El Reglamento (UE) 2016/679 es la norma de referencia en Europa para el tratamiento de datos personales. También es la base jurídica sobre la que se apoyan muchos sistemas de inteligencia artificial, desde el entrenamiento de modelos hasta la automatización de decisiones y el perfilado de usuarios.
¿Qué vamos a ver en esta guía?
El RGPD no es solo una norma de privacidad. Es la arquitectura legal que decide qué puede hacerse con los datos personales y cómo deben protegerse. En proyectos de IA, su revisión es obligatoria desde el diseño.
¿Qué es el RGPD?
El RGPD es la norma europea que regula el tratamiento de datos personales y refuerza los derechos de las personas sobre su información. Establece principios, obligaciones y garantías que deben cumplir las organizaciones que recogen, almacenan, usan, comparten o automatizan el tratamiento de datos.
En la práctica, obliga a responder a tres preguntas básicas: qué datos se tratan, con qué base legal y para qué finalidad. Si una organización no puede responder con claridad, el tratamiento puede ser irregular.
¿Por qué el RGPD es la base de la inteligencia artificial?
Muchos sistemas de IA usan datos personales para entrenar modelos, personalizar contenidos, detectar fraude o clasificar usuarios.
Cuando la IA recomienda, puntúa o decide sobre personas, el RGPD exige revisar la base jurídica y las garantías aplicables.
En un proyecto de IA, el RGPD condiciona la recogida de datos, la conservación, el entrenamiento, la validación, la transparencia y el ejercicio de derechos.
Principios clave del RGPD
Licitud, lealtad y transparencia
El tratamiento debe tener base jurídica y explicarse de forma clara.
Limitación de la finalidad
Los datos deben usarse solo para fines concretos, legítimos y determinados.
Minimización
Solo se deben tratar los datos estrictamente necesarios.
Exactitud
Los datos deben ser correctos y mantenerse actualizados.
Conservación limitada
No pueden conservarse indefinidamente sin justificación.
Integridad y confidencialidad
La información debe protegerse frente a accesos no autorizados o pérdida.
Bases jurídicas del tratamiento
Todo tratamiento de datos personales debe apoyarse en una base jurídica válida. Las más habituales en el entorno empresarial son:
| Base jurídica | Cuándo se usa |
|---|---|
| Consentimiento | La persona autoriza el tratamiento para una finalidad concreta. |
| Ejecución de un contrato | El tratamiento es necesario para prestar un servicio o cumplir un contrato. |
| Obligación legal | La empresa trata datos porque una norma se lo exige. |
| Interés legítimo | El tratamiento responde a un interés empresarial razonable, siempre que no prevalezcan los derechos de la persona afectada. |
| Interés público | Especialmente aplicable a administraciones y entidades con funciones públicas. |
Derechos de las personas
Acceso
Saber qué datos se tratan y con qué finalidad.
Rectificación
Corregir datos inexactos o incompletos.
Supresión
Solicitar el borrado cuando proceda.
Oposición
Oponerse a determinados tratamientos, incluido el marketing.
Limitación
Pedir que el tratamiento se restrinja en ciertos casos.
Portabilidad
Recibir los datos en un formato reutilizable.
También existe protección frente a decisiones basadas exclusivamente en tratamiento automatizado cuando producen efectos jurídicos o afectan significativamente a la persona.
RGPD y decisiones automatizadas
Este punto es especialmente importante para la IA. Cuando un sistema toma decisiones automatizadas o perfila a una persona, la organización debe revisar si existe base jurídica suficiente, si la decisión tiene efectos significativos y qué garantías se han incorporado.
Selección de personal, scoring crediticio, detección de fraude, recomendación automatizada o priorización de clientes.
No basta con “tener IA”. Es necesario analizar el impacto sobre los derechos de las personas y documentar las medidas de salvaguarda.
¿Qué debe hacer una empresa para cumplir el RGPD?
- Identificar qué datos personales trata. No se puede cumplir si no se sabe qué información existe.
- Definir la base jurídica. Cada tratamiento debe tener una razón legal clara.
- Informar correctamente. Las cláusulas y avisos deben ser comprensibles y completos.
- Aplicar minimización y conservación limitada. Solo los datos necesarios, durante el tiempo necesario.
- Firmar contratos con encargados. Si un tercero trata datos por cuenta de la empresa, debe existir contrato de encargo.
- Responder a los derechos de las personas. Acceso, supresión, rectificación, oposición y otros.
- Implantar medidas de seguridad. Incluye cifrado, control de accesos y copias de seguridad.
- Valorar impacto cuando sea necesario. Sobre todo en tratamientos de alto riesgo o con IA.
- Documentar el cumplimiento. El RGPD exige poder demostrarlo.
RGPD e IA: los casos que más preocupan
RRHH y selección de personal
Filtrado de CV, ranking de candidatos, evaluación de desempeño y análisis de riesgo de rotación pueden implicar perfilado y decisiones automatizadas.
Marketing y personalización
Las campañas basadas en comportamiento, navegación o segmentación avanzada deben revisar su base jurídica y sus límites.
Atención al cliente
Los chatbots y asistentes virtuales pueden recopilar datos personales y requerir información transparente sobre su uso.
Seguridad y fraude
Los sistemas de detección de fraude o anomalías deben estar bien justificados y no producir efectos excesivos o discriminatorios.
Sanciones del RGPD
El RGPD prevé multas administrativas muy elevadas. En función del tipo de infracción, pueden alcanzar hasta 20 millones de euros o el 4 % del volumen de negocio global anual, el que resulte superior.
Además de la sanción económica, una mala gestión de datos puede generar pérdida de confianza, conflictos con clientes y daño reputacional.
Checklist RGPD para empresas
- Inventario de tratamientos.
- Bases jurídicas documentadas.
- Cláusulas informativas actualizadas.
- Contratos con encargados firmados.
- Procedimiento para derechos de las personas.
- Medidas de seguridad implantadas.
- Evaluaciones de impacto cuando proceda.
- Política de conservación y borrado.
- Revisión específica de herramientas de IA.
- Control de perfilado y decisiones automatizadas.
- Formación interna sobre uso de datos.
- Evidencias de cumplimiento.
- Registro de actividades.
- Revisión periódica de proveedores.
Preguntas frecuentes sobre el RGPD
¿El RGPD aplica a todas las empresas?
Sí, siempre que traten datos personales en el contexto de actividades en la Unión Europea o estén dentro de su ámbito de aplicación territorial.
¿Una base de datos de clientes entra dentro del RGPD?
Sí. Nombre, correo electrónico, teléfono, historial de compras o cualquier dato que identifique o haga identificable a una persona física puede estar protegido por el RGPD.
¿La IA puede tratar datos personales?
Sí, pero el tratamiento debe tener base jurídica, cumplir los principios del RGPD y respetar los derechos de las personas afectadas.
¿Es obligatorio documentar el cumplimiento?
Sí. El RGPD se basa en la responsabilidad proactiva: no basta con cumplir, también hay que poder demostrarlo.
