Parece mentira, pero ya estamos dejando atrás la IA generativa y entrando en la IA agéntica y el 35% de las empresas ya la emplean. Y esto cambia, otra vez (un poco en realidad), la conversación. Ya no hablamos solo de usar un modelo para redactar un texto, resumir documentos y extraer conclusiones, o generar imágenes para redes sociales. Hablamos de sistemas capaces de actuar con cierta autonomía dentro de procesos reales.
Las posibilidades son muchas y muy tangibles que van desde gestionar el correo y la agenda, priorizar potenciales clientes, a responder mensajes o comentarios en redes sociales, hasta ejecutar tareas en herramientas internas, generar y enviar facturas o propuestas, producir contenido, o asistir en contextos más delicados como la gestión de alumnos o pacientes. Todo ello a una velocidad y escala que ningún equipo humano puede igualar (al menos en rapidez).
Precisamente ahí está la tentación, la miel en el panal: ahorrar tiempo en tareas de bajo valor a un coste marginal. Basta pasar cinco minutos en LinkedIn o YouTube para sentir que o automatizas todo o estás tirando tu tiempo a la trituradora de la felicidad y tranquilidad. Y ahí es donde creo que está el riesgo de todos estos mensajes, lo que no se cuenta (porque no se sabe). No porque la IA sea peligrosa en abstracto, sino por cómo se integra y se gobierna. Se habla mucho de beneficios, como si un agente fuese una capa más de software que simplemente hace cosas, pero rara vez se aborda como lo que es: un actor dentro de un proceso del que alguien responde. Trabaja con información (personal, empresarial, confidencial), infiere conclusiones y produce efectos en clientes, empleados, operaciones y, en más ocasiones de las que uno piensa, en derechos de terceros.
Con esa premisa, merece la pena mirar el despliegue con una visión más amplia que la del tutorial rápido. Porque los problemas no suelen venir del diseño del uso y de las expectativas puestas en él. Y se repiten con una regularidad casi incómoda.
1. Creer que todo se queda en casa
El primer error es asumir, casi por inercia, que los datos se procesan dentro del entorno de la empresa. En la práctica, muchas arquitecturas implican llamadas a servicios externos, procesamiento en infraestructuras del proveedor, subencargados y, en algunos casos, flujos que cruzan fronteras.
El problema es que el dato deja de estar donde se cree. Un ejemplo habitual es automatizar el correo para hacer seguimiento de propuestas o priorizar oportunidades, lo que implica tratar datos personales y, a menudo, información especialmente sensible (know-how, pricing, estrategia comercial o propiedad intelectual), en sistemas que dan acceso amplio a tercer al buzón, con procesamiento por otros terceros y, posiblemente, con transferencias internacionales de datos fuera de Europa (lo que ya sabemos que es un riesgo).
Cuando esa información sale de la esfera de control propio, ya no se está hablando solo de seguridad de la información y se abren riesgos mucho más grandes si hay datos personales. O dicho de otro modo, cuando el dato sale, el riesgo legal y operativo aumenta, porque el control se reduce.
2. Automatizar un sesgo y llamarlo eficiencia
El segundo error suele venir tapado dentro de la “optimización”, ya que el agente no inventa criterio, aprende patrones, que vienen de datos históricos, reglas implícitas y decisiones previas que, muchas veces, nadie se paró a cuestionar.
Pensemos en agentes para filtrar candidatos, priorizar leads, segmentar clientes o decidir a quién se le ofrece una condición u otra. En el dashboard todo es bonito y parece razonable: sube la conversión, baja el tiempo de respuesta, el proceso se ordena y se ahorra el tiempo prometido. Pero el problema es que automatizar no solo acelera, también fija el sesgo. Si el embudo ha premiado determinados perfiles, canales o zonas, el agente tenderá a replicarlo, y si el dato de partida está contaminado, el resultado no será neutral.
Además, hay un matiz adicional que suele olvidarse y es que a veces ni siquiera son sesgos propios. Son patrones heredados del modelo, del proveedor o de datos de terceros. Reglas que operan dentro del proceso sin que esté claro de dónde vienen ni por qué pesan en las decisiones.
Cuando el agente IA se usa en decisiones que afectan a personas, la consecuencia deja de ser estadística en el dashboard y pasa a ser jurídica y reputacional. La cuestión es que normalmente solo se detecta cuando alguien lo denuncia desde fuera o cuando el patrón ya es visible a escala. Y en ese punto el problema no es que el agente se equivoque un día con una persona, sino que ya se está equivocando en serie, en base a la autoridad que se le ha concedido. Lo delicado no es que exista sesgo. Es no saber cuál es, ni cuándo se activa.
3. Delegar decisiones sin poder explicarlas
El tercer error aparece cuando el agente empieza a decidir cosas relevantes y nadie dentro de la organización puede explicar por qué ha decidido lo que ha decidido. No porque el sistema falle o tenga un bug, sino porque funciona como una caja negra muy cómoda: entra información, sale una acción, y mientras todo parece ir bien y se ahorra el tiempo prometido a bajo coste, todo es correcto. Pues no.
Esto ocurre cuando se usan agentes para priorizar clientes, rechazar solicitudes, clasificar incidencias, decidir qué contenido se muestra a quién o activar alertas automáticas. Desde dentro, la excusa es muy previsible: «lo ha calculado el sistema», «es lo que recomienda el modelo», «sale del scoring». El problema es que, cuando alguien afectado pregunta por qué ha ocurrido algo, esa respuesta deja de ser suficiente.
Ahí es donde se produce el choque con la realidad jurídica y organizativa. Porque si no se puede explicar mínimamente la lógica de una decisión, tampoco se puede sostener, ni defender. Ni frente a un cliente, ni frente a un empleado, ni frente a al regulador. Hay que hacerse una pregunta incómoda, pero inevitable si no puedes explicar por qué el sistema decide como lo hace, ¿de verdad sigues siendo tú quien toma la decisión? Dependiendo de la respuesta, lo que era una ventaja operativa se convierte en una dependencia difícil de defender.
4. Delegar la decisión y olvidar la responsabilidad
Otro de los errores más comunes al desplegar agentes de IA es pensar que basta con añadir una mera validación humana al final del proceso para estar cubiertos, algo así como un checkbox, un botón que alguien debe pulsar para acreditar que se ha revisado el resultado por si acaso. Sobre el papel suena razonable, aunque muchas veces es solo una coartada.
Cuando un agente de IA realiza un scoring, una priorización o una recomendación y ese resultado se utiliza de forma determinante para tomar decisiones que afectan a personas, como conceder un servicio, descartar un perfil u ofrecer unas condiciones, el proceso funciona como una decisión automatizada, aunque formalmente exista un paso humano posterior. Esto es lo que ha dejado claro el TJUE en el asunto Schufa: si el resultado automático es decisivo, no estamos ante un mero apoyo, sino ante el núcleo de la decisión automatizada.
El RGPD no prohíbe la automatización, pero sí exige algo muy concreto: intervención humana real, explicabilidad y posibilidad de impugnación. Y en este contexto «real» significa significativo. O dicho de otro modo, que alguien pueda entender, cuestionar y corregir el resultado con criterio al final del proceso. No sirve darle siempre al botón sugerido por la IA. Esto tiene consecuencias jurídicas que conviene haber previsto antes, no cuando llegue la primera reclamación. Porque quien tendrá que explicarlo y sostenerlo no será el agente: será la empresa.
5. Desplegar sin gobernanza previa
El quinto error es el que suele estar detrás de todos los anteriores: desplegar IA como si fuera una funcionalidad más del stack, sin un marco de gobernanza previo. Se integra, se prueba, funciona, se pone en producción y se ha ahorrado tiempo y dinero. Pero si se deja fuera la gobernanza previa, entran dos variables que suelen llegar juntas: el riesgo reputacional y el sancionador.
Aquí aplican principalmente dos marcos regulatorios a la vez. Por un lado, el Reglamento de IA: si el agente se utiliza en empleo, educación, crédito, seguros, acceso a servicios esenciales o decisiones que afectan de forma relevante a personas, es fácil caer en supuestos de alto riesgo. Ahí se exigen obligaciones reforzadas de gestión del riesgo, documentación, calidad y gobernanza de datos, registros y trazabilidad, y supervisión humana efectiva. La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) acaba de publicar unas guías interesantes relacionadas con estos temas y que trataré más adelante. Por otro lado, el Reglamento General de Protección de Datos: si hay datos personales, aplican base jurídica, minimización, transparencia, limitación de finalidad y seguridad. Y si el uso implica decisiones automatizadas con efectos jurídicos o similares, entran también las garantías de la supervisión humana en decisiones automatizadas y el derecho a entender y cuestionar el resultado. Lo importante es que estas obligaciones no compiten, sino que se acumulan, igual que las sanciones.
Sin gobernanza, se operar a ciegas, pues no se sabe qué agentes hay realmente desplegados, qué datos tratan, en qué proveedores se apoyan, qué decisiones influyen, qué trazabilidad existe, quién puede parar el sistema o cómo se sostiene una decisión cuando alguien la impugna. Y ahí llegan los sustos, a veces en forma de quejas, a veces en forma de brechas, a veces en forma de procedimiento sancionador.
Al final, los cinco errores anteriores responden al mismo patrón: se despliega rápido y se gobierna tarde.
La solución, por supuesto, no es sencilla ni rápida, ni se puede delegar en un agente de IA. Pasa por construir el modelo cuanto antes y empezando por los cimientos: primero hacer un inventario real de usos de IA (no me cansaré de decirlo); luego clasificar por riesgo y contexto de uso y terminar con las acciones de control antes de producción (revisar bases jurídicas y transparencia cuando hay datos personales, evaluaciones de impacto cuando proceda, contratos y supervisión de proveedores, seguridad y minimización, y supervisión humana capaz de intervenir con criterio, no solo de validar) son algunas de las cosas a tener en cuenta según el caso de uso.
La diferencia entre automatizar con cabeza y automatizar a ciegas no está en el modelo que se elija, sino en si se puede explicar, controlar y sostener lo que ese modelo hace, y hacerlo dentro del marco normativo europeo, cuando el negocio ya depende de ello. La regulación no viene a quitar la miel, sino a recordar que el panal tiene reglas, y que, sin control desde el diseño, los pinchazos suelen suelen venir si si se entra al panal con mano desnuda.
Desde 2010, de la mano de grandes marcas de Estados Unidos, en España se celebra el ya conocido Black Friday cada último viernes de noviembre, aunque cada vez se estira más. Este fenómeno, originado en el colapso circulatorio que se producía en la ciudad de Philadelphia por las multitudes que salían a ver escaparates tras la noche de Acción de Gracias, se ha convertido en un desahogo para cada vez más consumidores que aprovechan esta fecha para adelantar sus compras navideñas o permitirse algún que otro capricho a un precio inferior al habitual.
Cada año, cuando llega el Black Friday, no solo se aceleran las ventas: también lo hacen los errores. La escalada publicitaria por comunicar ofertas, actualizar precios y llegar antes que la competencia provoca que afloren fallos que, en cualquier otra semana, pasarían algo más desapercibidos. Este reclamo publicitario, cada vez más extendido (y en conjunto con el “Cyber Monday”), provoca que durante estos días afloren errores en los procesos de venta online que, en muchos casos, tienen su origen en las prisas, el copia-pega de condiciones mal adaptadas o la ausencia de una revisión jurídica adecuada y que pueden provocar incidencias importantes.
En un entorno donde la presión por lanzar promociones y llamar la atención con descuentos es máxima, los e-commerce suelen enfrentarse a un enemigo silencioso: el detalle normativo. No es algo nuevo, pero el Black Friday actúa como una lupa que amplifica cualquier descuido. Y basta un error menor como una descripción ambigua, un precio mal actualizado, una política de desistimiento incompleta, para desencadenar un conflicto que, en plena campaña, puede convertirse en un problema operativo y reputacional.
Y es que hay que ponerse en los zapatos del comprador. Lo que en tienda física se suple con la simple inspección del artículo, verlo, tocarlo, probarlo, en Internet depende exclusivamente de lo que la web comunica. Por eso la ley exige que la descripción sea completa, precisa y verificable. En estas fechas, cualquier ambigüedad sobre características esenciales, compatibilidades o limitaciones, suele resolverse a favor del consumidor.
Pero sin duda, el precio es el protagonista indiscutible del Black Friday y también es una fuente habitual de problemas. Las llamadas “falsas rebajas” (incrementos previos del precio para simular descuentos mayores) son vigiladas por las autoridades y las organizaciones de consumidores y usuarios. Y cada vez tienen más herramientas a su disposición para comprobarlo en segundos. Esto, además de ser una práctica éticamente cuestionable, ha sido objeto de sanciones por la Administración de Consumo y confirmadas judicialmente, como ha señalado el Tribunal Superior de Justicia de Madrid en distintas resoluciones que avalan el depósito de más de 100.000€ en multas a varias empresas por ese motivo.
Los plazos de entrega y devolución también concentran buena parte de las reclamaciones. El vendedor debe indicar un plazo realista, no dependiente de su voluntad ni de la de terceros. Y el derecho de desistimiento (14 días naturales, salvo excepciones en determinados productos o servicios digitales) debe estar explicado sin rodeos. En campañas de pico, una política mal redactada o un proceso de devolución confuso puede traducirse en una avalancha de incidencias.
El Black Friday no solo mide la capacidad logística o comercial de un e-commerce; también pone a prueba su madurez jurídica. Quien llega bien preparado reduce riesgos y transmite confianza. Quien improvisa descubre, casi siempre demasiado tarde, que acaba dedicando más tiempo a gestionar incidencias que a vender.
La reciente multa de cinco millones de euros impuesta por la Comisión Nacional del Mercado de Valores (CNMV) a X (sí, X, y no tengo claro cuántos años más seguiremos añadiendo “la antigua Twitter”), no es un episodio aislado ni un gesto puntual del supervisor. Es, más bien, la consecuencia lógica de un proceso que lleva años gestándose: la progresiva aproximación de las plataformas digitales al perímetro de responsabilidad del sector financiero, especialmente cuando se convierten en vehículos para la difusión de fraudes, estafas o publicidad opaca sobre criptoactivos. Lo relevante de esta sanción no es su importe (pese a tratarse de una de las mayores de la historia de la CNMV), sino el mensaje que transmite: la era del “yo solo soy un intermediario neutral” se ha terminado.
El expediente sancionador detalla que X no comprobó si Quantum AI, una de las entidades anunciadas en su plataforma, estaba autorizada para prestar servicios de inversión ni si figuraba en la lista de entidades no autorizadas por la propia CNMV, también conocida como Lista de Chiringuitos Financieros (una de esas listas en la que es mejor no estar). Y que no lo hizo, además, tras un requerimiento formal del supervisor. Por lo visto, la plataforma permitió campañas de un actor no autorizado, sujeto a múltiples advertencias, que empleaba incluso la imagen de personajes públicos para dotar de credibilidad a una supuesta aplicación de inversiones que prometían rentabilidades improbables. Nada nuevo en el universo de los chiringuitos financieros, salvo un matiz importante: esta vez, el foco del supervisor ya no está solo en quien se promociona, sino en quien le da altavoz.
Este movimiento encaja con lo que ya anticipaba en este mismo blog en 2020 y 2021: cada vez que un mercado se llena de prácticas opacas, el regulador acaba reaccionando, y el péndulo suele pasarse al otro lado de forma brusca. Entonces lo veíamos con la publicidad de wallets no autorizados, con ICOs improvisadas, con plataformas opacas o con la escalada de supuestas inversiones milagrosas que acababan en querellas, pérdidas y titulares. Hoy la reacción es más amplia, más directa y más orientada a proteger al pequeño inversor en un entorno donde la línea entre publicidad y captación fraudulenta se vuelve peligrosamente fina.
Las plataformas digitales han asumido durante años que no estaban sometidas al mismo nivel de escrutinio que los actores financieros tradicionales. No ofrecían servicios de inversión; simplemente mostraban publicidad ajena. Pero la CNMV ha dejado claro que ese planteamiento ya no basta. Cuando una plataforma amplifica promesas que rayan la estafa, facilita el acceso a operadores no autorizados y desoye requerimientos formales, no puede escudarse en la neutralidad técnica. No en un mercado donde los fraudes en línea baten récords, donde los usuarios confían en la reputación de la plataforma más que en la de los anunciantes, y donde las estafas se mimetizan con noticias reales mediante el uso de personajes públicos, logotipos de medios y técnicas cada vez más sofisticadas.
En esa lógica, la multa a X es coherente con la tendencia regulatoria europea: responsabilizar a quienes ostentan poder real sobre la difusión del mensaje. El Reglamento MiCA, la futura reforma de la Ley del Mercado de Valores, las normas sobre publicidad financiera o incluso el nuevo marco de diligencias reforzadas para proveedores de servicios digitales apuntan en la misma dirección: la supervisión ya no se limita al origen del criptoactivo o del servicio financiero, sino también al canal que lo promueve. Y es difícil discutir la necesidad de este enfoque cuando las cifras de fraude financiero online crecen a doble dígito y buena parte de esos engaños se propaga precisamente a través de plataformas globales cuyo negocio depende de la publicidad.
Lo llamativo es que la situación se parece mucho a la que describía en aquellos artículos: un ecosistema que avanza más rápido que las normas, usuarios atraídos por la promesa de beneficios fáciles, operadores sin licencia actuando desde jurisdicciones exóticas, y una percepción de impunidad que se alimenta del anonimato tecnológico. La diferencia está en que ahora las autoridades tienen más herramientas para intervenir y menos paciencia ante la inacción de intermediarios clave. Y si antes el mensaje era que “nadie regala duros a cuatro pesetas”, hoy habría que añadir que tampoco debería regalarlos una plataforma que monetiza cada clic sin verificar quién está detrás.
Cierro con una idea que enlaza bien con aquella reflexión de 2021: los mercados solo funcionan cuando hay confianza. Cuando esta se erosiona, la respuesta suele ser más regulación, más sanciones y más controles. Esta multa es un recordatorio de que la transparencia y la diligencia no son un deseo del regulador, sino un requisito para sostener un entorno donde la innovación financiera pueda convivir con la protección del inversor en criptomonedas o en productos financieros convencioanles. Y también, por qué no decirlo, de que los chiringuitos financieros siguen ahí fuera… y de que el verdadero progreso será cuando no necesitemos recordarlo cada cierto tiempo.
La inteligencia artificial ya forma parte de la gestión de personas. Se usa para seleccionar candidatos, medir rendimientos, asignar tareas o controlar horarios. Pero su avance plantea una cuestión incómoda: ¿cuándo una herramienta de eficiencia se convierte en un instrumento de vigilancia?
En los últimos años, el marco normativo ha empezado a responder. En España, el artículo 64.4.d) del Estatuto de los Trabajadores —tras su modificación en 2021— reconoce el derecho de los representantes de las personas trabajadoras a ser informados “de los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de inteligencia artificial que afectan a la toma de decisiones que puedan incidir en las condiciones de trabajo, el acceso y mantenimiento del empleo, incluida la elaboración de perfiles”. En aplicación de este precepto, la vicepresidenta segunda y ministra de Trabajo, Yolanda Díaz, ha anunciado una campaña de inspección dirigida a las grandes plataformas tecnológicas para comprobar cómo emplean los algoritmos en la gestión laboral.
En paralelo, el Reglamento General de Protección de Datos (RGPD) impone principios de minimización, transparencia, proporcionalidad y supervisión humana en las decisiones automatizadas que tengan efectos jurídicos o significativos sobre las personas.
Y el nuevo Reglamento Europeo de Inteligencia Artificial (IA Act) refuerza esta línea al calificar como sistemas de alto riesgo aquellos que intervienen en procesos de contratación, evaluación o despido, imponiendo obligaciones reforzadas de documentación, explicabilidad y control humano.
La conclusión es nítida: la normativa no prohíbe la IA en recursos humanos, pero sí exige gobernarla con rigor y trazabilidad.
La cuestión no es local. La AEPD, en su Memoria de 2023, ya advirtió del riesgo de opacidad en la toma de decisiones automatizadas en el ámbito laboral y de la necesidad de reforzar la información a los trabajadores sobre el uso de algoritmos. También en su Guía sobre tratamientos de datos en relaciones laborales subraya que las herramientas basadas en IA deben respetar los principios del artículo 22 del RGPD y garantizar siempre la posibilidad de intervención humana. En la misma línea, la CNIL francesa ha publicado recomendaciones específicas sobre la transparencia en algoritmos de evaluación y selección, alertando sobre su potencial discriminatorio; y el Comité Europeo de Protección de Datos (CEPD) ha recordado que las evaluaciones automatizadas en el empleo requieren garantías reforzadas de información, revisión y supervisión efectiva. En conjunto, el mensaje de las autoridades es claro: la automatización sin control no es compatible con los derechos fundamentales.
Dos planos de cumplimiento: quienes desarrollan y quienes utilizan IA
Las obligaciones varían según el rol que tenga cada uno. Los desarrolladores o comercializadores de sistemas de IA destinados a la gestión de personas deben demostrar el cumplimiento de los requisitos de transparencia, explicabilidad y respeto al RGPD y al IA Act. Esto implica documentar la lógica de los algoritmos, realizar evaluaciones de riesgo, mitigar sesgos y garantizar la posibilidad real de intervención humana. En definitiva, incorporar el cumplimiento desde el diseño.
Las empresas que adquieren o utilizan soluciones IA no pueden limitarse a confiar ciegamente en su proveedor. Deben conocer cómo funciona el sistema, qué datos utiliza y para qué decisiones se aplica. La diligencia mínima pasa por revisar los contratos, exigir evidencias de cumplimiento, incorporar cláusulas de responsabilidad y realizar auditorías periódicas. El principio de responsabilidad proactiva del RGPD obliga también aquí: usar IA de terceros no exime de responder por sus efectos.
Y si además cuentan con representación legal de los trabajadores, la obligación de transparencia será doble: frente a la autoridad y frente al comité de empresa, como ya empieza a verse en las primeras actuaciones inspectoras anunciadas por el Ministerio de Trabajo.
Riesgos y oportunidades para las empresas tecnológicas
El riesgo no radica en usar algoritmos, sino en no entender su alcance. Muchas compañías integran soluciones de IA sin analizar su impacto jurídico o ético, lo que puede traducirse en decisiones opacas, discriminatorias o desproporcionadas. También en conflictos con empleados, sanciones administrativas o daños reputacionales.
Un algoritmo de selección que descarte candidatos por edad o localización, o un sistema que mida la productividad según el tiempo frente a pantalla, puede vulnerar la igualdad, la intimidad o incluso el derecho a la desconexión… máxime si no hay un verdadero control por parte de un humano (uno inteligente, si se me permite el guiño).
Por el contrario, una gestión algorítmica bien diseñada puede convertirse en una ventaja competitiva real. Las empresas que establezcan políticas claras sobre el uso de la IA demostrarán transparencia, responsabilidad y capacidad de anticiparse a las exigencias regulatorias. En un mercado donde la confianza tecnológica es un valor escaso, la gobernanza de la inteligencia artificial y la protección de datos será un signo de madurez corporativa.
Claves para una gestión responsable
En mi opinión, el cumplimiento se construye sobre tres ejes esenciales.
Primero, inventario y auditoría: identificar qué sistemas algorítmicos se utilizan, qué datos tratan y con qué finalidad. Este mapa permite conocer los riesgos y aplicar medidas correctoras. Tanto desarrolladores como usuarios deben mantenerlo actualizado y revisarlo periódicamente.
Segundo, gobernanza: definir políticas internas sobre el uso de IA con criterios de transparencia, revisión y supervisión humana. La gobernanza empieza en el diseño, pero debe extenderse a la implantación y al uso, en coherencia con el RGPD y con otras normas sectoriales, como ya he dicho otras veces.
Y tercero, formación y cultura: coordinar a RRHH, tecnología y cumplimiento, pero también formar a quienes emplean la tecnología y a quienes están sujetos a ella. Sin conocimiento, la IA deja de ser una herramienta y se convierte en un riesgo.
Mirando hacia adelante
El reto no es solo técnico ni jurídico, sino cultural. La IA puede hacer el trabajo más justo y eficiente, pero solo si se usa con criterio y respeto a los derechos fundamentales. La supervisión algorítmica ha pasado de ser una recomendación a convertirse en una prioridad en la que la gobernanza de la IA nunca más será opcional.
Las empresas que lo entiendan antes serán las que mejor capitalicen la confianza. En un futuro donde los algoritmos decidirán cada vez más, lo verdaderamente diferencial será quién se atreva a explicar bien sus sistemas y demostrar que están limpios de polvo y paja.
La irrupción de la inteligencia artificial generativa, con modelos como ChatGPT a la cabeza, ha transformado radicalmente el panorama tecnológico y empresarial. Sin embargo, esta revolución no está exenta de desafíos, especialmente en lo que respecta a la protección de datos personales. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha intensificado su escrutinio sobre ChatGPT, una situación que, más allá de los detalles de la investigación, pone de manifiesto una cuestión fundamental: la necesidad imperante de que los sistemas de IA operen en estricto cumplimiento con la normativa de protección de datos y el emergente Reglamento de Inteligencia Artificial de la Unión Europea.
La investigación a ChatGPT no es un hecho aislado, sino un reflejo de la creciente preocupación por cómo los sistemas de IA manejan la información personal. La razón principal de este escrutinio radica en la propia naturaleza de estos sistemas: la IA generativa aprende y evoluciona a partir de grandes volúmenes de datos, que pueden incluir datos personales. Y cuando un sistema trata datos personales —ya sea porque los utiliza en su entrenamiento, porque procesa entradas del usuario, o porque genera resultados que afectan a personas identificables— entran en juego todos los principios y obligaciones del Reglamento General de Protección de Datos. Y es que, precisamente, el RGPD establece desde 2018 un marco normativo sólido y exigente, aplicable a cualquiera que trate datos personales: desde la multinacional más innovadora hasta la pyme más modesta.
En este marco, ya sabemos que no basta con cumplir formalmente. El RGPD exige una actitud proactiva y preventiva por parte de quienes diseñan, desarrollan o ponen en marcha soluciones basadas en datos personales. La protección de datos desde el diseño y por defecto no es una etiqueta decorativa, sino una obligación legal que implica integrar medidas técnicas y organizativas desde las primeras fases del proyecto. Asimismo, la evaluación de impacto en protección de datos es un instrumento clave cuando se introducen tecnologías nuevas o tratamientos innovadores que pueden afectar significativamente a los derechos de las personas.
A este contexto se suma ahora el Reglamento de Inteligencia Artificial de inminente aplicación completa, que establece requisitos específicos para los sistemas de IA según el nivel de riesgo que impliquen y que complementa al RGPD, y en el caso de modelos que tratan datos personales —especialmente si son considerados de alto riesgo— obliga a una doble verificación: por un lado, el cumplimiento de obligaciones específicas como la evaluación de riesgos, la trazabilidad, la supervisión humana o la documentación técnica de los sistemas de IA; por otro, la compatibilidad con los principios de protección de datos; por otro,
Por tanto, cuando se trate de sistemas de inteligencia artificial que entren en el ámbito de aplicación del Reglamento de IA, especialmente aquellos clasificados como de alto riesgo, deberán cumplirse una serie de obligaciones específicas que van más allá del marco del RGPD. Entre ellas, destaca la obligación de realizar (por parte del desarrollador) y revisar (por parte del usuario del despliegue) una evaluación de impacto en los derechos fundamentales, que permita identificar y mitigar los posibles efectos adversos del sistema IA sobre las personas; garantizar elementos como la trazabilidad del sistema, la supervisión humana efectiva, la calidad del conjunto de datos utilizado y la disponibilidad de documentación técnica suficiente para acreditar el cumplimiento. Todo ello con un enfoque preventivo, orientado a reforzar la seguridad jurídica y la confianza en el despliegue de tecnologías cada vez más influyentes y al alcance de todos y hasta de forma gratuita.
Ahora bien, cuando estos sistemas IA utilizan datos personales —ya sea en su fase de entrenamiento, durante su funcionamiento o en los resultados que generan— entran también en juego las obligaciones generales del RGPD. En estos casos, será necesario asegurar que los datos son exactos, pertinentes y limitados a lo estrictamente necesario para la finalidad del tratamiento. Habrá que establecer medidas de seguridad técnicas y organizativas adecuadas, garantizar el ejercicio efectivo de los derechos de los interesados —como el acceso, la rectificación o la oposición— y aplicar los principios de protección de datos desde el diseño y por defecto. Asimismo, deberá existir una base jurídica válida para cada tratamiento concreto, y modelos de gobernanza que integren la dimensión jurídica del dato personal como un eje central del sistema.
El creciente interés de las autoridades de control por los sistemas de IA generativa —como demuestra el caso de ChatGPT— refleja una evolución natural del marco regulador hacia una mayor vigilancia del uso de estas tecnologías.
Cumplir con el RGPD y con el Reglamento de IA no debería entenderse como una carga para el sector tecnológico, sino como una condición imprescindible para su consolidación. Las empresas que integren estos requisitos desde el diseño, que documenten adecuadamente su cumplimiento y que asuman una responsabilidad activa, no solo minimizarán riesgos legales o reputacionales, sino que también se posicionarán como referentes de una innovación responsable, sostenible y plenamente alineada con los valores europeos. Esa apuesta por la legalidad y la confianza es, además, una ventaja competitiva en un mercado cada vez más exigente.
Ahora bien, el equilibrio es fundamental: una aplicación excesivamente rígida de las normas y un exceso de burocracia podría acabar asfixiando el desarrollo tecnológico en Europa, en un momento en que la competencia global no da tregua. La clave está en aplicar la regulación con inteligencia, reforzando los derechos fundamentales sin frenar la capacidad de innovar.
Página 1 de 33123...102030...»Última »
(0)
