe con ciudadanos, la ley exige informar de forma clara y comprensible que está interactuando con IA.
Qué hacer:
- Identificar el sistema como IA al inicio de cada conversación
- Ofrecer siempre la posibilidad de escalar a un humano
- Si el sistema influye en una decisión administrativa, informar al ciudadano de que su solicitud ha sido procesada (parcial o totalmente) por medios automatizados
Base legal: Art. 50 AI Act (sistemas de riesgo limitado), art. 22 RGPD (decisiones automatizadas).
2. Evaluación de impacto en protección de datos (EIPD)
Cualquier sistema de IA que trate datos personales a gran escala o de categorías especiales requiere una EIPD previa al despliegue. En el sector público, esto afecta prácticamente a todos los sistemas de IA de uso ciudadano.
Qué hace la EIPD:
- Identifica los riesgos para los derechos de los ciudadanos
- Documenta las medidas adoptadas para mitigarlos
- Determina si el tratamiento es lícito y proporcional
Quién la elabora: El DPO coordina el proceso; el responsable del sistema la aprueba.
Cuándo: Antes de poner el sistema en producción, no después.
3. Supervisión humana de decisiones
El AI Act y el RGPD prohíben que las administraciones adopten decisiones vinculantes que afecten a derechos de ciudadanos basadas exclusivamente en procesamiento automatizado, sin intervención humana.
Qué significa en la práctica:
- Un chatbot puede informar sobre el estado de un trámite sin supervisión humana en cada respuesta
- Un sistema que recomienda si aprobar o denegar una solicitud debe tener revisión humana antes de notificar al ciudadano
- El funcionario que revisa la recomendación de IA debe poder anularla y debe hacerlo con criterio propio, no de forma meramente formal
4. Registro de sistemas de IA
El AI Act exige registrar los sistemas de riesgo alto en la base de datos europea de la Comisión. Adicionalmente, es buena práctica (y en algunos casos obligatorio bajo el ENS) mantener un inventario interno de todos los sistemas de IA en uso.
El inventario debe incluir:
- Nombre y descripción del sistema
- Proveedor y versión
- Caso de uso y datos que trata
- Categoría de riesgo (AI Act) y nivel ENS
- Estado de cumplimiento (conforme / en proceso / pendiente)
- Responsable asignado
5. Gestión del ciclo de vida del sistema
Un sistema de IA no es estático. Los modelos de lenguaje se actualizan, los proveedores cambian sus condiciones, el caso de uso puede expandirse. Cada cambio significativo puede reactivar obligaciones de cumplimiento.
Cambios que exigen revisión:
- Actualización mayor del modelo subyacente
- Ampliación a nuevos tipos de datos o nuevos organismos
- Cambio de proveedor cloud
- Incidente de seguridad o privacidad
Plazos críticos de 2025-2026
| Fecha | Obligación |
|---|---|
| Febrero 2025 | Prohibición de sistemas de riesgo inaceptable (ya en vigor) |
| Agosto 2025 | Obligaciones para proveedores de modelos GPAI |
| Agosto 2026 | Plena aplicabilidad del AI Act para sistemas de riesgo alto |
| Continuo | ENS y RGPD: ya en vigor, sin excepciones |
Las administraciones que inicien ahora el proceso de cumplimiento tienen tiempo suficiente para estar en regla en agosto de 2026. Las que esperen, no.
Cómo contratar IA que ya venga conforme
La forma más eficiente de gestionar el compliance es trasladar parte de las obligaciones al proveedor mediante los pliegos de condiciones. Un pliego de contratación de asistente virtual bien redactado debe exigir:
- Declaración de conformidad con el AI Act (para el nivel de riesgo del sistema)
- Certificación ENS del entorno cloud (básico, medio o alto según la categorización del sistema)
- Compromiso de no usar datos del organismo para entrenar modelos propios
- Documentación técnica del sistema accesible para auditoría
- Notificación de cambios significativos en el modelo con antelación mínima de 30 días
- Cláusula de portabilidad de datos y plan de salida
Un proveedor que no pueda acreditar estos puntos antes de firmar no debería estar en el proceso de licitación.
Señales de alerta en un proveedor de IA
Estas situaciones deben hacerte dudar:
- No puede indicar dónde se alojan los datos (o dice que "en la nube" sin especificar región ni proveedor cloud)
- Los datos del organismo se usan para mejorar el modelo general del proveedor
- No tiene política de notificación de incidentes documentada
- No ofrece acceso a los logs de conversaciones
- La certificación ENS no cubre el servicio específico que vas a contratar
- No puede proporcionar la documentación técnica del AI Act para sistemas de riesgo alto
Recursos de referencia
- AEPD — Guía sobre tratamiento de datos en sistemas de IA
- CCN — Guías CCN-STIC sobre ENS y cloud
- AESIA — Agencia Española de Supervisión de la IA
- AI Act — texto completo en español (EUR-Lex)
Para organismos con necesidades de soberanía de datos máxima, también disponemos de LLM soberano para la administración pública.
El software de IA para ayuntamientos que cumple estas obligaciones no es más caro ni más lento de implantar: simplemente está mejor construido. Si quieres ver cómo Agento documenta su cumplimiento normativo, solicita una demo y te entregamos el dosier antes de la primera reunión.