Saltar al contenido
AS
Alonso Sala
ABOGADOS PENALISTAS
EN
Análisis Jurídico

Riesgo Penal del Uso Empresarial de la IA: EU AI Act y Compliance

calendar_today20 de junio de 2026

Última actualización:

listEn este artículo

lightbulbPuntos Clave

  • check_circleEl riesgo penal no nace de la IA, sino de los resultados típicos que produce
  • check_circleLa empresa puede responder como persona jurídica por defecto de control (art. 31 bis CP)
  • check_circleEl EU AI Act no crea delitos, pero su incumplimiento evidencia el defecto de control
  • check_circleFocos: discriminación (510 CP), sesgo en empleo (314 CP) y estafa por output (248 CP)
  • check_circleLa governance algorítmica debe integrarse en el compliance antes del hecho

Respuesta rápida

El uso empresarial de la inteligencia artificial genera riesgo penal cuando un sistema causa un resultado típico: sesgo discriminatorio, un output que induce a error al cliente o una decisión automatizada lesiva. La empresa puede responder penalmente como persona jurídica (art. 31 bis CP), salvo que acredite un modelo de prevención idóneo que integre la governance algorítmica del EU AI Act.

La adopción empresarial de la inteligencia artificial avanza más deprisa que los controles internos que deberían acompañarla. Un sistema de IA que decide a quién se contrata, que puntúa a un solicitante de crédito o que responde a los clientes en nombre de la empresa no es solo una herramienta de eficiencia: es una fuente de riesgo penal corporativo. Cuando ese sistema produce un resultado lesivo, la pregunta deja de ser técnica y pasa a ser jurídica: ¿quién responde? Desde el asesoramiento en riesgo penal de la inteligencia artificial explicamos cómo se gestiona este riesgo bajo el EU AI Act y el compliance del artículo 31 bis del Código Penal.

De Qué Riesgo Penal Hablamos

No existe un "delito de usar inteligencia artificial". El riesgo penal no nace de la tecnología en abstracto, sino de los resultados típicos que un sistema puede provocar cuando se integra en la actividad de la empresa. La IA actúa aquí como un amplificador: automatiza decisiones, las aplica a escala y diluye la frontera entre quién decide y quién ejecuta. Ese es precisamente el terreno donde el Derecho penal busca a un responsable.

El enfoque, por tanto, no es "el delito de X", sino la prevención y la defensa corporativa: identificar dónde un sistema de IA puede cruzar el umbral penal, blindar a la organización con controles idóneos y, si llega la investigación, articular una defensa que reparta o excluya responsabilidades. Es un trabajo de compliance penal antes que de litigio.

El EU AI Act como Marco de Gobernanza

El Reglamento (UE) 2024/1689, conocido como EU AI Act, es la primera norma europea que regula de forma horizontal la inteligencia artificial. No crea tipos penales, pero establece un sistema de obligaciones graduadas según el nivel de riesgo del sistema:

  • Riesgo inaceptable: prácticas prohibidas, como ciertos usos de identificación biométrica o el social scoring.
  • Alto riesgo: sistemas con impacto en derechos —selección de personal, evaluación crediticia, acceso a servicios esenciales— sujetos a obligaciones reforzadas de documentación, gestión del riesgo, supervisión humana y trazabilidad.
  • Riesgo limitado: sistemas como los chatbots, sometidos sobre todo a deberes de transparencia frente al usuario.
  • Riesgo mínimo: la mayoría de aplicaciones, sin obligaciones específicas.

Su relevancia penal es indirecta pero decisiva: el cumplimiento o incumplimiento de estas obligaciones se convierte en un termómetro del defecto de control. Una empresa que desatiende la gobernanza exigida para un sistema de alto riesgo y deja que ese sistema cause un resultado típico habrá generado un indicio sólido de fallo en la supervisión, justo el elemento sobre el que se construye la responsabilidad penal de la persona jurídica.

Responsabilidad Penal de la Persona Jurídica (Art. 31 bis CP)

El artículo 31 bis del Código Penal permite imputar penalmente a la empresa por los delitos cometidos en su nombre o por su cuenta y en su beneficio directo o indirecto, cuando ha existido un defecto de control. Las consecuencias para la sociedad pueden ser graves: multa proporcional, inhabilitación para contratar con el sector público y, en los casos más severos, suspensión de actividades.

La clave del precepto es su causa de exención: la persona jurídica queda exenta si, antes de la comisión del delito, ha adoptado y ejecutado con eficacia un modelo de organización y gestión idóneo para prevenir delitos de esa naturaleza. En el ámbito de la IA, ese modelo no puede ser un compliance genérico de cajón: debe contemplar específicamente los sistemas algorítmicos que la empresa utiliza. Un programa de cumplimiento que ignore por completo la IA difícilmente será considerado idóneo si el delito proviene precisamente de un sistema automatizado.

⚠️ El compliance genérico no basta para la IA

Si un sistema de inteligencia artificial provoca un resultado típico y el modelo de prevención de la empresa no contemplaba su control, la organización pierde el principal argumento de exención del art. 31 bis CP. La governance algorítmica debe estar integrada en el programa de cumplimiento antes del hecho, no improvisarse después.

Los Tipos Penales Más Expuestos

Aunque cualquier delito empresarial puede aparecer mediado por IA, hay tres focos donde el riesgo es más nítido:

  • Discriminación y delitos de odio (art. 510 CP): castigado con prisión de uno a cuatro años y multa de seis a doce meses. Un sistema de IA entrenado con datos sesgados puede generar tratos discriminatorios por motivos protegidos —origen, sexo, religión, orientación—, especialmente en publicidad dirigida, moderación de contenidos o segmentación de usuarios.
  • Discriminación grave en el empleo (art. 314 CP): sanciona la discriminación grave en el empleo, público o privado, no restablecida tras requerimiento o sanción administrativa. Es el marco natural del sesgo algorítmico en selección de personal y RRHH, donde los sistemas de cribado automatizado pueden penalizar de forma estructural a determinados colectivos.
  • Estafa (art. 248 CP): prisión de seis meses a tres años en el tipo básico, con la pena modulada por la cuantía y las circunstancias. Aplicable cuando el output erróneo de un chatbot o asesor virtual induce a error al cliente y le causa un perjuicio patrimonial —por ejemplo, afirmando condiciones, precios o coberturas que la empresa no asume—.

En todos los casos, el delito no lo "comete" el sistema: se imputa a las personas físicas que lo diseñaron, lo desplegaron o debían supervisarlo, y a la empresa que se sirve de él. La trazabilidad de quién aprobó cada sistema y con qué controles es, por eso, una pieza central tanto de la prevención como de la defensa.

Governance Algorítmica: el Compliance del Art. 31 bis Ampliado

La forma de neutralizar este riesgo es ampliar el modelo de prevención penal con una capa de governance algorítmica. En la práctica, eso se traduce en un conjunto de controles documentados:

  • Inventario de sistemas: identificar todos los sistemas de IA en uso, su finalidad y su nivel de riesgo conforme al EU AI Act.
  • Evaluación de riesgos: analizar, para cada sistema, qué resultados típicos podría provocar y sobre qué bienes jurídicos incide.
  • Supervisión humana: garantizar que ninguna decisión sensible se ejecute de forma plenamente automática sin posibilidad de control y revisión por una persona.
  • Trazabilidad y registro: conservar la documentación técnica, los conjuntos de datos, las versiones del modelo y el rastro de quién validó cada despliegue.
  • Auditoría periódica: revisar el comportamiento real de los sistemas, detectar sesgos y corregirlos, dejando constancia de las medidas adoptadas.

Esta capa no es un añadido cosmético: es lo que permite a la empresa demostrar, llegado el caso, que su modelo de prevención era idóneo y se ejecutaba con eficacia. La página de riesgo penal de la IA en la empresa detalla cómo se integra esta governance en el programa de compliance penal de la organización.

Qué Ocurre si Llega la Investigación

Cuando un resultado lesivo ya se ha producido y se abre una investigación, el trabajo de defensa se concentra en reconstruir la cadena de decisión. La pregunta penal nunca es "¿falló el algoritmo?", sino "¿quién debía controlarlo y qué hizo o dejó de hacer?".

La defensa corporativa trabaja entonces sobre varios ejes: acreditar que existía un modelo de prevención idóneo y ejecutado; delimitar el papel de cada interviniente —proveedor del sistema, responsable de su despliegue, supervisor humano—; cuestionar la imputación objetiva del resultado al comportamiento de la empresa cuando medió un uso indebido o imprevisible del sistema; y aportar pericial técnica que explique cómo funcionaba realmente el sistema y qué controles operaban. La jurisprudencia consolidada del Tribunal Supremo en materia de responsabilidad de la persona jurídica exige analizar caso por caso la realidad y eficacia del programa de cumplimiento, no su mera existencia formal.

Defensa Penal Económica y Compliance de IA en Madrid y Toda España

El despacho penalista Alonso Sala, con sede en la calle Velázquez 27 de Madrid y cobertura en toda España, asesora a empresas en la prevención y la defensa del riesgo penal derivado del uso de inteligencia artificial. Trabajamos la integración de la governance algorítmica en el modelo de compliance del artículo 31 bis CP, el análisis de los sistemas de alto riesgo bajo el EU AI Act y la defensa corporativa cuando una decisión automatizada deriva en una investigación penal.

⚖️ Riesgo penal de la IA en la empresa

Prevención y defensa corporativa frente al riesgo penal de los sistemas de inteligencia artificial.

→ Riesgo penal de la IA: información completa

Preguntas frecuentes

¿Puede una empresa cometer un delito por culpa de su sistema de IA?expand_more

Sí. La persona jurídica responde penalmente, conforme al artículo 31 bis del Código Penal, por los delitos cometidos en su nombre o provecho cuando hay un defecto de control. Si un sistema de inteligencia artificial desplegado por la empresa produce un resultado típico —por ejemplo, una discriminación en la selección de personal o un engaño al cliente— y existió un fallo en la supervisión, la sociedad puede ser investigada junto a las personas físicas que decidieron implantarlo o no lo controlaron.

¿El EU AI Act crea delitos nuevos?expand_more

No directamente. El Reglamento UE 2024/1689 (EU AI Act) no introduce tipos penales nuevos en el Código Penal español, sino un marco de obligaciones administrativas según el nivel de riesgo del sistema. Su relevancia penal es indirecta: el incumplimiento de esas obligaciones de gobernanza, documentación y supervisión humana es un indicio de defecto de control y puede servir de base para la imputación de la persona jurídica y para descartar la exención del artículo 31 bis CP.

¿Qué delitos pueden derivar del uso de IA en la empresa?expand_more

Los más habituales son la discriminación y los delitos de odio (art. 510 CP) y la discriminación grave en el empleo (art. 314 CP) cuando el sistema introduce sesgos por motivos protegidos; y la estafa (art. 248 CP) cuando el output de un chatbot o asesor virtual induce a error al cliente y le causa un perjuicio patrimonial. No es la tecnología la que delinque, sino que esos resultados se imputan a las personas físicas y jurídicas que la diseñaron, desplegaron o supervisaron.

¿Un buen modelo de compliance exime de responsabilidad penal?expand_more

Puede hacerlo. El artículo 31 bis CP prevé la exención cuando la empresa ha adoptado y ejecutado, antes del hecho, un modelo de organización y gestión idóneo para prevenir delitos de esa naturaleza. Para los riesgos de IA, ese modelo debe incluir una capa de governance algorítmica: inventario de sistemas, evaluación de riesgos, supervisión humana, trazabilidad de las decisiones y auditoría periódica. Un compliance genérico que ignore los sistemas de IA no será idóneo frente a estos riesgos.

¿De quién es la responsabilidad si la decisión la toma un algoritmo?expand_more

De las personas que lo diseñaron, lo desplegaron, lo configuraron o debían supervisarlo, y de la empresa que se sirve de él. El Derecho penal no reconoce al sistema de IA como sujeto responsable: la decisión automatizada se reconduce a quien la programó, la validó o no la controló debiendo hacerlo. Por eso la trazabilidad de quién aprobó cada sistema y con qué controles es decisiva para repartir o excluir responsabilidades.

smart_toy

gavel¿Necesita defensa penal en este ámbito?

Somos abogados penalistas especialistas en riesgo penal en el uso empresarial de ia. Actuamos con urgencia para proteger sus derechos y evitar la imputación o condena.

Ver especialidadarrow_forward

Artículos Relacionados

Ver todosarrow_forward
calendar_today24 de junio de 2026

Crear un desnudo con IA a partir de una foto real: tratamiento ilícito de datos

La AEPD considera que generar un desnudo con IA desde una foto real y difundirlo es un tratamiento ilícito de datos personales, sancionable y, además, delito.

Protección de datosDeepfakes e IA+1
calendar_today23 de junio de 2026

Artículo 243 CP: el Delito de Extorsión (Penas y Defensa)

El art. 243 CP castiga con prisión de 1 a 5 años obligar a otro, con ánimo de lucro y mediante violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio. Lo distingue del robo y de las coacciones el acto dispositivo de la víctima.

ExtorsiónArt. 243 CP+3
calendar_today23 de junio de 2026

Artículo 318 bis CP: Favorecimiento de la Inmigración Ilegal (y su Diferencia con la Trata)

El art. 318 bis CP castiga ayudar a un extranjero no comunitario a entrar, transitar o permanecer en España vulnerando la legislación de extranjería, con multa de 3 a 12 meses o prisión de 3 meses a 1 año. La ayuda humanitaria no es delito, y es una figura mucho menos grave que la trata de seres humanos.

Favorecimiento de Inmigración IlegalArt. 318 bis CP+3

El conocimiento es poder, pero la estrategia es clave.

Lo que lee aquí es solo el principio. Transforme la información en defensa activa contactando con nuestro equipo de expertos.

Contacte con Alonso Sala
Llamar: 91 078 65 74
call