Cumplimiento y ética

Jurisdicción aplicable a sistemas IA

La jurisdicción aplicable a sistemas IA es la cuestión legal de qué leyes y autoridades regulan un sistema según dónde esté el proveedor, dónde se use, y dónde residan los afectados. El AI Act tiene aplicación extraterritorial: regula a cualquier proveedor cuyo sistema se comercialice o cuyos outputs se usen en la UE, esté donde esté ubicado.

Por Ana María González Actualizado: 9 de mayo de 2026

Definición rápida

Respuesta directa

Explicación ampliada

El Art. 2 del AI Act establece su ámbito de aplicación territorial. Aplica a: (1) proveedores que pongan en el mercado o pongan en servicio sistemas IA en la UE, independientemente de dónde estén establecidos; (2) desplegadores establecidos en la UE; (3) proveedores y desplegadores ubicados en terceros países si los outputs del sistema se usan en la UE. Esta extraterritorialidad replica la del RGPD y empuja a proveedores no europeos a adaptarse o segmentar productos. La realidad práctica en 2026: OpenAI, Anthropic, Google, Microsoft, xAI cumplen sustancialmente con AI Act en sus servicios europeos, a veces con configuraciones específicas. Algunos proveedores menores se retiran de la UE para evitar el coste de cumplimiento. Para empresas que contratan IA de fuera de la UE, las preguntas clave son: qué legislación rige el contrato (cláusula jurisdiccional), dónde se procesan los datos (UE, EE.UU., otro), bajo qué marco se transfieren datos (decisión de adecuación, cláusulas contractuales tipo, BCR), y si el proveedor se somete a sanciones AESIA en caso de incumplimiento. Para procesos críticos con datos sensibles o decisiones de alto riesgo, varias empresas españolas optan por proveedores con servidores y entidad legal en la UE para reducir incertidumbre.

Por qué importa para tu empresa

Aplicación práctica

Para una empresa, la jurisdicción importa más cuando algo va mal: si el proveedor incumple, ¿en qué tribunal litigas, con qué leyes y plazos? Para casos pequeños no es decisivo (la mayoría no llegan a juicio); para contratos sustanciales sí lo es. La regla práctica: leer la cláusula jurisdiccional antes de firmar. Si dice "Delaware, EE.UU." y eres una pyme española, una disputa será costosa y lenta; si dice "tribunales de Madrid" o "tribunales de Dublín, ley irlandesa" (típica de hubs europeos de hyperscalers), es mucho más manejable. Para datos personales, RGPD obliga a transferencias fuera de la UE bajo garantías; la jurisdicción no exime del cumplimiento.

Ejemplo concreto

Caso real

Una empresa española de salud digital firmó en 2025 contrato con un proveedor estadounidense de modelo IA especializado. El contrato establecía Delaware como jurisdicción, datos procesados en EE.UU. y Standard Contractual Clauses para transferencia internacional. En 2026, tras una revisión legal motivada por un incidente menor, su asesor advirtió que para datos sanitarios y un caso de uso clasificable como alto riesgo bajo AI Act, el conjunto era subóptimo. Renegociaron contrato hibridándolo: opción de procesamiento en EU (data residency option), jurisdicción de Madrid para la entidad europea del proveedor, y compromiso de cumplimiento AI Act con auditorías ad hoc. Coste extra mensual: +18%. Tranquilidad legal y regulatoria: muy superior. La gestión proactiva de jurisdicción evitó un riesgo que podría haberse materializado en una sanción AEPD/AESIA.