¿Cómo deben gestionar los operadores de centros de datos el riesgo de cumplimiento en materia de inteligencia artificial en el EEE?

Publicado el 23 de septiembre 2025

El Reglamento de IA de la UE trae nuevos desafíos para los operadores de centros de datos, y el régimen regulatorio seguirá evolucionando

Blue switchboard

La expresión “inteligencia artificial” (IA) impregna las conversaciones sobre tecnología, negocios y la vida cotidiana. Su impacto revolucionario en el tratamiento de datos es innegable. Lo que a menudo no se aprecia es que el Reglamento de Inteligencia Artificial de la UE impone obligaciones a los operadores de los centros de datos que alojan dicho tratamiento.

Reglamento de IA y los centros de datos

A la luz de la oleada de regulación TIC en el Espacio Económico Europeo (EEE), cabría esperar que la relación entre el desarrollo de la IA y los centros de datos diera lugar a normas específicas para el mercado de centros de datos. Sorprendentemente, los legisladores de la UE y de otros países europeos no han centrado toda su atención en los centros de datos en el desarrollo de sus planes sobre IA.

El Reglamento de IA de la UE, cuyas primeras disposiciones entraron en vigor el 2 de febrero de 2025, podría parecer en un primer momento que pasa por alto los centros de datos. Sin embargo, un análisis más detallado revela que sí impone obligaciones relevantes, tanto para centros de datos que utilizan soluciones de IA internamente como para proveedores y usuarios de sistemas de IA alojados en centros de datos externos.

Aunque el Reglamento no es aplicable directamente a centros de datos de IA ubicados en el Reino Unido y otros países fuera del EEE, es importante que los operadores de dichos centros sean conscientes de sus disposiciones. Si alojan sistemas de IA que se utilizan dentro del EEE, sus clientes del EEE esperarán que los centros operen de manera que se facilite el cumplimiento del Reglamento en los mismos y que sus contratos así lo reflejen.

Los operadores de centros de datos de otros territorios también deberían mantenerse informados sobre la legislación de IA que se avecina en sus países, por si les afectase. Por ejemplo, el gobierno del Reino Unido propone introducir el próximo año una legislación específica sobre IA, previsiblemente centrada en la seguridad y protección de la IA, con posibles implicaciones para los centros de datos en el Reino Unido y en otros lugares.

Sistemas de IA de alto riesgo en centros de datos

El Reglamento de IA categoriza el uso de IA en el EEE en tres categorías: prácticas prohibidas, sistemas de alto riesgo y el resto. Las prácticas de IA prohibidas incluyen técnicas subliminales, sistemas de scoring social, predicción del riesgo delictivo e inferencia de emociones. Estas prohibiciones tienen escaso impacto directo en los centros de datos.

Los sistemas de IA de alto riesgo, sin embargo, pueden ser relevantes y están sujetos a obligaciones estrictas y que implican un alto coste. Una categoría relevante para los centros de datos incluye los sistemas de IA utilizados como componentes de seguridad en la gestión y operación de infraestructuras digitales críticas (artículo 6, apartado 2, del Reglamento de IA).

La redacción vaga y general de los legisladores de la UE podría abarcar todos los sistemas de IA relacionados con la seguridad de centros de datos, especialmente en los de mayor tamaño. El Reglamento no define “infraestructura digital crítica”, si bien el artículo 3 apartado (62) define “infraestructura crítica” por referencia a la Directiva 2022/2557 sobre la resiliencia de las entidades críticas.

El Considerando 55 del Reglamento aporta cierta claridad:

  • “Los sistemas de IA clasificados como de alto riesgo para la gestión y operación de infraestructuras críticas incluyen aquellos utilizados como componentes críticos de seguridad. El fallo o mal funcionamiento de estos componentes podría generar riesgos para la integridad física de la infraestructura crítica, la salud y la seguridad de las personas y bienes. Los componentes exclusivamente destinados a ciberseguridad no califican como componentes de seguridad. Ejemplos incluyen sistemas de monitorización de la presión del agua o alarmas contra incendios en centros de computación en la nube.”

De esto se derivan dos conclusiones:

  • Los centros de datos se consideran infraestructuras digitales críticas y están afectados por la regulación de sistemas de IA de alto riesgo.
  • Los sistemas de IA de alto riesgo en centros de datos son los relacionados con la seguridad física, no con la ciberseguridad ni con la IA utilizada en servicios cloud o en el tratamiento de datos.

A partir del Considerando 55, los centros de datos deben clasificar como sistemas de IA de alto riesgo las herramientas de IA que monitorizan o controlan la presión del agua y las alarmas contra incendios; otros ejemplos pueden ser sistemas de detección de fallos eléctricos, y aquellos que controlan la temperatura y el acceso. Esta categoría no se aplica a sistemas de IA para el control de redes, construcción de máquinas virtuales, optimización de entornos TI, monitorización del consumo energético o detección de ciberataques.

Responsabilidades de los operadores

Si bien algunos sistemas de monitorización y control se basarán en software tradicional, es probable que un número creciente de centros de datos utilicen sistemas que incorporen un elemento de IA. Los sistemas de IA de alto riesgo conllevan amplias responsabilidades para la operación de centros de datos. Los proveedores de estos sistemas (a menudo los propios centros) deben:

  • Establecer, documentar y operar un sistema de gestión de riesgos.
  • Cumplir criterios de calidad para los conjuntos de datos utilizados en el ciclo de vida de la IA (gobernanza de datos).
  • Crear y actualizar la documentación técnica.
  • Registrar automáticamente eventos a lo largo del ciclo de vida del sistema de IA.
  • Garantizar transparencia e información adecuada para los usuarios (incluidas instrucciones de funcionamiento).
  • Asegurar una supervisión humana adecuada.
  • Garantizar precisión, robustez y ciberseguridad.

Asimismo, deben operar un sistema de gestión de calidad y cumplir las obligaciones de registro y de declaración de cumplimiento.

Los operadores de centros de datos que explotan estos sistemas de IA de alto riesgo, incluidos los que adquieren dichos sistemas a terceros, deben:

  • Adoptar medidas técnicas y organizativas para asegurar que los sistemas de IA se utilizan conforme a las instrucciones de operación.
  • Garantizar supervisión humana adecuada.
  • Asegurar la calidad en materia de gobernanza de datos (en la medida en que dependa del operador).
  • Monitorizar el funcionamiento del sistema de IA.
  • Almacenar los registros de eventos generados automáticamente.
  • Informar adecuadamente a los empleados del centro de datos sobre el uso de IA de alto riesgo.

Sistemas de IA de bajo riesgo

La lista de sistemas de IA prohibidos y de alto riesgo es relativamente limitada, la mayoría de los sistemas de IA en centros de datos se sitúan en la categoría de menor riesgo. Estos incluyen sistemas de IA que operan, controlan, monitorizan el rendimiento o el consumo de recursos, soportan y garantizan la seguridad.

El Reglamento de IA fomenta el uso de estándares para sistemas de menor riesgo similares a los aplicables a sistemas de alto riesgo, especialmente si el sistema de IA afecta de forma significativa a la estabilidad de la organización o a procesos esenciales. Se recomienda un enfoque de sentido común basado en evaluación de riesgos, con monitorización periódica del funcionamiento del sistema y de posibles cambios en su clasificación de riesgo conforme al Reglamento de IA.

El papel de los centros de datos en el cumplimiento

Los centros de datos desempeñan un papel crucial en asegurar el cumplimiento del Reglamento de IA, no solo respecto de sus propios sistemas de IA de alto riesgo, sino también para los usuarios de los centros. Aunque ninguna de las obligaciones para proveedores y usuarios de sistemas de IA es específica para centros de datos, muchas impactan indirectamente en su relación.

Por ejemplo, fallos en sistemas de IA de alto riesgo pueden requerir capacidades de respuesta inmediata, como detener el sistema de IA, implementar soluciones alternativas o activar copias de respaldo. La continuidad de negocio, la redundancia y la gestión de backups son vitales en este contexto.

Propiedades del centro de datos como la seguridad física, la ciberseguridad y la disponibilidad de capacidad de computación pueden influir en la resiliencia de los sistemas de IA frente a amenazas externas, como ciberataques o envenenamiento de datos.

Creciente importancia de los centros de datos para sistemas de IA de alto riesgo

Evaluar si las relaciones con centros de datos deben incluirse en el análisis de riesgos es crucial. La operación de centros de datos es importante para registrar incidentes que afecten a sistemas de IA, así como para asegurar transparencia y que exista rendición de cuentas; además, el acceso a herramientas del centro puede mejorar la eficacia de la supervisión humana de los sistemas de IA.

Seleccionar un centro de datos seguro y estructurar adecuadamente las relaciones es vital para garantizar la precisión, la robustez y la ciberseguridad de los sistemas de IA, requisitos clave para los sistemas de alto riesgo. El Reglamento de IA exige planes de redundancia y copias de seguridad: los centros de datos son parte integral de esto y de la implementación de medidas para prevenir ataques a conjuntos de datos y proteger la confidencialidad de los datos.

Una adecuada estructuración de los servicios dentro de los recursos del centro de datos asegura que los sistemas de IA de alto riesgo operen con robustez. Eventos de mal funcionamiento que causen daños a personas físicas pueden suponer una infracción del Reglamento, lo que hace necesario establecer acuerdos apropiados para prevenir tales situaciones.

Por último, el Reglamento de IA sorprendentemente no se pronuncia de manera relevante sobre eficiencia energética y sostenibilidad, más allá de imponer a los reguladores de IA la obligación de facilitar la creación de códigos de conducta voluntarios sobre el impacto de los sistemas de IA en la sostenibilidad medioambiental y técnicas de eficiencia energética para el eficaz diseño, entrenamiento y uso de la IA. No obstante, son cuestiones de gran interés para muchos operadores y usuarios de centros de datos, por razones éticas y prácticas.

Comentario de Osborne Clarke

Los operadores de centros de datos deberían implementar medidas de cumplimiento para aquellos sistemas de IA que se ocupen de cuestiones de seguridad física y prepararse para atender necesidades de clientes derivadas del Reglamento de IA, incluido revisar sus contratos con clientes y proveedores para reflejar estos requisitos.

Las inversiones en centros de datos deberían incluir medidas para asegurar un alto grado de cumplimiento con el Reglamento de IA. Aunque las obligaciones actuales no son extensas, se esperan cambios futuros. La Comisión Europea puede ampliar el catálogo de sistemas de IA de alto riesgo, y el papel creciente de los centros de datos será un factor significativo en este análisis.

Related articles
La alfabetización en IA: un pilar fundamental en la implementación de la normativa europea sobre inteligencia artificial
26/06/2025 4 mins
La Comisión Europea aclarará las obligaciones de los proveedores de modelos de IA de uso general en virtud del Reglamento de IA de la UE
26/05/2025 5 mins
Comercialización de aplicaciones con IA de terceros: principales obligaciones vigentes en España
26/10/2023 2 mins
Reconocimiento facial y protección de datos: nuevas pautas en la Unión Europea
23/06/2023 5 mins
Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Registrarse

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Registrarse