¿Cuáles son los conceptos erróneos de la inteligencia artificial según la AEPD?
La inteligencia artificial generativa (IAG) representa uno de los desarrollos tecnológicos más disruptivos del presente, con implicaciones profundas en la forma en que se procesan, reutilizan y generan datos. Sin embargo, como método de desarrollo de aplicaciones y servicios, se basa en un uso intensivo de información, lo que plantea cuestiones fundamentales en el marco del Reglamento General de Protección de Datos (RGPD). Tal como advierte el considerando 7 del propio RGPD, el avance tecnológico requiere “un marco más sólido y coherente para la protección de datos en la Unión Europea”, con el fin de sostener la confianza ciudadana.
En este contexto resulta esencial examinar los desafíos que plantea la IAG desde la perspectiva de la protección de datos personales. La Information Commissioner’s Office (ICO), autoridad británica en protección de datos, ha llevado a cabo una consulta pública sobre los usos que hace el sector de áreas específicas de IAG, publicando una serie de aclaraciones sobre conceptos erróneos comunes detectados. Estas aclaraciones buscan guiar a los desarrolladores hacia el cumplimiento normativo en protección de datos, dada la creciente relevancia de estos sistemas en el ámbito digital.
Aclaraciones de la AEPD sobre la encuesta de ICO
Por su parte, la Agencia Española de Protección de Datos (AEPD) ha querido comentar y enfatizar estas aclaraciones, analizándolas junto con la publicación que ya realizó en 2022 la AEPD junto con el Supervisor Europeo de Protección de Datos, donde identificaron los malentendidos comunes sobre el machine learning.
En definitiva, la AEPD deja claro que estas aclaraciones buscan guiar a los desarrolladores hacia el cumplimiento normativo en protección de datos, dada la creciente relevancia de estos sistemas en el ámbito digital.
Conceptos erróneos de la IAG
Entre los conceptos erróneos que se identifican se encuentran los siguientes:
1. El tratamiento «incidental» o «agnóstico» de datos personales sigue constituyendo un tratamiento de datos personales, por tanto, se aplica la protección de datos.
Los desarrolladores de IA generativa deben evaluar, con precisión y de forma previa, si sus modelos manejan datos personales y, en su caso, garantizar el cumplimiento de la normativa aplicable.
Es decir, aunque algunos desarrolladores aseguren que el tratamiento de datos personales es accidental o no intencionado, esto no exime del cumplimiento del RGPD. Cualquier uso de datos personales, incluso incidental, está sujeto a la normativa de protección de datos.
2. La práctica común no equivale a satisfacer las expectativas razonables de las personas.
El principio de transparencia exige que los responsables del tratamiento informen de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre el uso de los datos personales, y en este caso, tal principio deberá aplicarse al entrenamiento de los modelos y la reutilización de datos personales con fines distintos a los originalmente previstos.
Por tanto, el uso de datos personales para el entrenamiento de modelos de IA sin haber informado previamente a los usuarios de forma debida contraviene el principio de transparencia del RGPD. A pesar de que dichos datos se obtengan mediante técnicas como web scraping o web crawling, resulta imprescindible informar de forma clara y accesible a los perjudicados sobre el uso que se va a dar de sus datos personales.
3. No existe diferencia entre «información de identificación personal» y «datos personales».
Para garantizar el cumplimiento normativo en protección de datos debe considerarse el tratamiento de cualquier «dato personal». Dicho concepto es más amplio y legalmente definido en el RGPD, por lo que incluye cualquier información relativa a una persona física identificada o identificable.
4. La jurisprudencia sobre motores de búsqueda no se aplica directamente a la IAG.
Algunos desarrolladores han intentado ampararse en resoluciones del TJUE sobre motores de búsqueda para justificar prácticas vinculadas al entrenamiento de modelos de IA. Este paralelismo resulta jurídicamente limitado. Mientras los buscadores indexan información existente, la IA generativa crea contenido nuevo, sintetizado a partir de grandes cantidades de datos, lo que introduce riesgos adicionales.
Además, los mecanismos para ejercer derechos (como el derecho al olvido) están mucho más desarrollados en los motores de búsqueda que en los modelos de IAG. Esto exige un análisis normativo diferenciado y más exigente para garantizar que los derechos de los interesados sean respetados.
5. Los modelos de IA pueden retener y divulgar datos personales.
Un argumento frecuente es que los modelos de IA no “almacenan” datos personales, sino que solo los procesan para entrenarse.
Esta defensa es insostenible cuando los modelos tienen la capacidad de reproducir, de forma literal o aproximada, fragmentos de datos personales utilizados durante el entrenamiento. Esta posibilidad, que se ha documentado técnicamente en diversos estudios, activa el principio de minimización de datos y la obligación de implementar medidas que impidan la recuperación no deseada de datos sensibles o identificables.
6. La protección de datos no es una herramienta para evaluar la legalidad en otros marcos.
Aunque el cumplimiento del RGPD puede relacionarse con otras normativas (por ejemplo, propiedad intelectual, derecho laboral o inteligencia artificial, entre otras), las autoridades de protección de datos no tienen competencia para interpretar esas materias.
El RGPD se centra exclusivamente en el tratamiento de datos personales, y no puede usarse para determinar la legalidad general del uso de una tecnología. Esto no exime a los responsables de IA de realizar un análisis normativo transversal, pero sí aclara los límites del ámbito de actuación de las autoridades.
7. No existe una «excepción” para la IAG en la normativa de protección de datos.
Las organizaciones deben ser conscientes de que no hay excepciones generales ni exenciones para la IA generativa. Si una organización está tratando datos personales, en cualquier contexto, se aplicará toda la normativa de protección de datos.
Además, el artículo 25 del RGPD impone una obligación clara: diseñar y desarrollar tecnologías que respeten la privacidad desde el origen. En el caso de la IA generativa, esto significa establecer límites desde la fase de diseño, evaluando los riesgos y anticipando mecanismos de control, supervisión y transparencia.
La protección de datos como pilar de la IA responsable
Los conceptos erróneos identificados por el ICO y refrendados por la AEPD no son meros detalles técnicos, ya que reflejan una profunda desconexión entre el desarrollo tecnológico y el marco normativo vigente.
Por tanto, la inteligencia artificial generativa no opera en un vacío legal, sino que está sujeta a reglas claras, con base en principios fundamentales como la transparencia, la responsabilidad proactiva y la protección efectiva de los derechos de los interesados.
En un momento en que la innovación se acelera, corresponde a los responsables del tratamiento y a los desarrolladores integrar la protección de datos como un componente esencial desde el diseño tecnológico. Solo así podrá garantizarse una transformación digital respetuosa con la legalidad y con los valores democráticos en los que se sustenta el marco jurídico europeo.
Candela Martín es abogada especialista en derecho digital, propiedad intelectual y protección de datos.
Graduada en Derecho por la Universidad de Granada, completó un doble máster en acceso a la abogacía y derecho digital en la Universidad de Navarra. Su práctica se centra en privacidad, comercio electrónico y contratación, con una visión proactiva y resolutiva en el asesoramiento a empresas del entorno tecnológico.
Artículos Relacionados
Aprobado Anteproyecto de Ley para un uso ético, inclusivo y beneficioso de la inteligencia artificial
Derecho de autor en inteligencia artificial: ¿quién es el autor de las creaciones generadas por IA?
¿Los modelos IA son plagio o síntesis? ¿Qué opina el Tribunal de Nueva York sobre la inteligencia artificial y los derechos de autor?
¿Por qué la inteligencia artificial de WhatsApp no está disponible en Europa?
El derecho al olvido en la era de la inteligencia artificial
El impacto de la inteligencia artificial en la propiedad intelectual y derechos de imagen