PROTECCIÓN DE DATOS USANDO INTELIGENCIA ARTIFICIAL

Cuando una empresa adopta un sistema de inteligencia artificial para seleccionar candidatos, aprobar créditos, detectar fraudes o personalizar contenidos, no está simplemente automatizando una tarea. Está delegando en un algoritmo decisiones que afectan de forma directa y, a veces, irreversible a personas reales. Y esas personas tienen nombre, historial, circunstancias particulares, y derechos reconocidos en el ordenamiento jurídico europeo que no se suspenden porque la decisión la tome una máquina en lugar de un ser humano.

El Reglamento General de Protección de Datos no menciona la inteligencia artificial por su nombre, pero la regula con total eficacia. Los sistemas de IA que tratan datos personales —y la inmensa mayoría lo hacen— están sujetos a todos sus principios: licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad. No hay ningún asterisco que exima a un modelo de aprendizaje automático del cumplimiento de estas exigencias. Ninguno.

Delegar en un algoritmo no exime de responsabilidad. El responsable del tratamiento sigue siendo humano, identificable y plenamente accountable ante la ley.

Principio de responsabilidad proactiva

El punto de partida es siempre la base jurídica. Para que un sistema de IA pueda tratar datos personales, debe existir un fundamento legal que lo ampare: el consentimiento del interesado, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el cumplimiento de una misión de interés público, o el interés legítimo del responsable. Ninguna de estas bases es un cajón de sastre donde quepa cualquier cosa. El interés legítimo, que es la que con más frecuencia se invoca para justificar el uso de IA, exige igualmente ese test de ponderación que ya mencionamos en otros contextos: ¿es la medida necesaria?, ¿es proporcional?, ¿los derechos del interesado ceden razonablemente ante ese interés?

Pero hay un elemento que la irrupción de la IA ha colocado en primer plano con una urgencia renovada: la transparencia. Los modelos de aprendizaje automático, especialmente los más complejos, funcionan como cajas negras. Producen resultados sin que sea sencillo —ni para sus propios desarrolladores, en ocasiones— explicar con precisión por qué el sistema llegó a esa conclusión. Esto colisiona frontalmente con el derecho que asiste a toda persona de recibir una explicación comprensible sobre las decisiones que la afectan.

El artículo 22 y las decisiones automatizadas

El artículo 22 del RGPD es, en este contexto, una de las disposiciones más relevantes y menos conocidas del ordenamiento europeo de protección de datos. Reconoce a toda persona el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ella o la afecte de manera significativa. No es un derecho absoluto —admite excepciones— pero cuando opera, obliga al responsable a garantizar la intervención humana, la posibilidad de expresar el punto de vista propio y el derecho a impugnar la decisión.

En la práctica, este precepto tiene implicaciones enormes para sectores como la banca, los seguros, los recursos humanos o la administración pública. Un sistema que deniega un préstamo de forma automática, que descarta un currículum antes de que ningún ser humano lo haya leído, o que asigna una puntuación de riesgo sin intervención humana posterior, está en el radar directo de este artículo. El hecho de que la herramienta sea sofisticada y costosa no la convierte en legal. La sofisticación tecnológica no es un argumento jurídico.

Un sistema que deniega un préstamo de forma automática, que descarta un currículum antes de que ningún ser humano lo haya leído, está en el radar directo del artículo 22 del RGPD.

Decisiones automatizadas

La evaluación de impacto relativa a la protección de datos —la conocida EIPD— es otra herramienta que adquiere una dimensión especial en el contexto de la IA. El RGPD la exige siempre que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas. Y es difícil argumentar que un sistema de IA que elabora perfiles de comportamiento, predice conductas futuras o toma decisiones sobre colectivos vulnerables no entraña ese riesgo. La EIPD no es un formulario que se completa para archivar: es un análisis serio de los riesgos reales del sistema, de las medidas adoptadas para mitigarlos y de la proporcionalidad de la operación en su conjunto.

Los datos de entrenamiento y la fase de diseño

Hay una dimensión del problema que habitualmente queda fuera del foco cuando se habla de IA y protección de datos, y es la fase de entrenamiento de los modelos. Los grandes modelos de lenguaje, los sistemas de reconocimiento facial o los algoritmos de recomendación no nacen de la nada: se construyen sobre conjuntos de datos masivos que, con frecuencia, contienen información personal obtenida de internet, de registros corporativos, de bases de datos públicas o de otras fuentes cuyo origen y licitud no siempre está claro. Entrenar un modelo con datos personales es, a todos los efectos, un tratamiento sujeto al RGPD. La pregunta de con qué base jurídica se recopilaron esos datos y si los interesados fueron debidamente informados no desaparece porque los datos estén ya incorporados al modelo.

El principio de privacidad desde el diseño y por defecto —privacy by design and by default, recogido en el artículo 25 del RGPD— exige que la protección de datos no sea un añadido que se incorpora al final del proceso de desarrollo, sino una consideración que impregna cada decisión desde el inicio. Qué datos se recogen, cómo se almacenan, quién puede acceder a ellos, durante cuánto tiempo se conservan, qué ocurre cuando el modelo se actualiza o se descarta: todas estas cuestiones tienen una respuesta jurídica que debe estar pensada antes de que el sistema entre en producción, no cuando ya está causando problemas.

El Reglamento de IA y la nueva capa normativa

El Reglamento Europeo de Inteligencia Artificial, que comenzó su aplicación progresiva en 2024, no sustituye al RGPD sino que se superpone a él, creando una nueva capa normativa que las organizaciones deben gestionar de forma coordinada. Clasifica los sistemas de IA en función del riesgo que presentan —inaceptable, alto, limitado o mínimo— y establece obligaciones específicas para cada categoría. Los sistemas de alto riesgo, entre los que se encuentran los utilizados en contratación laboral, crédito, educación, seguridad crítica o justicia, están sujetos a requisitos de transparencia, supervisión humana, robustez técnica y documentación que van más allá de lo que el RGPD por sí solo exigía.

La convivencia de ambos marcos normativos no es sencilla, pero tampoco es contradictoria. El RGPD protege los datos de las personas; el Reglamento de IA protege a las personas de los sistemas que toman decisiones sobre ellas. Son dos instrumentos que se complementan y que, juntos, dibujan el perímetro de lo que una sociedad democrática considera admisible en el uso de la tecnología más transformadora de nuestro tiempo.

El reto para las organizaciones no es solo técnico ni solo jurídico. Es, en el fondo, ético. Usar la inteligencia artificial de forma responsable significa preguntarse no únicamente qué puede hacer el sistema, sino qué debería hacer, a quién beneficia realmente, qué sesgos incorpora y qué ocurre cuando se equivoca. Porque los algoritmos se equivocan. Y cuando lo hacen sobre personas reales, las consecuencias no son abstractas: son una persona que no consigue trabajo, un ciudadano que no obtiene un crédito, un paciente que no recibe el tratamiento adecuado. La inteligencia artificial es una herramienta extraordinariamente poderosa. Y el poder, como siempre, exige responsabilidad.