Tratamientos que incluyen la Inteligencia Artificial
La AEPD ha publicado un mapa de referencia actualizado para orientar a organizaciones que realicen tratamientos de datos personales mediante tecnologías de inteligencia artificial (IA). Esta hoja de ruta ayuda a cumplir con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
Marco normativo clave
El documento integra la IA en el marco normativo europeo más reciente, incluyendo:
Reglamento de IA (UE) 2024/1689: establece normas armonizadas sobre sistemas de IA.
Reglamento de Datos (UE) 2023/2854: regula el acceso y uso justo de datos.
Reglamento de Gobernanza de Datos (UE) 2022/862.
Reglamento sobre el Espacio Europeo de Datos de Salud (UE) 2025/327.
Evaluación de riesgos y medidas preventivas
El tratamiento de datos mediante IA exige una gestión de riesgos rigurosa y, en muchos casos, una Evaluación de Impacto en Protección de Datos (EIPD). La AEPD recomienda:
Aplicar principios de privacidad desde el diseño y por defecto.
Realizar auditorías específicas cuando se use IA.
Notificar brechas de seguridad siguiendo su guía oficial.
Decisiones automatizadas y perfilado
Se hace énfasis en:
Evitar decisiones automatizadas sin intervención humana, salvo excepciones permitidas por la ley.
Asegurar la transparencia y explicabilidad de los sistemas.
Informar adecuadamente a los afectados y permitirles ejercer sus derechos (oposición, acceso, revisión humana, etc.).
¿Qué diferencia hay entre un tratamiento automatizado y uno con IA?
Un tratamiento automatizado puede no implicar IA, como una simple regla condicional. La IA añade una capa de complejidad al incluir algoritmos que aprenden patrones y generan inferencias, a menudo sin intervención directa humana.
¿La IA puede tratar datos personales sensibles?
Solo bajo condiciones muy estrictas. El tratamiento de categorías especiales de datos requiere una base legal específica, medidas de seguridad reforzadas y, en muchos casos, una evaluación de impacto en la protección de datos (EIPD).
¿Es obligatorio hacer una evaluación de impacto cuando se usa IA?
Sí, en la mayoría de los casos. Si el tratamiento con IA puede suponer un alto riesgo para los derechos y libertades de las personas, es obligatorio realizar una EIPD antes de comenzar el tratamiento.
¿Se puede usar IA con fines comerciales respetando la privacidad?
Sí, pero siempre que se respeten los principios del RGPD, se obtenga el consentimiento cuando sea necesario y se garantice la transparencia en el uso de los datos personales.
En Forlopd mantenemos nuestro compromiso con la privacidad de la información, ayudando a empresas y profesionales a adaptar sus procesos acorde a la normativa de protección de datos personales y la Ley de Protección de Datos Personales y Garantía de los Derechos Digitales. Si necesitas saber si tu organización cumple con las exigencias en materia de protección de datos, puedes solicitar un informe de cumplimiento a través del siguiente enlace.
Entradas relacionadas:
Cómo denunciar llamadas de spam a la Agencia Española de Protección de Datos
La importancia de un Protocolo de Prevención de Acoso Sexual
Consultoría LOPD vs consultoría RGPD
¿Cómo se deben tratar las firmas según el RGPD?
¿En qué consiste el deber de confidencialidad?
Orange es multada con 50 millones en Francia por colocar publicidad en el Mail sin consentimiento
Comportamientos de los empleados y riesgo en la protección de datos
Inteligencia Artificial en el Transporte Público: ¿Podrá Barcelona Superar el Reto de la Protección de Datos?
