En los últimos meses me he sentado con bastantes negocios que ya habían contratado "algo de IA". Un chatbot en la web. Una automatización que les montó un freelance que vieron en un vídeo. Un "agente" que enriquece sus leads. Y casi siempre, cuando hago la misma pregunta, simple en apariencia, se hace el silencio:
No lo saben. No por falta de capacidad: son gente competente que dirige negocios de verdad. No lo saben porque se lo vendieron como una caja negra, y el mercado les enseñó que entender lo que pasa dentro es "cosa de técnicos". Eso es exactamente lo que quiero desmontar aquí, porque es falso y porque, desde hace un año, la ley además te pide justo lo contrario.
Aviso de contexto: terminé el máster de Inteligencia Artificial en Comunicación y Medios en la UCM, y llevo un tiempo metiendo IA en negocios reales. No escribo esto desde el miedo ni desde el "la IA es peligrosa". La IA aplicada bien es de lo mejor que le puede pasar a una pyme. Lo escribo desde lo contrario: la IA que no entiendes no es tuya, es un problema que todavía no ha estallado. La IA bien aplicada puede ahorrarte horas, reducir errores y ordenar procesos que hoy haces a mano. La opaca solo te ahorra entender lo que pagas.
El AI Act ya te obliga a entender lo que usas.
Empecemos por lo que casi nadie te cuenta cuando te vende un workflow. El Reglamento Europeo de Inteligencia Artificial (el AI Act, Reglamento UE 2024/1689) tiene un artículo, el 4, que se llama "alfabetización en materia de IA". Y dice algo muy concreto: cualquier empresa que despliega sistemas de IA tiene que garantizar que las personas que los usan en su nombre tengan un nivel suficiente de conocimiento sobre lo que hacen, sus límites y sus riesgos.
Subraya la palabra despliega. No habla solo de quien fabrica la IA en Silicon Valley. Habla de ti, que pones un chatbot en tu web o usas una herramienta de IA con datos de tus clientes. En la jerga del reglamento eres un "responsable del despliegue", y la obligación es tuya.
Lo importante: esto no entra en vigor el año que viene. Está vigente desde el 2 de febrero de 2025. Es decir, ya. Mientras leías la frase anterior, ya era exigible.
Y esto es solo el principio del calendario. El 2 de agosto de 2026 entran las obligaciones de transparencia (el artículo 50): entre otras, que tu chatbot tenga que avisar de forma clara de que es una IA, y que cierto contenido generado o manipulado por IA (en especial los deepfakes) se tenga que poder identificar como tal. Las sanciones del reglamento llegan hasta los 35 millones de euros o el 7% de la facturación mundial para las infracciones más graves. No te asustes con la cifra (está pensada para las grandes), pero entiende la dirección: Europa ha decidido que la opacidad en IA se paga.
El detalle español (la futura ley de IA, AESIA como supervisor, qué tienes que hacer en concreto) lo desgrané en otro artículo, así que aquí no me repito. Lo tienes aquí si te interesa la parte de cumplimiento. Este artículo va de algo anterior y más práctico: cómo dejar de comprar cajas negras.
Cinco sitios donde tu IA hace algo que no sabes.
Voy a ser concreto, que es lo único que sirve. Estos son cinco escenarios de marketing y captación reales donde he visto el mismo patrón: el negocio paga, la cosa "funciona", y nadie sabe qué pasa por dentro. Para cada uno te dejo la pregunta exacta que deberías hacerle a quien te lo vendió.
1 · El chatbot de tu web.
Pones un chat "inteligente" en la home. Un visitante escribe su nombre, su email, a veces su teléfono o el problema de salud por el que pregunta. ¿A dónde va esa conversación? En la mayoría de montajes baratos, el texto sale de tu web, viaja a un servidor de un proveedor de IA (a menudo fuera de la UE, o de una empresa estadounidense aunque la interfaz sea europea), y se procesa allí. Si pasa eso, son datos personales de tus clientes saliendo de Europa.
Lo que casi nadie verificó: ¿hay un contrato de encargado del tratamiento firmado con ese proveedor? ¿Hay garantías para esa transferencia fuera de la UE (las llamadas cláusulas contractuales tipo)? ¿Se guardan las conversaciones, dónde, y durante cuánto tiempo? Y la sorpresa más habitual: el bot, para parecer útil, se inventa precios, plazos o promesas que tú nunca dijiste. Y un compromiso que tu web da por escrito te lo pueden reclamar.
2 · La cadena de automatización que te montó el "experto".
Esta es la reina. Un lead rellena tu formulario y, por detrás, ese dato salta por cinco o seis herramientas distintas: un Make o un n8n, un enriquecedor, un CRM, una hoja de cálculo, una API de IA que clasifica, un email automático. Sobre el papel, magia. En la práctica, el dato personal de tu cliente ha pasado por seis empresas y tú no sabes cuáles, ni dónde están, ni si firmaste algo con ellas.
Muchas de esas herramientas son, en términos legales, encargados (o subencargados) del tratamiento de tus datos, y la relación con cada una que trate datos por tu cuenta debería estar regulada por contrato. Si mañana hay una fuga en el eslabón número cuatro de una cadena que ni sabías que existía, el cliente no va a llamar a la herramienta. Te va a llamar a ti.
3 · El enriquecimiento de leads con IA.
"Le pasas un email y te devuelve el nombre, el cargo, la empresa, el teléfono y el LinkedIn." Suena potentísimo para vender. La pregunta incómoda es: ¿de dónde sale toda esa información? Muchos de estos servicios se nutren de bases de datos construidas raspando internet sin que la persona lo sepa, o sin una base jurídica clara que tú puedas defender. Estás tratando datos de gente que no tiene ni idea de que los tienes.
No es teoría. La autoridad de protección de datos puede preguntarte de qué base jurídica te agarras para tener esos datos, y "me los dio una herramienta de IA" no es una. El riesgo es tuyo, no de la herramienta.
4 · El contenido de tus anuncios, generado por IA.
Cada vez más creatividades (textos, imágenes, voces) salen de una IA. Dos problemas que casi nadie mira. Uno: a partir de agosto de 2026 hay obligaciones de transparencia para cierto contenido sintético. Si tu anuncio usa una voz clonada o una imagen que imita algo real (un deepfake) sin señalarlo, entras en terreno regulado. Dos, y más urgente: la IA afirma cosas que no son ciertas con total aplomo. Un anuncio que promete un resultado que no puedes cumplir es publicidad engañosa, y respondes tú, no el modelo.
5 · El "comercial con IA" que manda emails en frío.
El último grito: un agente que busca prospectos, escribe emails personalizados con IA y los envía solo. Aquí se juntan todos los problemas anteriores a la vez: datos conseguidos quién sabe cómo, mensajes que la IA redacta sin que nadie los lea, envío masivo que roza (o cruza) las normas de comunicaciones comerciales. Y el detalle que más me preocupa: tú no controlas qué dice ese agente en tu nombre. Habla por tu marca, y no lo has leído.
La prueba de los 30 segundos.
No hace falta que entiendas de redes neuronales. Hace falta algo mucho más simple. Para cualquier trozo de IA que tengas funcionando en tu negocio, deberías poder responder estas tres preguntas en 30 segundos, sin llamar a nadie:
- ¿Qué hace, exactamente? En una frase, sin "optimiza" ni "potencia". Qué entra, qué sale.
- ¿Por dónde van los datos? Qué información toca, en qué empresas se procesa, qué se guarda y cuánto.
- ¿Qué pasa cuando se equivoca? Porque se va a equivocar. Quién lo detecta, qué se rompe, cómo se arregla.
Y ojo, porque la trampa es elegante: cuando todo va bien, la caja negra parece una maravilla. El problema de las cajas negras no es el día bueno. Es el día que el bot promete un descuento que no existe, o que un cliente pregunta dónde guardas sus datos, o que cae el servicio del eslabón cuatro y nadie sabe ni que ese eslabón estaba ahí.
Lo que exijo yo antes de meter IA en un cliente.
Para que esto no quede en "ten cuidado", te enseño mi propia lista. No es nada heroico, es sentido común aplicado con disciplina. Antes de encender cualquier cosa con IA en un negocio:
- Dibujo el recorrido del dato entero, herramienta por herramienta. Si no cabe en un folio, es demasiado frágil.
- Firmo los contratos de tratamiento con cada proveedor que toca datos, y prefiero servidores en la UE siempre que se pueda.
- Pongo un humano en el punto de riesgo. La IA prepara, una persona valida lo que llega al cliente o sale en tu nombre. Nada delicado se publica solo.
- Dejo registro. Si algo falla quiero poder mirar qué pasó, no adivinarlo.
- Lo explico en una frase. Si no puedo contarte qué hace sin tecnicismos, es que ni yo lo tengo claro, y entonces no se enciende.
Nada de esto te ralentiza de verdad. Lo que te ralentiza es el incendio que apagas en seis meses por haber encendido algo que nadie entendía. La IA bien montada te da horas y margen. La IA opaca te da una bomba de relojería con cara de éxito.
La conclusión, sin humo.
El mercado está lleno de gente vendiendo IA como quien vende un truco de magia: lo bueno es que no entiendas cómo funciona. Es justo al revés. En tu negocio, entender qué hace la IA por ti no es un lujo técnico: es la condición para que sea tuya. Lo era por sentido común. Desde febrero de 2025, además, es lo que te pide la ley.
Así que la próxima vez que alguien te ofrezca "automatizar con IA" o "ponerte un agente", no preguntes cuánto cuesta. Pregunta qué hace, por dónde van tus datos y qué pasa cuando falla. Si no sabe respondértelo claro, no te está vendiendo IA. Te está vendiendo una caja negra con tu nombre en la factura.
¿Quieres entender de verdad la IA que tienes (o que te quieren vender)?
Una sesión de diagnóstico de 90 minutos donde repasamos qué hace cada pieza de IA de tu negocio, por dónde van los datos de tus clientes, qué puntos legales conviene revisar y dónde estás expuesto. Si algo necesita un abogado o un DPO, te lo dejo claro. Sales con un mapa en lenguaje humano, no con más humo. 290€ + IVA.
Reservar diagnóstico