¿Quién debe encargarse del AI Act en tu empresa? DPO o no

·

El AI Act no crea ninguna figura equivalente al delegado de protección de datos (DPO). No hay un artículo que diga «nombre usted un responsable de IA». Pero el Reglamento (UE) 2024/1689 sí exige, en varios artículos distintos, que alguien concreto dentro de la empresa asuma la alfabetización del personal, la supervisión humana de los sistemas y la rendición de cuentas documentada. Si nadie tiene ese encargo por escrito, la empresa incumple aunque nadie lleve el título de «responsable de IA».

Por qué esta pregunta ya no es teórica

El 2 de agosto de 2026 —a solo dos semanas de esta publicación— entra en aplicación general el grueso del Reglamento (UE) 2024/1689. Las obligaciones plenas de proveedores e implementadores de los sistemas de alto riesgo del anexo III quedan aplazadas al 2 de diciembre de 2027 por el Digital Omnibus (acuerdo de 7-may-2026, aprobado por el Parlamento Europeo el 16-jun-2026 y el Consejo el 29-jun-2026, pendiente de publicación en el DOUE), pero eso no despeja la pregunta: la alfabetización del artículo 4 ya es exigible desde 2025 y el aplazamiento no elimina la necesidad de designar ahora a quien vaya a asumirla. Antes de esa fecha, muchas pymes han resuelto el AI Act delegándolo de facto en su delegado de protección de datos, por ser la persona que ya «lleva lo de la IA y los datos». Es una solución razonable en algunos casos y un error en otros, y el Reglamento no lo aclara con un cargo obligatorio: hay que decidirlo caso por caso.

Lo primero: el AI Act no menciona ningún «responsable de IA»

El artículo 3 del Reglamento define con precisión quién es proveedor, implementador, importador, distribuidor o representante autorizado de un sistema de IA, pero ninguna de esas figuras es un cargo interno de gobernanza: son roles frente al sistema, no personas designadas con una función de cumplimiento. Esto contrasta con el RGPD, cuyo artículo 37 obliga a designar un DPO cuando el responsable o encargado es una autoridad pública, cuando su actividad principal exige una observación habitual y sistemática de personas a gran escala, o cuando trata a gran escala categorías especiales de datos o de condenas penales. El AI Act no tiene un artículo equivalente. No exige nombrar a nadie con ese título.

Lo que el AI Act sí exige, aunque no le ponga nombre al cargo

La ausencia de una figura obligatoria no significa ausencia de obligación. Tres artículos distintos del Reglamento solo se pueden cumplir si una persona concreta los asume:

Ninguno de los tres artículos dice «contrate a un responsable de IA». Los tres exigen que exista, con nombre y apellidos, alguien que responda de la alfabetización, de la supervisión y de la rendición de cuentas. En la práctica, eso es un responsable de IA, se llame así o no.

DPO y responsable de IA: qué comparten y en qué se separan

 DPO (RGPD)Responsable de IA (AI Act)
Norma que lo exigeArt. 37 RGPD, en los supuestos que marcaNinguna designación nominal; se deduce de arts. 4, 17 y 26
Objeto de vigilanciaTratamiento de datos personalesSistemas de IA: clasificación, riesgo, supervisión, documentación
Independencia exigidaSí, funcional, frente al propio responsableNo regulada; puede depender de dirección o de calidad
Puede ser interno o externoSí, sin restricción del Reglamento
Ejemplo de tarea propiaEvaluar una EIPD de un fichero de clientesClasificar si un sistema de selección de personal es de alto riesgo

Cuando un sistema de IA trata datos personales —selección de personal, scoring de clientes, videovigilancia con analítica— ambas figuras trabajan sobre el mismo sistema desde ángulos distintos: el DPO evalúa el tratamiento de datos y, si procede, su EIPD; el responsable de IA clasifica el sistema, revisa al proveedor y organiza la supervisión humana. Uno no sustituye al otro, aunque en una pyme pequeña puedan recaer en la misma persona.

Cuándo basta con ampliar el rol de tu DPO

Ampliar el encargo del DPO existente suele ser razonable cuando la empresa tiene pocos sistemas de IA, ninguno de ellos claramente de alto riesgo, y el DPO ya tiene visión transversal de los tratamientos de datos que esos sistemas usan. En ese escenario, formar al DPO en el Reglamento —empezando por la propia alfabetización del artículo 4 que la empresa debe acreditar para su plantilla— resuelve la mayoría de los supuestos sin crear un cargo nuevo. Es la solución más habitual entre las pymes que ya trabajan con un DPO externo y que integran IA de forma puntual, no como línea de negocio.

Cuándo hace falta un responsable de IA distinto

La ampliación deja de bastar cuando aparecen sistemas del anexo III (selección de personal, scoring crediticio, sistemas educativos, uso en procesos de empleo), cuando el DPO ya está saturado con sus obligaciones RGPD propias, o cuando la clasificación de riesgo y la revisión técnica del proveedor exigen un perfil que el DPO no tiene por formación. En esos casos conviene primero comprobar si el sistema es realmente de alto riesgo y qué rol ocupa la empresa frente a él, y después decidir quién asume la supervisión que exige el artículo 26.

El reparto real en tres patas

Para una pyme que no quiere abrir un departamento nuevo, el Reglamento y los estándares que lo rodean se resuelven razonablemente con tres responsabilidades, que pueden recaer en una sola persona en una empresa pequeña o repartirse en tres en una organización mayor:

Lo que no funciona es dejarlo repartido de forma tácita entre «el de informática», «el DPO cuando tenga un rato» y «dirección si pasa algo». El artículo 17 pide expresamente que el marco de responsabilidad quede establecido, no sobreentendido.

Checklist para decidir en tu empresa

Errores frecuentes

  1. Asumir que, como el AI Act no nombra un cargo obligatorio, nadie tiene que responder.
  2. Delegar todo en el DPO sin formarlo específicamente en el Reglamento.
  3. Confundir el «responsable del despliegue» (rol legal del art. 3) con un responsable interno de gobernanza: son cosas distintas.
  4. No dejar la designación por escrito ni accesible para una inspección.
  5. No revisar el reparto cuando se incorpora un sistema nuevo o cambia su uso.

Preguntas frecuentes

¿Es obligatorio nombrar un «responsable de IA» con ese título?

No existe esa obligación nominal en el Reglamento (UE) 2024/1689. Lo que sí es obligatorio, desde los artículos 4, 17 y 26, es que la alfabetización, la supervisión humana y la rendición de cuentas tengan una persona concreta asignada, tenga o no ese título.

¿Puede mi DPO asumir también el AI Act?

En muchos casos sí, sobre todo si los sistemas de IA de la empresa son pocos y de riesgo bajo o limitado. Cuando aparecen sistemas de alto riesgo del anexo III o el volumen desborda su encargo original, conviene separar la función.

¿Qué pasa si no asigno a nadie?

El régimen sancionador del artículo 99 permite sanciones que llegan hasta un porcentaje relevante de la facturación mundial según el tipo de incumplimiento, y en España corresponde vigilarlo a la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). No asignar supervisión humana efectiva a un sistema de alto riesgo es, en sí mismo, un incumplimiento del artículo 26.

¿Necesito contratar a alguien nuevo para esto?

No necesariamente. En una pyme con pocos sistemas de IA, ampliar y formar el rol de una persona ya existente —DPO, responsable de calidad o responsable de sistemas— suele bastar. Lo que no es opcional es que la asignación quede decidida y documentada, no sobreentendida.

Fuentes oficiales consultadas

Este contenido es orientativo y no sustituye el análisis individual de cada sistema de IA por un profesional. Summum Consultoría puede ayudarte a decidir el reparto de responsabilidades y coordinarlo con la parte técnica y el sistema de gestión.