IA agéntica y protección de datos: el nuevo reto legal de los sistemas que deciden y actúan por sí solos
La inteligencia artificial agéntica representa una evolución relevante respecto de los sistemas de IA tradicionales. Ya no hablamos únicamente de herramientas que generan texto, clasifican información o formulan recomendaciones, sino de sistemas capaces de planificar tareas, tomar decisiones intermedias, interactuar con otras aplicaciones y ejecutar acciones con cierto grado de autonomía. En el ámbito empresarial, estos agentes pueden reservar reuniones, seleccionar proveedores, priorizar candidatos, gestionar reclamaciones, lanzar comunicaciones comerciales o modificar parámetros de una plataforma sin intervención humana directa en cada paso.
Desde la perspectiva de protección de datos, este cambio no es menor. El Reglamento General de Protección de Datos (RGPD) ya contemplaba los riesgos de las decisiones automatizadas, especialmente cuando producen efectos jurídicos o afectan significativamente a las personas. El artículo 22 RGPD reconoce el derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, cuando concurran esos efectos relevantes. La IA agéntica intensifica este debate porque no solo «decide», sino que también «actúa»: ejecuta instrucciones, encadena procesos y puede generar consecuencias prácticas antes de que una persona revise el resultado.
El reto jurídico principal está en determinar quién controla realmente el tratamiento. En un sistema agéntico intervienen, habitualmente, varios actores: el proveedor del modelo, el desarrollador del agente, la empresa que lo implementa, los servicios conectados mediante API y, en ocasiones, terceros cuyos datos son tratados indirectamente. Esta arquitectura dificulta identificar con claridad al responsable, al encargado y a los posibles corresponsables del tratamiento. Sin una asignación contractual y operativa precisa de roles, la organización que despliega el agente puede asumir riesgos importantes en materia de licitud, transparencia, seguridad y responsabilidad proactiva.
La base jurídica del tratamiento es otro punto crítico. Muchos agentes funcionan accediendo a grandes volúmenes de datos personales: correos electrónicos, historiales de clientes, expedientes internos, información laboral, preferencias de usuarios o datos inferidos. No basta con invocar de forma genérica el interés legítimo o la ejecución de un contrato. La entidad deberá justificar qué datos necesita el agente, con qué finalidad concreta, durante cuánto tiempo, bajo qué límites y qué garantías se aplican para evitar usos incompatibles. El principio de minimización cobra especial relevancia: un agente no debería tener acceso ilimitado a todos los sistemas corporativos por mera conveniencia técnica.
También se refuerza la obligación de transparencia. Las personas afectadas deben poder entender, al menos de forma significativa, que existe un tratamiento automatizado, qué lógica general se emplea, qué datos influyen en la decisión y qué consecuencias puede tener. Las directrices europeas sobre decisiones automatizadas y elaboración de perfiles insisten en la necesidad de informar adecuadamente al interesado y de articular garantías efectivas frente a decisiones automatizadas relevantes. En sistemas agénticos, esta información debe ser aún más clara, porque la cadena decisional puede ser dinámica y difícil de explicar si no se documenta desde el diseño.
La intervención humana es, probablemente, uno de los elementos más delicados. No basta con introducir una revisión simbólica o meramente formal. Para que exista una garantía real, la persona que supervisa debe tener autoridad, competencia y capacidad efectiva para modificar o revertir la decisión del sistema. En otras palabras, el llamado human in the loop no puede convertirse en un trámite vacío. Cuando el agente adopta decisiones que afectan a contratación, crédito, precios personalizados, acceso a servicios, gestión laboral o reclamaciones, la supervisión humana debe estar integrada en el procedimiento y no aparecer solo cuando el daño ya se ha producido.
A ello se suma el Reglamento Europeo de Inteligencia Artificial. El Reglamento de IA entró en vigor el 1 de agosto de 2024 y establece un marco de obligaciones graduado en función del riesgo del sistema. Aunque no sustituye al RGPD, ambos marcos se complementan: el Reglamento de IA se centra en la seguridad, trazabilidad, gobernanza y control del sistema, mientras que el RGPD protege los derechos y libertades de las personas respecto del tratamiento de sus datos. La CNIL ha destacado precisamente que las obligaciones del Reglamento de IA y del RGPD pueden aplicarse conjuntamente cuando un sistema de IA trata datos personales.
En la práctica, las empresas que quieran desplegar IA agéntica deberán adoptar un enfoque preventivo. Antes de activar un agente, conviene realizar un mapa de tratamientos, evaluar si procede una evaluación de impacto en protección de datos, delimitar permisos de acceso, registrar instrucciones, configurar límites de actuación, auditar resultados y prever mecanismos de reclamación. Además, será recomendable establecer políticas internas sobre qué decisiones puede adoptar el agente de forma autónoma y cuáles requieren aprobación humana previa.
La seguridad también exige una atención específica. Un agente conectado a sistemas internos puede convertirse en una vía de exposición de datos si recibe instrucciones maliciosas, interpreta erróneamente una orden o accede a información que no necesita. Por ello, deben aplicarse controles de segregación, registros de actividad, pruebas de robustez, medidas contra inyección de instrucciones y procedimientos de bloqueo o desconexión rápida.
En definitiva, la IA agéntica no elimina las obligaciones tradicionales de protección de datos: las amplifica. La autonomía técnica no puede traducirse en opacidad jurídica. Las organizaciones que incorporen agentes inteligentes deberán demostrar que mantienen el control sobre las finalidades, los datos, las decisiones y las consecuencias del sistema. El verdadero desafío legal no será impedir que la IA actúe, sino garantizar que lo haga dentro de límites verificables, transparentes y respetuosos con los derechos fundamentales.
IP/IT Lawyer
Artículos Relacionados
Software licenses: basic categories
Apúntate al seminario de Letslaw “ Retos legales para Startups ” en Google Campus Madrid
¿Cómo evitar sanciones de protección de datos en entornos médicos?
Pharmaceutical companies fined for using the Meta pixel
What will the future Law for the Creation and Growth of Companies consist of?
LA MUJER COMO OBJETO EN LA PUBLICIDAD
