El 78 % de las empresas europeas que usan IA generativa procesan datos personales de empleados, clientes o proveedores a través de estas herramientas (IAPP, 2025). En España, la Agencia Española de Protección de Datos (AEPD) ha emitido más de 20 resoluciones y guías específicas sobre IA y privacidad desde 2024, convirtiéndose en una de las autoridades más activas de Europa en esta materia.
El problema no es la IA en sí misma — es el desconocimiento del marco legal. Las empresas que integran la protección de datos desde el diseño de sus proyectos de IA avanzan más rápido y con menos riesgo que las que improvisan. Este artículo os explica cómo hacerlo.
À retenir
- El RGPD y el Reglamento Europeo de IA se aplican simultáneamente a todo sistema de IA que procese datos personales
- La AEPD exige una Evaluación de Impacto (EIPD) antes de desplegar IA que trate datos personales a gran escala
- Las sanciones combinadas pueden alcanzar los 35 millones de euros (AI Act) más 20 millones de euros (RGPD)
- La formación de los equipos en protección de datos e IA es una obligación legal documentable
El marco legal: RGPD y AI Act aplicados a la IA
La privacidad de los datos en el contexto de la IA no se rige por una sola norma. Las empresas españolas deben cumplir simultáneamente con dos marcos regulatorios que se complementan.
RGPD (Reglamento General de Protección de Datos)
El RGPD sigue siendo la norma base. Todo tratamiento de datos personales mediante IA debe cumplir sus principios: licitud, limitación de finalidad, minimización, exactitud, limitación del plazo de conservación e integridad y confidencialidad. La IA generativa plantea desafíos específicos en cada uno de estos principios.
Reglamento Europeo de IA (AI Act)
El Reglamento (UE) 2024/1689 añade obligaciones propias para sistemas de IA clasificados como de alto riesgo, incluyendo requisitos de transparencia, gobernanza de datos de entrenamiento y supervisión humana. El Artículo 4, en vigor desde agosto de 2025, obliga a garantizar que todo el personal que trabaja con IA tenga una competencia adecuada.
35M€ + 20M€
sanciones máximas combinadas del AI Act y el RGPD por incumplimiento en materia de IA y privacidad
Source : Reglamento (UE) 2024/1689 y Reglamento (UE) 2016/679
Evaluaciones de Impacto en Protección de Datos (EIPD)
La EIPD — o DPIA en inglés — es el instrumento central para gestionar la privacidad en proyectos de IA. No es opcional: el artículo 35 del RGPD la exige cuando un tratamiento entraña un alto riesgo para los derechos y libertades de las personas.
Cuándo es obligatoria con IA
La AEPD ha publicado una lista de tratamientos que requieren EIPD obligatoria. En el contexto de la IA, los casos más habituales son:
- Perfilado y decisiones automatizadas que afecten significativamente a personas (scoring crediticio, selección de personal, evaluación de rendimiento)
- Tratamiento a gran escala de datos personales mediante modelos de IA
- Uso de datos biométricos para identificación (reconocimiento facial, voz)
- Monitorización sistemática de empleados o espacios públicos
- Combinación de conjuntos de datos de distintas fuentes para alimentar modelos
Contenido mínimo de la EIPD
- Descripción sistemática del tratamiento y sus finalidades
- Evaluación de la necesidad y proporcionalidad
- Evaluación de los riesgos para los derechos de los interesados
- Medidas previstas para mitigar esos riesgos
- Documentación de la consulta al Delegado de Protección de Datos (DPD)
Errores frecuentes: muchas empresas realizan la EIPD después de desplegar el sistema de IA. La AEPD exige que se haga antes del tratamiento. Además, debe actualizarse cuando cambien las circunstancias — por ejemplo, al actualizar el modelo o ampliar el conjunto de datos. Consultar las directrices de gobernanza puede ayudaros a estructurar este proceso.
Consentimiento y bases legales para IA
El consentimiento no es la única base legal para tratar datos personales con IA, y en muchos casos ni siquiera es la más adecuada. Las empresas deben elegir la base legal correcta según el contexto.
Bases legales habituales en proyectos de IA
| Base legal | Ejemplo en IA | Requisitos clave |
|---|---|---|
| Interés legítimo | Análisis predictivo de ventas con datos de clientes | Ponderación documentada de intereses |
| Ejecución de contrato | Chatbot de atención al cliente que accede a datos del pedido | Limitado estrictamente a la finalidad contractual |
| Consentimiento | IA que analiza datos de salud de empleados | Libre, específico, informado y revocable |
| Obligación legal | Detección de fraude en servicios financieros | Base normativa clara y específica |
Particularidades del consentimiento en IA
Cuando el consentimiento es la base legal elegida, la IA plantea desafíos adicionales:
- Especificidad: el interesado debe saber exactamente para qué se usarán sus datos, incluyendo si alimentarán un modelo de IA
- Granularidad: debe poder consentir el tratamiento por IA de forma separada de otros tratamientos
- Revocabilidad: si retira el consentimiento, los datos deben eliminarse también del conjunto de entrenamiento — algo técnicamente complejo con muchos modelos
Minimización de datos: principio clave para la IA
El principio de minimización (artículo 5.1.c del RGPD) establece que solo deben tratarse los datos personales adecuados, pertinentes y limitados a lo necesario. En la práctica de la IA, esto se traduce en obligaciones concretas.
67%
de las empresas europeas que usan IA generativa no han implementado políticas de minimización de datos para sus proyectos de IA
Source : IAPP-EY Annual Privacy Governance Report, 2025
Medidas de minimización en proyectos de IA
- Anonimización y seudonimización de los datos antes de introducirlos en el modelo
- Filtrado previo: no enviar datos personales innecesarios a herramientas de IA externa
- Retención limitada: definir plazos de conservación específicos para los datos procesados por IA
- Auditoría de prompts: revisar periódicamente qué información introducen los empleados en herramientas de IA — un riesgo documentado de shadow AI
Datos de empleados e IA: zona de alto riesgo
El uso de IA para gestionar datos de empleados es una de las áreas más sensibles y más vigiladas por la AEPD. El Reglamento Europeo de IA clasifica como alto riesgo los sistemas de IA utilizados en el empleo.
Casos que requieren especial atención
- Selección de personal con herramientas de IA que filtran CVs o realizan entrevistas automatizadas
- Evaluación del rendimiento mediante análisis algorítmico de productividad
- Monitorización del uso de herramientas informáticas o del comportamiento en el puesto de trabajo
- Decisiones sobre promoción, formación o despido basadas total o parcialmente en outputs de IA
En España, el Estatuto de los Trabajadores y la jurisprudencia del Tribunal Supremo refuerzan las obligaciones: los empleados tienen derecho a ser informados sobre el uso de algoritmos que les afecten, y los comités de empresa tienen derecho a ser consultados sobre la implantación de herramientas de IA en el entorno laboral.
Obligación específica en España: el artículo 64.4.d del Estatuto de los Trabajadores obliga a informar al comité de empresa sobre los parámetros, reglas e instrucciones de los algoritmos que puedan afectar a las condiciones de trabajo. Si vuestra empresa usa IA en RRHH, debéis documentarlo. La formación de los equipos de recursos humanos en estas obligaciones es prioritaria.
La AEPD como referencia: guías y herramientas disponibles
La Agencia Española de Protección de Datos ha publicado recursos prácticos que toda empresa debería conocer:
- Guía sobre el uso de IA y datos personales (2025): marco general de cumplimiento
- FACILITA PD: herramienta gratuita en línea para evaluar si un tratamiento necesita EIPD
- Guía sobre adecuación al RGPD de tratamientos que incorporan IA: requisitos técnicos y organizativos
- Decálogo de uso de IA en la empresa: buenas prácticas resumidas en 10 puntos
Estos recursos, combinados con una estrategia de IA bien definida, permiten avanzar con seguridad jurídica.
Evaluar vuestro nivel de cumplimiento
¿Cumplís con las obligaciones de privacidad en vuestros proyectos de IA? Este ejercicio rápido os ayuda a identificar las lagunas.
Plan de acción: 7 pasos para cumplir
- Inventariar todos los tratamientos de datos personales que involucran IA
- Clasificar cada tratamiento según su nivel de riesgo (AI Act) y la base legal aplicable (RGPD)
- Realizar la EIPD para todos los tratamientos que lo requieran — antes de desplegar
- Implementar medidas de minimización: anonimización, filtrado, retención limitada
- Formar a los equipos: la preparación en IA debe incluir obligatoriamente protección de datos
- Documentar todo: el regulador os pedirá pruebas de cumplimiento, no solo intenciones
- Auditar periódicamente: revisar al menos cada trimestre el cumplimiento y los riesgos emergentes
Cumplir no es frenar. Las empresas que integran la privacidad desde el diseño de sus proyectos de IA implementan más rápido y con menos fricciones que las que corren para cumplir después de un incidente. La automatización con garantías es posible — y es lo que distingue a las organizaciones maduras.
Conclusión
La IA y la privacidad de datos no son incompatibles, pero exigen un enfoque riguroso. El RGPD, el Reglamento Europeo de IA y las directrices de la AEPD configuran un marco claro: evaluaciones de impacto previas, bases legales sólidas, minimización de datos, transparencia con empleados y clientes, y formación documentada de los equipos. Las sanciones por incumplimiento son significativas, pero el mayor riesgo es la pérdida de confianza de vuestros clientes y empleados.
¿Queréis preparar a vuestros equipos para usar IA cumpliendo con la normativa de privacidad?
Artículos relacionados
AI Act España: obligaciones + plazos (2026)
Reglamento IA para empresas españolas: plazos, AESIA, Artículo 4, sanciones hasta 35M€ y plan de acción paso a paso.
AI Act España: guía rápida para empresas
Reglamento IA para empresas españolas — plazos, sanciones, Artículo 4, AESIA y los pasos concretos para cumplir hoy.
Gobernanza IA empresarial: marco práctico y AI Act
Implemente un marco de gobernanza IA en su empresa. Política, evaluación de riesgos, auditoría y formación para cumplir con el AI Act.