RGPD e inteligencia artificial: cómo proteger los datos de tus clientes cuando usas IA en tu negocio

Usar IA no te exime de cumplir con la protección de datos, la refuerza. Te explicamos qué dice el RGPD sobre el uso de datos personales en proyectos de IA, cuándo necesitas una DPIA, qué bases legales son válidas y cómo evitar los errores que pueden costarte una sanción.

Si tu empresa usa inteligencia artificial (un chatbot,un motor de recomendaciones, un sistema de análisis predictivo, o simplemente ChatGPT para redactar emails), estás procesando datos. Y si esos datos son de personas (clientes, empleados, proveedores), el RGPD aplica. No hay excepciones por ser pyme, ni por usar IA en la nube, ni por tratarse de datos «anónimos» que en realidad son pseudoanonimizados.

El Reglamento General de Protección de Datos (RGPD o GDPR) es la columna vertebral de toda la regulación digital europea. El AI Act, la NIS2, la DSA; todas se apoyan en los principios del RGPD. Esto significa algo muy práctico: un proyecto de IA que no cumple con el RGPD nunca podrá demostrar conformidad con el AI Act.

En este artículo te explicamos la intersección entre RGPD e IA de forma práctica: qué derechos de tus clientes debes respetar, cuándo necesitas una evaluación de impacto (DPIA), qué bases legales puedes usar, qué debe incluir el contrato con tu proveedor de IA y los errores que vemos con más frecuencia.

IA y datos personales: qué dice el RGPD

El RGPD no menciona explícitamente la inteligencia artificial (fue aprobado en 2016, antes del boom de la IA generativa), pero sus principios aplican directamente a cualquier sistema que procese datos personales:

  • Licitud, lealtad y transparencia: Debes tener una base legal para cada tratamiento de datos, informar a los interesados de cómo usas sus datos y no utilizarlos de formas que no esperarían.
  • Limitación de la finalidad: Los datos recogidos para una finalidad no pueden reutilizarse para otra incompatible. Si recoges emails para envíar facturas, no puedes usarlos para entrenar un modelo de predicción de comportamiento sin base legal adicional.
  • Minimización de datos: Solo puedes tratar los datos estrictamente necesarios. Si tu chatbot no necesita el nombre completo del cliente para responder una consulta sobre envíos, no lo pidas.
  • Exactitud: Los datos deben estar actualizados y ser correctos. Un sistema de IA entrenado con datos obsoletos o erróneos produce resultados erróneos —y eso tiene consecuencias legales.
  • Limitación del plazo de conservación: No puedes almacenar datos indefinidamente. Define periodos de retención claros (por ejemplo, 90 días para datos de piloto) y borra al cierre.
  • Integridad y confidencialidad: Cifrado, control de acceso por mínimo privilegio, entornos segregados (desarrollo, test, producción), logs de acceso.

Además, el RGPD reconoce siete derechos fundamentales de los ciudadanos que aplican directamente cuando usas IA:

  • Derecho de acceso y transparencia: El cliente puede pedirte que le expliques qué datos tienes de él y cómo los usas.
  • Derecho de rectificación: Si los datos son incorrectos, debes corregirlos.
  • Derecho al olvido: El cliente puede pedir que borres sus datos. En IA, esto es especialmente complejo: si sus datos fueron parte del entrenamiento de un modelo, retirarlos puede requerir reentrenamiento completo.
  • Derecho de oposición: El cliente puede oponerse al tratamiento de sus datos, especialmente si se basa en interés legítimo.
  • Derecho a no ser objeto de decisiones automatizadas: Artículo 22 del RGPD. Si tu sistema de IA toma decisiones con efectos significativos sobre una persona (aprobar un crédito, filtrar un CV, denegar un servicio) sin intervención humana, el interesado tiene derecho a impugnarlo y exigir revisión humana.

Un proyecto de IA que no cumple con el RGPD nunca podrá demostrar conformidad con el AI Act.

Cuándo necesitas una DPIA (y cuándo basta con una DPIA-Lite)

La Evaluación de Impacto en Protección de Datos (DPIA) es el mecanismo que el RGPD establece para evaluar los riesgos que un tratamiento de datos puede suponer para los derechos y libertades de las personas. No todos los proyectos de IA la requieren, pero muchos sí.

¿Cuándo es obligatoria?

Una DPIA es obligatoria cuando el tratamiento de datos implica un riesgo alto para los derechos de las personas. En el contexto de IA, esto incluye:

  • Perfilado a gran escala o decisiones automatizadas: Aprobación de créditos, contratación, evaluación académica, justicia.
  • Tratamiento de datos sensibles: Datos de salud, biometría, emociones, orientación sexual, creencias religiosas.
  • Vigilancia sistemática: Monitorización continua de personas en espacios públicos o laborales.
  • Tratamiento a gran escala: Volumen de datos o número de personas afectadas significativo.

DPIA-Lite para pilotos

En la metodología que usamos en Impulsa3, para pilotos con alcance acotado (datos limitados, duración definida, población controlada), utilizamos una DPIA-Lite: una versión simplificada pero igualmente rigurosa que cubre los campos esenciales sin la complejidad de una DPIA completa.

Una DPIA-Lite incluye:

  1. Identificación del tratamiento: Qué sistema, quién es el sponsor, quién el Product Owner, quién el DPO, qué entidad es responsable y qué proveedores procesan datos.
  2. Descripción y finalidad: Qué hace el sistema, qué decisión soporta, por qué es necesario y proporcional.
  3. Base legal: Cuál de las seis bases del artículo 6 del RGPD aplica (consentimiento, contrato, obligación legal, interés vital, interés público, interés legítimo).
  4. Categorías de datos y personas afectadas: Qué datos personales se tratan (contacto, transaccional, navegación), si hay categorías especiales (artículo 9), y qué poblaciones están afectadas.
  5. Flujos de datos y transferencias: De dónde vienen los datos, a dónde van, qué subprocesadores intervienen y si hay transferencias internacionales.
  6. Minimización y retención: Solo datos necesarios, retención limitada al piloto (por ejemplo, 90 días), borrado al cierre.
  7. Seguridad: Control de acceso por mínimo privilegio, entornos segregados, logs, plan de incidentes con plazos de notificación (72 horas según RGPD).
  8. Evaluación de riesgos: Identificación de riesgos con probabilidad e impacto (escala 1-5), medidas de mitigación y riesgo residual.
  9. Conclusión y firma: Decisión (riesgo limitado → puede avanzar al Gate 1; riesgo moderado → mitigar primero; riesgo alto → rediseñar) con aprobación de Legal/DPO, Seguridad y Product Owner.

Importante: La DPIA-Lite no es un atajo para evitar la DPIA completa. Es una herramienta para pilotos acotados. Si el sistema pasa a producción con alcance ampliado, datos sensibles o efectos significativos, necesitarás completar la DPIA estándar.

Bases legales para proyectos de IA: cuál aplica en cada caso

Todo tratamiento de datos personales necesita una base legal del artículo 6 del RGPD. En proyectos de IA, las tres más habituales son:

1. Consentimiento (Art. 6.1.a)

El interesado da su consentimiento explícito e informado. Es la base más robusta jurídicamente, pero también la más frágil operativamente: el consentimiento debe ser libre, específico, informado e inequívoco. Y es revocable en cualquier momento.

Cuándo usarlo: Cuando procesas datos sensibles (artículo 9), cuando el tratamiento no es estrictamente necesario para el servicio, o cuando quieres una base legal sólida ante la autoridad.

2. Ejecución de contrato (Art. 6.1.b)

El tratamiento es necesario para cumplir un contrato con el interesado o para tomar medidas precontractuales a su solicitud.

Cuándo usarlo: Un chatbot que accede al historial de pedidos para resolver una reclamación. Un motor de recomendaciones que personaliza la experiencia de compra como parte del servicio contratado.

3. Interés legítimo (Art. 6.1.f)

El tratamiento es necesario para un interés legítimo de la empresa, siempre que no prevalezcan los derechos del interesado. Requiere una prueba de ponderación: demostrar que tus intereses comerciales no superan los derechos de privacidad de tus clientes.

Cuándo usarlo: Detección de fraude, análisis de seguridad, optimización interna de procesos. Es la base más común en proyectos de IA, pero también la más discutida.

Consejo: Documenta siempre la base legal elegida en la DPIA y en la ficha de clasificación. Si usas interés legítimo, documenta también la prueba de ponderación. «Nos pareció razonable» no es una evidencia.

El contrato con tu proveedor de IA: qué debe incluir el DPA

Si usas un servicio de IA externo (Tidio, Gorgias, ChatGPT API, Shopify Magic, cualquier SaaS con IA), estás externalizando el tratamiento de datos personales. El RGPD exige que tengas firmado un Data Processing Agreement (DPA) antes de dar acceso a cualquier dato.

Un DPA para servicios de IA debe incluir como mínimo:

  • Delimitación de usos: Prohibir explícitamente al proveedor usar los datos de tus clientes para entrenamiento, mejora o beneficio propio, salvo acuerdo expreso y base legal clara.
  • Anexos técnicos: Esquema de logs para trazabilidad, segregación de entornos, evidencia de controles técnicos (cifrado, acceso mínimo).
  • Gestión de subprocesadores: Qué subcontratistas procesan datos, dónde están ubicados, base legal para transferencias internacionales.
  • Cláusula de reversibilidad: Tu capacidad de migrar los datos si cambias de proveedor. Sin esta cláusula, estás cautivo.
  • Notificación de incidentes: Plazos de notificación (el RGPD exige 72 horas), protocolo de comunicación y responsabilidades.
  • Cláusula de borrado: Qué pasa con los datos cuando termina la relación contractual: borrado certificado o devolución.

Antes de firmar: Solicita siempre el factsheet técnico del proveedor y confirma los SLA de disponibilidad y tiempo de respuesta. Un proveedor serio no tendrá problema en facilitar esta información.

Los cinco errores más comunes (y cómo evitarlos)

  1. Asumir que los datos son anónimos. La pseudoanonimización no es anonimización. Si los datos pueden reidentificarse (por cruces, contexto o técnicas de inferencia), siguen siendo datos personales y el RGPD aplica. La IA es especialmente potente infiriendo datos sensibles a partir de datos aparentemente inocuos: patrones de navegación pueden revelar estado de salud, orientación sexual o situación financiera.
  2. No tener DPA firmado con el proveedor de IA. Usar una API de IA con datos de clientes sin DPA es una infracción directa del RGPD. Y el riesgo no es teórico: si el proveedor usa esos datos para entrenar su modelo, tus clientes están expuestos sin base legal.
  3. Reutilizar datos para finalidades no previstas. Recoges datos de compra para facturación y los usas para entrenar un modelo predictivo de comportamiento. Sin base legal adicional (consentimiento específico o interés legítimo documentado con prueba de ponderación), es una infracción.
  4. No tener mecanismo para ejercer derechos. Si un cliente pide acceso a sus datos, rectificación o borrado, necesitas un proceso operativo para atender esa solicitud en plazo (un mes máximo). Si tu IA está en la nube de un tercero, necesitas que el DPA contemple cómo ejecutar estos derechos.
  5. Ignorar las decisiones automatizadas. Si tu sistema de IA toma decisiones con efecto significativo sobre personas (denegación de servicio, rechazo de solicitud, puntuación crediticia) sin intervención humana efectiva, estás infringiendo el artículo 22. El HITL (Human-in-the-Loop) no es opcional en estos casos.

Checklist práctico de cumplimiento RGPD para proyectos de IA

Usa esta checklist antes de lanzar cualquier proyecto de IA que procese datos personales:

  • Base legal documentada para cada tratamiento de datos en el proyecto.
  • DPIA completada (o DPIA-Lite si es un piloto acotado) y firmada por Legal/DPO.
  • DPA firmado con cada proveedor externo que procese datos personales.
  • Cláusula de no entrenamiento en el DPA: el proveedor no puede usar tus datos para mejorar su modelo.
  • Política de minimización aplicada: solo los datos necesarios para la finalidad.
  • Periodo de retención definido y mecanismo de borrado automático al cierre.
  • Aviso de transparencia implementado: el usuario sabe que interactúa con IA y qué datos se procesan.
  • Mecanismo de derechos operativo: acceso, rectificación, borrado, oposición, portabilidad.
  • Supervisión humana designada si hay decisiones automatizadas con efecto significativo.
  • Control de acceso por mínimo privilegio (SSO/MFA) y entornos segregados.
  • Plan de incidentes con contactos, plazos (72h) y protocolo de notificación.
  • Logs de acceso y consultas habilitados con alertas básicas.

Regla de oro: Si no puedes demostrar con evidencias que cumples cada punto, no estás cumpliendo. El RGPD exige accountability (responsabilidad proactiva): no basta con no infringir, debes poder demostrar que cumples.

El RGPD como ventaja, no como obstáculo

Cumplir con el RGPD en tus proyectos de IA no es solo evitar sanciones (que pueden alcanzar los 20 millones de euros o el 4% de la facturación global). Es construir una base de confianza con tus clientes, una infraestructura de datos limpia que mejora la calidad de tu IA, y un modelo de gobernanza que te prepara automáticamente para el AI Act.

La preparación de datos representa entre el 60% y el 80% del presupuesto de cualquier proyecto de IA. Si esa preparación incluye desde el día uno la calidad, la minimización, la trazabilidad y los controles del RGPD, no estás añadiendo coste: estás haciendo bien el trabajo que de todas formas tendrías que hacer.

Si necesitas ayuda para preparar la DPIA de tu proyecto de IA, revisar los DPA con tus proveedores o implementar el modelo de gobernanza de datos que conecta RGPD, AI Act y operaciones, en Impulsa3 te acompañamos desde la clasificación hasta la producción.