La inteligencia artificial generativa crea contenidos nuevos (textos, imágenes, música y vídeos) a partir de cantidades masivas de datos existentes, imitando patrones y estructuras aprendidas de sus datos de entrenamiento.
El Supervisor Europeo de Protección de Datos (SEPD) publicó, el 3 de junio de 2024, las Primeras Orientaciones del SEPD para garantizar el cumplimiento de la normativa de protección de datos al utilizar sistemas de IA generativa dirigidas a las instituciones, órganos, oficinas y agencias de la Unión Europea (EUI, por sus siglas en inglés). El 28 de octubre de 2025 se presentó una actualización (versión 2).
La versión revisada ofrece orientaciones más detalladas y prácticas, incorporando una lista de comprobación de cumplimiento, una definición refinada de IA generativa, mayor claridad sobre roles en la cadena de suministro y atención a la evolución tecnológica (como riesgos emergentes en el ciclo de vida de los modelos). Se estructura en torno a 16 preguntas clave que cubren todas las fases del ciclo de vida de la IA generativa.
El objetivo es garantizar que el tratamiento de datos personales por las EUIs en el uso de sistemas de IA generativa se ajusta al Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE.
El SEPD reitera que «no hay ningún obstáculo, en principio, para que las EUI puedan desarrollar, implementar y utilizar sistemas de IA generativa en la prestación de servicios públicos, siempre que las normas lo permitan y se cumplan todos los requisitos legales aplicables, especialmente considerando la responsabilidad especial del sector público para garantizar el pleno respeto de los derechos y libertades fundamentales de las personas al utilizar las nuevas tecnologías».
Para garantizar el cumplimiento de la protección de datos personales, las orientaciones del SEPD giran en torno a cuatro ejes:
1.- El papel crucial del Delegado de Protección de Datos (DPD)
Los DPD desempeñan un papel esencial en la garantía de la licitud del tratamiento de los datos personales. Cuando un desarrollador o proveedor afirme que su sistema de IA no procesa datos personales (por ejemplo, porque utilice datos anonimizados o sintéticos), el DPD deberá analizar los controles establecidos para verificar dicha afirmación, comprobar que exista una base jurídica que legitime el tratamiento de datos personales (como el consentimiento de los interesados, el interés legítimo del responsable, el cumplimiento de una obligación legal o el ejercicio de poderes públicos conforme al Derecho de la Unión) y asesorar al responsable en la realización de evaluaciones de impacto en la protección de datos, dentro de sus funciones de supervisión y asesoramiento.
Es evidente que los DPD deberán realizar un esfuerzo en formación para comprender cómo funcionan los sistemas de IA generativa. En caso contrario, su labor de asesoramiento resultará imposible.
2.- Principios de minimización y exactitud de los datos en relación con los sistemas de IA
El principio de minimización de datos exige que los datos personales objeto de tratamiento sean adecuados, pertinentes y se limiten a lo necesario en relación con los fines para los que se procesan, evitando el tratamiento indiscriminado.
El SEPD destaca que es una idea errónea pensar que el principio de minimización de datos personales no tiene cabida en el contexto de la inteligencia artificial.
En cuanto al principio de exactitud, los datos personales empleados serán exactos y estarán actualizados, de forma que el responsable del tratamiento deberá eliminar los datos personales que sean inexactos.
Cuando los EUIs utilicen un sistema proporcionado por un tercero deben obtener garantías contractuales sobre los procedimientos utilizados para garantizar la exactitud de los datos utilizados. Esto incluye procedimiento de recopilación de datos y de preparación como anotación, etiquetado, enriquecimiento y agregación, así como identificación de posibles lagunas y problemas que puedan afectar a la precisión.
3.- Información y transparencia hacia los interesados
Unas políticas adecuadas de información y transparencia pueden ayudar a mitigar los riesgos para las personas. Esto implica contar con información completa sobre las actividades de procesamiento realizadas en las diferentes etapas de desarrollo, incluido el origen de los conjuntos de datos, el procedimiento de curación/etiquetado, así como cualquier información asociada al tratamiento.
Ciertos sistemas, como los chatbots pueden requerir requisitos de transparencia específicos, incluida la información a las personas de que están interactuando con un sistema de inteligencia artificial sin intervención humana.
Dado que el derecho a la información incluye la obligación de proporcionar a las personas, en casos de elaboración de perfiles y decisiones automatizadas, información significativa sobre la lógica de dichas decisiones, así como su significado y posibles consecuencias para las personas, es importante que el EUI mantenga información actualizada, no sólo sobre el funcionamiento de los algoritmos utilizados, sino también sobre los conjuntos de datos de procesamiento.
4.- Decisiones automatizadas, elaboración de perfiles y equidad (evitación de sesgos)
El RGPD prohíbe las decisiones automatizadas sin intervención humana, incluida la elaboración de perfiles, que produzcan efectos legales o significativos en los interesados, salvo que exista una necesidad contractual, consentimiento o autorización en virtud del Derecho de la Unión o de los Estados miembros. En cualquier caso, estas excepciones deben ir acompañadas de medidas para salvaguardar los derechos y libertades de los interesados, quedando prohibido el tratamiento de las categorías especiales de datos, a menos que se cuente con su consentimiento.
El SEPD destaca la importancia de garantizar las protecciones individuales, como el derecho a obtener intervención humana, a expresar el propio punto de vista y a impugnar las decisiones automatizadas. Asimismo, advierte sobre los riesgos específicos y los posibles perjuicios que los sistemas de IA generativa pueden generar en el contexto de la toma de decisiones automatizada, especialmente en lo que respecta a las poblaciones vulnerables y a los menores.
Asimismo, el SEPD recomienda a las EUI comprobar y supervisar periódicamente los resultados del sistema para detectar sesgos, así como evitar confiar excesivamente en los resultados proporcionados por sistemas que pueden generar sesgos de automatización y de confirmación.
5.- Seguridad de los datos
La IA generativa puede amplificar los riesgos de seguridad existentes o crear otros nuevos, incluso generando nuevas fuentes y canales de transmisión de riesgos sistémicos en el caso de modelos ampliamente utilizados. Los riesgos derivan de datos de entrenamiento poco confiables, complejidad de los sistemas, opacidad y vulnerabilidades sistémicas.
El SEPD insta a adoptar medidas técnicas y organizativas adecuadas: fuentes confiables, formación del personal, monitoreo continuo, técnicas de «red teaming» para exponer vulnerabilidades y controles específicos contra riesgos conocidos.
Más orientaciones
En la versión revisada se destacan los siguientes aspectos:
- Necesidad de determinar roles (responsable, encargado o corresponsables) caso por caso.
- Bases legales diferenciadas para fases de desarrollo y despliegue (por ejemplo, interés público).
- Evaluación de impacto en la protección de datos obligatoria para tratamientos de alto riesgo.
- Ejercicio de derechos de los interesados, con desafíos de trazabilidad en datasets masivos.
