Cada vez más organizaciones incorporan la inteligencia artificial (IA) a sus procesos para ganar eficiencia, mejorar servicios o apoyar la toma de decisiones. Pero no toda aplicación tecnológica es legítima. El marco jurídico europeo recuerda que la innovación tiene límites: cuando un sistema de IA vulnera derechos fundamentales, el problema deja de ser técnico para convertirse en jurídico.
El Reglamento (UE) 2024/1689 de Inteligencia Artificial (RIA) fija esos límites y, aunque su aplicación completa sea progresiva, parte de su contenido ya está plenamente en vigor. La Agencia Española de Protección de Datos (AEPD) lo recordó en su nota de prensa del 15 de julio de 2025, subrayando que puede actuar contra sistemas de IA prohibidos que traten datos personales, incluso antes de la plena operatividad del Reglamento.
El mensaje es claro: la AEPD ya dispone de competencias suficientes para intervenir cuando un sistema de IA infringe el Reglamento General de Protección de Datos (RGPD), aunque la futura ley española de desarrollo del RIA aún no haya sido aprobada.
El marco jurídico: el RIA y su calendario de aplicación
Aprobado en mayo de 2024 y publicado en el Diario Oficial de la Unión Europea (DOUE) el 12 de julio, el RIA establece un marco pionero basado en un enfoque de riesgo, que distingue entre sistemas de riesgo inaceptable (prohibidos), alto riesgo, riesgo limitado y riesgo mínimo.
El 2 de agosto de 2025 entraron en vigor varios apartados del Reglamento; entre ellos, el régimen sancionador y supervisor aplicable al artículo 5, que regula los sistemas de IA prohibidos. Aunque el resto de las disposiciones se aplicarán de forma gradual hasta 2027, esta parte ya produce efectos jurídicos.
De este modo, cualquier organización que emplee o desarrolle IA debe verificar desde ahora si su sistema encaja en alguna de las categorías prohibidas y, en su caso, cesar el tratamiento o rediseñar la herramienta.
Qué sistemas están prohibidos
El artículo 5 identifica una serie de sistemas cuyo uso se considera incompatible con los valores de la Unión Europea y con la Carta de Derechos Fundamentales. Son los denominados sistemas de riesgo inaceptable, entre los que destacan:
- Sistemas de manipulación cognitiva o comportamental capaces de distorsionar significativamente el comportamiento humano, especialmente en colectivos vulnerables como menores o personas con discapacidad.
- Sistemas que explotan vulnerabilidades relacionadas con edad, discapacidad o condición social.
- Sistemas de evaluación o clasificación social generalizada (social scoring) por parte de entidades públicas o privadas, cuando provoquen tratos injustos o discriminatorios.
- Sistemas de identificación biométrica remota en tiempo real en espacios públicos, salvo excepciones estrictamente delimitadas (por ejemplo, búsqueda de víctimas o prevención de delitos graves).
Estos sistemas atentan directamente contra principios estructurales del Derecho europeo —dignidad humana, autonomía, privacidad y no discriminación— y suelen implicar tratamientos masivos de datos personales, lo que los conecta con la protección prevista en el artículo 8 de la Carta y en el RGPD.
Qué puede hacer la AEPD hoy
Actualmente, España aún no ha aprobado su Ley nacional de Inteligencia Artificial, que designará formalmente a la AEPD como autoridad de vigilancia del mercado. Pero la ausencia de esa norma no limita su capacidad actual de actuación.
La AEPD ya puede investigar y sancionar tratamientos de datos personales efectuados mediante sistemas de IA, incluidos los prohibidos, si vulneran el RGPD o la LOPDGDD. El artículo 51 del RGPD respalda esta competencia al atribuir a las autoridades nacionales la misión de proteger los derechos y libertades de las personas frente al tratamiento de datos personales.
En la práctica, esto significa que la AEPD puede actuar frente a un sistema de IA que manipule conductas, realice identificaciones biométricas sin base legal o efectúe clasificaciones sociales injustificadas, sin necesidad de esperar a la plena aplicación del RIA.
Coordinación normativa: RGPD y RIA, un marco complementario
La supervisión de la IA en el ámbito europeo se apoya en dos marcos jurídicos complementarios: el RGPD, que regula los tratamientos de datos personales, y el RIA, que introduce obligaciones de diseño, documentación y transparencia para los sistemas de IA.
De hecho, el artículo 2.7 del RIA establece expresamente que el Reglamento “se aplicará sin perjuicio del Derecho de la Unión en materia de protección de datos personales, en particular del Reglamento (UE) 2016/679”.
Ello confirma que el cumplimiento del RGPD no se sustituye, sino que se refuerza con las nuevas exigencias del RIA, conformando un marco jurídico coherente para garantizar una innovación tecnológica respetuosa con los derechos fundamentales.
Qué papel asumirá la AEPD con la entrada plena del RIA
Una vez se apruebe la ley española de desarrollo y el RIA despliegue todo su potencial, se prevé que la AEPD asuma formalmente la supervisión del mercado de la IA, en coordinación con la Secretaría de Estado de Digitalización e Inteligencia Artificial y con el Comité Europeo de Inteligencia Artificial (EAIB).
Entre sus previsibles funciones figuran:
- Supervisar los sistemas de alto riesgo y prohibidos.
- Imponer sanciones por incumplimiento del RIA.
- Emitir guías y orientaciones sobre la relación entre el RIA y el RGPD.
- Cooperar con autoridades sectoriales y europeas para garantizar la coherencia en la aplicación del marco normativo.
En este sentido, la AEPD ya ha anunciado que está reforzando su estructura técnica y humana para afrontar estas nuevas competencias, lo que anticipa un escenario de mayor vigilancia y especialización en los próximos años.
Claves prácticas para organizaciones y desarrolladores
La advertencia de la AEPD no debe interpretarse como una amenaza, sino como una invitación a la responsabilidad preventiva. Las entidades que utilicen IA deben evaluar sus tratamientos de datos personales conforme al RGPD y preparar el terreno para el cumplimiento del RIA.
Algunas pautas esenciales:
- Identificar el tipo de sistema de IA y su nivel de riesgo.
- Revisar las bases jurídicas del tratamiento (consentimiento, interés público, obligación legal, etc.).
- Realizar una EIPD cuando el sistema implique decisiones automatizadas o tratamientos de alto riesgo.
- Evitar prácticas de manipulación o explotación de vulnerabilidades.
- Auditar y documentar medidas técnicas y organizativas, conforme a los arts. 24, 25 y 32 RGPD.
- Aplicar principios de transparencia, trazabilidad y control humano desde el diseño.
Estas acciones reducen el riesgo sancionador y evidencian la responsabilidad proactiva, un principio central tanto en el RGPD como en el RIA.
Conclusión: la supervisión de la IA ya tiene efectos jurídicos
El comunicado de la AEPD del 15 de julio de 2025 confirma que el control sobre los sistemas de inteligencia artificial ya se ejerce en el marco del ordenamiento vigente, especialmente a través del RGPD y la LOPDGDD. Aunque el RIA aún se encuentra en fase de aplicación progresiva, la AEPD puede intervenir frente a tratamientos de datos personales ilícitos realizados mediante sistemas de IA, incluso cuando se trate de categorías prohibidas del artículo 5 RIA.
La entrada en vigor del régimen supervisor y sancionador del RIA refuerza el principio de responsabilidad proactiva, obligando a las organizaciones a identificar el nivel de riesgo de sus sistemas y a documentar las medidas técnicas y jurídicas aplicables. El cumplimiento del RGPD no se sustituye, sino que se amplía con las obligaciones específicas de diseño, transparencia y trazabilidad que introduce el nuevo Reglamento.
En consecuencia, el escenario normativo vigente exige adoptar un enfoque preventivo y documentado de cumplimiento, en el que la protección de datos y la supervisión de la IA operan como instrumentos complementarios para garantizar la licitud del tratamiento y la tutela efectiva de los derechos fundamentales.
Si quieres conocer en más profundidad el RIA y su relación con la protección de datos, puedes visitar otras entradas de nuestro blog pinchando aquí y aquí.
