¿Tu empresa ya usa un chatbot para atender clientes o una herramienta que “predice” ventas, y aun así nadie sabe con certeza qué datos está tragando por dentro? Esa sensación de comodidad mezclada con vértigo tiene un motivo: la inteligencia artificial puede acelerar el negocio, pero también encender un nuevo foco de sanciones.
El hallazgo se discutió sin rodeos en el encuentro “Inteligencia artificial y protección de datos”, celebrado en la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid, con más de 600 asistentes. Allí, expertos y responsables públicos analizaron el encaje entre el RGPD (Reglamento de Protección de Datos) y el RIA (Reglamento de Inteligencia Artificial), una arquitectura dual que todavía deja zonas grises.
En ese mismo foro se presentó la sexta entrega de la Guía Práctica de la Inteligencia Artificial de Aranzadi LA LEY, coordinada por Moisés Barrio. La pieza clave: la guía está dedicada, de forma específica, a “Inteligencia Artificial y Protección de datos” y busca bajar a tierra un marco normativo que cambia rápido.
Una frase funcionó como interruptor mental para ordenar el debate. Alejandro Touriño lo sintetizó así: “sin input no hay output”. Traducido: no hay IA sin datos, y muchos de esos datos pueden ser personales aunque no lo parezcan a primera vista.
Ahora bien, el mecanismo se entiende mejor con una analogía doméstica. La IA se parece menos a un “cerebro” y más a una cocina con electrodomésticos. El modelo es el horno; los datos son los ingredientes. Si entran ingredientes en mal estado, o que no deberían estar ahí, el resultado puede salir “rico” para el negocio, pero dejar un problema sanitario y legal.
Además, el cableado regulatorio tiene dos cajas centrales. Por un lado, el RGPD está plenamente operativo desde 2018 y ya funciona en modo sancionador. Por el otro, el RIA se aplicará de forma progresiva hasta 2027. La dificultad, señalaron los ponentes, no es que coexistan, sino que aún falta claridad sobre cómo se coordinan en la práctica.
Francisco Pérez Bes, adjunto a la dirección de la AEPD, sostuvo que RGPD y RIA convergen especialmente en la parte relativa a la protección de datos. Y recordó una regla simple: todo lo que afecte a datos personales sigue bajo el paraguas del RGPD, también en control y sanción, incluso cuando se use IA.
El punto de fricción, para muchas empresas, aparece cuando los principios del RGPD chocan con el funcionamiento típico de la IA. Por ejemplo, la minimización (usar solo los datos necesarios) se tensiona con el enfoque de big data (grandes volúmenes de información). También choca la limitación del plazo de conservación con la tentación de guardar “por si acaso” para entrenar y mejorar.
Belén Arribas Sánchez, DPO (Delegada de Protección de Datos) y presidenta de ENATIC, subrayó que crece la demanda de entornos con datos anonimizados. Eso abre una oportunidad de negocio para proveedores especializados, pero también revela algo incómodo: anonimizar bien no es “borrar nombres”, es impedir que una persona pueda ser reidentificada.
En paralelo, hay riesgos muy concretos. Se habló de atribuciones incorrectas de hechos a individuos o grupos, de revelación de información de terceros sin consentimiento y del tratamiento de categorías sensibles sin garantías reforzadas. Son fallas que se sienten como una gotera: al principio parece menor, pero puede arruinar toda la instalación.
Hoy el volumen de reclamaciones ante la AEPD vinculadas con IA sigue siendo bajo. Pero los expertos advirtieron que esa calma puede ser temporal, en parte porque la tecnología aún no desplegó todo su impacto social y jurídico.
Casos recientes, como el de Grok —la IA vinculada a X (antes Twitter) en un asunto relacionado con pornografía infantil—, funcionan como señal de humo. Según se anticipó en el debate, podrían llegar reclamaciones relevantes a partir de 2026, justo cuando más organizaciones escalen su uso de IA.
También cambian los organigramas. Surgen figuras como el CAIO (Chief AI Officer, responsable de IA), y el reto es coordinarlo con el DPO. Touriño advirtió que dejar la gobernanza solo en perfiles técnicos puede ser un error: la IA no afecta solo a eficiencia, toca derechos.
En el cierre, Moisés Barrio fue categórico: cumplir el RIA no exime del RGPD. Son regímenes acumulativos, no alternativos. Y, mientras se ordena el tablero, la mejor estrategia es la más doméstica: revisar qué “ingredientes” entran a la cocina de la IA antes de que el horno quede encendido sin supervisión.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
La Newsletter Diaria Sobre Inteligencia Artificial. Además: Portal de Noticias, Tutoriales, Tips y Trucos de ChatGpt, Openai e Inteligencia Artificial.
Nuestra web está alojada en:
