Hay una pregunta que debería hacerse cualquier organización antes de desplegar un sistema de inteligencia artificial que trate datos personales. No es una pregunta técnica, ni siquiera es una pregunta nueva. Es, en realidad, la pregunta más antigua del derecho a la privacidad: “¿con qué permiso?” Y, sin embargo, en el ecosistema de la IA, esa pregunta sigue sin responderse con el rigor que exige la ley. El RGPD no es una norma del pasado que la IA ha dejado obsoleta.
Es, junto con el Reglamento de IA (UE) 2024/1689, la columna vertebral del marco jurídico europeo para cualquier tratamiento de datos en sistemas automatizados. Lo que ocurre es que ambas normas nacieron en momentos distintos, con distintas lógicas, y su aplicación coordinada exige un nivel de madurez que el mercado todavía no tiene. Las 16 guías de la AESIA publicadas en diciembre de 2025 son el primer intento serio, en España, de tender ese puente.
El problema de la base de legitimación: no todo sirve para todo
El artículo 6 del RGPD es el punto de partida de cualquier tratamiento de datos personales: sin base jurídica válida, no hay tratamiento legítimo. Aunque parezca sencillo, realmente no lo es, especialmente cuando el tratamiento consiste en usar datos personales para entrenar, validar o desplegar un modelo de IA.
La Guía 07 de la AESIA sobre datos y gobernanza aborda esta cuestión de frente: la recopilación y preparación de los datos de entrenamiento es parte del sistema. Y como tal, está sujeta a todas las obligaciones del Reglamento, incluyendo las del RGPD.
Esto significa que antes de que una organización entregue sus datos a un proveedor de IA para entrenar un modelo, debe haber identificado con precisión la base jurídica que ampara ese tratamiento.
– Artículo 6.1.a) RGPD – Consentimiento explícito: Requiere que el interesado haya consentido expresamente este uso concreto de sus datos. El consentimiento genérico (el que suele darse en el registro de un servicio) no cubre el entrenamiento de los modelos de IA que no existían en ese momento.
– Artículo 6.1.b) RGPD – Ejecución de un contrato: Solo cubre los tratamientos estrictamente necesarios para cumplir el contrato con el interesado. Entrenar un modelo es un uso secundario.
– Artículo 6.2.e) RGPD – Interés público: Válida para las administraciones públicas y organismos con mandato legal. En el sector privado, su uso es excepcional y requiere una habilitación normativa concreta que raramente existe para proyectos de IA.
– Artículo 6.1.f) RGPD – Interés Legítimo: Exige un test de ponderación riguroso ya que el interés ha de ser real, necesario y no debe prevalecer sobre los derechos del interesado. No podemos comprender este punto como un cajón desastre.
El interés legítimo merece una atención especial, porque es la base que más organizaciones intentan aplicar cuando las demás no encajan. La AESIA, siguiendo la línea del Comité Europeo de Protección de Datos, advierte que su uso no puede ser automático ni genérico. Para que sea válido, la organización debe documentar: qué interés persigue exactamente, por qué el tratamiento es necesario para ese fin y, sobre todo porqué los derechos del interesado no deben prevalecer.
Ese análisis, que debería existir por escrito antes de iniciar cualquier tratamiento, en muchos proyectos de IA no se lleva a cabo de tal forma que, invocar el interés legítimo sin haber hecho el test de ponderación no es cumplir el RGPD sino que se trata de asumir el riesgo de que una autoridad de control lo deshaga con una resolución sancionadora.
Artículo 13 RGPD y artículo 13 del Reglamento de IA: una coincidencia que no es casualidad
Es llamativo que tanto el RGPD como el Reglamento de IA (RIA) dediquen su artículo 13 a la transparencia y al deber de información. Son dos obligaciones distintas, con distinto alcance y distintos destinatarios, pero que convergen en una misma exigencia fundamental: la persona afectada tiene derecho a saber.
Para el RGPD, en el momento en el que se recogen datos personales, el responsable del tratamiento debe informar, entre otros extremos, de la identidad del responsable, la finalidad y base jurídica del tratamiento, los destinatarios de los datos, los plazos de conservación y la existencia de decisiones automatizadas, incluida la elaboración de perfiles, en este punto es donde converge RGPD y la IA.
Según el RGPD esta información proporcionada debe incluir la lógica aplicada, así como la importancia, las consecuencias previstas de dicho tratamiento para el interesado. Recordemos que el objetivo final del deber de información es que las personas sepan qué puede suceder con sus datos personales para tomar decisiones.
Aunque no se prevé el derecho a conocer los algoritmos ni el código fuente de los sistemas utilizados, la información debe ser significativa y así será cuando permita entender qué datos incluyen en la decisión, finalidad y de qué manera ese tratamiento afecta realmente. La AEPD propone ejemplos útiles para explicar cómo influyen esas variables en las decisiones relevantes o describir los criterios que utiliza un algoritmo para producir un resultado en la Guía sobre Adecuación al RGPD de tratamiento que incorporan Inteligencia Artificial. Por ello, la pregunta que debiera de hacerse: ¿hemos informado de que existen un sistema de IA que va a tomar o incluir en decisiones sobre esta persona? Si ese sistema no existía cuando se redactó la cláusula informática, la respuesta es, no.
Por otro lado, el RIA determina que los sistemas de IA de alto riesgo deben diseñarse y desarrollarse de forma que su funcionamiento sea suficientemente transparente para que los responsables del despliegue pueden interpretar sus resultados y utilizarlos adecuadamente. Esto no es transparencia hacia el regulador, es transparencia hacia quien opera el sistema y hacia la persona afectada.
Artículo 22 RGPD: el derecho que más se cita y menos se cumple
El artículo 22 del RGPD es, probablemente, el precepto más invocado en los debates sobre IA y el menos comprendido en la práctica. Establece que toda persona tiene derecho a no ser objeto de una decisión basada exclusivamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ella o la afecte de forma significativa.
Las organizaciones que despliegan IA han aprendido a sortear este artículo añadiendo un «paso de revisión humana» al final del proceso. El problema es que, como señala la Guía 06 de la AESIA sobre vigilancia humana, esa revisión es jurídicamente relevante solo si la persona que la realiza comprende el sistema, puede cuestionar su resultado y tiene capacidad real de modificarlo. Una validación automática disfrazada de supervisión humana no satisface el precepto.
La Guía 02 de la AESIA desarrolla el caso de un sistema de IA para la predicción del riesgo de exclusión social y la valoración del acceso a ayudas públicas. En este escenario, el sistema clasifica a los solicitantes según su perfil de riesgo. Cuando dicha clasificación influye de manera determinante en la concesión o denegación de la ayuda, puede considerarse una decisión con efectos jurídicos o significativamente similares sobre la persona. En estos casos, podría resultar de aplicación el art. 22 RGPD si la decisión se basa únicamente en tratamiento automatizado sin intervención humana significativa.
En tal supuesto, la organización debe garantizar, entre otros aspectos, la intervención humana real, la posibilidad de impugnación por parte del interesado y una explicación comprensible de los criterios utilizados.
La Guía 06 de la AESIA introduce una distinción relevante entre modelos de supervisión humana: el human in the loop, en el que el humano participa en cada decisión, y el “human on the loop”, donde la supervisión se realiza con carácter general o ex post. Esta diferencia no es solo técnica, sino también jurídica. En particular, el modelo “human on the loop” no excluye por sí mismo la consideración de la decisión como automatizada a efectos del RGPD. Así, dependiendo del impacto de la decisión sobre las personas, el Reglamento de IA exige mecanismos de supervisión humana adecuados al riesgo, mientras que el RGPD condiciona cuándo es necesaria una intervención humana efectiva previa para evitar la aplicación del régimen del art. 22. No basta con que haya un humano en algún punto del proceso. El artículo 22 exige que ese humano pueda cambiar la decisión.
La intersección que nadie gestiona: cuando el RGPD y el Reglamento de IA hablan de lo mismo
Uno de los hallazgos más relevantes de las guías de la AESIA es que ponen en evidencia una zona de solapamiento entre ambas normas que las organizaciones tienden a gestionar por separado y mal. La Guía 07 sobre gobernanza de datos, por ejemplo, aborda las categorías especiales de datos personales no solo desde la perspectiva del Reglamento de IA, sino también desde su intersección con el artículo 9 del RGPD.
Cuando un sistema de IA usa datos sobre salud, origen étnico, orientación sexual o creencias religiosas, no estamos ante un mero requisito técnico de gobernanza. Estamos ante un tratamiento que el RGPD solo permite bajo condiciones muy restrictivas y que el Reglamento de IA califica automáticamente como de alto riesgo si produce efectos sobre personas. La organización que gestiona esos dos marcos como si fueran independientes está construyendo sobre una fisura.
Lo que exige la ley, en la práctica
Integrar RGPD y Reglamento de IA no es una cuestión de coordinación entre departamentos. Es un ejercicio de gobernanza que debe estar resuelto antes de desplegar cualquier sistema. Las guías de la AESIA ofrecen, por primera vez en España, una hoja de ruta concreta. Pero leerlas no es suficiente: hay que implementarlas.
Preguntas que toda organización debería poder responder antes del despliegue:
– ¿Hemos identificado la base jurídica del art. 6 RGPD para cada fase de ciclo de visa del sistema (recopilación, entrenamiento, despliegue y eliminación de datos)?
– ¿Nuestra cláusula informativa del art. 13 RGPD menciona explícitamente la existencia del sistema de IA, su lógica y los efectos que puede producir sobre el interesado?
– ¿Hemos evaluado si el sistema toma o influye en decisiones con efectos significativo que activan el art. 22 RGPD? ¿Tenemos garantizada la intervención humana real?
– Si invocamos el interés legítimo, ¿existe un test de ponderación documentado, previo al inicio del tratamiento? Si alguna de estas preguntas no tiene respuesta documentada el sistema no está listo para desplegarse.
Si quieres conocer más sobre inteligencia artificial pincha aquí y aquí.
