Skip to content
Confir.
Prueba gratuita
Blog

IA en la sombra: gobernanza, clasificación y obligaciones de la Ley de IA de la UE

EU AI Act Guide3 February 2026· 15 min de lectura

La IA en la sombra desencadena incumplimientos de alfabetización del Art. 4, prohibiciones del Art. 5 y deberes del responsable del despliegue de alto riesgo. Cree un inventario de IA antes de que lleguen las obligaciones de 2027.

La IA en la sombra hace referencia a las herramientas y sistemas de IA utilizados por los empleados o equipos sin el conocimiento, la aprobación o la supervisión de las funciones de TI, jurídica o de cumplimiento de la organización. El nombre es un reflejo de la «TI en la sombra» —el viejo problema de la adopción de software no autorizado—, pero lo que está en juego en materia de cumplimiento es mayor. Un empleado que utiliza una macro de hoja de cálculo no aprobada es un problema de gobernanza de TI. Un empleado que pega datos de clientes en un chatbot de IA público, o que utiliza una herramienta de puntuación con IA para precribar candidatos a un empleo sin que nadie en la empresa lo sepa, es potencialmente una vulneración de la protección de datos, un despliegue de IA de alto riesgo sin los controles de supervisión exigidos y un incumplimiento de la alfabetización en materia de IA del Artículo 4, todo a la vez.

«IA en la sombra» no es un término del Reglamento (UE) 2024/1689. El Reglamento no emplea esa expresión. Pero las obligaciones regulatorias que crea —alfabetización en materia de IA, clasificación, inventario, supervisión y, en algunos casos, la pila completa de cumplimiento de alto riesgo— se aplican con independencia de que la organización haya autorizado la herramienta o de que siquiera tuviera conocimiento de ella. Esa brecha es el problema que crea la IA en la sombra.

Por qué la Ley de IA de la UE convierte la IA en la sombra en una exposición jurídica

Tres artículos están implicados de forma más directa.

Artículo 4 — Alfabetización en materia de IA. Los proveedores y los responsables del despliegue deben adoptar medidas para garantizar que su personal, y las demás personas que se ocupen del funcionamiento y la utilización de sistemas de IA en su nombre, tengan un nivel suficiente de alfabetización en materia de IA. El Artículo 4 se aplica desde el 2 de febrero de 2025. Una organización en la que los empleados utilizan rutinariamente herramientas de IA que la organización no ha catalogado, evaluado o sobre las que no ha formado al personal incumple el requisito del Artículo 4 desde la fecha en que pasó a ser ley.

La alfabetización en materia de IA no es un certificado de formación. Significa que el personal comprende las capacidades y limitaciones de las herramientas de IA que utiliza, los riesgos que conllevan y cuándo escalar. Eso exige que la organización sepa qué herramientas está usando su gente. La IA en la sombra significa, por definición, que la organización no lo sabe. La obligación de alfabetización no puede cumplirse respecto de herramientas que la organización no ha identificado.

Artículo 6 / Anexo III — Clasificación de alto riesgo. Un sistema de IA de alto riesgo es de alto riesgo con independencia de que el responsable del despliegue haya aprobado formalmente su uso. Si un empleado utiliza una herramienta de IA para filtrar currículos en un proceso de contratación (Anexo III, punto 4, letra a)), esa herramienta está operando como un sistema de IA de alto riesgo con arreglo al Reglamento, aun cuando el director de RR. HH. nunca haya oído hablar de ella. La organización responsable del despliegue hereda las obligaciones del Artículo 26: seguir las instrucciones de uso, garantizar la supervisión humana, conservar los registros durante al menos seis meses (Art. 26, apdo. 6) y (para determinadas categorías, incluidas las herramientas de crédito y seguros con arreglo a los puntos 5, letras b) y c), del Anexo III) realizar una evaluación de impacto relativa a los derechos fundamentales con arreglo al Artículo 27.

Ninguna de esas obligaciones puede cumplirse respecto de un sistema cuya existencia la organización desconoce.

Artículo 5 — Prácticas prohibidas. Algunos usos de la IA están prohibidos de plano. Los sistemas de reconocimiento de emociones en el lugar de trabajo (Art. 5, apdo. 1, letra f)) están prohibidos desde el 2 de febrero de 2025. Si los empleados están utilizando una herramienta —quizá un complemento de videollamada que afirma leer los niveles de implicación— que entra en el ámbito de esta prohibición, la organización incumple el Reglamento aunque la herramienta nunca se haya adoptado formalmente. El techo sancionador por las infracciones del Artículo 5 es de 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total con arreglo al Artículo 99, apartado 3 —el nivel más alto—. Desconocer qué ejecutan los empleados no es una defensa.

Crear un inventario de IA: el primer control

El fundamento práctico de la gobernanza de la IA en la sombra es un inventario de IA: un registro de todos los sistemas de IA que la organización desarrolla, adquiere o utiliza. Confir lo denomina el registro de IA. La Ley de IA de la UE no exige un inventario formal como requisito nominal, pero la combinación del Artículo 4 (alfabetización), el Artículo 26 (obligaciones del responsable del despliegue para las herramientas conocidas) y el Artículo 9 (gestión de riesgos, para los despliegues del lado del proveedor) hace que uno sea funcionalmente necesario.

Un inventario de IA eficaz recoge:

  • Nombre de la herramienta, proveedor y método de acceso. Quién la suministra, cómo se accede a ella (cuenta directa, API, complemento de navegador, integrada en otro producto).
  • Caso de uso y población de usuarios. Qué hace la herramienta en esta organización, qué equipos la utilizan y si incide en decisiones sobre personas físicas.
  • Clasificación de riesgo. ¿Es prohibida (Art. 5), de alto riesgo (Art. 6 / Anexo III), de riesgo limitado (Art. 50) o de riesgo mínimo? Para las herramientas que podrían ser de alto riesgo, ¿se ha evaluado la exención del Art. 6, apdo. 3?
  • Flujos de datos. Qué datos trata la herramienta y si hay datos personales que salen del entorno de la organización. Esto alimenta las obligaciones del RGPD junto con las de la Ley de IA.
  • Estado de aprobación. ¿La herramienta está autorizada, en revisión o marcada para su retirada?

El descubrimiento es la parte difícil. Los empleados no anuncian el uso de herramientas no autorizadas. Los inventarios de IA en la sombra se construyen normalmente mediante una combinación de: un periodo de amnistía para la autodeclaración voluntaria; el análisis de registros de TI (extensiones de navegador instaladas, claves de API registradas, suscripciones SaaS en notas de gastos); datos de compras (adquisiciones de software con tarjetas de empresa); y entrevistas periódicas a nivel de equipo.

Clasificar antes de autorizar o retirar

Una vez identificada una herramienta de IA en la sombra, la primera cuestión de cumplimiento es su clasificación de riesgo, no si conviene conservarla.

Muchas herramientas de IA en la sombra son de riesgo mínimo. Un empleado que utiliza un asistente de IA de uso general para redactar memorandos internos, o para resumir notas de reuniones, está usando una herramienta de riesgo mínimo. La obligación de alfabetización del Artículo 4 sigue aplicándose —el empleado debe comprender las limitaciones de la herramienta—, pero más allá de eso no hay una pila de cumplimiento obligatoria. Una respuesta de gobernanza proporcionada consiste en añadir la herramienta al inventario, establecer directrices de uso y asegurarse de que el personal ha sido informado sobre el uso adecuado.

Algunas herramientas de IA en la sombra son de riesgo limitado con arreglo al Artículo 50. Un chatbot de cara al cliente que un empleado ha conectado al canal de soporte de la empresa sin la aprobación de TI es un despliegue de riesgo limitado. La divulgación a los clientes de que están interactuando con una IA es obligatoria a partir del 2 de agosto de 2026. La respuesta de gobernanza incluye la aprobación formal o la retirada, y garantizar que la obligación de divulgación se cumple antes de esa fecha.

Una pequeña proporción de herramientas de IA en la sombra resultarán ser de alto riesgo —normalmente cuando se utilizan para fines del Anexo III, como el cribado de candidatos, la calificación de solvencia o la supervisión del rendimiento—. Para esas herramientas, la organización debe, o bien:

  1. Aplicar las obligaciones del responsable del despliegue del Artículo 26 (instrucciones de uso, supervisión, conservación de registros) y obtener del proveedor la confirmación de que el sistema cumple los requisitos de alto riesgo de los Artículos 9 a 15; o
  2. Dejar de usar la herramienta hasta que se establezca el cumplimiento.

Y un número aún menor estarán prohibidas. Esas deben cesar de inmediato.

La alfabetización del Artículo 4 como programa permanente

La IA en la sombra prospera allí donde los empleados no tienen ningún marco sobre qué uso de la IA es aceptable y dónde está el límite. El requisito de alfabetización del Artículo 4 ofrece a los equipos de cumplimiento un anclaje legal para el trabajo de formación y de políticas que cierra esta brecha.

Un programa práctico del Artículo 4 para la gobernanza de la IA en la sombra:

Política de uso aceptable. Definir qué herramientas de IA están aprobadas para qué casos de uso, qué datos pueden tratarse y qué deben hacer los empleados antes de utilizar una nueva herramienta de IA (normalmente: declararla, esperar a la clasificación, recibir orientación). No es un documento jurídico, es una instrucción operativa.

Orientación de clasificación para personal no técnico. Es más probable que los empleados autodeclaren una nueva herramienta si el proceso es sencillo y el marco de clasificación se explica en términos llanos. Un árbol de decisión de una página —«¿Esta herramienta toma decisiones sobre personas? ¿Puntúa, clasifica o filtra a personas?»— es más accionable que un texto legal.

Ronda periódica de declaración. Un ciclo regular (trimestral para los equipos de evolución rápida, semestral para las funciones estables) en el que los responsables de equipo confirman su lista de herramientas de IA. No requiere una encuesta elaborada; basta con un simple correo con un formulario de cinco campos.

Una vía de declaración accesible. La IA en la sombra permanece en la sombra en parte porque los empleados temen consecuencias por usar herramientas no aprobadas. Un enfoque que priorice la amnistía —declárela ahora, sin sanciones, resolveremos juntos si esto es aceptable— saca a la luz más herramientas que uno punitivo.

Intersección con la protección de datos

La gobernanza de la IA en la sombra y el cumplimiento del RGPD se solapan de forma significativa, y un hallazgo en una a menudo revela un problema en el otro.

Muchas herramientas de IA tratan datos personales. Una herramienta que lee correos para redactar respuestas está tratando los datos personales de los remitentes de los correos. Una herramienta que transcribe reuniones capta datos personales de todos los participantes. Si esas herramientas quedan fuera del registro de tratamiento de datos del RGPD de la organización (Artículo 30 del RGPD, registro de las actividades de tratamiento), la organización tiene una doble brecha: una herramienta de IA no autorizada y una actividad de tratamiento no declarada.

Las solicitudes de acceso de los interesados y las investigaciones de violaciones de la seguridad de los datos son mecanismos habituales de descubrimiento de la IA en la sombra. Los datos personales de un empleado tratados por una herramienta desconocida afloran en una solicitud de acceso; una violación de la seguridad en un proveedor de SaaS revela que un empleado encaminaba datos de la empresa a través de una cuenta no registrada. Estos sucesos llegan a menudo antes de que el equipo de cumplimiento haya completado su inventario.

El arreglo práctico consiste en incluir las herramientas de IA en el ámbito de las evaluaciones de impacto relativas a la protección de datos (Artículo 35 del RGPD, EIPD) cuando intervengan datos personales, y en garantizar que los registros del Artículo 30 del RGPD se actualizan siempre que se añada una nueva herramienta de IA al inventario. El requisito de alfabetización del Artículo 4 de la Ley de IA y el requisito de EIPD del Artículo 35 del RGPD son controles complementarios, no competidores.

Madurez de la gobernanza: de la detección a la prevención

La gobernanza de la IA en la sombra madura a lo largo de tres fases.

Fase 1 — Detección. La organización descubre, mediante una auditoría, un incidente o una declaración de un empleado, que hay herramientas de IA en uso que no figuran en ningún registro. La respuesta es un ejercicio de inventario y un triaje de riesgos.

Fase 2 — Control. La organización tiene un inventario, un proceso de clasificación y una política de uso aceptable. La adopción de nuevas herramientas se declara y se revisa antes de su uso. Las herramientas de alto riesgo, o bien se ajustan al cumplimiento, o bien se retiran. La formación del Artículo 4 se ha completado para todo el personal pertinente.

Fase 3 — Prevención. Los procesos de compras e incorporación de la organización incluyen el cribado de herramientas de IA como paso estándar. Se evalúa la conformidad de los proveedores con la Ley de IA antes de desplegar sus herramientas. El inventario se revisa automáticamente a medida que aparecen nuevas suscripciones en los sistemas de compras.

La mayoría de las organizaciones, a mediados de 2026, se encuentran en la Fase 1 o en el inicio de la Fase 2. La obligación del Artículo 4, que se aplica desde febrero de 2025, crea urgencia para avanzar a la Fase 2 antes de que las autoridades de vigilancia del mercado comiencen la actividad de ejecución en serio.

Preguntas frecuentes

¿Es «IA en la sombra» un término jurídico con arreglo a la Ley de IA de la UE?

No. El Reglamento no emplea esa expresión. «IA en la sombra» es un término de gobernanza para el uso no autorizado de IA, adoptado del concepto más antiguo de «TI en la sombra». Las obligaciones de cumplimiento pertinentes para la IA en la sombra son el Artículo 4 (alfabetización en materia de IA), el Artículo 6 / Anexo III (clasificación de alto riesgo para las herramientas que resulten ser de alto riesgo), el Artículo 5 (usos prohibidos, que se aplican con independencia de la autorización) y las obligaciones del responsable del despliegue del Artículo 26.

Si un empleado utiliza una herramienta de IA no aprobada, ¿soporta la organización el riesgo de cumplimiento?

Sí. El Reglamento impone obligaciones a las organizaciones como responsables del despliegue, no a los empleados individuales. Si un empleado utiliza una herramienta de IA en un contexto profesional —para fines laborales, sobre datos de la empresa—, la organización es el responsable del despliegue con arreglo al Artículo 26. El hecho de que no estuviera autorizada no traslada la responsabilidad al empleado.

¿Qué exige el Artículo 4 que hagan las organizaciones respecto de la IA en la sombra?

El Artículo 4 (en vigor desde el 2 de febrero de 2025) exige a los proveedores y a los responsables del despliegue garantizar que el personal que se ocupa de los sistemas de IA tenga una alfabetización en materia de IA suficiente —comprensión de las capacidades, las limitaciones y los riesgos—. Una organización cuyos empleados utilizan herramientas de IA que no ha identificado no puede cumplir esta obligación respecto de dichas herramientas. La implicación práctica es que las organizaciones necesitan un inventario de IA como requisito previo para cumplir el requisito de alfabetización.

¿Crea la IA en la sombra una exposición al RGPD además de una exposición a la Ley de IA de la UE?

Con frecuencia, sí. Las herramientas de IA que tratan datos personales sin estar registradas en el registro de las actividades de tratamiento del Artículo 30 del RGPD, o sin una base lícita, crean brechas del RGPD junto con las brechas de clasificación y alfabetización de la Ley de IA. El descubrimiento de IA en la sombra a través de una solicitud de acceso o de una violación de la seguridad de los datos no es infrecuente.

¿Cuál es la sanción por utilizar una herramienta de IA prohibida que los empleados adoptaron sin aprobación?

Las prácticas prohibidas del Artículo 5 conllevan el nivel sancionador más alto: hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total con arreglo al Artículo 99, apartado 3, si esta última cifra es mayor. La prohibición se aplica desde el 2 de febrero de 2025. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija, pero la prohibición en sí es absoluta.

¿Cuándo debe una organización realizar su inventario de IA?

La obligación de alfabetización del Artículo 4 se aplica desde el 2 de febrero de 2025. Las organizaciones que aún no han construido un inventario de IA ya están expuestas. El plazo de alto riesgo de diciembre de 2027 (para los sistemas autónomos del Anexo III en virtud del Ómnibus Digital) crea una urgencia adicional: descubrir a finales de 2027 que un sistema de alto riesgo lleva funcionando sin autorización desde 2025 produce un retraso de cumplimiento difícil de corregir con rapidez.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

EIPD y EIDF para sistemas de IA: dos evaluaciones, un flujo de trabajo

La EIPD del Artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA de la UE son deberes distintos. Conozca cuándo se exige cada una, qué responsables del despliegue la deben y cómo realizar ambas a la vez.

Complete Guide

Gobernanza de la IA para el cumplimiento de la Ley de IA de la UE: el modelo operativo para pymes

Cree un programa de gobernanza de la Ley de IA de la UE para su pyme. Mapa de artículos correcto (Art. 9, 14, 43, 72), plazo del 2 dic 2027, sanciones, RACI y un plan a 90 días.

Guide

La guía de cumplimiento de la Ley de IA de la UE para el CISO

Los CISO y la Ley de IA de la UE: inventario de IA, ciberseguridad del Artículo 15, notificación de incidentes del Artículo 73, solapamiento con NIS2, informes al consejo. Plazo de alto riesgo: dic 2027.