Consultoría legal en inteligencia artificial para empresas (2026): cuándo necesitas un abogado, cuándo un consultor técnico y qué te exige la ley

La pregunta llega a casi todas las direcciones generales en 2026: "¿necesitamos un abogado para esto de la IA?". La respuesta corta es: depende de cuál de los 5 frentes legales tengas abierto. Esta guía explica qué resuelve un abogado especializado, qué resuelve un consultor técnico, cuándo hacen falta los dos, y cuánto cuesta cada cosa en el mercado español.

Nota editorial: este artículo es contenido informativo elaborado por el Equipo Editorial de IA para Empresas B2B. No constituye asesoramiento jurídico. Para decisiones legales concretas, consulta con un abogado colegiado especializado en tecnología.

TL;DR

• Qué es la consultoría legal en IA: el asesoramiento jurídico especializado que ayuda a una empresa a usar, comprar o desplegar inteligencia artificial cumpliendo el EU AI Act, el GDPR, la normativa de propiedad intelectual y la legislación laboral española.
• Cuándo la necesitas de verdad: si tu IA toca decisiones sobre personas (selección, crédito, seguros), si tratas datos personales con IA, si firmas contratos relevantes con proveedores de IA, o si un cliente grande te audita. Para el uso cotidiano de un chat corporativo, una política interna bien hecha cubre el 80% del riesgo.
• Abogado vs consultor técnico: el abogado redacta políticas, dictámenes y contratos; el consultor técnico hace el inventario de sistemas, la clasificación de riesgo, la documentación técnica y la trazabilidad. En proyectos serios de compliance hacen falta los dos, y la mayor parte del trabajo de campo es técnica, no jurídica.
• Precios orientativos en España (2026): política interna de uso de IA desde 1.500-5.000 €; dictamen jurídico específico 2.000-8.000 €; acompañamiento integral AI Act + GDPR para PYME 5.000-20.000 € año 1. Orientativos: cada despacho cotiza distinto.
• Fecha que manda: el 2 de agosto de 2026 entra en plena aplicación el bloque crítico del EU AI Act (high-risk del Anexo III, Article 50 de transparencia), con multas de hasta 35 M€ o el 7% de la facturación global.
• Primer paso recomendado: antes de llamar a un despacho, hacer el inventario de qué herramientas de IA usa cada departamento. Sin inventario, cualquier asesoramiento legal trabaja a ciegas y cobra horas de descubrimiento que puedes ahorrarte.

¿Qué hace una consultoría legal de inteligencia artificial?

Una consultoría legal de IA traduce las obligaciones del EU AI Act, el GDPR y el resto del marco normativo a documentos y procedimientos concretos para una empresa: políticas internas, dictámenes de riesgo, contratos con proveedores, cláusulas laborales y respuestas ante autoridades o auditorías de clientes. No despliega tecnología ni clasifica sistemas técnicamente; eso es trabajo del consultor técnico o del equipo de IT.

En la práctica española de 2026, el servicio lo prestan tres tipos de actores: despachos generalistas con área de tecnología (NewLaw, departamentos TMT), boutiques especializadas en protección de datos que han ampliado a AI Act, y consultoras de compliance que combinan perfiles jurídicos y técnicos. El mercado se ha llenado rápido — y no todos los que ofrecen "compliance AI Act" llevan más de un año trabajándolo, como veremos en la sección de errores.

Lo relevante para un director general no es el nombre del servicio sino el mapa de riesgo: la IA abre exactamente cinco frentes legales en una empresa española. Conviene saber cuáles tienes abiertos antes de pedir presupuesto.

Los 5 frentes legales de la IA en una empresa española

Frente 1 — EU AI Act: obligaciones por nivel de riesgo

El Reglamento (UE) 2024/1689 clasifica los sistemas de IA en cuatro categorías — prohibido, alto riesgo, riesgo limitado y riesgo mínimo — y asigna obligaciones proporcionales a cada una. La mayoría de PYMEs opera en riesgo mínimo o limitado (chat corporativo, generación de contenido, automatización interna), donde el grueso del cumplimiento es transparencia, formación del personal (Article 4, en vigor desde febrero de 2025) y política interna.

El salto cualitativo llega si algún sistema cae en el Anexo III (alto riesgo): selección de personal con IA, scoring crediticio, evaluación de primas de seguros, control de acceso biométrico, evaluación educativa. Ahí se activan documentación técnica, supervisión humana formalizada, logs y conformity assessment. El detalle completo de categorías, plazos y obligaciones está en nuestra guía del EU AI Act para PYME española antes del deadline de agosto 2026.

Quién lo resuelve: la clasificación de sistemas y la documentación técnica son trabajo de perfil técnico; la interpretación jurídica de casos frontera ("¿mi ATS con ranking de candidatos es high-risk?") y la respuesta ante una autoridad son trabajo de abogado.

Frente 2 — GDPR y AEPD: tratar datos personales con IA

El AI Act no sustituye al GDPR: se suman. Cuando una empresa mete datos personales en un sistema de IA — un CRM con scoring, un chat al que los empleados pegan emails de clientes, un RAG sobre expedientes — está haciendo un tratamiento de datos que exige base jurídica, información al interesado y, en muchos casos, una evaluación de impacto (EIPD) conforme al artículo 35 GDPR.

La AEPD ha publicado criterios específicos sobre tratamientos con IA y mantiene la potestad sancionadora ordinaria del GDPR (hasta 20 M€ o 4% de facturación global). Los puntos calientes en PYME: decidir si el proveedor de IA es encargado del tratamiento (y firmar el DPA correspondiente), las transferencias internacionales si el modelo procesa en EE. UU., y el uso de datos de clientes para "mejorar el servicio" del proveedor. Una parte creciente de PYMEs resuelve este frente de raíz eligiendo despliegues con datos en Europa, como analizamos en la guía de soberanía de datos e IA para la PYME europea.

Quién lo resuelve: si ya tienes DPO o despacho que lleva tu GDPR, este frente es la extensión natural de su trabajo. La pieza técnica (saber qué datos entran de verdad en cada herramienta) vuelve a ser del consultor técnico.

Frente 3 — Propiedad intelectual: outputs y datos de entrenamiento

Dos preguntas concentran el riesgo de este frente. Primera: ¿de quién es lo que genera la IA? En el marco europeo y español, el contenido generado de forma autónoma por una máquina no genera derechos de autor clásicos — la protección exige aportación humana creativa. Para una empresa, la implicación práctica es contractual: asegurar que los términos del proveedor de IA le ceden o reconocen los derechos de explotación del output, y documentar la intervención humana en piezas valiosas (marca, producto, software).

Segunda: ¿puede el output infringir derechos de terceros? Un texto, imagen o fragmento de código generado puede reproducir material protegido presente en los datos de entrenamiento. Algunos proveedores ofrecen indemnización por reclamaciones de copyright en sus planes de empresa; otros no. Saber qué cubre tu contrato antes de publicar contenido generado con IA en campañas, productos o software comercial es exactamente el tipo de revisión que justifica una consulta jurídica puntual.

Quién lo resuelve: abogado de propiedad intelectual, con apoyo técnico para identificar qué herramientas generan qué y con qué configuración.

Frente 4 — Contratos con proveedores de IA: DPA, SLA y responsabilidad

Cada herramienta de IA que entra en la empresa entra por un contrato, y la mayoría de PYMEs los acepta sin leer. Las cláusulas que un asesor legal revisa en un contrato de proveedor de IA en 2026:

• DPA (acuerdo de encargo de tratamiento): obligatorio si el proveedor procesa datos personales. Ubicación de datos, subprocesadores, plazos de supresión.
• Uso de tus datos para entrenamiento: que el contrato excluya expresamente que tus prompts y documentos entrenen modelos del proveedor.
• SLA y disponibilidad: qué pasa si el servicio del que depende tu atención al cliente se cae, y qué compensación hay.
• Responsabilidad y límites: los proveedores limitan su responsabilidad a las cuotas pagadas; si un error del modelo causa un daño a tu cliente, el contrato probablemente te deja solo. Hay que saberlo antes, no después.
• Compliance AI Act del proveedor: declaración de conformidad, documentación técnica disponible y compromiso de adenda si la normativa cambia. Si el proveedor no la firma, es información de riesgo para dirección.
• Reversibilidad: exportación de datos y configuraciones si cambias de proveedor, sin penalizaciones de lock-in.

Quién lo resuelve: abogado para negociar y redactar; consultor técnico para verificar que lo firmado se cumple en la configuración real (dónde se procesan los datos de verdad, qué logs existen).

Frente 5 — Laboral: uso de IA por empleados y políticas internas

El frente que más incidentes reales genera en PYME no es el AI Act: es el empleado que pega datos de clientes en una cuenta personal de ChatGPT. El marco laboral español añade además obligaciones específicas: el deber de información a los trabajadores y a la representación legal cuando se usan algoritmos que afectan a condiciones de trabajo (artículo 64.4.d del Estatuto de los Trabajadores, reforzado por la normativa de trabajo en plataformas), y la obligación del Article 26 del AI Act de informar a la plantilla antes de desplegar sistemas de alto riesgo que les afecten.

Una política interna de uso de IA bien redactada resuelve la mayor parte de este frente: qué herramientas están aprobadas, qué datos no se pueden introducir, qué decisiones no se delegan a la IA, qué consecuencias disciplinarias tiene el incumplimiento y cómo se reporta un incidente. Si además la empresa usa IA en selección, evaluación de desempeño o control horario, conviene dictamen laboral específico — ahí ya hay jurisprudencia incipiente y la Inspección de Trabajo pregunta.

Quién lo resuelve: laboralista para la política y sus efectos disciplinarios; consultor técnico para que la política sea aplicable de verdad (control de accesos, herramientas corporativas que sustituyan a las cuentas personales).

Test rápido: ¿qué frentes tienes abiertos?

Diez preguntas de sí/no para situarse antes de pedir presupuesto. Cada "sí" abre (o agrava) un frente:

1. ¿Usa tu empresa IA en selección de personal, evaluación de desempeño o promociones? → Frente 1 (posible alto riesgo) + Frente 5.
2. ¿Algún sistema con IA decide o influye en condiciones de crédito, primas o acceso a servicios para clientes? → Frente 1 (posible alto riesgo).
3. ¿Introducen los empleados datos de clientes o de terceros en herramientas de IA? → Frente 2.
4. ¿Alguien usa cuentas personales de IA (no corporativas) para trabajo? → Frente 2 + Frente 5, y es el incidente más probable.
5. ¿Publicáis o entregáis a clientes contenido generado con IA (textos, imágenes, código)? → Frente 3 + etiquetado del Article 50.
6. ¿Depende algún proceso crítico (atención al cliente, producción, facturación) de una herramienta de IA de un proveedor? → Frente 4.
7. ¿Habéis firmado contratos de IA sin revisar DPA, ubicación de datos o cláusulas de responsabilidad? → Frente 4.
8. ¿Tiene la plantilla formación documentada en uso de IA (Article 4)? Si no → Frente 1, incumplimiento ya vigente.
9. ¿Existe política interna de uso de IA firmada y comunicada? Si no → Frente 5.
10. ¿Os ha pedido algún cliente, asegurador o inversor evidencia de compliance en IA? → Todos: necesitáis dossier, no documentos sueltos.

Con 0-2 síes en preguntas de riesgo (1, 2, 10), el camino estándar es política + formación + inventario. Con un sí en la 1 o la 2, hay caso para dictamen. Con un sí en la 10, el calendario lo marca el cliente, no el Reglamento.

Abogado especializado vs consultor técnico vs ambos: qué resuelve cada perfil

La confusión más cara que comete una PYME es contratar el perfil equivocado: pagar tarifas de despacho por trabajo que es técnico (inventarios, clasificación, documentación de sistemas) o pedirle al integrador tecnológico que "incluya lo legal" (no puede firmar un dictamen ni defenderte ante la AEPD).

La lectura de la tabla es directa: el abogado firma, interpreta y defiende; el consultor técnico inventaría, documenta e implementa. En un proyecto de compliance de IA completo, entre el 60% y el 70% de las horas de trabajo son de naturaleza técnica, no jurídica. Pagar esas horas a tarifa de despacho es la forma más habitual de duplicar el presupuesto sin ganar protección.

¿Cuándo basta una política interna y cuándo necesitas dictamen?

No toda empresa que usa IA necesita asesoramiento legal continuado. La línea divisoria razonable en 2026:

Basta una política interna bien hecha (+ formación + inventario) si:

• Tus usos de IA son de riesgo mínimo o limitado: chat corporativo, redacción asistida, resúmenes, automatización de back-office sin decisiones sobre personas.
• No introduces datos especialmente protegidos (salud, datos penales, biometría) en sistemas de IA.
• Tus contratos con proveedores son planes estándar de empresa con DPA publicado y datos en Europa o con garantías de transferencia.
• Ningún cliente o licitación te exige certificación o dictamen de tercero.

Necesitas dictamen jurídico (y probablemente acompañamiento) si:

• Algún sistema roza el Anexo III: criba de CVs, scoring de clientes, primas de seguros, evaluación de personas. La calificación high-risk/no high-risk de un caso frontera es exactamente lo que un dictamen resuelve y deja documentado.
• Tratas datos personales a escala con IA, o datos de categorías especiales: la EIPD necesita conclusiones jurídicas firmadas.
• Vas a firmar un contrato relevante con un proveedor de IA (proyecto > 20.000 €, o del que dependa un proceso crítico).
• Publicas o comercializas contenido/software generado con IA y la propiedad intelectual importa.
• Un cliente grande, un inversor o un asegurador te pide evidencia de compliance.
• Has tenido un incidente: fuga de datos vía IA, reclamación de un afectado, requerimiento de autoridad.

Una forma honesta de resumirlo: la política interna gestiona el riesgo cotidiano; el dictamen gestiona el riesgo de decisión (cuando la empresa va a apostar dinero, datos o personas a una interpretación de la norma).

Qué pedirle a un despacho y cuánto cuesta (precios orientativos, España 2026)

Los precios del asesoramiento legal en IA en España varían mucho según despacho, ciudad y profundidad. Las horquillas siguientes son orientativas, recopiladas de tarifas y propuestas de mercado observadas por este medio durante 2025-2026; cualquier despacho serio cotizará tras conocer el caso:

Qué pedirle al despacho antes de firmar, en cinco preguntas:

1. Experiencia específica en AI Act, no genérica en "nuevas tecnologías": pide ejemplos (anonimizados) de políticas, dictámenes o EIPDs con IA hechos en los últimos 12 meses.
2. Alcance por escrito: qué entregables exactos incluye el precio (una política de 6 páginas y un "programa de compliance" pueden cotizarse igual y ser cosas muy distintas).
3. Con quién harán la parte técnica: si el despacho dice que no hace falta inventario técnico, desconfía; si lo subcontrata, pregunta a quién y a qué tarifa.
4. Quién lleva tu asunto: que el socio que vende no desaparezca y el trabajo lo haga un junior sin supervisión — pide nombre y dedicación del responsable.
5. Posición ante incidentes: si mañana llega un requerimiento de la AEPD, ¿te representan? ¿A qué tarifa? Mejor saberlo en la propuesta que en la urgencia.

Este medio no recomienda despachos concretos: el criterio de selección anterior aplica a cualquiera. Lo que sí es generalizable es la secuencia: inventario técnico primero, asesoramiento legal después. Llegar al despacho con el inventario hecho ahorra entre el 20% y el 40% de las horas facturables de descubrimiento.

Sectores con más exposición legal en IA (España, 2026)

No todos los sectores parten del mismo punto. La combinación de Anexo III del AI Act, intensidad de datos personales y presión de clientes dibuja un mapa claro de quién necesita asesoramiento antes:

El caso del software merece nota aparte: una empresa que integra IA en el producto que vende puede asumir obligaciones de provider, no solo de deployer — el salto regulatorio más grande del Reglamento. Si tu PYME vende software con IA dentro, la consulta jurídica no es opcional, es diseño de producto.

Cómo se reparte un proyecto tipo abogado + consultor (6-8 semanas)

Para visualizar el tándem en la práctica, así se estructura un proyecto estándar de compliance IA en una PYME de 20-80 personas que llega "limpia" (sin high-risk complicado):

1. Semana 1-2 — Inventario y mapa de datos (consultor técnico): herramientas declaradas y shadow IT, datos de entrada/salida, proveedores, contratos existentes. Entregable: inventario auditable.
2. Semana 2-3 — Clasificación de riesgo (consultor técnico, validación del abogado en casos frontera): cada sistema mapeado contra las categorías del Reglamento. Entregable: matriz de riesgo con los casos dudosos marcados.
3. Semana 3-4 — Dictamen de casos frontera, si los hay (abogado): opinión firmada sobre los sistemas marcados. Entregable: dictamen.
4. Semana 4-5 — Política interna + revisión contractual (abogado, con input técnico): política de uso de IA, adendas DPA y compliance con proveedores priorizados. Entregables: política firmada por dirección, contratos revisados.
5. Semana 5-6 — Controles técnicos (consultor técnico): trazabilidad por usuario, etiquetado de contenido generado, puntos de supervisión humana, retirada de cuentas personales. Entregable: controles operativos en plataforma.
6. Semana 6-7 — Formación Article 4 (sesión conjunta): módulo legal (qué exige la norma, qué responsabilidad tiene cada uno) + módulo práctico (qué puedo y no puedo hacer en cada herramienta). Entregable: registro de formación firmado.
7. Semana 7-8 — Dossier y cierre (ambos): carpeta única con inventario, matriz, política, contratos, registros y evidencias — lo que se entrega a un cliente auditor o a una autoridad si pregunta. Entregable: dossier de compliance + plan de actualización.

Dos lecturas de este calendario. Primera: arrancando a mediados de junio de 2026, una PYME estándar llega al 2 de agosto con el dossier cerrado o casi. Segunda: las semanas 1-3 y 5 son trabajo técnico; las 3-4 y parte de la 6, jurídico. El reparto presupuestario suele quedar en torno a 60/40 a favor de la parte técnica — coherente con la tabla de perfiles de más arriba.

El rol del consultor técnico en el cumplimiento (la pieza que los despachos no hacen)

El error simétrico al de "todo con el abogado" es pensar que el compliance de IA es un problema 100% jurídico. La mayor parte de las obligaciones del AI Act y del GDPR aplicado a IA se demuestran con evidencia técnica, y esa evidencia alguien tiene que producirla:

• Inventario de sistemas IA: qué herramientas usa cada departamento de verdad (incluido el shadow IT: las cuentas personales que nadie declaró), qué datos entran y salen, qué decisiones apoyan.
• Clasificación de riesgo preliminar: mapear cada sistema contra las categorías del Reglamento para que el abogado solo tenga que validar los casos frontera.
• Documentación técnica y registro de sistemas: descripción de arquitectura, modelos, flujos de datos y proveedores en formato auditable — lo que el AI Act llama documentación técnica y lo que un cliente grande pide en su due diligence.
• Evaluación de riesgo operativa: qué puede salir mal con cada sistema (alucinaciones en outputs que van a cliente, datos sensibles en prompts, dependencia de un proveedor único) y qué control lo mitiga.
• Trazabilidad y supervisión humana implementadas: que los logs por usuario, el etiquetado de contenido generado y los puntos de revisión humana existan en la plataforma, no solo en el papel.
• Formación práctica del equipo: la parte del Article 4 que no es teoría legal sino "qué puedes y no puedes meter en esta herramienta concreta".

Según Javier Santos Criado, consultor de IA para empresas en Javadex, el orden de los factores cambia el resultado: "Cuando una empresa empieza por el despacho sin haber hecho el inventario técnico, el abogado redacta sobre supuestos. He visto políticas internas impecables jurídicamente que prohibían herramientas que nadie usaba y no decían nada de las tres que usaba todo el mundo. El trabajo técnico previo — saber qué sistemas hay, qué datos tocan y dónde se procesan — es lo que convierte el documento legal en protección real. Y es también lo que más abarata la factura del despacho".

En la práctica, los proyectos de compliance que funcionan en PYME combinan los dos perfiles con una división clara: el consultor técnico produce inventario, clasificación preliminar, documentación y controles en plataforma; el abogado valida, redacta y firma. Sobre cómo encajar esa pieza técnica cuando la empresa no tiene equipo interno, nuestra guía sobre cumplir el EU AI Act con una plataforma de IA privada desarrolla el enfoque "compliant by design".

Calendario regulatorio 2026-2027: las fechas que condicionan el asesoramiento

La consecuencia operativa: junio y julio de 2026 son los últimos meses para llegar ordenado al 2 de agosto. Una PYME de riesgo mínimo/limitado llega con 6-8 semanas de trabajo bien dirigido; una con sistemas high-risk sin documentar tiene ya la ventana justa y debe priorizar.

Errores comunes al contratar asesoramiento legal en IA (junio 2026)

A junio de 2026, con el deadline a dos meses vista, estos son los errores que más se repiten en empresas españolas según lo observado por este medio:

Error 1: contratar al despacho antes de hacer el inventario técnico. El más caro. El despacho factura horas de descubrimiento para averiguar lo que tu propio equipo (o un consultor técnico en una semana) podía haber documentado, y el resultado jurídico es tan bueno como la información de partida.

Error 2: aceptar "compliance AI Act" como extensión automática del contrato GDPR sin verificar especialización. El AI Act regula el sistema, no solo el dato. Un buen despacho de protección de datos no es automáticamente experto en clasificación de riesgo de sistemas de IA. Pide trabajos específicos de los últimos 12 meses.

Error 3: pedir un dictamen cuando lo que necesitas es una política (y viceversa). Pagar 6.000 € por un dictamen sobre un chat corporativo de riesgo limitado es sobreingeniería; despachar con una política genérica un sistema de criba de CVs es infraseguro. La sección anterior sobre política vs dictamen da la línea divisoria.

Error 4: firmar contratos de proveedores de IA sin revisión y pretender arreglarlo después. Renegociar un DPA o una cláusula de responsabilidad con el servicio ya en producción y los datos ya dentro deja sin palancas. La revisión contractual es de las pocas piezas legales que es claramente "antes, no después".

Error 5: tratar el compliance como proyecto único y cerrarlo en agosto. Estándares armonizados, guías de la Comisión y criterios de AESIA y AEPD seguirán saliendo en 2026-2027. Las empresas que lo resuelven bien dejan un mecanismo de actualización (iguala ligera, revisión semestral, o responsable interno formado), no una carpeta cerrada.

Error 6: no involucrar a RRHH y a la representación de los trabajadores cuando la IA toca a la plantilla. La obligación de información existe (Estatuto de los Trabajadores + Article 26 AI Act) y saltársela convierte un proyecto de eficiencia en un conflicto laboral. El frente 5 no es opcional.

Caso real anonimizado: distribuidor B2B que empezó por el final

Empresa distribuidora B2B de aprox. 40 personas (zona centro, febrero-mayo 2026). La dirección, con el deadline de agosto en el radar, contrató directamente a un despacho un "programa de compliance AI Act" por unos 9.000 €. El despacho entregó en seis semanas una política interna y un memo de obligaciones formalmente correctos. El problema apareció al implantarlos: la política regulaba tres herramientas que la empresa apenas usaba y no mencionaba el asistente de IA integrado en el CRM — que hacía scoring de clientes para condiciones de pago, un uso con implicaciones de alto riesgo que nadie había declarado porque "venía con el CRM".

La empresa tuvo que contratar después un consultor técnico para hacer el inventario que faltaba (se afloraron 11 herramientas con IA, 4 sin contrato revisado), reclasificar el riesgo y volver al despacho para un dictamen específico sobre el scoring y una adenda contractual con el proveedor del CRM. Coste final: unos 16.500 € y tres meses, frente a los ~11.000 € y ocho semanas que habría costado la secuencia correcta (inventario técnico → asesoramiento legal sobre datos reales). El proyecto cerró en mayo de 2026 con el sistema de scoring bajo supervisión humana documentada y el resto del paquete listo para agosto.

El patrón es el mismo que vemos en la mayoría de casos: el sobrecoste no vino de tarifas abusivas de nadie, sino del orden equivocado de los factores.

Glosario exprés para dirección (los términos que verás en las propuestas)

• Deployer: la empresa que usa un sistema de IA en su actividad. Es el rol de la mayoría de PYMEs, con obligaciones propias aunque la herramienta sea de un tercero.
• Provider: quien desarrolla o comercializa el sistema de IA con su marca. Carga con el grueso de obligaciones high-risk (documentación, conformity assessment, registro UE).
• Anexo III: la lista cerrada de ámbitos del AI Act donde un sistema de IA es automáticamente de alto riesgo (empleo, crédito, seguros, biometría, educación, entre otros).
• Article 4 / AI literacy: obligación, vigente desde febrero de 2025, de que el personal que usa IA tenga formación adecuada y documentada.
• Article 50: obligación de transparencia — informar de que se interactúa con una IA y etiquetar el contenido generado o alterado por IA.
• DPA: acuerdo de encargo de tratamiento entre tu empresa y el proveedor que procesa datos personales por tu cuenta. Sin DPA, el tratamiento es irregular bajo GDPR.
• EIPD: evaluación de impacto en protección de datos (art. 35 GDPR), exigible en tratamientos de alto riesgo para los derechos de las personas — frecuente cuando hay IA y decisiones sobre individuos.
• Conformity assessment: el procedimiento de evaluación de conformidad que debe superar un sistema high-risk antes de operar, análogo al marcado CE de un producto.
• AESIA: la Agencia Española de Supervisión de la Inteligencia Artificial, autoridad de vigilancia del AI Act en España; la AEPD mantiene su competencia en todo lo que toca datos personales.

FAQ

¿Necesito un abogado para usar IA en mi empresa?

No necesariamente para el uso cotidiano; sí para decisiones de riesgo. Si tu empresa usa IA de riesgo mínimo o limitado (chat corporativo, redacción, automatización interna), una política interna bien redactada, formación documentada del equipo y un inventario de herramientas cubren la mayor parte de la exposición — y la política sí conviene que la redacte o valide un abogado, como proyecto puntual. Necesitas asesoramiento jurídico de verdad cuando la IA toca decisiones sobre personas (selección, crédito, seguros), tratas datos sensibles, firmas contratos relevantes con proveedores o un cliente te audita.

¿Qué hace una consultoría legal de IA?

Convierte las obligaciones normativas en documentos y procedimientos defendibles: diagnóstico de riesgos legales, políticas internas de uso de IA, dictámenes sobre casos concretos (¿es high-risk mi sistema?), evaluaciones de impacto GDPR, revisión y negociación de contratos con proveedores (DPA, SLA, responsabilidad, propiedad intelectual) y representación ante autoridades como la AEPD o AESIA. Lo que no hace es el trabajo técnico de campo: inventariar sistemas, documentar arquitecturas, implementar trazabilidad o formar al equipo en el uso práctico — eso es terreno del consultor técnico.

¿Cuánto cuesta el asesoramiento legal en inteligencia artificial para empresas en 2026?

Para una PYME española, las horquillas orientativas de mercado en 2026 son: consulta-diagnóstico 300-1.500 €; política interna de uso de IA 1.500-5.000 €; dictamen jurídico específico 2.000-8.000 €; revisión de contrato con proveedor 1.000-4.000 €; acompañamiento integral AI Act + GDPR 5.000-20.000 € el primer año. Son rangos observados de mercado, no tarifas oficiales: cada despacho cotiza según caso, ciudad y profundidad. La forma más eficaz de abaratarlos es llegar con el inventario técnico de sistemas ya hecho.

¿Abogado o consultor técnico de IA: a quién contrato primero?

Primero el inventario técnico, después el asesoramiento legal. El consultor técnico identifica qué sistemas de IA usa la empresa de verdad, qué datos tocan y dónde se procesan; con ese mapa, el abogado redacta y dictamina sobre la realidad en lugar de sobre supuestos, y factura menos horas de descubrimiento. En proyectos de compliance completos hacen falta los dos: el 60-70% de las horas son técnicas (inventario, documentación, trazabilidad) y el resto jurídicas (políticas, dictámenes, contratos). Contratar solo uno de los dos perfiles deja la mitad del riesgo sin cubrir.

¿Qué ley regula la inteligencia artificial en las empresas españolas?

Cinco bloques se aplican a la vez: el EU AI Act (Reglamento UE 2024/1689), de aplicación directa en España y con plena entrada en vigor del bloque crítico el 2 de agosto de 2026; el GDPR y la LOPDGDD para cualquier tratamiento de datos personales con IA, supervisados por la AEPD; la normativa de propiedad intelectual para outputs y datos de entrenamiento; el derecho de contratos para la relación con proveedores; y el Estatuto de los Trabajadores (con el deber de información algorítmica del art. 64) para el uso de IA que afecta a la plantilla. No hay "una ley de IA": hay un mapa, y por eso el diagnóstico inicial importa.

¿Puede sancionarme la AEPD por usar ChatGPT u otra IA con datos de clientes?

Sí, por la vía ordinaria del GDPR. Si empleados introducen datos personales de clientes en herramientas de IA sin base jurídica, sin contrato de encargo (DPA) con el proveedor o con transferencias internacionales sin garantías, hay infracción del GDPR con independencia del AI Act, con multas de hasta 20 M€ o el 4% de la facturación global. El riesgo típico en PYME no es el uso corporativo contratado, sino las cuentas personales no declaradas (shadow IT). Sobre las garantías que ofrecen los principales proveedores, puede consultarse el análisis de Claude para PYMEs españolas frente a GDPR y EU AI Act.

¿Sirve la IA para hacer el propio trabajo legal de mi empresa?

Como apoyo sí; como sustituto del criterio jurídico, no. Los LLMs actuales redactan borradores de políticas, resumen normativa y preparan documentación a velocidad notable, y despachos y asesorías los usan a diario. Pero un dictamen, una EIPD o una respuesta a la AEPD exigen criterio y firma de profesional colegiado, y los modelos siguen cometiendo errores de cita y de vigencia normativa. El análisis sobre IA para consultas legales en despachos y empresas cubre dónde está la línea en 2026.

¿Qué debe incluir una política interna de uso de IA?

Siete bloques mínimos: lista de herramientas aprobadas (y prohibidas) con sus cuentas corporativas; categorías de datos que no se pueden introducir (datos personales de clientes, información confidencial, secretos comerciales); decisiones que no se delegan a la IA (contratación, despidos, condiciones a clientes) y su procedimiento de revisión humana; obligación de etiquetado del contenido generado que sale de la empresa; procedimiento de reporte de incidentes; consecuencias disciplinarias del incumplimiento, alineadas con el convenio; y referencia a la formación recibida. En extensión, 4-8 páginas firmadas por dirección y comunicadas a toda la plantilla — un documento de 40 páginas que nadie lee protege menos que uno de 6 que todo el mundo conoce.

¿Qué pasa si no hago nada antes del 2 de agosto de 2026?

Depende de tu nivel de riesgo, pero "nada" siempre deja expuesto algo. Una empresa de riesgo mínimo sin formación documentada ni política interna incumple el Article 4 (vigente desde 2025) y queda sin defensa ante el incidente más probable: el mal uso de IA por un empleado. Una empresa con sistemas de alto riesgo sin documentar se expone a sanciones de hasta 15 M€ o el 3% de la facturación y, más inmediato, a perder clientes B2B grandes que ya auditan el compliance de sus proveedores. El movimiento mínimo sensato antes de agosto: inventario, formación y política. Es la base de cualquier asesoramiento posterior y ninguna de las tres piezas se desperdicia.

Posts Relacionados

• EU AI Act agosto 2026: qué obligaciones reales tiene una PYME española antes del deadline — el detalle completo de categorías de riesgo, multas y plan de 90 días.
• Cumplir el EU AI Act con una plataforma de IA privada: guía para PYMEs — la pieza técnica del compliance "by design".
• Soberanía de datos e IA para la PYME europea — cómo la ubicación de los datos simplifica el frente GDPR.
• Claude para PYMEs españolas: GDPR y EU AI Act — garantías contractuales de un proveedor concreto, como ejemplo de revisión.
• IA para consultas legales en despachos, asesorías y empresas — la otra cara: usar IA para el trabajo jurídico.
• Errores al contratar un consultor de IA (y cómo evitarlos) — aplica igual al elegir el perfil técnico del tándem.

En Resumen

• La consultoría legal en inteligencia artificial cubre cinco frentes en una empresa española: EU AI Act por nivel de riesgo, GDPR/AEPD al tratar datos con IA, propiedad intelectual de outputs y entrenamiento, contratos con proveedores (DPA, SLA, responsabilidad) y el frente laboral (uso por empleados, deber de información a la plantilla).
• El abogado firma, interpreta y defiende; el consultor técnico inventaría, documenta e implementa. En proyectos completos de compliance, el 60-70% de las horas son técnicas. Contratar el perfil equivocado para cada tarea es la principal fuente de sobrecoste.
• Para usos de riesgo mínimo o limitado, una política interna bien hecha + formación documentada + inventario cubren el grueso del riesgo. El dictamen jurídico se reserva para casos frontera de alto riesgo, EIPDs, contratos relevantes, propiedad intelectual y auditorías de clientes.
• Precios orientativos España 2026: política interna 1.500-5.000 €; dictamen 2.000-8.000 €; acompañamiento integral AI Act + GDPR para PYME 5.000-20.000 € año 1. Llegar con el inventario técnico hecho ahorra un 20-40% de horas facturables.
• El calendario manda: 2 de agosto de 2026 es la plena aplicación del bloque crítico del AI Act (multas hasta 35 M€ o 7% de facturación). Junio-julio son los últimos meses para llegar ordenado; en 2027 se suma el Anexo I para fabricantes.
• La secuencia que funciona: inventario técnico → clasificación de riesgo → asesoramiento legal sobre datos reales → implementación de controles → mecanismo de actualización. Empezar por el despacho sin inventario es redactar sobre supuestos.