Saltar al contenido
Satya Legal - Abogados especializados en startups y derecho tecnológico en España
Volver al inicio

Regulación de la IA y datos sensibles: lo que exigen el RGPD y la LOPD a tu empresa

Regulación IA y datos sensibles: RGPD y LOPD - Satya Legal

La inteligencia artificial ya no es ciencia ficción: chatbots que atienden clientes, algoritmos que filtran currículos, modelos que analizan historiales médicos. El problema es que muchas de estas herramientas procesan datos personales sensibles sin que la empresa sea consciente de sus obligaciones legales. El Reglamento de IA de la UE (AI Act), el RGPD y la LOPD-GDD forman un marco normativo que toda organización que use IA debe conocer. Ignorarlo puede suponer sanciones de hasta 35 millones de euros o el 7 % del volumen de negocio mundial.

En resumen

  • El AI Act (Reglamento UE 2024/1689) clasifica los sistemas de IA por nivel de riesgo y prohíbe ciertos usos (scoring social, identificación biométrica masiva).
  • El RGPD exige base legal, transparencia y evaluación de impacto (EIPD) cuando la IA trata datos personales, especialmente categorías especiales (salud, biometría, origen étnico, opiniones políticas).
  • La LOPD-GDD refuerza las garantías en España: derechos digitales, obligaciones del DPD y régimen sancionador propio.
  • Las sanciones combinadas pueden alcanzar 35 M€ (AI Act) + 20 M€ (RGPD): un riesgo real para pymes y startups.
  • Realizar una Evaluación de Impacto en Protección de Datos (EIPD/DPIA) antes de desplegar IA es prácticamente obligatorio.

El AI Act europeo: clasificación por riesgo y prohibiciones

El Reglamento de IA de la UE (en vigor desde agosto de 2024, con aplicación escalonada hasta 2027) es la primera legislación integral sobre inteligencia artificial del mundo. Clasifica los sistemas de IA en cuatro niveles:

Nivel de riesgo Ejemplos Obligaciones
Inaceptable Scoring social, manipulación subliminal, identificación biométrica en tiempo real en espacios públicos Prohibido
Alto Selección de personal, evaluación crediticia, diagnóstico médico, sistemas de migración Evaluación de conformidad, registro en la UE, supervisión humana, transparencia, gestión de riesgos
Limitado Chatbots, deepfakes, generación de contenido con IA Obligaciones de transparencia: el usuario debe saber que interactúa con una IA
Mínimo Filtros de spam, recomendaciones de contenido, videojuegos Sin obligaciones específicas (recomendación de código de conducta)

Atención: Los sistemas de IA de alto riesgo que tratan datos biométricos, de salud o de categorías protegidas están sujetos simultáneamente al AI Act y al RGPD. Las obligaciones se acumulan, no se sustituyen.

Datos sensibles y categorías especiales: qué dice el RGPD

El artículo 9 del RGPD prohíbe, como regla general, el tratamiento de categorías especiales de datos: origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona, datos relativos a la salud, y datos relativos a la vida sexual u orientación sexual. La IA multiplica el riesgo porque puede inferir estos datos incluso cuando no se le proporcionan directamente (por ejemplo, deducir el estado de salud a partir de patrones de compra).

Excepciones del art. 9.2 RGPD que permiten tratar datos sensibles:

  • Consentimiento explícito del interesado para fines específicos.
  • Obligaciones en el ámbito laboral y de seguridad social.
  • Interés vital del interesado o de otra persona.
  • Interés público esencial (con base en el Derecho de la UE o del Estado miembro).
  • Fines de medicina preventiva, diagnóstico, tratamiento o gestión sanitaria.
  • Fines de investigación científica o estadística con garantías adecuadas.

La LOPD-GDD: refuerzo español del RGPD

La Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD) adapta el RGPD al ordenamiento español y añade garantías propias:

  • Derechos digitales (Título X): derecho a la desconexión digital, a la intimidad en el uso de dispositivos digitales en el entorno laboral, y a no ser objeto de decisiones basadas únicamente en procesos automatizados (art. 22 RGPD reforzado).
  • Delegado de Protección de Datos (DPD): obligatorio en supuestos adicionales a los del RGPD, como operadores de telecomunicaciones, centros sanitarios, aseguradoras o empresas de publicidad.
  • Régimen sancionador: infracciones leves (hasta 40.000 €), graves (hasta 300.000 €) y muy graves (hasta 20 M€ o el 4 % del volumen de negocio).
  • Tratamiento de datos de personas fallecidas: regulación específica que el RGPD no contempla.

Evaluación de Impacto (EIPD/DPIA): cuándo es obligatoria

El artículo 35 del RGPD obliga a realizar una Evaluación de Impacto en Protección de Datos cuando un tratamiento, por su naturaleza, alcance o fines, entrañe un alto riesgo para los derechos y libertades de las personas. En la práctica, casi cualquier uso de IA con datos personales la requiere, especialmente si concurren dos o más de estos factores:

Criterios que activan la EIPD:

  • Evaluación o scoring automatizado (perfiles de crédito, desempeño laboral).
  • Toma de decisiones automatizadas con efectos jurídicos o significativos.
  • Vigilancia sistemática (videovigilancia con IA, monitorización de empleados).
  • Tratamiento de categorías especiales de datos a gran escala.
  • Uso de nuevas tecnologías (IA generativa, reconocimiento facial, análisis predictivo).
  • Cruce o combinación de conjuntos de datos de distintas fuentes.

La EIPD no es un trámite burocrático: es el documento que demuestra que tu empresa ha identificado los riesgos, ha aplicado medidas para mitigarlos y ha consultado al DPD (o, en su caso, a la AEPD). Sin ella, una sanción por tratamiento irregular se agrava considerablemente.

Casos prácticos: IA y datos sensibles en el día a día

1. Selección de personal con IA

Si usas un algoritmo para filtrar CVs, es un sistema de IA de alto riesgo (AI Act, Anexo III). Puede inferir datos sensibles (edad, origen étnico, discapacidad) a partir del CV. Necesitas: EIPD, supervisión humana efectiva, transparencia con los candidatos (art. 22 RGPD) y registro como sistema de alto riesgo.

2. Chatbot de atención al cliente

Si tu chatbot con IA generativa recoge datos personales (nombre, email, consultas que pueden revelar estado de salud o situación financiera), necesitas: informar de que interactúa con IA (AI Act, riesgo limitado), política de privacidad actualizada, base legal (consentimiento o ejecución de contrato) y medidas para evitar que el modelo almacene o reentrene con datos sensibles.

3. Análisis predictivo en salud o seguros

Modelos que predicen riesgo de enfermedades o calculan primas de seguros tratan datos de salud (categoría especial). Requieren: consentimiento explícito o base legal específica (art. 9.2 RGPD), EIPD obligatoria, cifrado y seudonimización, y garantía de derecho de oposición y explicación de la decisión automatizada.

4. Reconocimiento facial en el trabajo

Instalar un sistema de control de acceso biométrico con reconocimiento facial es un tratamiento de datos biométricos (categoría especial) y un sistema de IA de alto riesgo. Además del RGPD y el AI Act, en España la AEPD ha emitido criterios estrictos: solo es proporcionado si no existe alternativa menos invasiva.

Sanciones: el coste de no cumplir

Régimen sancionador acumulativo:

  • AI Act: hasta 35 M€ o 7 % del volumen de negocio mundial por prácticas prohibidas; hasta 15 M€ o 3 % por incumplimientos de sistemas de alto riesgo.
  • RGPD: hasta 20 M€ o 4 % del volumen de negocio mundial por infracciones graves (falta de base legal, vulneración de derechos de los interesados, ausencia de EIPD).
  • LOPD-GDD: infracciones muy graves hasta 20 M€ o 4 % del volumen de negocio; infracciones graves hasta 300.000 €.

Ejemplo real: La AEPD sancionó a CaixaBank con 6 M€ (2021) por deficiencias en la información sobre tratamientos y bases legales. Con la IA, estos riesgos se multiplican.

Obligaciones concretas: qué debe hacer tu empresa

Checklist: IA, datos sensibles y cumplimiento normativo

  • 1. Inventario de sistemas de IA — Identifica todos los sistemas de IA que usa tu empresa (propios o de terceros) y clasifícalos según el nivel de riesgo del AI Act.
  • 2. Mapeo de datos personales — Determina qué datos personales trata cada sistema, si incluyen categorías especiales y cuál es la base legal.
  • 3. Evaluación de Impacto (EIPD) — Realiza una DPIA para cada sistema de IA que trate datos personales con alto riesgo. Documenta riesgos, medidas y conclusiones.
  • 4. Transparencia e información — Actualiza la política de privacidad para informar del uso de IA, las finalidades, la lógica aplicada y las consecuencias del tratamiento automatizado.
  • 5. Supervisión humana — Garantiza que las decisiones automatizadas con efectos jurídicos o significativos puedan ser revisadas por una persona (art. 22 RGPD + AI Act).
  • 6. Derechos de los interesados — Implementa mecanismos para atender derechos de acceso, rectificación, supresión, oposición y, especialmente, el derecho a no ser objeto de decisiones automatizadas.
  • 7. Contratos con proveedores de IA — Revisa los contratos con proveedores de herramientas de IA: cláusulas de encargado de tratamiento, ubicación de datos, subprocesadores, medidas de seguridad.
  • 8. DPD y gobernanza — Valora si necesitas un Delegado de Protección de Datos y establece un comité o protocolo de gobernanza de IA.
  • 9. Formación — Forma a los equipos que usan IA sobre los riesgos, las obligaciones y las buenas prácticas en protección de datos.
  • 10. Registro y documentación — Mantén el registro de actividades de tratamiento actualizado con los sistemas de IA y conserva evidencia del cumplimiento (accountability).

Calendario de aplicación del AI Act

Fecha Hito
Agosto 2024 Entrada en vigor del Reglamento
Febrero 2025 Prohibición de prácticas de IA de riesgo inaceptable
Agosto 2025 Obligaciones para modelos de IA de propósito general (GPAI)
Agosto 2026 Aplicación completa: obligaciones para sistemas de IA de alto riesgo
Agosto 2027 Obligaciones para sistemas de alto riesgo integrados en productos regulados (Anexo I)

Servicios relacionados

¿Tu empresa usa IA y no sabes si cumple el RGPD y el AI Act?

En Satya Legal te ayudamos con la evaluación de impacto, la adaptación de contratos con proveedores de IA, la política de privacidad y el cumplimiento del nuevo Reglamento europeo de inteligencia artificial. Evita sanciones y protege a tu empresa.

Contactar con Satya Legal

Compartir

Contenido Relacionado

Artículos Relacionados

Ecommerce y RGPD: obligaciones, sanciones y cómo cumplir en tu tienda online

Ecommerce y RGPD: obligaciones, sanciones y cómo cumplir en tu tienda online

Guía sobre cumplimiento RGPD en ecommerce: bases legales, consentimiento, política de privacidad, cookies y registro. Riesgo de sanciones y checklist.

Leer más →
Textos legales web: términos y condiciones, aviso legal, privacidad y cookies en B2B y ecommerce

Textos legales web: términos y condiciones, aviso legal, privacidad y cookies en B2B y ecommerce

Importancia de los textos legales en la contratación, B2B y B2C, ley del consumidor, RGPD, cookies y ecommerce: devoluciones, desistimiento e información precontractual.

Leer más →
Regulación Europea de Criptoactivos MiCA

Regulación Europea de Criptoactivos MiCA

Análisis completo de la regulación MiCA para criptoactivos en Europa

Leer más →

Servicios Relacionados

RGPD para Startups Derecho Tecnológico