Contratar servicios de IA: cómo evitar el intrusismo y cumplir la normativa europea

    9 min de lectura
    Compartir:

    El interés por la inteligencia artificial ha generado una oleada de proveedores que se presentan como especialistas. Muchos lo son. Otros, simplemente, han aprendido a escribir prompts y revenden modelos de terceros como si fueran soluciones propias. A esto se suma un marco regulatorio europeo —el AI Act— que ya está en vigor y que la mayoría de empresas todavía no entiende. Contratar mal en este contexto no es solo perder dinero: es exponerse legalmente.

    El intrusismo profesional disfrazado de innovación

    En los últimos dos años han aparecido cientos de empresas y profesionales que ofrecen 'soluciones de IA' sin formación técnica seria, sin experiencia previa en proyectos de datos y, en muchos casos, sin más capacidad real que la de invocar APIs de modelos preentrenados como GPT, Claude o Gemini. La barrera de entrada es prácticamente nula: una suscripción de pago a un modelo, una landing page bien diseñada y una propuesta comercial agresiva.

    El problema no es que utilicen modelos de terceros —prácticamente toda la industria lo hace—. El problema es que se presentan como ingenieros de IA, científicos de datos o expertos en machine learning sin tener el criterio técnico para diseñar arquitecturas robustas, evaluar la calidad de los datos, controlar las alucinaciones del modelo o garantizar la seguridad de la información que se le envía.

    "Saber escribir un prompt no convierte a nadie en ingeniero de IA. Igual que saber escribir un email no convierte a nadie en arquitecto de software."

    Cómo distinguir un profesional real de un intermediario improvisado

    Un profesional serio de IA puede explicar con detalle qué modelo está usando, por qué lo ha elegido frente a otros, cómo va a tratar los datos sensibles de su empresa, qué pasa si el modelo se equivoca y cuál es el plan de contingencia. Habla de evaluación de modelos, de métricas de precisión, de fine-tuning, de RAG, de gobierno del dato y de trazabilidad. No promete magia: explica límites.

    Un intermediario improvisado, por el contrario, se centra en el resultado final ('automatizamos su atención al cliente con IA'), evita las preguntas técnicas, no documenta cómo trata los datos y no puede explicar qué pasa cuando el modelo falla. Suele cobrar tarifas elevadas por integraciones que cualquier desarrollador con criterio podría hacer en días.

    Las preguntas que filtran rápido: ¿Dónde se procesan los datos que enviamos al modelo? ¿Quedan almacenados para entrenamiento? ¿Cómo evalúa la calidad de las respuestas? ¿Qué clasificación de riesgo tiene este caso de uso según el AI Act? Si no hay respuestas concretas, no hay profesional real.

    El AI Act europeo: la normativa que casi nadie está mirando

    El Reglamento Europeo de Inteligencia Artificial (Reglamento (UE) 2024/1689), conocido como AI Act, entró en vigor en agosto de 2024 y su aplicación es escalonada: las prohibiciones de prácticas inaceptables son aplicables desde febrero de 2025, las obligaciones para modelos de propósito general desde agosto de 2025, y el grueso de las obligaciones para sistemas de alto riesgo desde agosto de 2026.

    El AI Act clasifica los sistemas de IA en cuatro niveles: riesgo inaceptable (prohibidos), alto riesgo (sujetos a obligaciones estrictas), riesgo limitado (con requisitos de transparencia) y riesgo mínimo. Muchos casos de uso empresariales habituales —selección de personal, evaluación crediticia, sistemas biométricos, gestión de infraestructuras críticas— caen directamente en alto riesgo y requieren documentación técnica, evaluaciones de conformidad, registro en bases de datos europeas y supervisión humana documentada.

    El incumplimiento no es una multa simbólica: las sanciones pueden alcanzar los 35 millones de euros o el 7% de la facturación anual global, lo que sea mayor. Y la responsabilidad recae tanto en el proveedor como en el usuario empresarial del sistema.

    "El AI Act no es una recomendación. Es un reglamento con multas que pueden superar las del RGPD."

    RGPD, propiedad intelectual y secretos industriales

    Más allá del AI Act, contratar IA mal expone a la empresa a otros tres frentes legales. El primero es el RGPD: cuando se envían datos personales —de clientes, empleados o proveedores— a un modelo alojado fuera de la UE sin las garantías adecuadas, se incurre en una transferencia internacional ilegal. Muchos proveedores improvisados no documentan dónde se procesan los datos ni qué cláusulas contractuales tipo aplican.

    El segundo frente es la propiedad intelectual: los contenidos generados por modelos generativos pueden infringir derechos de autor de terceros, y la titularidad de lo generado no siempre es clara. Sin asesoramiento, su empresa puede estar publicando, vendiendo o integrando en productos contenido sobre el que no tiene derechos exclusivos.

    El tercer frente son los secretos industriales: cuando un empleado pega información confidencial en un chatbot público, esa información puede quedar registrada y ser utilizada para entrenar futuras versiones del modelo. La pérdida de confidencialidad es, en muchos casos, irreversible.

    Una checklist mínima antes de firmar

    Antes de contratar cualquier servicio de IA, exija por escrito: la identificación del modelo subyacente y su proveedor, la ubicación geográfica del procesamiento de datos, el régimen de retención y reutilización de los datos enviados al modelo, la clasificación del caso de uso según el AI Act y las medidas de mitigación previstas, las cláusulas de responsabilidad ante errores del sistema, y un plan de supervisión humana documentado.

    Pida referencias verificables de proyectos similares, no testimonios genéricos. Solicite ver la documentación técnica del sistema, no solo la presentación comercial. Y si el proveedor no puede o no quiere proporcionar esta información, ya tiene la respuesta que necesita.

    "Si un proveedor de IA no puede explicarle dónde acaban sus datos, no es un proveedor: es un riesgo."

    Por qué el criterio independiente es decisivo en IA

    La IA es probablemente el área tecnológica donde el desequilibrio de información entre proveedor y cliente es mayor. Los términos técnicos son nuevos, las capacidades reales de los modelos cambian cada pocos meses y la mayoría de los decisores no tiene base para evaluar si una propuesta es sólida o humo bien envuelto.

    Una asesoría tecnológica neutral —que no vende modelos, no implanta soluciones y no cobra comisiones de ningún proveedor de IA— puede evaluar las propuestas con criterio técnico real, validar el cumplimiento normativo, calibrar los riesgos y proteger los intereses de la empresa antes de comprometer presupuesto. En IA, más que en cualquier otra área, el consejo independiente paga su coste muchas veces.

    Contratar IA bien en 2026 exige dos cosas que el mercado no facilita: capacidad para distinguir profesionales reales de intermediarios improvisados, y conocimiento riguroso del marco normativo europeo. Ninguna de las dos se improvisa. Antes de firmar con cualquier proveedor de IA, asegúrese de que entiende qué está comprando, dónde acaban sus datos y qué obligaciones legales le corresponden como usuario empresarial. La diferencia entre una inversión exitosa y una sanción de siete cifras suele estar en las preguntas que se hicieron —o no se hicieron— antes de firmar.

    Sigue leyendo

    ¿Está evaluando contratar servicios o soluciones de IA?

    Un diagnóstico independiente puede ayudarle a distinguir propuestas serias de humo comercial y a verificar el cumplimiento del AI Act antes de comprometer presupuesto.