La irrupción de la inteligencia artificial generativa, con modelos como ChatGPT a la cabeza, ha transformado radicalmente el panorama tecnológico y empresarial. Sin embargo, esta revolución no está exenta de desafíos, especialmente en lo que respecta a la protección de datos personales. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha intensificado su escrutinio sobre ChatGPT, una situación que, más allá de los detalles de la investigación, pone de manifiesto una cuestión fundamental: la necesidad imperante de que los sistemas de IA operen en estricto cumplimiento con la normativa de protección de datos y el emergente Reglamento de Inteligencia Artificial de la Unión Europea.
La investigación a ChatGPT no es un hecho aislado, sino un reflejo de la creciente preocupación por cómo los sistemas de IA manejan la información personal. La razón principal de este escrutinio radica en la propia naturaleza de estos sistemas: la IA generativa aprende y evoluciona a partir de grandes volúmenes de datos, que pueden incluir datos personales. Y cuando un sistema trata datos personales —ya sea porque los utiliza en su entrenamiento, porque procesa entradas del usuario, o porque genera resultados que afectan a personas identificables— entran en juego todos los principios y obligaciones del Reglamento General de Protección de Datos. Y es que, precisamente, el RGPD establece desde 2018 un marco normativo sólido y exigente, aplicable a cualquiera que trate datos personales: desde la multinacional más innovadora hasta la pyme más modesta.
En este marco, ya sabemos que no basta con cumplir formalmente. El RGPD exige una actitud proactiva y preventiva por parte de quienes diseñan, desarrollan o ponen en marcha soluciones basadas en datos personales. La protección de datos desde el diseño y por defecto no es una etiqueta decorativa, sino una obligación legal que implica integrar medidas técnicas y organizativas desde las primeras fases del proyecto. Asimismo, la evaluación de impacto en protección de datos es un instrumento clave cuando se introducen tecnologías nuevas o tratamientos innovadores que pueden afectar significativamente a los derechos de las personas.
A este contexto se suma ahora el Reglamento de Inteligencia Artificial de inminente aplicación completa, que establece requisitos específicos para los sistemas de IA según el nivel de riesgo que impliquen y que complementa al RGPD, y en el caso de modelos que tratan datos personales —especialmente si son considerados de alto riesgo— obliga a una doble verificación: por un lado, el cumplimiento de obligaciones específicas como la evaluación de riesgos, la trazabilidad, la supervisión humana o la documentación técnica de los sistemas de IA; por otro, la compatibilidad con los principios de protección de datos; por otro,
Por tanto, cuando se trate de sistemas de inteligencia artificial que entren en el ámbito de aplicación del Reglamento de IA, especialmente aquellos clasificados como de alto riesgo, deberán cumplirse una serie de obligaciones específicas que van más allá del marco del RGPD. Entre ellas, destaca la obligación de realizar (por parte del desarrollador) y revisar (por parte del usuario del despliegue) una evaluación de impacto en los derechos fundamentales, que permita identificar y mitigar los posibles efectos adversos del sistema IA sobre las personas; garantizar elementos como la trazabilidad del sistema, la supervisión humana efectiva, la calidad del conjunto de datos utilizado y la disponibilidad de documentación técnica suficiente para acreditar el cumplimiento. Todo ello con un enfoque preventivo, orientado a reforzar la seguridad jurídica y la confianza en el despliegue de tecnologías cada vez más influyentes y al alcance de todos y hasta de forma gratuita.
Ahora bien, cuando estos sistemas IA utilizan datos personales —ya sea en su fase de entrenamiento, durante su funcionamiento o en los resultados que generan— entran también en juego las obligaciones generales del RGPD. En estos casos, será necesario asegurar que los datos son exactos, pertinentes y limitados a lo estrictamente necesario para la finalidad del tratamiento. Habrá que establecer medidas de seguridad técnicas y organizativas adecuadas, garantizar el ejercicio efectivo de los derechos de los interesados —como el acceso, la rectificación o la oposición— y aplicar los principios de protección de datos desde el diseño y por defecto. Asimismo, deberá existir una base jurídica válida para cada tratamiento concreto, y modelos de gobernanza que integren la dimensión jurídica del dato personal como un eje central del sistema.
El creciente interés de las autoridades de control por los sistemas de IA generativa —como demuestra el caso de ChatGPT— refleja una evolución natural del marco regulador hacia una mayor vigilancia del uso de estas tecnologías.
Cumplir con el RGPD y con el Reglamento de IA no debería entenderse como una carga para el sector tecnológico, sino como una condición imprescindible para su consolidación. Las empresas que integren estos requisitos desde el diseño, que documenten adecuadamente su cumplimiento y que asuman una responsabilidad activa, no solo minimizarán riesgos legales o reputacionales, sino que también se posicionarán como referentes de una innovación responsable, sostenible y plenamente alineada con los valores europeos. Esa apuesta por la legalidad y la confianza es, además, una ventaja competitiva en un mercado cada vez más exigente.
Ahora bien, el equilibrio es fundamental: una aplicación excesivamente rígida de las normas y un exceso de burocracia podría acabar asfixiando el desarrollo tecnológico en Europa, en un momento en que la competencia global no da tregua. La clave está en aplicar la regulación con inteligencia, reforzando los derechos fundamentales sin frenar la capacidad de innovar.
¿Te ha resultado interesante?
Acompañamos a empresas que implementan soluciones de inteligencia artificial en la identificación y gestión de riesgos, obligaciones y decisiones de gobernanza exigidas por la normativa europea.
Deja un comentario