IA, responsabilidad jurídica y ciberseguridad en la Administración Pública

Administración pública e IA generativa para el funcionario_img

Abstract. La inteligencia artificial generativa ha dejado de ser mera teoría tecnológica para convertirse en una realidad cotidiana en los despachos de la Administración Pública. Su irrupción plantea, sin embargo, una pregunta que exige una respuesta jurídicamente precisa: ¿puede el empleado público delegar en la IA la producción de actos administrativos, informes o resoluciones? La respuesta, en términos generales, es negativa: la IA puede asistir en la elaboración de borradores y propuestas, pero no desplaza la responsabilidad jurídica del órgano o empleado público competente.

La IA generativa no es una herramienta de oficina más

El primer error conceptual que conviene despejar es tratar los modelos de lenguaje de gran escala —ChatGPT, Claude, Gemini o sus equivalentes especializados— como si fueran una versión mejorada del procesador de textos. No lo son. Los modelos generativos no operan como un repositorio documental ni como un simple asistente de oficina. Producen resultados mediante inferencias probabilísticas a partir de patrones extraídos del entrenamiento. Por ello, su salida no puede equipararse, sin más, a una fuente jurídica fiable ni a un juicio técnico autónomo. Esa diferencia tiene consecuencias jurídicas directas.

La IA generativa descansa sobre un trípode conceptual: datos, algoritmos y prompt. El empleado público solo controla directamente el tercero. Si los datos de entrenamiento son deficientes o están desactualizados, el modelo puede ofrecer respuestas inexactas o apoyarse en referencias normativas no vigentes. Si el algoritmo es limitado, el razonamiento jurídico puede resultar superficial o incompleto.

A ello se suma la calidad de la instrucción formulada. Si el prompt es impreciso, el output tenderá a ser genérico, poco contextualizado y, en muchos casos, institucionalmente inutilizable. Esta arquitectura convierte el prompt engineering —entendido como la capacidad de formular instrucciones precisas, estructuradas y verificables— en una competencia profesional relevante para el empleado público, pero siempre subordinada al juicio jurídico y a la revisión humana del resultado.

Automatización y asistencia: la distinción jurídica clave

El Reglamento (UE) 2024/1689, conocido como Reglamento de Inteligencia Artificial (RIA), y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), ofrecen un marco jurídico relevante para articular el uso de IA en la Administración. Más que una oposición rígida entre automatización y asistencia, conviene hablar de distintos niveles de intervención humana en el proceso de producción del acto o documento administrativo.

Jurídicamente, lo decisivo es si el sistema actúa como apoyo instrumental o si, por el contrario, sustituye materialmente el juicio, la motivación o la decisión del órgano competente. La actuación administrativa automatizada está admitida por el ordenamiento, pero exige un encuadre normativo y organizativo preciso. En particular, el artículo 41 de la LRJSP la define como aquella actuación realizada íntegramente por medios electrónicos sin intervención directa de un empleado público y exige identificar previamente los órganos responsables de la definición de especificaciones, programación, mantenimiento, supervisión, control de calidad y, en su caso, auditoría del sistema, así como el órgano responsable a efectos de impugnación.

En los sistemas de IA de alto riesgo, el marco europeo impone exigencias reforzadas de gestión del riesgo, gobernanza del dato, documentación técnica, registro, supervisión humana, precisión, solidez y ciberseguridad. En cambio, en las actuaciones asistidas el empleado público utiliza la IA como herramienta de apoyo: la IA propone un borrador o una estructura argumental, pero la revisión, validación y decisión final siguen siendo humanas. Esta modalidad será, con carácter general, la más compatible con las exigencias de legalidad, motivación y responsabilidad propias del procedimiento administrativo.

La cuestión no es solo si una herramienta participa en la redacción, sino si llega a sustituir indebidamente el juicio, la motivación o la voluntad del órgano competente. Esta premisa conecta con el régimen general de ejercicio de la competencia en la LRJSP: el uso de IA no altera por sí mismo la titularidad competencial ni legitima la externalización material de funciones reservadas. La IA no puede asumir la responsabilidad legal de certificar un acto o documento. El fedatario público, o el órgano que deba resolver, debe mantener el rol que le asigna el ordenamiento.

Asistencia legítima versus delegación indebida

La frontera entre el uso correcto y el uso jurídicamente improcedente de la IA en la Administración no depende solo de la herramienta empleada, sino del alcance real de su intervención en el procedimiento. La asistencia legítima comprende, entre otros supuestos, la generación de borradores para revisión posterior, el apoyo a tareas de clasificación o detección con validación humana, y la automatización de operaciones repetitivas de bajo riesgo cuando exista cobertura organizativa suficiente y supervisión documentada.

La delegación indebida aparece cuando el empleado público firma sin revisar materialmente el borrador generado, cuando la decisión sobre derechos o intereses legítimos se apoya exclusivamente en el output del sistema, o cuando se automatizan funciones preceptivas sin la cobertura normativa y organizativa exigible. Estas conductas no son solo una mala práctica: pueden comprometer la validez de la actuación y dar lugar, según el caso, a consecuencias disciplinarias, patrimoniales u otras responsabilidades jurídicas concurrentes.

Ciberseguridad: la herramienta la elige el dato, no la moda

La dimensión de la ciberseguridad es tan relevante como la jurídico-procedimental. En el ámbito español, el Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022, exige que la utilización de medios electrónicos se apoye en principios básicos, requisitos mínimos y medidas de seguridad orientadas a proteger, entre otras dimensiones, la confidencialidad, la integridad, la disponibilidad, la autenticidad y la trazabilidad de la información y de los servicios.

La naturaleza del dato condiciona de forma decisiva la herramienta admisible, pero la calificación del dato como público no elimina por sí sola los riesgos de integridad, trazabilidad, reutilización indebida o pérdida de control sobre la información. Los datos personales exigen base jurídica, minimización y garantías adecuadas conforme al RGPD. Los datos especialmente protegidos o de alta sensibilidad requieren un nivel reforzado de cautela y, con carácter general, no deberían introducirse en herramientas externas no gobernadas por la propia organización salvo que exista cobertura jurídica suficiente, evaluación previa del riesgo y garantías técnicas y organizativas adecuadas.

Entre los riesgos que merecen especial atención destacan las alucinaciones —esto es, la generación de citas o datos inexistentes—, el sesgo de automatización —la tendencia a aceptar acríticamente la salida del sistema— y la posible exfiltración de datos hacia entornos externos carentes de las garantías necesarias. El uso de estos sistemas no desplaza la responsabilidad jurídica del órgano o empleado público competente, sin perjuicio de las responsabilidades organizativas, disciplinarias, patrimoniales o de otra naturaleza que puedan concurrir según el caso.

Cinco principios para el ejercicio asistido por IA

El uso de IA generativa en la Administración no es una cuestión de entusiasmo tecnológico ni de resistencia corporativa. Es una cuestión de competencia profesional y de encuadre institucional. Su admisibilidad dependerá, en cada caso, del tipo de procedimiento, de la naturaleza del acto, del grado de discrecionalidad, de la categoría de datos tratados y de las garantías técnicas y organizativas efectivamente implantadas.

Principio de no sustitución: la IA puede asistir en la elaboración de borradores, propuestas o análisis preliminares, pero no sustituir la decisión, la motivación ni la responsabilidad del órgano competente.
Principio de verificación obligatoria: todo output generado debe ser revisado materialmente antes de su incorporación a un expediente o documento oficial; no cabe firma responsable sin lectura, contraste y validación suficientes.
Principio de adecuación normativa: el uso de IA debe encuadrarse en las exigencias del procedimiento administrativo, del régimen competencial, de la protección de datos y de la seguridad de la información.
Principio de trazabilidad: debe poder identificarse, cuando resulte relevante para la validez, control o impugnación de la actuación, que se ha utilizado IA, con qué finalidad y bajo qué condiciones de supervisión.
Principio de competencia profesional: el empleado público debe conocer las capacidades, límites, riesgos y condiciones de uso de estas herramientas para integrarlas de forma útil y jurídicamente segura en su trabajo.

Hacia la hibridación de inteligencias

El horizonte no es la sustitución del funcionario por la IA, sino la hibridación entre ambas inteligencias. La IA no piensa: infiere patrones. No crea: recombina. No decide: sugiere. El funcionario que comprende esta diferencia puede extraer de ella el máximo valor sin asumir riesgos innecesarios.

El concepto de «funcionario generativo» apunta precisamente a eso: al empleado público que ha integrado las herramientas de IA en sus flujos de trabajo reales, que domina el prompt engineering jurídico, que supervisa el output con criterio profesional, que asume con plena conciencia la responsabilidad que le corresponde en cada acto que suscribe, y que sabe la diferencia entre un trabajo hecho por la IA y otro hecho con la IA. La tecnología cambia las herramientas disponibles. La responsabilidad pública permanece.

¿Cómo puede la Administración pública incorporar la IA generativa con seguridad jurídica, responsabilidad y control? Víctor Almonacid abordará estas claves en el Aula Abierta gratuita del 12 de junio, "IA generativa para empleados públicos generativos: Hibridación de inteligencias", una sesión en formato webinar que servirá como primer acercamiento práctico a los retos que después podrán trabajarse en profundidad en el curso completo La IA generativa en la administración pública. Herramientas, casos y límites.

ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

El funcionario generativo: IA, responsabilidad jurídica y ciberseguridad en la Administración Pública

La IA generativa no es una herramienta de oficina más

Automatización y asistencia: la distinción jurídica clave

Asistencia legítima versus delegación indebida

Ciberseguridad: la herramienta la elige el dato, no la moda

Cinco principios para el ejercicio asistido por IA

Hacia la hibridación de inteligencias

El TJUE aclara el requisito temporal del derecho anterior en las oposiciones de marca

Incapacidad absoluta a un camionero con apnea del sueño y deterioro físico y mental severo

act legal Spain incorpora a Mª Encarnación Pérez-Pujazón como socia de Litigación

Cuatrecasas incorpora a Jorge Gómez de Membrillera Ortuño como socio del grupo de Fiscal

Fieldfisher ficha a Carlos Blanco como nuevo socio de Corporate M&A

Lefebvre y Uría Menéndez presentan la segunda edición de la obra «Claves prácticas, medios adec...

Abdón Pedrajas Littler Iberian Conference 2026

Caro & Asociados integra B Law & Tax y acelera su expansión en España