RGPD e inteligencia artificial en empresas: guía de cumplimiento 2026
Usar inteligencia artificial en tu empresa no es solo una decisión tecnológica: es también una decisión legal. El RGPD (Reglamento General de Protección de Datos) y su transposición española en la LOPDGDD establecen obligaciones específicas cuando tratas datos personales con sistemas de IA. Incumplirlas puede suponer multas de hasta el 4% de la facturación global.
Bases legales para usar datos con IA
Bajo el RGPD, siempre necesitas una base legal para tratar datos personales. Cuando usas IA con esos datos, la base legal debe cubrir también ese tratamiento:
Las bases legales más comunes en contexto de IA
- Consentimiento (Art. 6.1.a): El usuario acepta explícitamente. En IA, el consentimiento debe ser específico para el uso en sistemas automatizados. El consentimiento genérico para "marketing" no cubre el uso en modelos predictivos de comportamiento
- Ejecución de contrato (Art. 6.1.b): El tratamiento es necesario para ejecutar el contrato con el cliente. Por ejemplo, usar IA para optimizar la logística de entrega de un pedido
- Interés legítimo (Art. 6.1.f): El más usado pero también el más problemático. Requiere una ponderación entre el interés del responsable y los derechos del interesado. No es un comodín: hay que documentar la evaluación
- Obligación legal (Art. 6.1.c): Cuando la ley te obliga a tratar los datos (ej: conservar ciertos registros por obligaciones fiscales)
Categorías especiales de datos
Si tu sistema de IA procesa datos de salud, origen racial, opiniones políticas, datos biométricos u otras categorías especiales (Art. 9), las restricciones son mucho más estrictas. El consentimiento explícito o una obligación legal específica son prácticamente obligatorios.
Derechos de los usuarios ante decisiones de IA
El Art. 22 del RGPD establece el derecho de los usuarios a no ser objeto de decisiones individuales basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o les afecten significativamente:
Cuándo aplica el Art. 22
- Denegación automática de crédito o seguro basada en IA
- Precios dinámicos que aplican tarifas significativamente diferentes a distintos usuarios
- Decisiones de contratación o despido basadas en IA sin revisión humana
- Segmentación que tenga efectos legales sobre los usuarios
Obligaciones cuando aplica Art. 22
- Informar al usuario de que está siendo objeto de decisión automatizada
- Explicar la lógica aplicada (derecho de explicación)
- Permitir al usuario solicitar revisión humana de la decisión
- Permitir al usuario expresar su punto de vista
Contratos con proveedores de IA
Cuando usas herramientas de IA de terceros (ChatGPT, Gemini, herramientas de análisis de clientes con IA, etc.) y les envías datos personales de tus clientes, necesitas un contrato de encargado de tratamiento (DPA - Data Processing Agreement):
Qué debe incluir el DPA con proveedores de IA
- Descripción de los datos tratados y la finalidad
- Si el proveedor usa tus datos para entrenar sus modelos (muchos tienen esta opción activada por defecto en los planes gratuitos)
- Ubicación del tratamiento de los datos y si hay transferencias a terceros países
- Medidas de seguridad implementadas
- Procedimiento de notificación en caso de brecha de seguridad
Evaluación de Impacto (EIPD)
El Art. 35 del RGPD obliga a realizar una Evaluación de Impacto en la Protección de Datos (EIPD) cuando el tratamiento "entrañe un alto riesgo para los derechos y libertades de las personas físicas". Los sistemas de IA son especialmente relevantes aquí:
Cuándo es obligatoria la EIPD en IA
- Tratamiento a gran escala de categorías especiales de datos
- Evaluación sistemática de personas basada en elaboración de perfiles
- Monitorización sistemática a gran escala de zonas de acceso público
- Decisiones automatizadas que afectan significativamente a personas
Transferencias internacionales de datos
La mayoría de los grandes proveedores de IA (OpenAI, Anthropic, Google, Microsoft) son estadounidenses. Si les envías datos de ciudadanos europeos, esto constituye una transferencia internacional que requiere salvaguardas específicas:
- Marco UE-EE.UU. de Privacidad de Datos: Desde julio 2023 existe un nuevo mecanismo de transferencia para empresas certificadas en EE.UU. Verifica si tu proveedor está certificado
- Cláusulas Contractuales Tipo (CCT): La alternativa más común. Los DPAs de los grandes proveedores suelen incluirlas
- Binding Corporate Rules: Para grupos multinacionales con transferencias internas
Checklist de cumplimiento RGPD + IA
- ☐ Identificar todos los sistemas de IA que tratan datos personales en tu empresa
- ☐ Documentar la base legal para cada tratamiento
- ☐ Actualizar el Registro de Actividades de Tratamiento con los tratamientos de IA
- ☐ Revisar y actualizar la política de privacidad para mencionar el uso de IA
- ☐ Firmar DPA con todos los proveedores de IA que reciban datos personales
- ☐ Verificar que los DPAs cubren transferencias internacionales (CCT o equivalente)
- ☐ Evaluar si algún tratamiento requiere EIPD y realizarla si procede
- ☐ Implementar mecanismos para atender derechos ARCO de los afectados
- ☐ Si hay decisiones automatizadas con efectos significativos, implementar revisión humana