Índice
En esta materia, en 2026 las empresas pasan de la teoría a la práctica.
A diferencia de lo que a veces se piensa, el RGPD no desaparece ni queda sustituido por otra normativa frente a la IA. De hecho, podría decirse que se aplica más que nunca.
La AEPD y las autoridades europeas de protección de datos lo han recordado en varias ocasiones, especialmente a través de guías, criterios y recomendaciones sobre el uso de sistemas de inteligencia artificial. El punto central es claro: los principios fundamentales del RGPD: finalidad, minimización de datos, transparencia y derechos de las personas, siguen siendo plenamente aplicables a los modelos de IA.
En la práctica, esto plantea tensiones muy concretas:
- ¿Se puede entrenar un modelo con datos recogidos online?
- ¿Cómo informar a personas cuyos datos se han utilizado de forma indirecta?
- ¿Es posible eliminar un dato de un modelo que ya ha sido entrenado?
- ¿El uso de herramientas de IA generativa puede exponer información confidencial o propiedad intelectual?
Estas preguntas ya no afectan únicamente a los desarrolladores de soluciones de IA, sino a todas las empresas que utilizan estas tecnologías.
En las líneas siguientes, intentaremos ofrecer una lectura clara de las recomendaciones aplicables en España sobre IA y protección de datos, traduciendo estos principios en retos concretos para las empresas.
RGPD e IA: los principios fundamentales que se aplican
Uno de los primeros reflejos suele ser pensar que la inteligencia artificial exige un marco jurídico completamente nuevo.
En realidad, la posición de la AEPD y de las autoridades europeas de protección de datos es más matizada: el RGPD ya se aplica plenamente a los sistemas de IA, siempre que se respeten sus principios fundamentales [1].
Dicho de otro modo, la IA no crea un vacío jurídico, pero sí pone bajo presión normas ya existentes.
El principio de finalidad
El primer punto que hay que tener en cuenta es que una IA no puede entrenarse ni utilizarse sin un objetivo claro.
El RGPD exige que los datos se recojan con una finalidad determinada, explícita y legítima. En la práctica, esto significa que un modelo no puede alimentarse con datos “por si acaso” o para usos futuros indeterminados [2].
La AEPD y las autoridades europeas recuerdan que esta exigencia sigue siendo plenamente válida para los sistemas de IA, incluso en fases de investigación o experimentación.
La minimización de datos: entrenar, sí… pero no recopilarlo todo
Segundo principio clave: la minimización. Un modelo de IA puede necesitar grandes volúmenes de datos. Pero eso no justifica una recopilación indiscriminada.
Las empresas deben ser capaces de demostrar que:
- los datos utilizados son pertinentes,
- se limitan a lo estrictamente necesario,
- su volumen está justificado por el objetivo perseguido.
Este punto resulta especialmente sensible en casos de web scraping o de reutilización de bases de datos existentes.
La transparencia: un reto importante para la IA
La transparencia constituye probablemente uno de los puntos más complejos. El RGPD exige informar a las personas sobre el uso de sus datos.
Sin embargo, en el caso de la IA, especialmente cuando los datos se recogen de forma indirecta, esta obligación resulta más difícil de aplicar.
Los derechos de las personas: un principio sometido a limitaciones técnicas
Acceso, rectificación, oposición, supresión. Estos derechos siguen siendo aplicables a los sistemas de IA. Pero su aplicación se vuelve más compleja una vez que el modelo ya ha sido entrenado. El artículo 12.3 del RGPD establece que:
“El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.”
Un principio clave de fondo: la responsabilidad
Más allá de estas reglas, domina un principio esencial: la responsabilidad del responsable del tratamiento.
Corresponde a la empresa demostrar:
- la conformidad de su sistema,
- la legitimidad de sus tratamientos,
- la proporcionalidad de sus decisiones técnicas.
La IA no desplaza esta responsabilidad. Simplemente la vuelve más exigente.
Las particularidades del tratamiento de datos en la IA
Sobre el papel, los principios del RGPD son claros. En un sistema de IA, se vuelven más difíciles de aplicar, no por falta de voluntad, sino por limitaciones técnicas muy reales.
Para los CIO, el tema cambia rápidamente de dimensión: el reto ya no es solo cumplir, sino comprobar hasta qué punto la conformidad es técnicamente viable.
Muchos datos… pero una trazabilidad incierta
Un sistema de IA rara vez se alimenta de una única fuente. Agrega datos internos, bases existentes y, a veces, contenidos accesibles online. Poco a poco, estos flujos se mezclan, se enriquecen y se transforman.
El problema no es tanto el volumen como la pérdida de visibilidad. A medida que el modelo se construye, resulta más difícil rastrear con precisión el origen de los datos o identificar si una información personal está presente en él. Sin embargo, la AEPD y las autoridades europeas de protección de datos recuerdan que esta transparencia sigue siendo esperada, incluso en entornos complejos, con un nivel de precisión adaptado al contexto.
👉 Dicho de otro modo, cuanto más potente es el sistema, mayor es la exigencia de documentación.
Informar… sin poder identificar siempre
Como se ha señalado antes, uno de los puntos de fricción más concretos tiene que ver con la información a las personas.
En un modelo clásico, informar a un usuario resulta relativamente sencillo. En un sistema de IA entrenado con datos recogidos de forma indirecta, el ejercicio se vuelve mucho más delicado.
En la práctica, esto obliga a las empresas a replantearse cómo documentan y explican sus tratamientos, a veces mucho más allá de los estándares habituales.
Una vez entrenado el modelo, el control se reduce
Probablemente sea el punto más sensible desde el punto de vista operativo.
Mientras los datos están en una base clásica, los derechos del RGPD siguen siendo relativamente fáciles de gestionar. Pero una vez integrados en un modelo de IA, la naturaleza del problema cambia.
Modificar, suprimir o aislar un dato se vuelve mucho más complejo. En algunos casos, puede requerir volver a entrenar el modelo. En otros, es necesario establecer mecanismos indirectos, como el filtrado de respuestas.
Anticipar en lugar de corregir
Insistimos en ello, pero en este contexto la conclusión se impone rápidamente: corregir a posteriori se vuelve difícil, a veces incluso imposible.
Precisamente por eso, la AEPD y el RGPD insisten en el principio de privacidad desde el diseño. La conformidad ya no puede añadirse al final del proyecto. Debe pensarse desde la concepción del sistema.
Esto implica anticipar los usos, los riesgos, los mecanismos de identificación y las modalidades de ejercicio de derechos. No para marcar una casilla regulatoria, sino para evitar acabar en un callejón sin salida técnico unos meses después.
Un equilibrio que debe construirse de forma permanente
En el fondo, la inteligencia artificial introduce una tensión estructural. Por un lado, el rendimiento de los modelos se apoya en la cantidad y la diversidad de los datos. Por otro, el RGPD exige limitar, enmarcar y justificar.
No se trata de elegir entre ambas dimensiones, sino de construir un equilibrio. Y ese equilibrio nunca queda fijado de una vez para siempre: depende del caso de uso, de los riesgos y de los arbitrajes técnicos.
Las recomendaciones de la AEPD en materia de RGPD e IA
Te proponemos una lectura operativa de las recomendaciones aplicables en España en la siguiente tabla.
| Recomendación | Qué significa realmente | Ejemplo concreto en empresa |
|---|---|---|
| Definir una base jurídica clara | Debes justificar por qué utilizas datos en tu sistema de IA: interés legítimo, consentimiento, ejecución contractual, etc. | Despliegas una herramienta de IA para analizar conversaciones con clientes → documentas con precisión el objetivo: mejora del soporte, no reutilización comercial sin base jurídica. |
| Informar a las personas, incluso de forma indirecta | Aunque no recojas los datos directamente, debes explicar cómo se utilizan. | Entrenas un modelo con datos procedentes de fuentes online → publicas una página específica que explica las fuentes utilizadas y las finalidades del tratamiento. |
| Adaptar el nivel de transparencia | Cuanto mayor sea el riesgo, más precisa debe ser la información proporcionada. | Un modelo interno de RR. HH. → información detallada; un modelo basado en datos públicos → información más general, pero accesible. |
| Anticipar el ejercicio de derechos | Acceso, supresión, oposición y otros derechos deben poder ejercerse incluso en un entorno de IA. | Defines un proceso para tratar una solicitud de supresión antes o después del entrenamiento del modelo. |
| No escudarse en la complejidad técnica | “No se puede” no es una respuesta aceptable sin una justificación documentada. | Tu modelo no permite aislar un dato concreto → documentas el motivo y aplicas medidas compensatorias. |
| Implementar soluciones técnicas adaptadas | El reentrenamiento o el filtrado deben contemplarse según el caso. | Un dato sensible aparece en una respuesta de IA → implementas un filtrado en la salida en lugar de reentrenar inmediatamente el modelo. |
| Documentar todo el proceso | La conformidad debe poder demostrarse en cualquier momento. | Conservas documentación completa sobre fuentes, decisiones técnicas, arbitrajes y limitaciones. |
| Prever un plazo antes del entrenamiento como buena práctica | Conviene dejar un margen para que las personas puedan ejercer sus derechos. | Antes de entrenar un modelo con una base de clientes, habilitas una ventana para ejercer el derecho de oposición. |
| Comunicar las actualizaciones | Informar sobre la gestión de solicitudes refuerza la transparencia. | Indicas en tu documentación que determinados datos se han eliminado tras solicitudes vinculadas al RGPD. |
Entre IA y RGPD, la cuestión es más bien un arbitraje de gobernanza
El debate en torno a la IA y el RGPD suele plantearse de forma equivocada. No se trata solo de saber si tu empresa cumple la normativa, sino de saber si controla realmente sus usos de la IA.
Detrás de principios como la transparencia, la minimización de datos o los derechos de las personas, en realidad aparece un tema más amplio: la gobernanza de datos y la capacidad de gestionar sistemas complejos.
La IA ha introducido una ruptura. Diluye el control, complica la trazabilidad y hace que algunas decisiones en esta materia sean difícilmente reversibles.
En este contexto, el RGPD actúa como un marco de disciplina. Obliga a estructurar, documentar y tomar decisiones.
Las recomendaciones de la AEPD y de las autoridades europeas avanzan en este sentido: no frenan la innovación. Más bien filtran los usos que no están realmente controlados.
Para las empresas, la línea divisoria queda clara:
- las que experimentan sin marco acumulan una deuda jurídica y técnica,
- las que integran estas limitaciones desde el diseño construyen una ventaja duradera.
En Ringover, los retos relacionados con la IA y la gobernanza de datos están integrados desde hace varios años en nuestro enfoque de producto y regulatorio. Si te estás planteando integrar la IA en tus herramientas de comunicación y quieres entender sus implicaciones en materia de datos, nuestros expertos pueden ayudarte a aclarar tus decisiones y estructurar tu enfoque.
FAQs sobre IA y protección de datos
¿Qué es el RGPD?
El RGPD (Reglamento General de Protección de Datos) es el marco jurídico europeo que regula la recogida, el tratamiento y el uso de datos personales [4].
Aplicable desde 2018, obliga a las empresas a:
- justificar el uso de los datos,
- limitar su recogida,
- garantizar su seguridad,
- y permitir que las personas ejerzan sus derechos: acceso, supresión, oposición, entre otros.
¿Cuáles son los riesgos que plantea la IA?
Los riesgos no son únicamente técnicos. También son jurídicos y estratégicos.
La IA introduce, en particular:
- una pérdida de trazabilidad sobre los datos utilizados,
- un riesgo de uso no controlado de los datos, especialmente para el entrenamiento de modelos,
- dificultades para respetar los derechos de las personas una vez que los modelos ya han sido entrenados,
- un riesgo de fuga o reutilización de datos sensibles.
¿Cómo puede una IA cumplir con el RGPD?
Una IA conforme al RGPD depende menos de la tecnología que de la metodología. En la práctica, esto implica:
- definir un objetivo claro, es decir, una finalidad,
- limitar los datos utilizados,
- informar a las personas afectadas,
- prever mecanismos para que puedan ejercer sus derechos,
- documentar las decisiones técnicas y jurídicas.
Conviene recordarlo una vez más: la conformidad no se corrige a posteriori. Se construye desde el diseño, siguiendo el principio de privacidad desde el diseño.
¿ChatGPT cumple con el RGPD?
La pregunta está mal planteada. Una herramienta como ChatGPT no es “RGPD” o “no RGPD” por sí misma. Todo depende de cómo se utilice.
Los puntos de vigilancia tienen que ver con:
- los datos introducidos en la herramienta,
- su posible reutilización para entrenar modelos,
- la localización y jurisdicción del proveedor,
- las garantías contractuales.
Una empresa puede utilizar ChatGPT de forma conforme al RGPD… o exponerse a riesgos si el uso no está correctamente enmarcado.
¿Qué IA cumplen con el RGPD?
Ninguna IA cumple con el RGPD “por naturaleza”. En cambio, algunas soluciones facilitan la conformidad:
- alojamiento de datos en Europa,
- ausencia de reutilización de datos de clientes,
- transparencia sobre los tratamientos,
- cumplimiento de estándares europeos, como el RGPD y el AI Act.
El criterio clave sigue siendo siempre el mismo: el nivel de control que conservas sobre tus datos.
¿El RGPD regula la IA?
Sí, de forma indirecta. El RGPD no se dirige específicamente a la IA, pero se aplica a cualquier tratamiento de datos personales, incluidos los realizados mediante sistemas de inteligencia artificial.
En paralelo, otros textos completan este marco, especialmente el AI Act, que regula de forma específica los sistemas de IA según su nivel de riesgo. El RGPD sigue siendo la base. El AI Act añade una capa adicional.
¿Qué dice el artículo 22 del RGPD sobre la IA?
El artículo 22 regula las decisiones automatizadas. Establece que una persona tiene derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, sin intervención humana, cuando dicha decisión produzca efectos jurídicos o le afecte significativamente.
En el contexto de la IA, esto puede aplicarse, por ejemplo, a:
- una denegación automatizada de un crédito bancario,
- un filtrado automático de candidaturas para un puesto concreto,
- una decisión de RRHH basada únicamente en un algoritmo.
Existen excepciones, pero están estrictamente reguladas.
Referencias
- [1] https://www.aepd.es/
- [2] https://www.aepd.es/guias/adecuacion-rgpd-ia.pdf
- [3] https://www.mpr.gob.es/Paginas/index.aspx
- [4] https://www.boe.es/
Publicado el 23 Junio 2026.
