La Agencia Española de Protección de Datos (en adelante, AEPD) marca un hito europeo claro con la publicación, el 27 de noviembre de 2025, de su Política general para el uso de IA Generativa en procesos administrativos cuyo objetivo reside en reforzar la capacidad tecnológica y organizativa de la AEPD. Así, acorde a su Plan Estratégico 2025-2030, la AEPD apuesta por una política de IA first, promoviendo el uso seguro y responsable de la Inteligencia Artificial (en adelante, IA) en todos los ámbitos posibles.
La IA es una herramienta estructural en el funcionamiento de las administraciones y entidades privadas a través de la cual pueden mejorarse los procesos y servicios, pues bien, esta es la postura que ha adoptado la AEPD con la publicación su política a través de la cual busca reforzar la capacidad tecnológica y organizativa de su entidad, asegurando una transformación digital segura, ética y conforme a la normativa vigente.
Sin embargo, deja claro que es una política interna, aplicable exclusivamente a la AEPD y sin carácter interpretativo respecto del Reglamento de Inteligencia Artificial (en adelante, RIA) ni de otras normas europeas o nacionales, concretamente indica que «El alcance de esta Política interna se limita al uso de IA generativa en los procesos administrativos de la AEPD, sin que suponga una verificación, evaluación, certificación o forma indirecta de aplicación del Reglamento de Inteligencia Artificial.» Es importante la determinación expresa que hace la Agencia indicando que su política no acredita, presupone ni desarrolla obligaciones derivadas del RIA quedando expresamente fuera de cualquier función de análisis, aplicación o interpretación del RIA.
Aun con todo, nos ofrece una hoja de ruta para abordar la transformación tecnológica de forma controlada y alineada con el interés público, en la que prioriza la supervisión humana y el análisis de riesgos. Por ende, merece el análisis en detalle que desde PRODAT presentamos a continuación puesto que el verdadero valor de este documento reside en su enfoque sobre la gobernanza.
A continuación, desglosamos esta Política de IAG de la AEPD en cuatro grandes bloques: objetivos, casos de uso, análisis de riesgos y gobernanza, políticas y gestión de la IAG, en los que identificamos los puntos clave:
La Política parte de siete objetivos:
- Eficiencia y calidad. La IAG es concebida como un motor de optimización administrativa a través de la cual se pueden reducir los tiempos, automatizar tareas repetitivas y mejorar la calidad de los procesos administrativos. Para ello, no plantea este objetivo de forma puntual, sino como una innovación sostenida que debe ir de la mano de la evolución tecnológica para garantizar que la AEPD se mantenga competitiva.
- Protección de los derechos fundamentales y libertades. La Agencia busca velar, a través de esta Política, por los derechos y libertades tanto del personal de la Agencia como de la ciudadanía en general. Además, este objetivo va más allá del cumplimiento estricto del Reglamento General de Protección de Datos (en adelante, RGPD) y posiciona a la AEPD como garante de que la innovación tecnológica no siempre supone entrar en conflicto con los derechos fundamentales, sino que puede reforzarlos y garantizarlos.
- Seguridad de la información sensible o confidencial. La IAG puede llegar a manejar datos confidenciales, sensibles o estratégicos de la Agencia, no teniendo porque ser estos datos de carácter personal. Pero, independientemente de su tipología, la AEPD pone el foco en evitar accesos no autorizados y/o riesgos reputacionales. Y, para ello detallará controles de acceso, anonimización y entornos seguros.
- Salud y seguridad laboral. Este objetivo busca trasladar al personal laboral de la Agencia poder percibir la IAG como una herramienta de apoyo más y no como una amenaza que les pueda generar incertidumbre o estrés. En definitiva, busca prevenir riesgos cognitivos y cosificación del personal.
- Continuidad y resiliencia. La Agencia prioriza la resiliencia organizativa, es decir, entre sus objetivos está velar por la disponibilidad de procesos críticos asegurando que los sistemas puedan actuar frente a fallos o interrupciones.
- Control de costes. En aras de optimizar los recursos financieros y operativos va a desplegar soluciones escalables y sostenibles reconociendo que la IAG es una inversión.
- Confianza ciudadana. La Agencia pone el foco en la confianza como el eje central reforzando la transparencia (en conexión con el RIA), explicabilidad y trazabilidad. Solo desde una postura transparente y, en la línea del principio de información y transparencia de los arts. 13 y 14 del RGPD, la ciudadanía podrá confiar en un uso responsable y transparente de la IAG por parte de la AEPD.
A través de estos siete objetivos la AEPD no solo se centra en usar la IA para ser más eficiente, sino también para crear un marco institucional o modelo de gobernanza tecnológica que pueda servir de referente.Con estos objetivos la AEPD demuestra o pretende demostrar que el uso de una IA de forma responsable es posible y por ello, la innovación tecnológica puede convivir con la protección de derechos fundamentales.
Determinados los objetivos estratégicos de la AEPD sobre el uso de IAG, la Agencia identifica una serie de escenarios en los que la IA Generativa va a aporta valor y eficiencia a los procesos administrativos desarrollados por la autoridad de control. Estos escenarios los identifica como Casos de Uso y, en definitiva, van a mostrar las principales aplicaciones de la IAG en los procesos internos de la AEPD, comunes en las administraciones públicas.
En términos generales, abarcan tareas de apoyo a la comunicación institucional como la redacción de documentos, automatización ofimática, generación de informes, resúmenes o traducciones de documentos de acceso público y, junto a esto, acompaña también un conjunto de funciones o tareas de mejora de la gestión interna como asistentes normativos o sistemas inteligentes de seguimiento de plan estratégico.
En el desglose de estos casos de usos, la AEPD recuerda que no evalúa ni clasifica los casos de uso en términos del RIA y que en ningun caso, estos casos de uso entran dentro de la categoría de sistemas de alto riesgo o prohibidos por el RIA, concretando que, si en un momento posterior algunos de estos casos pudieran estar comprendido en alguno de los supuestos regulados por el RIA correspondería aplicar íntegramente el régimen jurídico dispuesto en la normativa vigente.
De entre los diferentes casos de uso que contiene podemos destacar los siguientes:
- Tareas de gestión interna como asistencia en la aproximación y preparación general de argumentos, estudios jurídicos y técnicos o transcripción de audio y video que contenga información interna, privada o confidenciales n caso de reuniones y apoyo a la generación de actas. También contempla la posibilidad de utilizar la IAG para generar borradores de respuesta a consultas en canales de la AEPD, clasificación y resumen de denuncias, reclamaciones o consultas y apoyo en el análisis de Evaluaciones de Impacto de Protección de Datos (EIPD), entre otros.
- Generación de contenidos de comunicación institucional como esquemas, mapas conceptuales, infografías o contenido formativo, etc.
- Gestión de documentos públicos a través de la estructuración, gestión o resumen de documentos generales y abiertos o traducción de estos documentos.
- Automatización de procesos como el desarrollo de sistemas de alertas inteligentes para detectar o priorizar denuncias, brechas o comunicaciones sensibles.
Cada caso de uso es desarrollado en el Anexo I de esta Política, publicada este 11 de diciembre. Y, es clave este Anexo al recoger de forma práctica y operativa los principios generales desglosados en la Política, evaluando en cada caso de uso, entre otras cuestiones, el tipo de sistema recomendado (externo, interno, ad – hoc), nivel de impacto y riesgo asociado a cada uno, obligaciones específicas y asignación de roles de responsabilidad. La importancia de este Anexo, junto con la Política, permite evaluar cuantitativamente cada proceso, adoptar medidas de seguridad y gobernanza y, en definitiva, garantizar un despliegue de IAG controlado, transparente y seguro.
En consonancia con este Anexo, donde se recogen los riesgos y amenazas, en la Política, como mencionamos con anterioridad, tras exponer los diferentes casos de usos, se recogen un conjunto de amenazas vinculadas directamente con los objetivos estratégicos. En este apartado sobre Análisis de Riesgos planteados por la IAG, la AEPD sostiene que la implantación de IA Generativa requiere de un análisis de los riesgos que deben ser identificados y gestionados adecuadamente para cada caso de uso o grupos de casos de uso. Y, para ello, plantea un conjunto de riesgos en función de cómo pueden comprometer los objetivos de la AEPD con relación al despliegue de sistema de IAG en los procesos de la AEPD, entre los que cabe destacar, de forma prioritaria, la protección de los derechos y libertades de la ciudadanía.
Llegando al final de esta Política nos encontramos con su eje central: Gobernanza, Políticas y Gestión de la IAG. A través de esta parte la Agencia recoge el conjunto de medidas estructurales necesarias para conseguir los objetivos planteados con la implementación de sistema de IAG, es decir, desarrolla un marco de gobernanza robusto.
Entre las diferentes medidas desglosa un modelo de gobernanza interna desarrollando una clara estructura de roles y responsabilidad, unas políticas para guiar cada caso de uso unas políticas para guiar cada caso de uso y unos procedimientos básicos para la implementación de estas políticas, en los que cabe destacar la exigencia de supervisión humana en todo momento, todo sin perjuicio de extender estos procedimientos y políticas en función de futuras necesidades detectadas.
Con todo esto, la Política no es solo un marco teórico, sino que se convierte en una herramienta práctica capaz de adaptarse a la evolución tecnológica y normativa. Esta iniciativa de la AEPD es novedosa y relevante al trasladar a la ciudadanía que la Agencia no solo se limita a supervisar, sino que ofrece y muestra un marco interno basado en la ética, seguridad, transparencia y cumplimiento normativo.
En definitiva, en un contexto de progresiva y acelerada transformación digital, donde la IA se encuentra en el centro de la misma, esta publicación de la AEPD refuerza la confianza en que la innovación puede y es compatible con los Derechos Fundamentales, puesto que todas o una gran mayoría de las organizaciones públicas y privadas, ya están usando IA en su operativa diaria, aunque a veces no lo hagan de forma consciente.
Sin duda, la AEPD, a través de esta postura, no solo protagoniza un hito a nivel europeo, sino que aspira a convertirse en un referente instituciona en el uso de sistemas inteligentes y, principalmente, como indica en su propia Política demuestra que “la innovación tecnológica puede convivir con el cumplimiento normativo, la protección de los derechos fundamentales y la promoción de una cultura organizativa moderna, abierta al cambio y preparada para los retos del futuro digital”.
Si quieres conocer otras entradas de nuestro blog sobre la IA puedes visualizarlas pinchando aquí y aquí.
