30 días de prueba de riesgos de IA generativa -Empezar ahora
Solicitar una demo
ActiveEuropean UnionLawEn vigor: 2018-05-25

Reglamento General de Protección de Datos, disposiciones relativas a la IA

La emblemática ley de protección de datos de la UE contiene disposiciones esenciales para los sistemas de IA que tratan datos personales, incluidas las reglas sobre la toma de decisiones automatizada.

Resumen

El Reglamento General de Protección de Datos (RGPD), en vigor desde el 25 May 2018, es la ley integral de protección de datos de la UE. Aunque no se trata específicamente de una regulación sobre IA, el RGPD contiene varias disposiciones que tienen profundas implicaciones para los sistemas de IA que tratan datos personales, lo que lo convierte en una de las regulaciones más determinantes para la conformidad de la IA a escala mundial.

El artículo 22 del RGPD confiere a las personas el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente de modo similar. Esta disposición rige directamente los sistemas de toma de decisiones basados en IA utilizados en ámbitos como la calificación crediticia, la suscripción de seguros, la contratación de personal y la prestación de servicios públicos. Las organizaciones deben proporcionar información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de dicho tratamiento.

Los requisitos relativos a la base jurídica en virtud de los artículos 6 y 9 son especialmente complejos para los sistemas de IA. El consentimiento debe ser libre, específico, informado e inequívoco, requisitos difíciles de cumplir cuando el tratamiento por IA es complejo y opaco. Las evaluaciones del interés legítimo deben ponderar las necesidades de la organización frente a los derechos de las personas, lo que requiere comprender cómo los sistemas de IA afectan a los interesados.

La minimización de datos (artículo 5, apartado 1, letra c)) plantea una tensión fundamental con el desarrollo de la IA, que a menudo se beneficia de grandes conjuntos de datos. Las organizaciones deben garantizar que solo recopilan datos adecuados, pertinentes y limitados a lo necesario en relación con la finalidad determinada. Esto incide en las estrategias relativas a los datos de entrenamiento de la IA y exige una justificación cuidadosa del alcance de los conjuntos de datos.

El derecho a la explicación y los requisitos de transparencia (artículos 13 a 15) obligan a las organizaciones a proporcionar información significativa sobre la toma de decisiones automatizada. Para los modelos de IA complejos, en particular los sistemas de aprendizaje profundo, ofrecer explicaciones comprensibles sobre cómo se alcanzan las decisiones constituye un importante desafío técnico y jurídico.

Las evaluaciones de impacto relativas a la protección de datos (EIPD) en virtud del artículo 35 son obligatorias para los tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas. La mayoría de los sistemas de IA que tratan datos personales a gran escala activarán los requisitos de EIPD. La EIPD debe evaluar la necesidad y la proporcionalidad del tratamiento, los riesgos para las personas y las medidas destinadas a afrontar dichos riesgos.

La limitación de la finalidad (artículo 5, apartado 1, letra b)) restringe el uso de los datos personales a las finalidades para las que fueron recogidos. Los desarrolladores de IA deben examinar cuidadosamente si el entrenamiento de modelos de IA constituye una finalidad compatible, y las recientes modificaciones del RGPD, así como las orientaciones regulatorias, han aportado cierta flexibilidad para la investigación científica y los fines estadísticos.

Las disposiciones relativas a las transferencias internacionales (capítulo V) también afectan a los sistemas de IA, en particular a los servicios de IA en la nube y a los modelos entrenados con datos procedentes de múltiples jurisdicciones. Las organizaciones deben garantizar salvaguardias adecuadas para cualquier transferencia de datos personales fuera del EEE.

Las autoridades de protección de datos de toda Europa se muestran cada vez más activas en la aplicación del RGPD frente a los sistemas de IA. Acciones de ejecución destacadas se han dirigido contra empresas de reconocimiento facial, sistemas publicitarios impulsados por IA y la calificación crediticia automatizada, estableciendo precedentes que configuran la manera en que las organizaciones deben regir el tratamiento de datos personales por parte de la IA.

Requisitos clave

1

Establecer una base jurídica para el tratamiento de datos personales en los sistemas de IA (artículo 6)

2

Implementar salvaguardias para la toma de decisiones individuales automatizada (artículo 22)

3

Proporcionar información significativa sobre la lógica de la IA, la importancia y las consecuencias (artículos 13 a 15)

4

Habilitar el derecho a la intervención humana en las decisiones automatizadas

5

Realizar evaluaciones de impacto relativas a la protección de datos para los tratamientos de IA de alto riesgo (artículo 35)

6

Aplicar los principios de minimización de datos a los datos de entrenamiento y operativos de la IA

7

Garantizar la limitación de la finalidad para el entrenamiento y la inferencia de los modelos de IA

8

Implementar la protección de datos desde el diseño y por defecto en los sistemas de IA (artículo 25)

9

Mantener un registro de las actividades de tratamiento en las que intervenga la IA (artículo 30)

10

Habilitar los derechos de los interesados: acceso, rectificación, supresión, portabilidad para los datos tratados por IA

11

Designar a un delegado de protección de datos si es necesario para las actividades de tratamiento por IA

12

Garantizar transferencias internacionales de datos lícitas para los servicios de IA (capítulo V)

13

Implementar medidas de seguridad técnicas y organizativas apropiadas (artículo 32)

14

Notificar las violaciones de datos personales que afecten a sistemas de IA en un plazo de 72 hours (artículo 33)

Fechas clave y cronograma

25 May 2018
El RGPD entra en aplicación
2018–2023
Las autoridades de protección de datos publican orientaciones sobre la IA y la toma de decisiones automatizada
2020
Actualización de las directrices del EDPB sobre la toma de decisiones individuales automatizada y la elaboración de perfiles
2023
La autoridad italiana de protección de datos prohíbe temporalmente ChatGPT por preocupaciones relacionadas con el RGPD
2024
El grupo de trabajo del EDPB sobre ChatGPT publica sus conclusiones
2024–2025
Se esperan orientaciones del EDPB sobre la articulación entre el RGPD y el EU AI Act
December 2024
El EDPB publica un dictamen sobre los modelos de IA y la protección de datos, aceptando el interés legítimo como base jurídica para el entrenamiento de la IA en determinadas condiciones
November 2025
El EDPS publica orientaciones sobre la gestión de riesgos de los sistemas de inteligencia artificial
February 2026
El dictamen conjunto del EDPB y el EDPS aprueba parcialmente las modificaciones del RGPD previstas por el Digital Omnibus para la IA, pero se opone a los cambios en la definición de datos personales; la acción coordinada de ejecución del EDPB para 2026 se centra en las obligaciones de transparencia (artículos 12 a 14)

A quién afecta

  • Cualquier organización que trate datos personales de personas de la UE/EEE mediante IA
  • Desarrolladores de IA que entrenan modelos con datos personales de personas de la UE
  • Organizaciones que utilizan IA para la toma de decisiones automatizada sobre personas
  • Proveedores de servicios de IA en la nube que tratan datos personales de la UE
  • Organizaciones que transfieren datos personales a nivel internacional para su tratamiento por IA
  • Encargados del tratamiento que prestan IA como servicio con intervención de datos personales

Preguntas frecuentes

¿Puedo entrenar modelos de IA con datos personales en virtud del RGPD?

Sí, pero necesita una base jurídica válida (por ejemplo, el interés legítimo, el consentimiento o la exención para la investigación). También debe aplicar la minimización de datos, realizar EIPD cuando sea necesario y garantizar la transparencia sobre el uso de datos personales con fines de entrenamiento.

¿Debo explicar cómo funciona mi modelo de IA en virtud del RGPD?

Para las decisiones automatizadas en virtud del artículo 22, debe proporcionar información significativa sobre la lógica aplicada. Esto no requiere necesariamente una explicabilidad técnica completa, pero los interesados deben comprender los factores clave que influyen en las decisiones y la lógica general del sistema.

¿Cómo interactúa el RGPD con el EU AI Act?

El EU AI Act complementa el RGPD sin sustituirlo. Los sistemas de IA que tratan datos personales deben cumplir ambos. El EU AI Act añade requisitos en materia de gestión de riesgos, evaluación de la conformidad y transparencia que van más allá de la protección de datos. Las EIPD en virtud del RGPD y las evaluaciones de impacto sobre los derechos fundamentales en virtud del EU AI Act pueden solaparse.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.