La gobernanza de la inteligencia artificial en Europa da un paso decisivo con el lanzamiento de la AI Act Whistleblower Tool, el nuevo canal europeo para denunciar infracciones relacionadas con el uso y desarrollo de sistemas de IA. La herramienta, impulsada por la Oficina Europea de Inteligencia Artificial, introduce una capa adicional de vigilancia en un momento clave: el Reglamento de Inteligencia Artificial (RIA o AI Act) avanza hacia su plena aplicación, y las empresas tecnológicas deberán reforzar su cultura de cumplimiento normativo.
Aunque muchas obligaciones del RIA aún no son exigibles, Bruselas quiere anticiparse a posibles incumplimientos y convierte a empleados, colaboradores y socios comerciales en aliados estratégicos para detectar riesgos. Este enfoque se suma al marco ya existente en España, compuesto por la Autoridad Independiente de Protección del Informante (AIPI), la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) y los sistemas internos de información obligatorios bajo la Ley 2/2023.
¿En qué consiste la AI Act Whistleblower Tool?
Se trata de un canal de denuncia externo, seguro, confidencial y totalmente independiente de los sistemas internos de las compañías. Permite comunicar presuntas infracciones del RIA, tanto en obligaciones ya activas como en ámbitos conexos afectados por el despliegue de IA:
- Seguridad de productos.
- Protección del consumidor.
- Privacidad y seguridad de los datos.
- Prácticas internas que puedan poner en riesgo derechos fundamentales o la confianza pública.
No obstante, los expertos advierten que su alcance todavía es limitado: algunas obligaciones—como la transparencia sobre los datos de entrenamiento—no serán exigibles hasta fases posteriores, y la protección plena de los denunciantes no será aplicable hasta el 2 de agosto de 2026.
Un ecosistema de canales que convivirá y se solapará
El nuevo canal europeo no sustituye a los mecanismos nacionales. Las denuncias podrán presentarse tanto por vía interna como externa, sin necesidad de agotar ninguna vía previamente. Esto abre la puerta a investigaciones paralelas y, potencialmente, a un solapamiento de sanciones si concurren distintos supervisores.
Ante esta falta de claridad práctica, los especialistas en compliance recomiendan reforzar los sistemas internos para mejorar su eficacia y capacidad de respuesta. La Ley 2/2023 exige que el sistema interno sea accesible, garantice el anonimato y la confidencialidad, proteja frente a represalias y cuente con una gestión independiente, aunque la operación pueda externalizarse.
Además, las empresas deben informar no solo de su canal interno, sino también de los canales externos disponibles, incluidos los europeos.
¿Qué deben hacer ahora las tecnológicas?
Con la puesta en marcha del canal europeo, las organizaciones que desarrollan o integran IA deberían:
- Revisar y actualizar sus programas de compliance, incorporando obligaciones del RIA y protocolos específicos de IA.
- Auditar sus sistemas internos de información para garantizar su eficiencia, accesibilidad y alineación con la Ley 2/2023.
- Capacitar a los equipos sobre obligaciones del AI Act, riesgos legales y funcionamiento de los distintos canales.
- Evaluar el impacto de posibles investigaciones simultáneas y preparar planes de respuesta coordinados.
En un entorno regulatorio cada vez más complejo, la prevención y la transparencia serán claves para evitar riesgos sancionadores y reputacionales. El mensaje es claro: la era de la supervisión reforzada de la IA ya ha comenzado, y las empresas deben estar preparadas.
Como siempre, cuidad los datos y ¡cuidaos!
