La AEPD ha dado un movimiento clave en el ecosistema regulatorio español: la publicación de su política de uso de Inteligencia Artificial Generativa. Un documento que, más allá del plano técnico, tiene un profundo calado jurídico y ético en el tratamiento de datos personales. 🤖📘
Lo relevante no es solo qué hace la AEPD con IA… sino cómo lo hace y qué implicaciones genera para el resto de Administraciones y entidades que quieran adoptar soluciones similares.
🔍 USOS DECLARADOS
La AEPD reconoce una variedad de usos que, aunque operativos, manejan información potencialmente delicada y exigen un alto estándar de cumplimiento:
🧑⚖️ 1. Asistencia jurídica y técnica
IA para preparar argumentos, estudios jurídicos o aproximaciones técnicas.
➡️ Esto plantea retos directos respecto a responsabilidad profesional, fiabilidad de la información, hallucinations y sesgos que podrían afectar a decisiones administrativas.
💬 2. Generación de borradores de respuesta a ciudadanos
Canales de atención, DPD o canal joven.
➡️ Aquí es clave garantizar la calidad del contenido, la no automatización indebida de decisiones y la preservación del derecho a información veraz.
📄 3. Clasificación y resumen de denuncias, reclamaciones o consultas
➡️ Se trata de un tratamiento masivo de datos personales, potencialmente sensibles, que exige controles reforzados de minimización, seguridad y limitación de finalidad.
🛠️ 4. Apoyo en la tramitación de expedientes y notificación de brechas
➡️ El uso de IA en estos flujos implica riesgos de acceso no autorizado, trazabilidad, y de interferencias en la gestión de incidentes.
🎧🎥 5. Transcripción de audio y vídeo procedente de fuentes abiertas
Incluso si no son confidenciales, pueden contener datos personales no estructurados, lo que demanda salvaguardas específicas.
📹✍️ 6. Transcripciones internas, privadas o confidenciales
Particularmente sensibles cuando incluyen reuniones institucionales.
➡️ Aquí la IA entra en espacios que requieren secreto profesional, confidencialidad reforzada, controles de acceso, y una clara delimitación de quién revisa qué y cuándo.
🔐 EL NÚCLEO DEL DEBATE
La pregunta no es si la IA es útil (lo es), sino si puede utilizarse sin comprometer derechos fundamentales.
Para que estos usos sean legítimos conforme al RGPD y a la LOPDGDD es imprescindible:
🛡️ 1. Una Evaluación de Impacto en Protección de Datos (EIPD) estricta y completa
Debe incluir:
- Análisis de riesgos algorítmicos
- Evaluación de sesgos
- Garantías de privacidad desde el diseño
- Medidas de control documental y auditoría
- Determinación clara de responsabilidades (¿encargo de tratamiento? ¿corresponsabilidad?)
👤 2. Supervisión humana efectiva
No basta con “alguien revisa al final”.