Tenemos experiencia con entradas en vigor escalonadas. El Reglamento Europeo de Inteligencia Artificial (RIA) aún no es completamente aplicable, pero desde el 2 de febrero de 2025, obliga a cualquier entidad que despliegue sistemas de IA —incluidos los ayuntamientos— a garantizar la alfabetización de su personal en materia de IA (art. 4 RIA) y a abstenerse de utilizar sistemas que supongan riesgos inaceptables para derechos fundamentales (art. 5 RIA). El régimen sancionador lleva operativo desde agosto de 2025, con multas que pueden alcanzar los 35 millones de euros o el 7% de los ingresos anuales. Las normas específicas para sistemas de alto riesgo, que afectan de lleno a usos como la evaluación de prestaciones sociales o la videovigilancia inteligente, entrarán en vigor en agosto de 2026.

¿Cuántos ayuntamientos españoles han aprobado ya su política de uso de IA? La respuesta honesta es: muy pocos. Y eso no es opinión; es diagnóstico.

La norma obliga, la realidad ignora

El problema no es nuevo, pero ahora tiene nombre legal. El RIA impone a los «responsables del despliegue» —categoría en la que entra cualquier ayuntamiento que use un chatbot, un sistema de reconocimiento de matrículas o una herramienta de análisis predictivo— la obligación de establecer un marco de gobernanza interna: política de IA documentada, evaluación de riesgos por caso de uso, supervisión humana y trazabilidad de decisiones. Los instrumentos existen. El problema no es de recursos informativos; es de voluntad institucional y de capacidad real.

Porque en paralelo a esa exigencia normativa, la realidad municipal española presenta una brecha preocupante. Más de 3.400 municipios están en riesgo de despoblación, y la inmensa mayoría de los 8.131 ayuntamientos españoles carece de personal técnico especializado en IA, de presupuesto para auditorías de sistemas o de una figura equivalente al Chief AI Officer que el entorno normativo empieza a reclamar. Mientras tanto, sus empleados ya usan —de forma espontánea, sin política ni formación— herramientas de IA generativa para redactar informes, contestar instancias o resumir expedientes. ¿Qué podría salir mal?

El riesgo real no es el que se cree

Hay una tendencia en el debate público a centrar el riesgo de la IA municipal en los grandes sistemas: reconocimiento facial, scoring social, algoritmos de vigilancia. Son riesgos reales, pero estadísticamente marginales para el ayuntamiento medio. El riesgo cotidiano y masivo es otro: el uso no gobernado de herramientas de IA generativa por parte de empleados públicos que envían datos personales de ciudadanos a servidores externos sin análisis de impacto (DPIA), que aceptan Términos de Servicio sin leerlos y que pueden ver esas condiciones modificadas unilateralmente. Ese riesgo no aparece en los titulares, pero es el que va a generar los primeros expedientes sancionadores de la AESIA —la Agencia Española de Supervisión de Inteligencia Artificial— cuando empiece a actuar con plenitud.

La AEPD lo ha advertido con claridad en su política interna: entre las amenazas prioritarias figuran la falta de trazabilidad, la exposición de datos personales a terceros y la ausencia de control sobre los flujos de información. Nada de eso requiere un sistema de alto riesgo. Basta con que un técnico de servicios sociales use ChatGPT para resumir un informe de valoración. No se juzga su buena intención, sino las consecuencias de no estar debidamente concienciado con los riesgos, probablemente por falta de alfabetización.

Tres cosas que un ayuntamiento debería hacer hoy

El artículo 4 del RIA no es una recomendación; es una obligación jurídica vigente. Con recursos modestos, cualquier ayuntamiento puede y debe acometer tres acciones inmediatas:

  • Aprobar una política de uso de IA, aunque sea básica: qué herramientas se pueden usar, para qué usos, con qué limitaciones en materia de datos personales.
  • Realizar un inventario de uso real: qué herramientas de IA usa ya el personal, de forma oficial o espontánea. Sin ese diagnóstico, no hay gobernanza posible.
  • Incorporar la formación en IA al plan de formación anual, con énfasis no tecnológico sino ético-jurídico: qué no se puede hacer, por qué y con qué consecuencias. La formación en estas cuestiones es una asignatura pendiente desde la entrada en vigor del ENS, hace más de doce años.

El problema de fondo

La administración local española lleva décadas siendo normativa en papel y analógica en práctica. La Ley 39/2015 ha superado la década y aún hay ayuntamientos que no tramitan electrónicamente. No es razonable esperar que el RIA cambie esa dinámica estructural solo porque las sanciones son más altas.

Lo que sí ha cambiado es el contexto tecnológico: la IA ya no es un proyecto de futuro que se puede posponer. Es una realidad operativa que está ocurriendo ahora, en cada ordenador de cada OAC, sin que nadie la haya autorizado ni regulado. Y eso convierte la gobernanza de la IA no en una cuestión de modernización, sino en una cuestión de legalidad vigente.

La pregunta ya no es si los ayuntamientos deben adaptarse al Reglamento de IA. La pregunta es cuántos esperarán al último día de la última vacatio legis, exactamente igual que ocurrió con las Leyes 39 y 40, o se verán obligados a reaccionar en un plazo mucho más breve: el del primer expediente sancionador.

Artículos relacionadosMás del autor

No hay comentarios

Dejar respuesta

Información básica de protección de datos. Responsable del tratamiento: Fundación esPublico. Finalidad: permitir la publicación de comentarios a los artículos del blog. Base jurídica: consentimiento que se entenderá otorgado al pulsar el botón "Publicar comentario". Destinatarios: público en general, la información que introduzca en el formulario será visible por todos los visitantes del blog. Ejercicio de derechos: de acceso, rectificación, supresión, oposición, limitación y portabilidad a través de dpd@espublico.com o en la dirección postal del responsable del tratamiento. Más información: Política de privacidad