Saltar al contenido
AS
Alonso Sala
ABOGADOS PENALISTAS
EN

Abogados para el Riesgo Penal en el Uso Empresarial de IA

Diseño de compliance algorítmico y defensa penal frente al uso corporativo de IA: EU AI Act, sesgos discriminatorios, automatización de decisiones, deepfakes y responsabilidad algorítmica.

Última actualización:

EU AI Act: Nuevo Marco de Compliance Algorítmico

El Reglamento UE 2024/1689 (EU AI Act) clasifica los sistemas de IA en cuatro niveles: prohibidos (scoring social, manipulación cognitiva, identificación biométrica en tiempo real con excepciones), alto riesgo (RRHH, scoring crediticio, infraestructuras críticas, sanidad, educación, justicia), riesgo limitado (chatbots, contenido sintético — obligación de transparencia) y riesgo mínimo. Cada nivel implica obligaciones distintas: documentación técnica, conjuntos de datos representativos, supervisión humana, robustez, trazabilidad y, para alto riesgo, evaluación de conformidad previa al despliegue. El incumplimiento genera multas de hasta 35 M€ o el 7% del volumen de negocio mundial.

Tipologías Penales por Uso Indebido de IA

  • Discriminación (Art. 510 y 314 CP): Sistema de scoring o filtrado con sesgo que deniega contratación, crédito o servicio por motivos prohibidos.
  • Estafa (Art. 248 CP): Output erróneo de un chatbot comercial o asesor virtual que induce a error al cliente.
  • Trato degradante (Art. 173 CP): Sistema de vigilancia o gestión laboral que impone condiciones humillantes (cobots de scoring continuo, monitorización biométrica masiva).
  • Delitos contra la intimidad (Art. 197 CP): Tratamiento masivo de datos personales sin base jurídica o con finalidad ilícita.
  • Falsedad documental (Art. 390 CP): Generación de documentos sintéticos con valor jurídico (deepfakes, firmas falsas).
  • Delito publicitario (Art. 282 CP): Publicidad generada por IA con claims falsos sobre el producto.
  • Responsabilidad por omisión: No supervisión humana significativa de sistemas de alto riesgo que causan daño.

Decisiones Automatizadas y Dolo Eventual

El nudo gordiano de la imputación penal por IA es el dolo eventual: ¿cuándo el directivo que autoriza el despliegue de un sistema de IA acepta como probable el resultado lesivo? La doctrina más reciente apunta a que el dolo eventual concurre cuando: (a) el sistema operaba con conjuntos de datos no representativos, (b) no se realizó auditoría de sesgos previa, (c) no existió supervisión humana significativa, (d) se ignoraron alertas internas del equipo técnico. La auditoría documentada y la supervisión humana real son las dos defensas decisivas.

Sesgos Discriminatorios y Responsabilidad Penal

El sesgo algorítmico que desfavorece sistemáticamente a personas por género, raza, edad u origen activa el Art. 510 CP (discriminación con multa o prisión) y el Art. 314 CP cuando opera en el ámbito laboral. La defensa exige acreditar (1) auditoría externa periódica con métricas de fairness, (2) conjuntos de entrenamiento estadísticamente representativos, (3) procedimiento de revisión humana en decisiones críticas, (4) procedimiento de remediación documentado ante alertas. El compliance algorítmico es la línea de defensa de primer orden.

Diseño del Compliance Algorítmico Integrado

El modelo de prevención del Art. 31 bis CP debe ampliarse con governance de IA: (1) registro interno de modelos con riesgo nivelado; (2) fichas técnicas (model cards) con uso previsto y limitaciones; (3) auditoría de sesgos previa al despliegue y recurrente; (4) supervisión humana real y documentada; (5) canal de incidentes algorítmicos; (6) formación específica al equipo de producto, datos y compliance. Sin este marco, la empresa no puede invocar la exención del Art. 31 bis frente a delitos derivados del uso de IA.

El modelo de compliance penal idóneo frente al riesgo de IA: los seis requisitos del Art. 31 bis 5 CP

No existe todavía un delito autónomo de inteligencia artificial. El riesgo penal que la IA introduce en la empresa se canaliza por la vía ordinaria de la responsabilidad penal de la persona jurídica del Art. 31 bis del Código Penal: la entidad puede responder cuando, en su nombre y en su beneficio directo o indirecto, se comete uno de los delitos del catálogo cerrado para los que la ley prevé esa responsabilidad (estafa, descubrimiento y revelación de secretos, daños informáticos, delitos contra la intimidad, entre otros), ya sea por sus administradores o representantes, ya sea por subordinados cuando ha habido un incumplimiento grave de los deberes de supervisión, vigilancia y control. La herramienta de IA no crea un tipo penal nuevo: agrava la exposición a los que ya existen.

Por eso la pieza decisiva es el modelo de organización y gestión. El Art. 31 bis 5 CP exige que ese modelo, para producir efectos eximentes o atenuantes, cumpla seis requisitos: identificar las actividades en cuyo ámbito puedan cometerse los delitos a prevenir; establecer protocolos que concreten la formación de la voluntad de la entidad y la adopción y ejecución de decisiones; disponer de modelos de gestión de los recursos financieros adecuados para impedir esos delitos; imponer la obligación de informar de posibles riesgos e incumplimientos al órgano de cumplimiento; establecer un sistema disciplinario que sancione el incumplimiento de las medidas; y verificar periódicamente el modelo, modificándolo cuando se revelen infracciones relevantes o cambien la organización o la actividad.

Trasladado a la IA, esto significa integrar cada sistema algorítmico en el mapa de riesgos penales como una actividad más: documentar quién decide su despliegue, qué controles humanos median antes de que una salida automatizada produzca efectos jurídicos, cómo se gestiona el acceso a datos personales y de terceros, y qué trazabilidad queda de las decisiones del sistema. Un modelo que no contempla los riesgos derivados del uso de IA difícilmente podrá presentarse como idóneo, adoptado y ejecutado con eficacia.

El órgano de supervisión autónomo y la carga de probar la exención

La eficacia eximente del modelo depende, además de su contenido, de que su supervisión se haya confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control, o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos. Ese órgano de cumplimiento debe gozar de autonomía real frente al órgano de administración: capacidad de iniciativa, acceso a la información, recursos suficientes y la posibilidad de actuar al margen de intereses de la entidad ajenos a la eficacia del propio modelo. En el ámbito de la IA, le corresponde vigilar de forma continuada los sistemas algorítmicos en uso, no como un control puntual de implantación, sino como una verificación periódica de su funcionamiento y de sus resultados.

Un punto técnico que conviene anticipar es quién debe probar qué. La distribución de la carga de la prueba sobre la idoneidad y eficacia del modelo es una cuestión debatida y en evolución; la orientación más reciente del Tribunal Supremo, en garantía de la presunción de inocencia, sitúa en la acusación la carga de acreditar el defecto de organización que fundamenta la responsabilidad, sin perjuicio de que en la práctica sea la empresa quien aporte la evidencia de su modelo, su adopción y su ejecución eficaz antes del hecho. No basta, por tanto, con tener un documento de políticas: hay que poder demostrar funcionamiento real, registros de actividad del órgano de cumplimiento, formación impartida, revisiones efectuadas y reacción disciplinaria ante incidentes. Un modelo cosmético, adoptado tras los hechos o nunca verificado, no exime.

El Art. 31 bis 4 CP contempla, para los delitos cometidos por subordinados, que la exención opere cuando antes de la comisión se hubiera adoptado y ejecutado eficazmente un modelo de prevención adecuado para prevenir delitos de esa naturaleza o reducir de forma significativa el riesgo de su comisión. La defensa de la empresa se construye, en consecuencia, sobre evidencia documental contemporánea a los hechos, no sobre reconstrucciones posteriores. Anticipar esa evidencia y custodiarla es parte central del asesoramiento preventivo.

La empresa investigada: estatuto procesal propio, defensa autónoma y penas del Art. 33.7 CP

Cuando se imputa un delito que activa la responsabilidad penal de la persona jurídica, la entidad adquiere un estatuto procesal propio como investigada, con derechos análogos a los de la persona física: a ser informada de la acusación, a no declarar contra sí misma, a no confesarse culpable y a la defensa con asistencia letrada. La sociedad designa un representante específicamente para el proceso, distinto de quien pueda estar imputado como persona física, para evitar conflictos de interés. Esta defensa es autónoma: el Art. 31 ter CP establece que la responsabilidad de la persona jurídica es exigible aunque no se haya individualizado a la persona física concreta responsable o no haya sido posible dirigir el procedimiento contra ella.

Las consecuencias que la entidad arriesga no siguen el esquema de penas y prescripción de los delitos de las personas físicas. El Art. 33.7 CP enumera las penas propias de la persona jurídica: multa por cuotas o proporcional; disolución; suspensión de actividades; clausura de locales y establecimientos; prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito; inhabilitación para obtener subvenciones y ayudas públicas, contratar con el sector público y gozar de beneficios e incentivos fiscales o de la Seguridad Social; e intervención judicial para salvaguardar los derechos de trabajadores o acreedores. Algunas de estas penas pueden acordarse incluso como medida cautelar durante la instrucción.

El proceso admite también la conformidad de la persona jurídica, que puede negociarse de forma independiente de la de los acusados personas físicas. La existencia previa de un modelo de cumplimiento, su grado de implantación y la colaboración con la investigación inciden tanto en la posible exención como, subsidiariamente, en la atenuación: el Art. 31 quater CP recoge como atenuantes, entre otras, confesar antes de conocer el procedimiento, colaborar aportando pruebas decisivas, reparar el daño y establecer medidas eficaces para prevenir y descubrir delitos en el futuro.

Canal de denuncias de la Ley 2/2023, investigaciones internas y sucesión del Art. 130.2 CP en operaciones corporativas

El sistema disciplinario y el canal de denuncias que exige el modelo de compliance se conectan hoy con la Ley 2/2023, de 20 de febrero, que traspone la Directiva 2019/1937 e impone a las empresas privadas de cincuenta o más trabajadores un Sistema Interno de Información. Ese sistema se articula en tres pilares: el canal interno, el responsable del sistema y el procedimiento de gestión, con garantías de confidencialidad de la identidad del informante y prohibición de represalias. En materia de IA, el canal es la vía natural para aflorar tempranamente incidentes —salidas discriminatorias, accesos indebidos a datos, usos no autorizados de herramientas— antes de que cristalicen en un hecho con relevancia penal, y su funcionamiento documentado refuerza la idoneidad del modelo.

Las investigaciones internas que se activan a partir de una alerta deben conducirse respetando los derechos de los empleados afectados, porque de su licitud depende que la prueba obtenida sea utilizable. Han de observarse criterios de proporcionalidad, información previa de la existencia de los controles, respeto a la intimidad y a la protección de datos, y deber de información sobre el uso de los medios de trabajo. Una investigación interna conducida sin garantías puede no solo invalidar la prueba, sino comprometer la propia posición de la empresa. Por eso conviene fijar de antemano protocolos de revisión de dispositivos, correo corporativo y registros de los sistemas algorítmicos.

Finalmente, conviene tener presente el efecto de la responsabilidad penal en las operaciones corporativas. El Art. 130.2 CP dispone que la responsabilidad penal de la persona jurídica no se extingue por su transformación, fusión, absorción o escisión, trasladándose a la entidad o entidades resultantes o beneficiarias, ni tampoco por su disolución encubierta o meramente aparente. Esto convierte la auditoría del riesgo penal, incluido el derivado de los sistemas de IA y de la solidez del modelo de cumplimiento de la sociedad objetivo, en una pieza imprescindible de la diligencia debida en cualquier compraventa o reestructuración empresarial.

balance

Penas y Consecuencias: el Riesgo Penal en el Uso Empresarial de IA

Tipo / SupuestoConsecuencia Penal
Discriminación (Art. 510 CP)Prisión 1 a 4 años y multa 6 a 12 meses. Inhabilitación especial.
Estafa por output erróneo (Art. 248 CP)Prisión 6 meses a 3 años en tipo básico; agravada según cuantía hasta 6 años.
Multa AI ActHasta 35 M€ o 7% del volumen de negocio mundial por sistemas prohibidos; 15 M€ o 3% por alto riesgo.
Responsabilidad de la persona jurídicaMulta proporcional, inhabilitación para contratar y, en casos graves, suspensión de actividades.

* Las penas indicadas son orientativas. La pena concreta depende de las circunstancias del caso, atenuantes y agravantes aplicables.

shield_lock

Estrategia de Defensa: el Riesgo Penal en el Uso Empresarial de IA

gavel01

AI risk assessment integral

Mapeo de todos los sistemas de IA desplegados con clasificación AI Act, riesgos jurídicos y plan de mitigación.

gavel02

Model cards y registros internos

Documentación técnica y operativa de cada modelo con responsables, datos de entrenamiento y métricas.

gavel03

Auditoría externa de sesgos

Auditoría independiente y recurrente con métricas de fairness, robustez y explicabilidad.

gavel04

Protocolo de incidentes algorítmicos

Canal específico para reportar comportamientos anómalos, con investigación, remediación y comunicación.

Guía de Defensa en Derecho Penal Económico: Fiscales, Blanqueo y Societarios

El Derecho Penal Económico abarca los delitos de mayor gravedad patrimonial del Código Penal español. El delito fiscal (Art. 305 CP), el blanqueo de capitales (Art. 301 CP) y los delitos societarios (Arts. 290-297 CP) son infracciones complejas que exigen una defensa que combina el dominio del Derecho Penal con conocimientos profundos de contabilidad, fiscalidad internacional y estructura corporativa. Como abogados penalistas especialistas en delito económico, ofrecemos una defensa integral que analiza cada detalle contable y fiscal junto a la estrategia procesal penal.

Cuadro de Penas: Delitos Económicos

DelitoUmbral / ArtículoPena
Delito fiscal (Art. 305 CP)>120.000 € defraudados1 – 5 años + multa x6
Delito fiscal agravado>600.000 € / trama organizada2 – 6 años
Blanqueo de capitales (Art. 301)Cualquier cuantía6 meses – 6 años
Blanqueo agravadoOrganización / sistema financieroHasta 9 años
Delito societario (Art. 290)Falsedad en cuenta1 – 3 años
Insolvencia punible (Art. 259)Concurso culpable fraudulento1 – 4 años
Corrupción entre privados (Art. 286 bis)En el marco empresarial6 meses – 4 años

Estrategias Defensivas en Delito Económico

Regularización tributaria (Art. 305.4 CP)

Pagar íntegramente la deuda tributaria antes de que el Ministerio Fiscal formalice la acusación extingue el delito. Es la defensa más poderosa y definitiva en delito fiscal.

Impugnar el umbral de los 120.000 €

El método de cálculo de la Agencia Tributaria es frecuentemente discutible. Una pericia contable independiente puede situar la cuota defraudada por debajo del umbral penal.

Autoblanqueo y non bis in idem

Los tribunales españoles debaten si el delito previo y el blanqueo de los propios fondos pueden castigarse simultáneamente. La doble incriminación tiene límites constitucionales.

Delito societario: daño real vs. potencial

Los delitos del Art. 290-295 CP requieren un perjuicio económico efectivo a la sociedad o sus socios. Si el daño fue especulativo o la sociedad no sufrió pérdida real, no hay delito.

Criminal Compliance como prueba defensiva

La existencia de un programa de cumplimiento normativo (compliance penal) eficaz puede exonerar a la persona jurídica (Art. 31 bis 2 CP) o atenuar la responsabilidad individual directiva.

Prescripción del delito fiscal

El delito fiscal prescribe a los 5 años desde la presentación de la declaración o el plazo de presentación. La prescripción tributaria (4 años) y la penal son autónomas — impugnarlas por separado es estratégico.

gavel

¿Por Qué Elegirnos?

¿Necesita un abogado penalista para este tipo de delito? Así trabajamos:

check
Auditoría de sesgos previaDemostrar evaluación independiente de fairness y robustez antes del despliegue del sistema.
check
Supervisión humana realAcreditar que existió revisión humana significativa en las decisiones automatizadas críticas.
check
Trazabilidad de decisionesConservación de logs completos para reconstruir cada decisión algorítmica y su input.
workspace_premium
+15 Años de ExperienciaEquipo dedicado en exclusiva al derecho penal ante juzgados y tribunales.
support_agent
Atención DirectaSu caso lo lleva directamente un abogado titular del despacho.
Consultar Mi Casoarrow_forward

¿Necesita Asistencia Legal Especializada?

El sistema judicial es complejo. Contamos con la especialización penal y los recursos técnicos necesarios para asumir la defensa.

call