La inteligencia artificial ha dejado de ser una promesa para convertirse en una realidad presente en miles de empresas: chatbots de atención al cliente, sistemas de puntuación crediticia, herramientas de selección de personal o modelos predictivos que recomiendan productos. Todo ello implica, sin excepción, tratar datos personales. El Reglamento (UE) 2016/679 —conocido como RGPD— regula ese tratamiento con independencia de que la herramienta sea un humano, un algoritmo o un modelo de inteligencia artificial. Este artículo analiza los puntos de fricción más habituales entre la IA y el RGPD: las decisiones automatizadas del artículo 22, la base jurídica y las obligaciones informativas de los chatbots, la minimización de datos en modelos de IA y el cruce con el Reglamento (UE) 2024/1689 —el AI Act—.
¿Por qué la inteligencia artificial plantea desafíos específicos al RGPD?
El RGPD fue aprobado en 2016 y no menciona expresamente los modelos de lenguaje ni la IA generativa, pero sus principios se aplican con toda su fuerza. Cuando una empresa despliega un modelo de IA que procesa datos de personas físicas, debe cumplir los mismos principios que rigen cualquier otro tratamiento: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; e integridad y confidencialidad (art. 5.1 RGPD). Además, responde al principio de responsabilidad proactiva del artículo 5.2: la organización debe poder acreditar el cumplimiento en cualquier momento ante la Agencia Española de Protección de Datos (AEPD).
La particularidad de la IA es que intensifica los riesgos en dos dimensiones. Primera: el volumen y la variedad de datos que consume para funcionar —historial de conversaciones, metadatos, datos de comportamiento, en ocasiones datos de categoría especial—. Segunda: la opacidad de los resultados, que dificulta explicar por qué el sistema tomó una decisión concreta y cómo llegar a ella.
Artículo 22 RGPD: decisiones automatizadas y perfilado
Qué prohíbe y qué permite el artículo 22
El artículo 22.1 del RGPD establece que «todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar». Esta es la norma central que afecta a los sistemas de IA que toman decisiones sin intervención humana real.
Para que el artículo 22 sea de aplicación deben concurrir dos elementos:
- La decisión se basa únicamente en tratamiento automatizado, sin revisión humana efectiva que pueda cuestionar el resultado.
- La decisión produce efectos jurídicos —denegación de un contrato, terminación de una relación laboral— o afecta significativamente al interesado —denegación de acceso a un servicio, oferta discriminatoria de precio—.
No basta con que exista un humano que formalmente valide la decisión: si ese humano no puede —o en la práctica no— cuestionar el resultado del algoritmo, la AEPD puede considerar que la decisión sigue siendo «basada únicamente» en tratamiento automatizado a efectos del artículo 22.
Excepciones y garantías mínimas
El artículo 22.2 admite tres excepciones que habilitan este tipo de decisiones automatizadas: (a) cuando son necesarias para la celebración o ejecución de un contrato entre el interesado y el responsable; (b) cuando están autorizadas por el Derecho de la Unión Europea o de los Estados miembros; o (c) cuando se basan en el consentimiento explícito del interesado.
En los supuestos (a) y (c), el responsable está obligado a aplicar medidas adecuadas para proteger los derechos del interesado: al menos el derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión (art. 22.3 RGPD). No son opcionales: deben ser ejercitables en la práctica, no solo declarados en la política de privacidad.
Cuando la decisión automatizada afecta a categorías especiales de datos —salud, origen racial, orientación sexual, afiliación sindical, entre otras—, solo son admisibles las excepciones (a) o (b) con salvaguardias reforzadas, o el consentimiento explícito del artículo 9.2.a RGPD (art. 22.4 RGPD). En estos casos se recomienda realizar una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al artículo 35 RGPD.
| Supuesto | Base habilitante | Garantías obligatorias |
|---|---|---|
| Decisión para celebrar o ejecutar un contrato | Necesidad contractual (art. 22.2.a) | Intervención humana + expresar punto de vista + impugnación |
| Decisión autorizada por norma de la UE o estatal | Norma habilitante expresa (art. 22.2.b) | Las que establezca la norma habilitante |
| Decisión basada en consentimiento explícito | Consentimiento (art. 22.2.c) | Intervención humana + expresar punto de vista + impugnación |
| Decisión sobre datos de categorías especiales | Solo (a) o (c) con salvaguardias reforzadas | Intervención humana + DPO informado + EIPD recomendada |
Chatbots y protección de datos: base jurídica y obligaciones informativas
Base jurídica para el tratamiento de datos en chatbots
Un chatbot de atención al cliente típico trata, como mínimo, el contenido de la conversación y los metadatos de la sesión. Si está integrado con el CRM, puede cruzar esos datos con el historial de compras, incidencias anteriores o datos de perfil. La base jurídica más habitual será la ejecución de un contrato (art. 6.1.b RGPD) cuando el usuario ya es cliente, o el interés legítimo (art. 6.1.f RGPD) en la fase precontractual, siempre que supere el test de ponderación previo.
El consentimiento (art. 6.1.a RGPD) es la base menos recomendable para un chatbot de servicio porque debe ser libremente prestado: si el usuario no puede acceder al servicio sin interactuar con el chatbot, difícilmente ese consentimiento es libre en el sentido del RGPD. El consentimiento puede ser la base adecuada, en cambio, cuando el chatbot recopila datos para finalidades adicionales —marketing personalizado, mejora del modelo con datos del usuario— que van más allá del servicio principal.
Qué información debe facilitarse al usuario
El artículo 13 del RGPD, aplicable cuando los datos se recogen directamente del interesado, exige informar en el momento de la recogida. En un chatbot esto significa que, antes o en los primeros intercambios de la conversación, el usuario debe conocer:
- Quién es el responsable del tratamiento y cómo contactarle.
- Con qué finalidad se tratan sus datos y cuál es la base jurídica.
- Si los datos se van a comunicar a terceros, incluido el proveedor del modelo de IA.
- El plazo de conservación de los datos de la conversación.
- Sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.
- Si las respuestas del chatbot implican una decisión automatizada con efectos sobre él, la lógica aplicada y las consecuencias previstas (art. 13.2.f RGPD).
Este último punto es especialmente relevante: si el chatbot puede, por sí solo, denegar una solicitud, aplicar una tarifa diferencial o escalar o no una reclamación según un criterio algorítmico, el usuario debe ser informado de que existe ese proceso automatizado y de la lógica aplicada. La mera referencia en los términos y condiciones no satisface esta obligación cuando no es destacada ni accesible en el momento de la recogida.
Minimización de datos en modelos de inteligencia artificial
El principio de minimización (art. 5.1.c RGPD) exige que los datos tratados sean «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados». En el contexto de la IA, este principio opera en tres momentos distintos del ciclo de vida del sistema.
En el entrenamiento del modelo. Si la empresa desarrolla o ajusta un modelo propio, los datos de entrenamiento deben haber sido obtenidos lícitamente y ser los mínimos necesarios. El empleo de datos de producción —conversaciones reales de clientes— para entrenar el modelo requiere una base jurídica específica para esa finalidad, que normalmente no coincide con la del tratamiento original. El uso incompatible de datos sin base jurídica propia puede constituir una infracción del artículo 5.1.b RGPD.
En la inferencia. El modelo no debe recibir más información personal de la estrictamente necesaria para proporcionar la respuesta requerida. Un chatbot que gestiona incidencias de facturación no necesita acceder al historial médico del cliente ni a su geolocalización en tiempo real. El diseño técnico debe reflejar este principio de minimización desde el inicio —privacy by design, art. 25 RGPD—.
En la retención de logs y conversaciones. Las transcripciones de conversaciones son datos personales. Su conservación indefinida, práctica habitual en muchos sistemas de CRM y chatbot, choca con el principio de limitación del plazo (art. 5.1.e RGPD). Deben establecerse plazos de retención justificados en función de la finalidad y procedimientos de supresión o anonimización efectiva al término de ese plazo.
El cruce con el AI Act (Reglamento UE 2024/1689)
El Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor en agosto de 2024 y su aplicación es gradual según la categoría de riesgo del sistema. No sustituye al RGPD: ambos marcos normativos se aplican simultáneamente cuando un sistema de IA procesa datos personales. El AI Act añade una capa de obligaciones basadas en el nivel de riesgo del sistema de IA, con independencia de si trata o no datos personales.
Los sistemas de IA de alto riesgo —recogidos en el Anexo III del AI Act, entre ellos los sistemas para selección de personal, evaluación crediticia, decisiones en servicios públicos esenciales o en el ámbito de la justicia— están sujetos a requisitos específicos: gestión de riesgos documentada, gobernanza de datos de entrenamiento, transparencia, supervisión humana obligatoria y registro ante las autoridades competentes. Muchos de estos requisitos solapan con las obligaciones del RGPD: la EIPD del artículo 35 RGPD y la evaluación de conformidad del AI Act cubren parcialmente el mismo terreno.
Los sistemas de IA de riesgo limitado, como los chatbots de propósito general, tienen obligaciones de transparencia más ligeras: informar al usuario de que está interactuando con un sistema de IA, salvo que sea evidente por el contexto.
Nuestro servicio de adecuación al AI Act ofrece una hoja de ruta para que las empresas cumplan simultáneamente con el RGPD y el AI Act, identificando qué sistemas de IA están en uso, a qué categoría de riesgo pertenecen y qué medidas técnicas y organizativas deben implantarse para acreditar cumplimiento ante la AEPD y ante la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA).
| Aspecto | RGPD (UE 2016/679) | AI Act (UE 2024/1689) |
|---|---|---|
| Objeto de protección | Datos personales de personas físicas | Sistemas de IA según nivel de riesgo |
| Autoridad competente en España | AEPD | AESIA (operativa desde 2024) |
| Decisiones automatizadas | Art. 22: derecho a no ser objeto de ellas sin garantías | Supervisión humana obligatoria para alto riesgo |
| Transparencia | Información al interesado (arts. 13-14) sobre lógica aplicada | Indicar al usuario que interactúa con IA |
| Evaluación de impacto | EIPD cuando haya alto riesgo (art. 35) | Evaluación de conformidad para alto riesgo |
| Régimen sancionador máximo | Hasta 20 M€ o 4 % del volumen de negocio mundial | Hasta 35 M€ o 7 % del volumen de negocio mundial |
Obligaciones prácticas para tu empresa
Si tu empresa utiliza o planea desplegar sistemas de IA que tratan datos personales, el punto de partida es un diagnóstico estructurado que responda, al menos, a estas preguntas:
- ¿Qué datos personales procesa el sistema y con qué finalidad exacta?
- ¿Cuál es la base jurídica del artículo 6 RGPD para ese tratamiento?
- ¿El sistema produce decisiones que afectan a los interesados en el sentido del artículo 22 RGPD?
- ¿El sistema entra en alguna categoría de riesgo del AI Act —en particular el Anexo III—?
- ¿Se ha informado correctamente a los interesados sobre el uso de IA y la lógica de las decisiones?
- ¿Existen mecanismos efectivos de intervención humana y de impugnación de las decisiones?
- ¿Se ha realizado una EIPD conforme al artículo 35 RGPD cuando el tratamiento lo requiere?
- ¿Existe un contrato de encargo del tratamiento con el proveedor del sistema de IA?
El equipo de Summum Consultoría, con presencia en Castilla y León —Valladolid, Burgos, Palencia, Aranda de Duero— y Canarias —Las Palmas—, acompaña a pymes y organizaciones de mayor tamaño en la adecuación de sus sistemas de inteligencia artificial al RGPD y al AI Act. Desde el análisis inicial hasta la implementación de las medidas técnicas y organizativas, el objetivo es que la empresa pueda acreditar cumplimiento de forma documentada. Consulta nuestro servicio de adecuación al AI Act para una primera valoración del impacto normativo de la IA en tu organización.
Preguntas frecuentes
¿Un chatbot que solo recoge nombre y correo electrónico necesita base jurídica según el RGPD?
Sí. Cualquier tratamiento de datos personales —aunque se limite a nombre y correo— requiere una base jurídica del artículo 6 del RGPD. En un chatbot de captación de consultas, la base más habitual es el interés legítimo (art. 6.1.f RGPD), siempre que supere el test de ponderación, o el consentimiento (art. 6.1.a RGPD). La base jurídica y la finalidad deben informarse al usuario en el momento de la recogida, conforme al artículo 13 del RGPD.
Si el proveedor del chatbot accede a los datos de mis clientes, ¿qué obligaciones existen?
El proveedor del sistema actúa como encargado del tratamiento en el sentido del artículo 28 del RGPD. Es obligatorio suscribir con él un contrato de encargo del tratamiento que regule: las instrucciones de tratamiento, las medidas de seguridad aplicables, la cadena de subencargados, los derechos de auditoría y el procedimiento de devolución o supresión de datos al término del contrato. Si el proveedor está ubicado fuera del Espacio Económico Europeo, se aplican adicionalmente las garantías del Capítulo V del RGPD —cláusulas contractuales tipo, decisiones de adecuación—.
¿Cuándo es obligatorio realizar una EIPD para un sistema de inteligencia artificial?
El artículo 35 del RGPD exige la Evaluación de Impacto en la Protección de Datos cuando el tratamiento sea susceptible de entrañar un alto riesgo para los derechos y libertades de las personas físicas. La AEPD ha publicado una lista de tipos de tratamiento que siempre requieren EIPD; entre ellos figuran el perfilado sistemático, el tratamiento a gran escala de categorías especiales de datos y la toma de decisiones automatizadas con efectos jurídicos. Un sistema de IA que combine dos o más de estos criterios casi siempre requerirá una EIPD antes de su puesta en producción.
¿El AI Act sustituye al RGPD para los sistemas de inteligencia artificial?
No. El AI Act y el RGPD son marcos normativos complementarios que se aplican de forma simultánea. El AI Act regula los sistemas de IA según su nivel de riesgo; el RGPD regula el tratamiento de datos personales. Las obligaciones del AI Act —transparencia, supervisión humana, documentación técnica, evaluación de conformidad— no sustituyen a las del RGPD —base jurídica, información al interesado, derechos, EIPD—, sino que se suman. La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) complementa el RGPD en el ordenamiento español sin modificar este esquema.