M&A: La conformidad con la ley de IA entra en la fase de diligencia debida
El 1 de agosto de 2024, la Regulación de la Unión Europea sobre Inteligencia Artificial (conocida como la Ley de IA) entró oficialmente en vigor, con una implementación gradual entre 2025 y 2026. A partir del 2 de febrero del año pasado, las normas sobre prácticas insostenibles de IA y obligaciones de alfabetización son aplicables; a partir del 2 de agosto, las normas sobre modelos generales de IA (GPAI) entrarán en vigor, y para el 2 de agosto de este año, las reglas sobre IA de alto riesgo (con una extensión para algunos productos hasta 2027) estarán operativas.
Este nuevo marco regulatorio basado en el riesgo transforma la IA de una mera tecnología innovadora a un objeto de regulación precisa al introducir requisitos de trazabilidad, supervisión humana y responsabilidad, con multas esperadas de hasta 35 millones de euros o el 7% de la facturación global.
Mientras tanto, Italia ha promulgado la Ley L.132/2025, en línea con la Ley de IA, con el objetivo de fortalecer los principios de humanidad, transparencia y seguridad, con especial atención a los sectores críticos para los cuales la ley impone la trazabilidad de decisiones algorítmicas, control humano, mayor protección de menores, obligaciones de información específicas y la criminalización de prácticas ilegales, como los deepfakes.
Transformación de la Diligencia Debida
Desde el año pasado, la inteligencia artificial se ha convertido en un factor regulado de gran relevancia en transacciones extraordinarias, siendo objeto de evaluación en el análisis de contratos y riesgos durante la diligencia debida. Así, estamos presenciando una evolución de la diligencia debida tecnológica a la «diligencia debida de riesgo de IA»: ya no es suficiente comprobar si el objetivo utiliza sistemas de inteligencia artificial, sino que es necesario mapear sus tipos, propósitos, el rol de la empresa (proveedor, integrador o usuario), la cadena de suministro tecnológica, los modelos y conjuntos de datos utilizados, los derechos de uso y las dependencias de terceros.
Esto permite clasificar los sistemas de acuerdo con la taxonomía de la Ley de IA (inaceptable, alto, limitado, riesgo mínimo) y estimar obligaciones, costos y tiempos de cumplimiento, con un impacto directo en el plan de negocios post-adquisición.
Riesgos y Señales de Alerta
A la luz de este nuevo entorno regulatorio, surgen nuevas señales de alerta: el uso de sistemas de IA en decisiones críticas sin un nivel adecuado de gobernanza y supervisión humana; conjuntos de datos históricos poco documentados en términos de procedencia, licencias y calidad; dependencia crítica de proveedores externos sin salvaguardias contractuales adecuadas; y la ausencia de procedimientos para monitorear y gestionar incidentes relacionados con la IA.
Estos problemas críticos conllevan riesgos legales, reputacionales y operativos que afectan la valoración de activos, lo que puede llevar a descuentos de precio o al abandono total de una operación. La diligencia debida de IA, que incluye auditorías de datos de entrenamiento, verificación de consentimientos, licencias y análisis de código y documentación, es ahora indispensable y no puede posponerse a la fase post-cierre.
Adaptaciones Contractuales
El lado contractual también se está adaptando en consecuencia, y a las tradicionales representaciones y garantías ahora se les añaden cláusulas específicas como la correcta clasificación y cumplimiento de sistemas bajo la Ley de IA (incluyendo la ausencia de prácticas prohibidas bajo la Sección 5); la propiedad de derechos sobre los datos y tecnologías utilizadas, cualquier dependencia oculta en la cadena de suministro y, finalmente, la ausencia de violaciones regulatorias.
En presencia de brechas de cumplimiento, se utilizan convenios de remediación, condiciones precedentes, ajustes de precio o indemnizaciones específicas para asignar el riesgo regulatorio, así como restricciones de gobernanza previas al cierre para preservar el cumplimiento y el valor de la transacción.
Enfoque en la Preparación para la IA
El enfoque en la «preparación para la IA» también está creciendo en el capital de riesgo: derechos de divulgación mejorados, cláusulas de gobernanza y obligaciones para asignar recursos a la conformidad aparecen en las hojas de términos. El cumplimiento de la IA se convierte cada vez más en un indicador de la madurez de la gestión de las empresas y una forma de protección en el momento de la salida.
Conclusión
En conclusión, el cumplimiento de la IA asume el papel de una palanca de valor: reduce descuentos y penalizaciones, acelera negociaciones, aumenta la atractividad para los inversores, incluidos los inversores transfronterizos, y mejora la confianza en el mercado. A partir de ahora, el valor de una empresa tecnológica depende no solo del algoritmo, sino de la capacidad para desarrollarlo de manera sostenible y conforme, transformando el cumplimiento de una obligación regulatoria en una verdadera ventaja competitiva.
