Nota legal: Inteligencia Artificial
Nuevas obligaciones de transparencia en el uso de Inteligencia Artificial: qué no puede faltar en tus Términos y Condiciones y Política de Privacidad
Introducción y objeto
El presente documento tiene por objeto informar a los operadores de plataformas digitales y a los responsables del tratamiento de datos personales sobre las nuevas obligaciones de transparencia derivadas del Reglamento (UE) 2024/1689, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, el «RIA«), así como su interacción con la normativa vigente en materia de protección de datos personales, en particular el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, el «RGPD«) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (en adelante, la «LOPDGDD«).
El RIA establece un marco escalonado de obligaciones, que se desarrolla en distintas fases temporales:
- 2 de febrero de 2025: entrada en vigor de las prohibiciones relativas a prácticas de IA consideradas de riesgo inaceptable.
- 2 de agosto de 2025: aplicación de las normas relativas a modelos de IA de uso general y del régimen sancionador.
- 2 de agosto de 2026: plena aplicación de las obligaciones de transparencia establecidas en el artículo 50 del RIA, que se suman a los requisitos de información previstos por el RGPD y la LOPDGDD, siendo aplicables de manera complementaria.
En particular, cuando los sistemas de IA incorporen tratamiento de datos personales, se deberá garantizar que la información facilitada a los usuarios sea clara, accesible, comprensible, diferenciada y suficiente, sin que esta obligación sustituya los mecanismos de transparencia técnica exigidos por el RIA.
El presente documento pretende servir como referencia para la adaptación de los Términos y Condiciones y la Política de Privacidad de las plataformas, con especial atención a los sistemas de IA, su funcionalidad, las decisiones automatizadas y los riesgos asociados, garantizando así el cumplimiento de la normativa aplicable y la protección de los derechos de los usuarios.
Análisis legal
A) Consideraciones previas
El Reglamento de IA introduce un enfoque normativo basado en el riesgo que impacta directamente en las obligaciones de transparencia de los operadores que desarrollan, integran o utilizan sistemas de inteligencia artificial. Este enfoque no sustituye, sino que complementa, el régimen ya existente en materia de protección de datos personales.
En este sentido, debe destacarse que las obligaciones de transparencia en el ámbito de la inteligencia artificial presentan una doble dimensión:
- Por un lado, la transparencia informativa exigida por el RGPD, que obliga a facilitar al interesado información sobre el tratamiento de sus datos personales de forma concisa, transparente, inteligible y de fácil acceso.
- Por otro, la transparencia técnica y funcional introducida por el RIA, que exige informar al usuario sobre la interacción con sistemas de IA, la naturaleza del contenido generado o manipulado, y determinadas características del funcionamiento del sistema.
Ambas dimensiones deben interpretarse de forma sistemática y complementaria, de manera que el cumplimiento de una no exime del cumplimiento de la otra. En consecuencia, los operadores deberán articular mecanismos de información que integren ambas exigencias, evitando duplicidades, pero garantizando un nivel de información suficiente, coherente y adaptado al contexto de uso.
Asimismo, estas obligaciones deben enmarcarse en el principio de responsabilidad proactiva previsto en el artículo 5.2 del RGPD, que exige no solo el cumplimiento material de la normativa, sino la capacidad de demostrar dicho cumplimiento, mediante políticas internas, registros de actividad del tratamiento, trazabilidad de decisiones automatizadas y mecanismos de control y supervisión de los sistemas de IA.
Por último, el cumplimiento de la transparencia no puede abordarse de forma aislada, sino en conexión con el enfoque basado en el riesgo que inspira el RIA. En este sentido, las obligaciones de información deberán adaptarse a la naturaleza, finalidad y potencial impacto del sistema de IA, siendo insuficientes por sí solas en aquellos supuestos en los que el sistema pueda calificarse como de alto riesgo, donde resultan exigibles obligaciones adicionales de gestión, evaluación y mitigación del riesgo.
Conviene señalar que las autoridades de control, en particular el Comité Europeo de Protección de Datos (CEPD), han insistido en la necesidad de evitar políticas de privacidad genéricas o abstractas, promoviendo un enfoque basado en la granularidad de la información y en la adecuación al riesgo del tratamiento, especialmente en entornos donde intervienen tecnologías de IA.
B) Sujetos obligados y ámbito de aplicación
El ámbito subjetivo de aplicación del RIA es amplio y abarca a distintos operadores dentro de la cadena de valor de un sistema de inteligencia artificial. En particular, resultan obligados:
- Los proveedores de sistemas de IA, entendidos como aquellas personas físicas o jurídicas que desarrollan o ponen en el mercado sistemas de IA o los ponen en servicio bajo su propio nombre o marca.
- Los responsables del despliegue (deployers), que utilizan sistemas de IA en el ejercicio de su actividad profesional o empresarial.
- Los importadores y distribuidores, en la medida en que introduzcan sistemas de IA en el mercado de la Unión Europea.
En el contexto específico de las plataformas digitales, resulta especialmente relevante la figura del responsable del despliegue, en la medida en que integra sistemas de IA (propios o de terceros) en sus servicios, interactuando directamente con los usuarios finales.
Desde una perspectiva material, las obligaciones de transparencia del artículo 50 del RIA resultan aplicables, entre otros supuestos, cuando:
- Los usuarios interactúan con sistemas de IA sin que resulte evidente dicha circunstancia.
- Se generan o manipulan contenidos mediante IA que puedan inducir a error sobre su naturaleza artificial (incluyendo deepfakes).
- Se emplean sistemas de reconocimiento de emociones o categorización biométrica de personas.
No obstante, estas obligaciones deben interpretarse en el marco del enfoque basado en el riesgo del RIA, distinguiendo entre sistemas sujetos a obligaciones de transparencia, es decir, los sistemas de IA de riesgo limitado, y aquellos clasificados como sistemas de alto riesgo, que quedan sometidos a requisitos adicionales de gobernanza, documentación, evaluación de conformidad y supervisión.
Por otra parte, cuando el uso de sistemas de IA implique tratamiento de datos personales, resultará plenamente aplicable el RGPD, lo que exige:
- La correcta identificación de los roles de responsable y encargado del tratamiento.
- La formalización de contratos.
- La garantía del cumplimiento de los principios de licitud, lealtad, transparencia, minimización y limitación de la finalidad.
En este último punto, reviste especial relevancia el uso de datos personales para el entrenamiento o mejora de modelos de IA, en la medida en que puede constituir una finalidad distinta de la prestación del servicio principal, requiriendo una base jurídica diferenciada y una evaluación específica de compatibilidad.
Debe subrayarse que la utilización de modelos de IA de terceros no exime al operador de sus obligaciones legales, siendo necesario evaluar las garantías ofrecidas por dichos proveedores, especialmente en relación con el tratamiento de datos personales, las transferencias internacionales y el cumplimiento del propio RIA.
C) Transparencia activa en la interacción con sistemas de IA
Uno de los pilares fundamentales del Reglamento de IA es la obligación de garantizar una transparencia activa en la interacción entre los sistemas de inteligencia artificial y los usuarios, que debe integrarse en la propia experiencia de usuario y no limitarse a su inclusión en textos legales.
A estos efectos, el RIA establece que los usuarios deben ser informados, de manera clara y en el momento oportuno, cuando estén interactuando con un sistema de IA, salvo que dicha circunstancia resulte evidente por el contexto. Esta obligación adquiere especial relevancia en el caso de chatbots, asistentes virtuales, sistemas de recomendación o cualquier otra interfaz que simule o sustituya la interacción humana.
La transparencia activa implica la implementación de un sistema de información estructurado en capas complementarias, que incluye:
- Una primera capa informativa en la interfaz, mediante avisos visibles, etiquetas o indicadores en el momento de la interacción (just-in-time notice).
- Una segunda capa en los textos legales, particularmente en los Términos y Condiciones y en la Política de Privacidad, donde se detallen las características, finalidades y funcionamiento del sistema.
- Una capa técnica, mediante el uso de metadatos, marcas de agua u otros mecanismos legibles por máquina, especialmente en relación con contenidos generados o manipulados por IA.
En relación con estos últimos, el RIA exige que determinados contenidos generados o alterados mediante IA, en particular aquellos que puedan inducir a error sobre su autenticidad, sean claramente identificables como tales, evitando confusión en los usuarios.
Desde la perspectiva del RGPD, esta obligación se refuerza cuando la interacción con IA conlleva el tratamiento de datos personales, en cuyo caso deberá informarse adicionalmente sobre:
- Las finalidades del tratamiento y su base jurídica.
- La existencia de decisiones automatizadas, incluyendo la elaboración de perfiles, cuando proceda.
- La lógica general aplicada, así como la importancia y consecuencias previstas de dicho tratamiento para el interesado.
En este sentido, la transparencia activa debe entenderse como un principio operativo que exige al responsable no solo informar, sino hacer comprensible el funcionamiento y el impacto de la IA en la experiencia del usuario, evitando prácticas engañosas o ambiguas, tales como el uso de lenguaje ambiguo, estructuras excesivamente complejas o diseños de interfaz que dificulten la comprensión o el acceso a la información relevante (dark patterns).
Finalmente, en aquellos supuestos en los que los sistemas de IA puedan tener un impacto significativo en los derechos y libertades de las personas, será necesario complementar estas medidas con evaluaciones de impacto y, en su caso, con medidas adicionales de mitigación del riesgo, en línea con el enfoque preventivo del RIA.
Implicaciones en los Términos y Condiciones de la plataforma
Los Términos y Condiciones (en adelante, los «T&Cs«) constituyen el instrumento jurídico idóneo para regular la relación contractual con el usuario y fijar las expectativas legítimas en el uso de sistemas de inteligencia artificial dentro de la plataforma.
A estos efectos, no resulta suficiente la inclusión de referencias genéricas al uso de IA, sino que los T&Cs deben incorporar cláusulas específicas que reflejen de forma clara, comprensible y coherente las funcionalidades, limitaciones y responsabilidades asociadas a dichos sistemas.
En particular, se recomienda incluir, como mínimo, los siguientes elementos:
A) Información sobre la interacción con sistemas de IA
Deberá incluirse una cláusula expresa que informe al usuario de que determinadas funcionalidades del servicio implican la interacción con sistemas automatizados, tales como chatbots, asistentes virtuales, sistemas de recomendación o herramientas de generación de contenido.
Asimismo, deberá precisarse el grado de intervención de la IA en cada caso, distinguiendo entre sistemas que:
- Se limitan a sugerir o recomendar contenidos.
- Priorizan o personalizan información.
- Ejecutan acciones o generan resultados de forma autónoma.
Esta información deberá ser coherente con los mecanismos de transparencia implementados en la interfaz.
B) Limitaciones del sistema y exclusión de garantías
Los T&Cs deberán recoger de forma expresa las limitaciones inherentes a los sistemas de IA, incluyendo:
- La posibilidad de errores, sesgos o resultados inexactos.
- La ausencia de garantías sobre la fiabilidad, exhaustividad o idoneidad de los resultados generados.
- La advertencia de que, en determinados ámbitos (por ejemplo, legal, médico o financiero), los resultados no sustituyen el asesoramiento profesional cualificado.
Asimismo, podrá contemplarse una cláusula de limitación de responsabilidad, siempre dentro de los límites legales aplicables, en relación con el uso de contenidos generados por IA.
C) Integridad de los mecanismos de transparencia
En línea con las obligaciones del RIA, los T&Cs deberán establecer la prohibición de:
- Eliminar, alterar u ocultar etiquetas, marcas de agua, metadatos u otros elementos que identifiquen contenidos generados o manipulados por IA.
- Utilizar los outputs de la plataforma de forma que puedan inducir a error sobre su origen artificial cuando exista obligación de identificación.
Esta previsión resulta esencial para garantizar la efectividad de las medidas de transparencia implementadas por el proveedor.
D) Propiedad intelectual y uso de contenidos generados
Deberá regularse expresamente el régimen aplicable a los contenidos generados mediante IA, incluyendo:
- La titularidad o, en su caso, el régimen de licencias sobre los outputs generados.
- Las condiciones de uso por parte del usuario, incluyendo la prohibición de infracción de derechos de terceros.
- La responsabilidad del usuario por el uso, difusión o explotación de dichos contenidos, especialmente en contextos públicos o profesionales.
E) Uso responsable y cumplimiento normativo
Se recomienda incorporar una cláusula que obligue al usuario a hacer un uso responsable de las funcionalidades de IA, en cumplimiento de la normativa aplicable, incluyendo el RIA, el RGPD y cualesquiera otras disposiciones sectoriales.
En particular, deberá preverse la prohibición de utilizar la plataforma para:
- Generar contenidos ilícitos o engañosos.
- Vulnerar derechos fundamentales de terceros.
- Eludir obligaciones de transparencia o identificación de contenidos generados por IA.
F) Actualización de funcionalidades de IA
Dado el carácter evolutivo de los sistemas de IA, los T&Cs deberán prever la posibilidad de modificar, actualizar o retirar funcionalidades basadas en IA, estableciendo mecanismos adecuados de información al usuario cuando dichos cambios tengan un impacto relevante en el servicio o en sus derechos.
Implicaciones en la Política de Privacidad
La Política de Privacidad debe reflejar de manera específica, granular y adaptada al uso de sistemas de IA el tratamiento de datos personales, superando enfoques genéricos e incorporando un bloque específico relativo al uso de inteligencia artificial en la plataforma.
A estos efectos, se recomienda estructurar la información del siguiente modo:
A) Uso de IA en la plataforma: funcionalidades y finalidades
Deberá incluirse un apartado específico que identifique de forma clara:
- Las funcionalidades que emplean sistemas de IA (soporte automatizado, recomendaciones, personalización, moderación, prevención de fraude, generación de contenido, etc.).
- Las finalidades concretas de cada tratamiento, evitando descripciones genéricas.
- La base jurídica aplicable a cada finalidad, de conformidad con el artículo 6 del RGPD.
Cuando los datos se utilicen para el entrenamiento o mejora de modelos de IA, esta finalidad deberá diferenciarse expresamente de la prestación del servicio principal.
B) Categorías de datos tratados
La Política de Privacidad deberá detallar las categorías de datos tratados en el contexto de la IA, incluyendo:
- Datos identificativos y de registro.
- Contenidos aportados por el usuario (mensajes, prompts, documentos, imágenes, audios).
- Datos derivados de la interacción (resultados generados, historiales de uso).
- Metadatos, identificadores técnicos y logs de actividad.
Asimismo, se recomienda diferenciar entre:
- Datos facilitados activamente por el usuario.
- Datos recogidos de forma automática o inferidos a partir del uso de la plataforma.
C) Decisiones automatizadas y elaboración de perfiles
En caso de que la plataforma utilice sistemas de IA para adoptar decisiones automatizadas con efectos jurídicos o significativamente similares, deberá informarse expresamente sobre:
- La existencia de dichas decisiones.
- La lógica general aplicada y los criterios principales.
- La importancia y consecuencias previstas para el usuario.
- Las garantías disponibles, incluyendo el derecho a obtener intervención humana, expresar su punto de vista e impugnar la decisión.
D) Roles, destinatarios y proveedores de IA
Deberá identificarse claramente:
- Quién actúa como responsable del tratamiento.
- Qué terceros actúan como encargados del tratamiento, incluyendo proveedores tecnológicos y de modelos de IA.
- La posible existencia de subencargados y otros destinatarios de los datos.
Asimismo, deberá informarse sobre las garantías exigidas a dichos proveedores, en particular en relación con el cumplimiento del RGPD y del RIA.
E) Transferencias internacionales de datos
En caso de que los datos personales sean transferidos fuera del Espacio Económico Europeo, deberá indicarse:
- La existencia de dichas transferencias.
- El mecanismo jurídico que las ampara (decisiones de adecuación, cláusulas contractuales tipo, normas corporativas vinculantes, etc.).
- Las garantías aplicables y la forma de obtener más información al respecto.
F) Plazos de conservación
Deberán especificarse los plazos de conservación aplicables a:
- Conversaciones y contenidos generados mediante IA.
- Prompts y datos introducidos por el usuario.
- Logs de seguridad, auditoría y control del sistema.
Asimismo, deberá justificarse la duración de dichos plazos en función de las finalidades del tratamiento.
G) Transparencia técnica y señalización
La Política de Privacidad deberá informar sobre los mecanismos utilizados para identificar contenidos generados o manipulados por IA, tales como:
- Etiquetas visibles en la interfaz.
- Metadatos o identificadores técnicos.
- Marcas de agua u otros sistemas de señalización.
Asimismo, deberá explicarse la finalidad de dichos mecanismos y su relación con las obligaciones de transparencia del RIA.
H) Tratamientos de alto riesgo y categorías especiales de datos
Cuando la plataforma utilice sistemas de IA que impliquen:
- Reconocimiento de emociones.
- Categorización biométrica.
- Tratamiento de categorías especiales de datos personales.
Deberá informarse expresamente sobre dichos tratamientos, así como sobre las garantías reforzadas aplicadas, incluyendo la realización de evaluaciones de impacto y las medidas de mitigación del riesgo.
I) Derechos de los interesados
Finalmente, deberá recordarse a los usuarios la posibilidad de ejercer sus derechos en materia de protección de datos (acceso, rectificación, supresión, oposición, limitación y portabilidad), así como el derecho a no ser objeto de decisiones automatizadas en los términos previstos en el RGPD.
Conclusión
La progresiva aplicación del Reglamento de IA, en coordinación con el Reglamento General de Protección de Datos y LOPDGDD, supone un cambio sustancial en las exigencias de transparencia aplicables a las empresas que desarrollan o integran sistemas de inteligencia artificial en sus productos y servicios.
En particular, obliga a las organizaciones a revisar de forma estructural no solo sus textos legales, sino también la forma en la que informan y se relacionan con los usuarios en entornos digitales.
En este contexto, los Términos y Condiciones y la Política de Privacidad dejan de ser documentos estáticos o meramente formales, para convertirse en instrumentos esenciales de cumplimiento normativo, que deben reflejar de manera fiel, coherente y comprensible el uso efectivo de sistemas de IA, sus finalidades, limitaciones y riesgos asociados.
En consecuencia, resulta altamente recomendable que las organizaciones lleven a cabo procesos de revisión y actualización integral de sus textos legales, en el marco de auditorías de privacidad y de sistemas de inteligencia artificial, que permitan:
- Identificar las funcionalidades de IA desplegadas y su impacto en los derechos de los usuarios.
- Verificar la adecuación de las bases jurídicas del tratamiento, especialmente en relación con el uso de datos para entrenamiento de modelos.
- Evaluar el cumplimiento de las obligaciones de transparencia, tanto a nivel documental como en la interfaz de usuario.
- Revisar las relaciones con proveedores tecnológicos y modelos de terceros, así como las posibles transferencias internacionales de datos.
- Detectar riesgos asociados a decisiones automatizadas o tratamientos de alto impacto y adoptar las medidas de mitigación correspondientes.
La ausencia de una revisión proactiva no solo incrementa el riesgo de incumplimiento normativo y de exposición al régimen sancionador del RIA y del RGPD, sino que también puede generar responsabilidades contractuales y reputacionales derivadas de una falta de transparencia efectiva frente a los usuarios.
En definitiva, la adaptación a este nuevo marco regulatorio exige un enfoque integral, preventivo y dinámico, en el que la actualización de los Términos y Condiciones y de la Política de Privacidad, junto con la realización de auditorías periódicas, se configura como una herramienta clave para garantizar el cumplimiento normativo, reforzar la confianza del usuario y minimizar riesgos legales en el uso de inteligencia artificial.
Candela Martín es abogada especialista en derecho digital, propiedad intelectual y protección de datos.
Graduada en Derecho por la Universidad de Granada, completó un doble máster en acceso a la abogacía y derecho digital en la Universidad de Navarra. Su práctica se centra en privacidad, comercio electrónico y contratación, con una visión proactiva y resolutiva en el asesoramiento a empresas del entorno tecnológico.
Artículos Relacionados
Data protection officer (DPO) ¿Qué hace y por qué debes conocerlo?
NFTs y Copyright. Aspectos legales a tener en cuenta
Abogados para emprendedores y startups
¿Por qué es abusiva la cláusula del derecho del usuario a seguir apostando?
Rectifying the name on a plane ticket or other means of transport should be free of charge according to the AEPD
GUÍA PARA UN E-COMMERCE SOBRE LA NUEVA LEY DE RESOLUCIÓN ALTERNATIVA DE LITIGIOS EN MATERIA DE CONSUMO