12Feb

La AEPD publica su política para el uso de IA en procesos administrativos

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Política general para el uso de inteligencia artificial generativa (IAG) en sus procesos administrativos, que constituye el primer marco de este tipo en el sector público español. Su ámbito se circunscribe al uso interno de tecnologías de IA generativa por parte de la AEPD, orientando su implantación para que sea segura, eficiente y conforme con los derechos fundamentales, incluida la protección de datos personales.

Aunque esta política es de naturaleza interna y no vincula directamente a terceros, su contenido y los criterios que incorpora son especialmente relevantes para cualquier organización que aspire a utilizar IA en sus procedimientos, porque muestra cómo integrar la innovación tecnológica con el cumplimiento del Reglamento General de Protección de Datos (RGPD), la LOPDGDD y las mejores prácticas de gobernanza y ética en sistemas automatizados.

Integración de la IA en la administración pública

La política parte del reconocimiento de que la IA generativa puede aportar mejoras sustanciales en la eficiencia y calidad de los servicios administrativos, pero subraya que su uso debe coincidir con el respeto a los derechos y libertades fundamentales, incluido el derecho a la protección de datos. Para ello, define principios de implementación que equilibran la innovación con la legalidad, la transparencia y la seguridad.

Esto implica que, incluso cuando la IA se utilice en procesos internos que no impliquen datos personales, la organización debe evaluar impactos, documentación de procesos y mecanismos de control para garantizar que su implementación no derive en tratamientos de datos contrarios al RGPD o a la LOPDGDD. En definitiva, esta política se aplica a todos los procesos realizados por la AEPD que utilicen inteligencia artificial, aunque prevé obligaciones específicas cuando exista un tratamiento de datos personales, que deben de ser analizadas previamente al tratamiento.

Transparencia, explicabilidad y trazabilidad

La política de la AEPD hace hincapié en la transparencia y la explicabilidad de los sistemas de IA. Es decir, no basta con que un proceso automatizado funcione correctamente desde un punto de vista técnico: debe ser comprensible para quienes interactúan con él, y documentado de forma que permita comprender por qué y cómo se toman decisiones o se generan determinados resultados.

Este principio responde directamente a exigencias del RGPD, que en su artículo 5 consagra el principio de transparencia, y a la doctrina de la AEPD y del Comité Europeo de Protección de Datos, que insisten en que los interesados deben entender qué tratamiento se realiza con sus datos, incluso cuando se empleen tecnologías automatizadas.

En la práctica, esto exige que los sistemas de IA cuenten con documentación interna que permita explicar, auditar y justificar su comportamiento, así como mecanismos para advertir cuando una interacción ha sido asistida por IA. Este enfoque es congruente con el principio de responsabilidad proactiva del artículo 24 del RGPD.

Gobernanza interna y análisis de riesgos

La política describe un marco de gobernanza interna para la IA que incluye análisis de riesgos asociados a cada caso de uso, evaluación previa de impactos y medidas

de mitigación. Esto se alinea con el enfoque de la AEPD y del RGPD sobre la necesidad de integrar la protección de datos desde el diseño y por defecto en cualquier sistema que pueda implicar tratamiento de datos personales.

El análisis de riesgos, en particular, debe considerar cuestiones como la posibilidad de sesgos, discriminación, impacto sobre derechos individuales y los beneficios frente a los posibles daños. Este tipo de análisis será aún más crítico cuando estos sistemas traten datos personales o se empleen en decisiones automatizadas con efectos significativos sobre las personas, tal como contempla el RGPD en su artículo 22. Para profundizar en este aspecto, puede consultarse el análisis sobre decisiones automatizadas según el RGPD.

La elaboración de un análisis riguroso de riesgos previos a la implementación reduce la probabilidad de tratamientos ilícitos o contrarios a las expectativas de privacidad de los interesados, siendo especialmente relevante la evaluación de impacto en la protección de datos en este tipo de escenarios.

Protección de datos personales en el núcleo de la IA

Aunque la política es interna y no establece obligaciones directas para otras organizaciones, su enfoque sobre el tratamiento de datos personales en sistemas de IA puede servir de guía. El documento incorpora, entre sus políticas internas, una sección específica sobre la gestión de información personal, sensible o confidencial, que exige:

  • Evaluar detalladamente qué datos se utilizan en cada caso de uso de la IA.
  • Limitar los datos al mínimo necesario para la finalidad perseguida.
  • Asegurar que los tratamientos de datos personales cumplen las bases jurídicas requeridas por el RGPD.
  • Integrar medidas técnicas y organizativas de seguridad adecuadas.

Este enfoque interno de la AEPD refleja la interpretación doctrinal que la Agencia ha desarrollado durante años: la IA no exime del cumplimiento de la normativa de protección de datos, sino que impone un nivel de diligencia reforzado, especialmente si los modelos o servicios utilizan datos personales para su entrenamiento o funcionamiento.

Supervisión humana y controles continuos

Un elemento destacado de la política es que la supervisión humana continua no es una mera recomendación, sino un principio operativo: los sistemas de IA deben diseñarse para que su intervención esté sujeta a supervisión humana y su impacto sea evaluable. Esta obligación guarda estrecha relación con la doctrina de la AEPD y la interpretación del RGPD sobre decisiones automatizadas y el derecho de los interesados a no estar sujetos únicamente a decisiones basadas en procesos automatizados que produzcan efectos significativos.

La política también prevé mecanismos internos de gestión de incidentes, revisión de políticas y adaptación continua ante avances tecnológicos o cambios normativos, lo que permite a la administración anticiparse a los desafíos que presenta un entorno tecnológico dinámico.

Pautas aplicables a cualquier organización

La Política general de la AEPD para el uso de IA generativa no es un documento vinculante para las empresas españolas, pero constituye un referente en el diseño y gobernanza responsable de sistemas basados en IA. Su énfasis en la transparencia, el análisis de riesgos, la protección de datos personales y la supervisión humana refleja los principios del RGPD y la LOPDGDD, así como la doctrina consolidada de la AEPD.

Para empresas y administraciones que integren IA en sus operaciones, este documento ofrece elementos valiosos para estructurar políticas internas propias conformes a la normativa vigente y a las expectativas regulatorias emergentes, con especial atención a la protección de los derechos de los ciudadanos en la era digital.

La implementación de la IA generativa en el entorno administrativo y empresarial no debe verse como un reto aislado, sino como una oportunidad para reforzar el compromiso con la ética digital. Desde MICROLAB, aportamos el asesoramiento estratégico y técnico necesario para alinear la innovación tecnológica con la normativa de protección de datos, garantizando que la adopción de la inteligencia artificial en su organización sea siempre segura, transparente y plenamente conforme con los criterios de la AEPD.

Share this post

Related Posts

La importancia de justificar adecuadamente los datos recogidos en los procesos de compra

Recientemente la Agencia Española de Protección de Datos (AEPD) ha...

11/09/2025
Publicación de imágenes de menores
Publicación de imágenes de menores en redes sociales: el necesario consentimiento de ambos progenitores

La actual normativa de protección de datos nacional, la

03/11/2022
Sancionan a una comunidad de propietarios por incumplir la normativa de videovigilancia

Un viandante denuncia ante la Agencia Española de Protección de...

07/04/2022
La importancia de las copias de seguridad en empresas

En el actual paisaje digital, la gestión eficiente y segura...

02/05/2024
Protección de datos en hoteles: ¿Cómo cumplir con la normativa?

La protección de datos personales es un tema crucial en...

27/02/2025
¿Cuál es la relación entre Compliance y Protección de Datos?

En el entorno empresarial actual, la protección de datos y...

13/02/2025
¿Cuáles son las medidas para proteger la información de una empresa?

En un mundo cada vez más digitalizado, la seguridad de...

06/06/2024
Normativa en zona videovigilada en materia de protección de datos
Normativa en zona videovigilada en materia de protección de datos

Los sistemas de videovigilancia son una solución de seguridad en...

09/09/2022
Nueva sanción por no designar un delegado de protección de datos

La Agencia Española de Protección de Datos...

16/06/2023
Mensaje de alarma por la DANA: ¿medida ilegal?

El pasado 3 de septiembre la Comunidad...

07/09/2023