La convergencia entre la protección de datos personales y el desarrollo de sistemas de inteligencia artificial plantea nuevos retos legales de primera magnitud. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) se aplican de lleno a los sistemas de IA que tratan datos personales, pero el nuevo AI Act introduce requisitos adicionales que crean un marco de doble compliance.
Bases legales para el tratamiento en sistemas de IA
Muchos sistemas de IA se alimentan de grandes volúmenes de datos personales para su entrenamiento. La base legal más común es el interés legítimo (artículo 6.1.f RGPD), aunque su aplicación requiere un test de ponderación que puede no superar el escrutinio de los sistemas de IA masivos. El consentimiento informado, por su parte, exige que el interesado comprenda cómo sus datos serán usados en un contexto de IA, lo que puede resultar complejo cuando el modelo se entrena con datos históricos o se actualiza de forma continua.
Para datos de categorías especiales —datos de salud, biométricos, opiniones políticas o religiosas— el RGPD exige, adicionalmente, una condición de las previstas en el artículo 9.2, lo que en la práctica limita de forma importante el entrenamiento de modelos de IA con este tipo de datos sin consentimiento explícito o base legal específica.
Decisiones automatizadas y perfilado
El artículo 22 del RGPD regula el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado. Las empresas que utilicen IA para tomar decisiones con efectos significativos sobre personas (crédito, empleo, seguros, acceso a servicios) deben garantizar la intervención humana significativa, la transparencia del proceso y la posibilidad de impugnación. En la práctica, esto implica disponer de un mecanismo de revisión por persona física, no meramente formal, que pueda modificar el resultado del algoritmo.
La AEPD (Agencia Española de Protección de Datos) ha publicado guías específicas sobre IA y protección de datos en las que señala que la intervención humana debe ser real y no meramente simbólica: un operador que simplemente válida el resultado del algoritmo sin capacidad de revisión efectiva no cumple el requisito del artículo 22.
Evaluaciones de impacto (EIPD)
Cuando el tratamiento de datos en un sistema de IA sea susceptible de entrañar un alto riesgo para los derechos y libertades de los interesados, es obligatorio realizar una Evaluación de Impacto de Protección de Datos (EIPD) antes del inicio del tratamiento. El AI Act añade sus propias evaluaciones de conformidad para sistemas de alto riesgo, lo que puede suponer una carga de cumplimiento doble.
Los sistemas de IA de alto riesgo definidos en el AI Act incluyen, entre otros: sistemas de gestión de infraestructuras críticas, sistemas de IA en educación y formación profesional, sistemas de selección de personal, sistemas de crédito, sistemas utilizados en la administración de justicia, y sistemas de identificación biométrica. Para todos ellos, la empresa debe documentar el diseño del sistema, los conjuntos de datos utilizados, las medidas de supervisión humana y los resultados de las pruebas de robustez.
El rol del Delegado de Protección de Datos (DPD/DPO) en entornos de IA
Las empresas obligadas a designar un DPD bajo el artículo 37 del RGPD —entre ellas las que realizan tratamientos a gran escala de datos sensibles o tratamientos sistemáticos que requieren seguimiento habitual de personas— deben implicar a su DPD en el diseño y auditoría de los sistemas de IA desde el inicio. Este principio de privacy by design adquiere especial relevancia cuando el sistema de IA se adquiere a un proveedor externo: el contrato de encargado del tratamiento debe reflejar las obligaciones del artículo 28 del RGPD y el cliente debe verificar que el proveedor cumple con el AI Act.
Transparencia e información a los usuarios
El RGPD exige que los interesados sean informados de forma clara sobre el uso de sus datos, incluyendo si se emplean para decisiones automatizadas. Las cláusulas de información de muchas empresas siguen siendo insuficientes en este punto. La información debe incluir la lógica aplicada, la importancia del tratamiento y las consecuencias previstas para el interesado. El Considerando 71 del RGPD sirve de guía interpretativa para el nivel de detalle exigible.
Sanciones y supervisión
Las infracciones graves del RGPD —incluidas las relacionadas con sistemas de IA— pueden acarrear multas de hasta 20 millones de euros o el 4% del volumen de negocio mundial anual. El AI Act añade un régimen sancionador propio con multas de hasta 30 millones de euros o el 6% del volumen de negocio global para las infracciones más graves (uso de sistemas de IA prohibidos). La AEPD actúa como autoridad de control nacional para ambos marcos normativos en lo que respecta a la protección de datos.
En BMC asesoramos en protección de datos e inteligencia artificial. Conozca nuestros servicios de protección de datos.
