3 min read

IA generativa y datos personales: qué permite el RGPD y qué no

Análisis práctico de RGPD e IA generativa: cuándo hay datos personales, qué riesgos existen, cómo usar herramientas de IA y qué medidas debe adoptar una empresa.

La IA generativa puede redactar textos, resumir documentos, preparar respuestas, analizar información y acelerar tareas internas. Pero cuando en el proceso aparecen datos personales, entra en juego el RGPD.

La pregunta no es si una empresa puede usar IA generativa. La pregunta correcta es bajo qué condiciones puede usarla.

1. Cuándo hay datos personales

Hay datos personales cuando la información permite identificar a una persona directa o indirectamente.

Ejemplos:

  • Nombre, email o teléfono.
  • DNI, dirección o número de cliente.
  • Datos laborales.
  • Historial médico o información de salud.
  • Opiniones o reclamaciones asociadas a una persona.
  • Conversaciones con clientes.
  • Documentos que permiten identificar a alguien aunque no aparezca su nombre.

Si esos datos se introducen en una herramienta de IA, hay tratamiento de datos personales.

2. La empresa debe tener finalidad y base jurídica

El RGPD exige saber para qué se tratan los datos y con qué base jurídica. No vale introducir información en una IA simplemente porque puede ayudar.

Antes de usar IA generativa con datos personales conviene preguntarse:

  • ¿Para qué se usa exactamente?
  • ¿Es necesario introducir datos reales?
  • ¿Puede hacerse con datos anonimizados?
  • ¿Existe base jurídica suficiente?
  • ¿Se ha informado a las personas afectadas si procede?
  • ¿Hay impacto relevante sobre sus derechos?

3. Proveedor y contrato

La empresa debe revisar el papel del proveedor de IA. En muchos casos será necesario analizar si actúa como encargado del tratamiento, responsable independiente o una figura más compleja según el servicio.

Puntos a revisar:

  • Contrato o condiciones del servicio.
  • Subencargados.
  • Ubicación del tratamiento.
  • Transferencias internacionales.
  • Medidas de seguridad.
  • Conservación de datos.
  • Uso de entradas para entrenamiento.
  • Posibilidad de borrado o control.

Si el proveedor no da garantías suficientes, la empresa debería limitar o evitar el uso con datos personales.

4. Datos especialmente protegidos

Hay categorías de datos que requieren especial cuidado, como salud, ideología, afiliación sindical, religión, orientación sexual, datos biométricos o datos de menores.

Introducir este tipo de información en una herramienta de IA generativa sin una revisión previa puede generar un riesgo alto.

En sectores como sanitario, educativo, laboral o asegurador, la empresa debería extremar la cautela.

5. Minimización: usar solo lo necesario

El principio de minimización exige tratar solo los datos necesarios. En IA generativa esto significa:

  • No pegar documentos completos si basta con un resumen anonimizado.
  • Eliminar nombres y datos identificativos cuando no sean imprescindibles.
  • Evitar introducir bases de datos enteras.
  • Usar ejemplos ficticios para pruebas.
  • Separar información sensible de tareas creativas o de redacción.

La anonimización real puede ser difícil, pero la reducción de datos ya disminuye riesgo.

6. Seguridad y confidencialidad

La IA generativa puede convertirse en una fuga de información si se usa sin control. Por eso conviene establecer reglas internas:

  • Herramientas autorizadas.
  • Prohibición de introducir secretos o credenciales.
  • Prohibición de introducir datos personales salvo autorización.
  • Revisión de configuración empresarial.
  • Control de accesos.
  • Registro de herramientas usadas.
  • Procedimiento ante incidentes.

La seguridad no es solo técnica. También es organizativa.

7. Decisiones automatizadas

Si la IA participa en decisiones que afectan a personas, como selección de personal, valoraciones, scoring o priorización de clientes, el riesgo aumenta.

En esos casos conviene revisar:

  • Si hay decisión automatizada.
  • Si existe intervención humana real.
  • Si puede explicarse el criterio.
  • Si hay sesgos.
  • Si se informa adecuadamente.
  • Si procede una evaluación de impacto.

8. Relación con el AI Act

El RGPD y el AI Act pueden aplicarse al mismo tiempo. El RGPD mira el tratamiento de datos personales. El AI Act mira el sistema de IA, su riesgo, transparencia y obligaciones específicas.

Una empresa que usa IA con datos personales debe revisar ambos planos:

  • Protección de datos.
  • Cumplimiento de IA.
  • Seguridad.
  • Contratos.
  • Gobernanza interna.

Conclusión

El RGPD no prohíbe usar IA generativa. Pero exige control, proporcionalidad y responsabilidad.

Una empresa debería empezar por estas medidas:

  • Inventario de herramientas de IA.
  • Política interna de uso.
  • Prohibición o limitación de datos personales en prompts.
  • Revisión de proveedores.
  • Formación del equipo.
  • Evaluación de riesgos en usos sensibles.

Si ya se usan herramientas de IA en la empresa, una auditoría inicial permite separar usos seguros, usos corregibles y usos que deben detenerse hasta revisar el riesgo.

Servicios relacionados

Published by: