Cumplimiento de la Ley de IA de la UE para despachos de abogados y equipos jurídicos
La Ley de IA de la UE para despachos y equipos jurídicos: la mayor parte de la IA jurídica es de riesgo mínimo. Sepa dónde se aplica el alto riesgo, qué exige ya el art. 4 y cuándo entra en juego el art. 50.
La mayor parte de la IA que utiliza un despacho de abogados no es de alto riesgo con arreglo a la Ley de IA de la UE. Comprender esa base —y saber exactamente dónde se sitúan las excepciones— es lo que convierte una regulación abstracta en un proyecto manejable.
El Reglamento (UE) 2024/1689 no contiene un régimen especial para el sector jurídico. No hay un capítulo de «tecnología jurídica». En su lugar, la Ley clasifica los sistemas de IA por lo que hacen y a quién se lo hacen. Para la inmensa mayoría de la IA desplegada hoy en la práctica jurídica —herramientas de revisión de contratos, asistentes de investigación jurídica, software de descubrimiento electrónico (e-discovery), asistentes de redacción, sistemas de gestión del conocimiento—, la clasificación honesta es de riesgo mínimo o limitado. Estas herramientas no conllevan obligaciones de cumplimiento obligatorias más allá de un deber de información si interactúan con los clientes como un chatbot o generan contenido sintético (Artículo 50, aplicable a partir del 2 de agosto de 2026).
Las excepciones son estrechas y están definidas con precisión. Acertar con el límite importa: etiquetar erróneamente una herramienta de riesgo mínimo como de alto riesgo desperdicia un esfuerzo considerable; etiquetar erróneamente un despliegue genuinamente de alto riesgo como de riesgo mínimo crea una exposición jurídica y reputacional real.
Qué significa realmente «alto riesgo» para la IA jurídica
El nivel de alto riesgo de la Ley de IA de la UE se define en el Artículo 6 por remisión a dos anexos. El Anexo I cubre la IA integrada en productos regulados (productos sanitarios, máquinas, vehículos). El Anexo III enumera ocho ámbitos en los que se presume que los sistemas de IA autónomos plantean un riesgo suficiente para los derechos fundamentales como para requerir un trabajo de cumplimiento previo a la comercialización.
Para el sector jurídico, la única rúbrica del Anexo III dirigida directamente a la IA del sector jurídico es el punto 8, letra a): la IA destinada a ayudar a una autoridad judicial en la investigación e interpretación de los hechos y del Derecho, o en la aplicación del Derecho a un conjunto concreto de hechos. Léalo con atención. El usuario previsto es una autoridad judicial —un órgano jurisdiccional, un tribunal o un órgano que ejerce funciones judiciales—, no un despacho de abogados que realiza su propio trabajo. Un despacho privado que utiliza IA para investigar argumentos para un caso no está desplegando un sistema del Anexo III, punto 8, letra a). Un órgano jurisdiccional que despliega IA para asistir a los jueces en la imposición de penas o en la interpretación de las pruebas sí lo está.
Más allá del punto 8, letra a), una práctica jurídica podría encontrarse con la clasificación de alto riesgo si despliega IA para fines que entran en otras rúbricas del Anexo III, por ejemplo, utilizando IA en sus propios procesos de RR. HH. para la contratación o la gestión del rendimiento (Anexo III, punto 4), o desplegando un sistema de calificación de la solvencia como parte de un trabajo de asesoramiento financiero (Anexo III, punto 5, letra b)). Pero estos son supuestos genéricos de responsable del despliegue, no algo propio de los servicios jurídicos.
Existe también un filtro importante. Con arreglo al artículo 6, apartado 3, un sistema que técnicamente cae dentro de una rúbrica del Anexo III no es de alto riesgo si no plantea un riesgo significativo de perjuicio, por ejemplo, porque desempeña una tarea procedimental estrecha, mejora el resultado de una actividad humana previamente realizada, o realiza un trabajo puramente preparatorio sin influir en evaluaciones individuales. Basta con que se cumpla una de estas condiciones. Los proveedores que invoquen este filtro deben documentar su razonamiento y registrar igualmente el sistema con arreglo al Artículo 49.
Dónde se sitúa en la práctica la IA jurídica
| Tipo de herramienta de IA | Clasificación típica | Fundamento |
|---|---|---|
| Revisión de contratos / análisis de cláusulas | Riesgo mínimo | Apoyo consultivo para abogados cualificados; ninguna rúbrica del Anexo III |
| Asistentes de investigación jurídica | Riesgo mínimo | Herramienta preparatoria; sin efecto jurídico autónomo |
| Priorización de documentos en e-discovery | Riesgo mínimo | Acota un conjunto de revisión humana; el humano determina la pertinencia |
| Asistentes de redacción / IA de plantillas | Riesgo mínimo / limitado (art. 50 si es de cara al cliente) | Consultivo; deber de información si es generativo y de cara al cliente |
| Gestión del conocimiento / búsqueda de precedentes | Riesgo mínimo | Recuperación de información; sin impacto individual |
| IA para RR. HH. del despacho (contratación, rendimiento) | Alto riesgo — Anexo III, punto 4 | Afecta directamente a los trabajadores |
| IA que asiste a un órgano jurisdiccional o tribunal | Alto riesgo — Anexo III, punto 8, letra a) | Desplegada por o para una autoridad judicial |
| Chatbot de cara al cliente (recepción, preguntas y respuestas) | Riesgo limitado — art. 50, apdo. 1 | Debe revelar que es una IA |
Los grandes modelos de lenguaje (LLM) subyacentes que impulsan muchas de estas herramientas —GPT-4, Gemini, Llama, Mistral— son modelos de GPAI sujetos al capítulo V de la Ley (Artículos 51 a 55). Esas obligaciones recaen en el proveedor del modelo (OpenAI, Google, Meta, Mistral), no en el despacho de abogados que despliega la herramienta. Las obligaciones del despacho vienen determinadas por lo que hace el sistema, no por el modelo que tiene debajo.
Las obligaciones que sí se aplican ahora mismo
Incluso cuando una herramienta de IA jurídica es de riesgo mínimo o limitado, algunas obligaciones ya se aplican de forma generalizada.
Artículo 4: alfabetización en materia de IA (en vigor desde el 2 de febrero de 2025). Toda organización que despliega IA debe garantizar que su personal tenga una comprensión suficiente de los sistemas de IA con los que trabaja para identificar limitaciones, reconocer los resultados que requieren revisión humana y ejercer un juicio adecuado. No es un requisito de certificación de formación —no se exige ninguna acreditación formal—, pero es un deber real. Para un despacho de abogados, significa que los abogados y el personal de apoyo que utilizan herramientas de IA de investigación o redacción deben comprender lo que esas herramientas pueden y no pueden hacer de forma fiable. El riesgo de alucinación es la preocupación obvia.
El problema de la «cita de jurisprudencia falsa» —en el que los sistemas de IA generaban con aplomo referencias a jurisprudencia inexistente, lo que dio lugar a sanciones judiciales en múltiples jurisdicciones— es precisamente el tipo de fallo de la IA que la alfabetización del Artículo 4 está diseñada para abordar. Varios abogados ya se han enfrentado a sanciones disciplinarias colegiales por presentar escritos generados por IA sin verificación independiente. El deber de alfabetización de la Ley de IA de la UE codifica lo que las normas de responsabilidad profesional ya exigen: no se puede delegar la competencia en una herramienta que no se entiende.
Artículo 50: información para la IA de riesgo limitado (aplicable a partir del 2 de agosto de 2026). Si un despacho de abogados o una empresa de tecnología jurídica opera un chatbot que interactúa con clientes o clientes potenciales, el artículo 50, apartado 1, exige que el chatbot revele que es una IA al inicio de la interacción. Si el despacho genera contenido sintético —cartas, documentos o informes redactados por IA presentados externamente—, el artículo 50, apartados 3 y 4, puede exigir un etiquetado adecuado. Estos son deberes de transparencia, no obligaciones de cumplimiento sustantivas, pero el incumplimiento se sitúa en el nivel sancionador de 15 millones de euros / 3 % con arreglo al artículo 99, apartado 4.
RGPD y secreto profesional. En sentido estricto, esto queda fuera de la Ley de IA, pero es el motor práctico de cumplimiento dominante para la mayor parte del trabajo de IA jurídica. Introducir documentos de clientes, correspondencia o asesoramiento jurídico amparado por el secreto profesional en modelos de IA de terceros plantea tanto obligaciones del RGPD como responsable del tratamiento como, de forma más inmediata, deberes de confidencialidad profesional con arreglo a las normas de los colegios de abogados. Un despacho de abogados no es el encargado del tratamiento cuando carga datos de clientes en una IA en la nube de uso general: es el responsable del tratamiento. La base de tratamiento adecuada, la minimización de datos y la limitación de la finalidad deben establecerse antes de la carga, no después. Numerosos colegios de abogados de los Estados miembros de la UE han emitido orientaciones que señalan esto como una preocupación inmediata, anterior a cualquier obligación de la Ley de IA.
Cuándo es proveedor una empresa de tecnología jurídica
Los despachos de abogados que únicamente utilizan herramientas de IA son responsables del despliegue. Las empresas que construyen herramientas de IA y las introducen en el mercado bajo su propio nombre son proveedores. La distinción importa porque las obligaciones del proveedor son sustancialmente más gravosas.
Si una empresa de tecnología jurídica construye una herramienta de predicción del resultado de los casos y la comercializa a órganos jurisdiccionales o autoridades fiscales, casi con seguridad está construyendo un sistema de IA de alto riesgo con arreglo al Anexo III, punto 8, letra a). Antes de introducirlo en el mercado de la UE, el proveedor debe:
- Establecer un sistema de gestión de riesgos que cumpla el Artículo 9
- Aplicar la gobernanza de datos con arreglo al Artículo 10
- Elaborar documentación técnica conforme al Artículo 11 y al Anexo IV
- Habilitar el registro con arreglo al Artículo 12
- Facilitar información de transparencia a los responsables del despliegue con arreglo al Artículo 13
- Incorporar medidas de supervisión humana con arreglo al Artículo 14
- Cumplir las normas de exactitud, robustez y ciberseguridad con arreglo al Artículo 15
- Realizar una evaluación de la conformidad con arreglo al Artículo 43 (la vía de control interno del Anexo VI se aplica a la mayoría de los sistemas del Anexo III, punto 8; la vía del organismo notificado del Anexo VII se exige por lo general solo para los sistemas biométricos del Anexo III, punto 1)
- Emitir una declaración UE de conformidad con arreglo al Artículo 47
- Registrar el sistema en la base de datos de la UE con arreglo al Artículo 49
- Vigilar el sistema tras el despliegue y notificar los incidentes graves con arreglo a los Artículos 72 y 73
El plazo para esta pila completa de proveedor —para los sistemas autónomos del Anexo III— es el 2 de diciembre de 2027, aplazado respecto de la fecha original del 2 de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026. Para la IA de alto riesgo integrada en productos regulados (Anexo I), el plazo es el 2 de agosto de 2028. El tiempo adicional es real, pero reunir la documentación del Anexo IV, realizar las evaluaciones de riesgos y diseñar interfaces de supervisión humana conformes lleva meses. Empezar después del plazo no es un plan viable.
Una empresa de tecnología jurídica que construya un sistema de alto riesgo y sea además una empresa mediana o grande de la UE debe tener en cuenta que el incumplimiento de las obligaciones del proveedor de alto riesgo se sitúa en el nivel sancionador de 15.000.000 EUR o el 3 % del volumen de negocios anual mundial total con arreglo al artículo 99, apartado 4. Para las pymes y las empresas emergentes, el artículo 99, apartado 6, limita la multa a la cifra que sea menor.
Supervisión humana y alucinación: el riesgo práctico
El Artículo 14 exige que los sistemas de IA de alto riesgo se diseñen de modo que una persona cualificada pueda comprender las capacidades y limitaciones del sistema, vigilar su funcionamiento, detectar anomalías e intervenir o anularlo. En un contexto jurídico, esto no es solo una casilla técnica. Se corresponde directamente con lo que la responsabilidad profesional ya exige: un abogado que presenta un resultado generado por IA sin revisión independiente no está ejerciendo el juicio que su cliente (y el órgano jurisdiccional) tiene derecho a esperar.
El problema de la alucinación está bien documentado. Los sistemas de IA entrenados con texto jurídico pueden producir citas de jurisprudencia de apariencia verosímil que no existen. Esto es ante todo una cuestión de competencia y supervisión, más que una cuestión de clasificación de la Ley de IA de la UE: una IA de revisión de contratos o un asistente de investigación jurídica no es de alto riesgo por el mero hecho de que pueda alucinar. Pero el riesgo de alucinación es precisamente la razón por la que la alfabetización en materia de IA del Artículo 4 y una revisión humana significativa importan incluso para las herramientas de riesgo mínimo.
Para cualquier proveedor de tecnología jurídica de un sistema genuinamente de alto riesgo (uno desplegado a autoridades judiciales), el Artículo 15 exige que el sistema mantenga niveles adecuados de exactitud, y el Artículo 9 exige un proceso continuo de gestión de riesgos que incluya la vigilancia posterior al despliegue. Un sistema que genera análisis jurídicos poco fiables para un órgano jurisdiccional no cumple estos requisitos, con independencia de que la inexactitud fuera previsible.
Evaluación de impacto relativa a los derechos fundamentales: la estrecha obligación de la EIDF
La EIDF con arreglo al Artículo 27 se aplica a un subconjunto concreto de responsables del despliegue: los organismos públicos y las entidades privadas que prestan servicios públicos, que despliegan sistemas de IA de alto riesgo. No se aplica a los despachos de abogados privados que utilizan IA de alto riesgo en el trabajo comercial con clientes.
La implicación práctica para los servicios jurídicos: una organización de asistencia jurídica gratuita financiada con fondos públicos, o una oficina de defensores públicos, que despliegue un sistema de IA de alto riesgo (por ejemplo, una herramienta que asista en la programación judicial o en el cribado de la admisibilidad a la asistencia jurídica gratuita) debe evaluar si se activa el Artículo 27. Un despacho comercial privado no afronta esta obligación únicamente por la Ley de IA, aunque sus propios marcos de gobernanza y sus obligaciones de EIPD del artículo 35 del RGPD puedan exigir un análisis estructurado similar.
Cómo ayuda Confir
La mayoría de los equipos jurídicos y empresas de tecnología jurídica necesitan hacer dos cosas: inventariar todas las herramientas de IA en uso y clasificar cada una con honestidad para que el esfuerzo vaya donde realmente recae la obligación. El motor de clasificación basado en reglas de Confir recorre el análisis del Anexo III para cada sistema —planteando preguntas estructuradas sobre el uso previsto, la población afectada, si interviene una autoridad judicial y si se aplica el filtro del art. 6, apdo. 3— y produce una justificación de clasificación documentada. Esa documentación es defendible en una auditoría porque la lógica es determinista: la misma admisión, la misma salida, con el razonamiento visible en lugar de inferido.
Para la minoría de proveedores de tecnología jurídica que construyen sistemas para su despliegue judicial o de garantía del cumplimiento del Derecho, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV, la declaración de conformidad del Artículo 47 y el flujo de trabajo de la EIDF del Artículo 27: los tres resultados que normalmente requieren más tiempo para reunirse desde cero.
Preguntas frecuentes
¿Es de alto riesgo la IA de revisión de contratos con arreglo a la Ley de IA de la UE?
Para la inmensa mayoría de los despliegues, no. La IA de revisión y análisis de contratos utilizada como herramienta consultiva por abogados cualificados no entra en ninguna rúbrica del Anexo III. Es de riesgo mínimo: no se aplican obligaciones de cumplimiento obligatorias, aunque los deberes de alfabetización en materia de IA del Artículo 4 implican que sus abogados deben comprender las limitaciones de la herramienta y verificar los resultados. La clasificación cambia solo si la herramienta se utiliza para un fin del Anexo III, como la evaluación automatizada de contratos laborales en un contexto de RR. HH. que afecte a decisiones de contratación o despido (Anexo III, punto 4, letra c)).
¿Es de alto riesgo la IA de investigación jurídica —las herramientas que encuentran jurisprudencia—?
No, en los despliegues típicos. Una herramienta que recupera, clasifica o resume jurisprudencia y normas para un abogado es un apoyo a la investigación. El abogado interpreta y aplica el Derecho; la herramienta realiza un trabajo preparatorio. Este es el filtro del art. 6, apdo. 3, en acción: un sistema que realiza un trabajo preparatorio sin influir en la evaluación individual de un humano no es de alto riesgo aunque toque nominalmente una categoría del Anexo III. El mayor riesgo práctico es la alucinación —citas a casos inexistentes—, que es una cuestión de competencia profesional, no una cuestión de clasificación de la Ley de IA de la UE.
¿Cuándo se aplica realmente el Anexo III, punto 8, letra a), a un sistema de IA jurídico?
El punto 8, letra a), cubre la IA destinada a ayudar a una autoridad judicial —un órgano jurisdiccional, un tribunal o un órgano que ejerce funciones judiciales— en la investigación e interpretación de los hechos y del Derecho, o en la aplicación del Derecho a un caso concreto. El elemento crítico es el responsable del despliegue previsto. Un despacho de abogados que utiliza IA para elaborar su propia estrategia de litigio no está desplegando a una autoridad judicial. Una empresa de tecnología jurídica que vende IA a los órganos jurisdiccionales para el apoyo a las decisiones o el triaje de casos sí lo está. Si su cliente previsto es un órgano judicial, realice un análisis de clasificación completo.
¿Deben los despachos de abogados una evaluación de impacto relativa a los derechos fundamentales?
Los despachos de abogados comerciales privados no activan el Artículo 27 únicamente como consecuencia de la Ley de IA de la UE. La EIDF se aplica a los organismos públicos y a las entidades privadas que prestan servicios públicos y despliegan IA de alto riesgo. Los organismos de asistencia jurídica gratuita financiados con fondos públicos y los defensores públicos deben evaluar si cumplen los requisitos. Un despacho privado que utiliza IA de alto riesgo (por ejemplo, una herramienta de contratación por IA en su propio proceso de RR. HH.) es un responsable del despliegue con arreglo al Artículo 26, pero no debe una EIDF salvo que entre en una de las categorías del Anexo III, 5, letra b)/c), o sea un prestador de servicios públicos.
¿Cuáles son las obligaciones de información para un chatbot jurídico?
El artículo 50, apartado 1, exige que cualquier chatbot que interactúe con personas físicas revele desde el principio que la persona está interactuando con una IA, salvo que resulte obvio por el contexto. Un bot de recepción de cara al cliente, una función de «chatee con un asistente jurídico» en el sitio web de un despacho, o un chatbot de asesoramiento automatizado deben hacer esta revelación. La obligación se aplica a partir del 2 de agosto de 2026. La infracción se sitúa en el nivel sancionador de 15.000.000 EUR / 3 % (artículo 99, apartado 4).
El LLM que impulsa nuestra herramienta de IA jurídica es un modelo de GPAI: ¿qué significa esto para nosotros?
Las obligaciones de los modelos de GPAI del capítulo V (Artículos 53 a 55) se aplican al proveedor del modelo: la empresa que entrenó y distribuye el modelo. Como responsable del despliegue que construye sobre un modelo de GPAI, usted no es el proveedor de GPAI. Sus obligaciones vienen determinadas por lo que hace su sistema: si es de riesgo mínimo, se aplica la alfabetización del Artículo 4; si es de riesgo limitado (chatbot de cara al cliente), se aplica el Artículo 50; si es de alto riesgo (construido para uso judicial), se le aplica toda la pila de los Artículos 9 a 15 como proveedor del sistema con arreglo al Artículo 25.
¿Cuándo se aplican las obligaciones de alto riesgo y cuándo deberíamos empezar?
Las prohibiciones del Artículo 5 se aplican desde el 2 de febrero de 2025. La transparencia de riesgo limitado del Artículo 50 se aplica a partir del 2 de agosto de 2026. Para los sistemas de IA de alto riesgo autónomos del Anexo III, el plazo de cumplimiento completo es el 2 de diciembre de 2027, aplazado respecto de la fecha original del 2 de agosto de 2026 en virtud del acuerdo político del Ómnibus Digital de mayo de 2026. La IA de alto riesgo integrada en productos regulados (Anexo I) tiene un plazo del 2 de agosto de 2028. Dado que la documentación del Anexo IV, los procesos de gestión de riesgos y las evaluaciones de la conformidad llevan meses para reunirse adecuadamente, los proveedores de tecnología jurídica de sistemas de alto riesgo deben empezar ahora.
Guías relacionadas
- reglas de apoyo a las decisiones judiciales del Anexo III
- fundamentos de la Ley de IA de la UE explicados
- lista de comprobación de cumplimiento para proveedores
- resumen de los puntos clave de cumplimiento
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →