IA en WhatsApp y Google Search: desafíos de privacidad y cumplimiento del RGPD

 IA en WhatsApp y Google Search: desafíos de privacidad y cumplimiento del RGPD

La reciente integración de Meta AI en WhatsApp (en España) ha suscitado un intenso debate jurídico sobre protección de datos personales. Aunque WhatsApp mantiene el cifrado de extremo a extremo en los chats privados, dicho cifrado no cubre las conversaciones con el asistente de IA. Cualquier pregunta o dato que el usuario envía al chatbot sale del dispositivo y es procesado en los servidores de Meta. Meta asegura que utiliza un sistema de “Private Processing” en hardware de confianza, diseñado para mantener los datos cifrados salvo durante el breve periodo de cómputo. Wired destaca que, en teoría, este esquema impide que Meta (ni terceros) accedan al contenido de los chats de IA. Sin embargo, también advierte que al mover un mayor volumen de datos privados fuera del dispositivo, esos servidores dedicados a IA se convierten en “objetivos atractivos” para atacantes potenciales.

La legitimación jurídica invocada por Meta para procesar esos datos es el interés legítimo. Es decir, afirma usar la información generada por las interacciones con el asistente para mejorar sus sistemas (por ejemplo, entrenar modelos), sin requerir un consentimiento expreso previo. Aun así, Meta ofrece un mecanismo de oposición al usuario. La OCU ha advertido que Meta planea usar precisamente las preguntas e instrucciones que los usuarios realizan al asistente de WhatsApp para entrenar sus modelos generativos. Este planteamiento es controvertido: bajo el RGPD todo tratamiento debe pasar un test de ponderación que equilibre los intereses de la empresa frente a los derechos del usuario. Activar el asistente por defecto, con una opción de rechazo posterior difícil de ejercer, podría vulnerar los principios de consentimiento informado y minimización de datos, según varios expertos.

La transparencia algorítmica de Meta AI es muy limitada. WhatsApp muestra un mensaje de bienvenida genérico y enlaces a términos legales, pero no detalla el funcionamiento interno del modelo ni los datos específicos que recopila. Las FAQ de WhatsApp reconocen vaga y confusamente que “Meta necesita recibir y utilizar información para proporcionar la tecnología de IA generativa… Lo que Meta recibe y cómo lo utiliza depende de cómo interactúas con la experiencia”, sin aclarar más. Esta ambigüedad deja al usuario sin saber el alcance real del procesamiento. Samuel Parra destaca que “Meta ha sido expuesta por hacer cosas con nuestros datos personales que se supone que no haría”, subrayando la necesidad de ser muy cautelosos con la información que se facilite a la IA de Meta. La ausencia de una opción sencilla para negarse al servicio y las multas previas impuestas a Meta por brechas de privacidad sugieren un posible conflicto con el RGPD, que exige transparencia, una base jurídica válida y salvaguardas para los derechos del usuario (arts. 5, 6, 13-14 del RGPD).

Meta debería garantizar que los usuarios puedan ejercer derechos ARCO (acceso, rectificación, supresión) sobre los datos facilitados al asistente, así como facilitar la oposición al uso de esa información con fines de entrenamiento. Además, el despliegue de un servicio de IA de este alcance probablemente requeriría una Evaluación de Impacto (DPIA) previa, dada la alta escala y automatización del tratamiento. En suma, la integración de Meta AI en WhatsApp plantea serios retos RGPD: aunque el cifrado clásico de WhatsApp se mantiene, el uso de Private Processing no exime a Meta de informar adecuadamente al usuario y respetar sus derechos.

Google Modo IA en el buscador: minimización y DPIA

Google ha lanzado en 2025 un nuevo “Modo IA” experimental en su buscador, basado en el modelo Gemini 2.0, para gestionar consultas complejas con IA generativa. Según Google, este modo emite múltiples búsquedas simultáneas en subtemas relacionados y compila las respuestas en un único resultado estructurado, que incluye enlaces a fuentes relevantes. El sistema combina las capacidades avanzadas de Gemini 2.0 con la información en tiempo real (Knowledge Graph, datos de productos, etc.). En la práctica, las respuestas generadas por el IA vienen acompañadas de enlaces externos, ofreciendo una experiencia más rica que la búsqueda tradicional.

Respecto al principio de minimización (art.5.1.c RGPD), Google afirma que Modo IA utiliza esencialmente contenido web indexado y datos en tiempo real. Esto sugiere que no exige nuevas categorías sensibles de información más allá de la consulta del usuario. No obstante, no se descarta que Google también recurra a datos personales del usuario (p.ej. historial de búsqueda, ubicación, información del perfil) para personalizar o mejorar las respuestas. Si esto ocurre, Google deberá justificar que dichos datos adicionales son necesarios y proporcionados al fin de la búsqueda. En cualquier caso, la empresa debe limitarse a procesar sólo los datos estrictamente necesarios para la funcionalidad del modo IA.

La transparencia informativa es igualmente crucial. Google debe informar a los usuarios de qué datos personales, si los hay, participan en la respuesta generada. El RGPD obliga a aclarar el alcance del tratamiento (arts.13-14), incluidos los algoritmos automatizados. Incluir enlaces fuente aporta contexto, pero no explica la “caja negra” del modelo. Además, dado el volumen y novedad de esta tecnología, Google probablemente necesite realizar una DPIA específica. De hecho, la autoridad irlandesa (DPC) inició en 2024 una investigación para verificar que Google cumplió la obligación de DPIA al desarrollar sus grandes modelos IA (PaLM 2). El DPC subraya que la DPIA debe mostrar que el tratamiento es “necesario y proporcionado” y que existen salvaguardas adecuadas. Google tendrá que evaluar riesgos del modo IA (sesgos, filtrado de datos personales, precisión de la información) y documentar las medidas de mitigación correspondientes.

Los derechos de los interesados siguen plenamente operativos. Los usuarios pueden exigir acceso, rectificación o supresión de sus datos personales utilizados por el Modo IA. Dado que las respuestas automatizadas pueden tener un impacto notable en el usuario (por ejemplo, consejos médicos, financieros u otros), cabe considerar la aplicación del artículo 22 RGPD sobre decisiones automatizadas con efectos significativos. Google debería prever mecanismos para que cualquier usuario pueda preguntar qué datos suyos se han utilizado en la elaboración de una respuesta de Modo IA y solicitar su corrección o eliminación.

Conclusiones

Ambos casos –Meta AI en WhatsApp y Modo IA de Google Search– ponen a prueba la aplicación del RGPD en servicios de IA emergentes. Resulta fundamental el principio de privacidad por diseño y por defecto: innovaciones como el Private Processing de WhatsApp buscan reforzar la confidencialidad, pero no eximen de cumplir con los principios de minimización, transparencia y seguridad. Tanto Meta como Google deben asegurar bases jurídicas sólidas, informar claramente a los usuarios y evaluar los riesgos mediante DPIA. El marco legal europeo (RGPD y futura Ley de IA) impone que estas tecnologías sean compatibles con los derechos de los usuarios. En caso contrario, ambos proyectos podrían entrar en conflicto con la normativa y enfrentar sanciones de la AEPD o de los reguladores europeos.

Autor: Santiago Carretero Sánchez, Profesor Titular de Filosofía del Derecho, Abogado.

 

Comentarios

Publicar un comentario

Entradas populares de este blog

EL MODELO DE INTENTO DE CONCILIACIÓN QUE IMPONE LA LEY DE EFICIENCIA PROCESAL, PROPUESTA DEL ICAM

  MODELO PARA LA ACREDITACIÓN DEL INTENTO DE NEGOCIACIÓN Y TERMINACIÓN DEL PROCESO SIN ACUERDO Artículo 10º.1 de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia     Artículo 10. Acreditación del intento de negociación y terminación del proceso sin acuerdo.   1. A los efectos de acreditar que se ha intentado una actividad negociadora previa y cumplir el requisito de procedibilidad, dicha actividad negociadora o el intento de la misma deberá ser recogida documentalmente .   2. Si no hubiera intervenido una tercera persona neutral, la acreditación se cumplirá mediante cualquier documento firmado por ambas partes en el que se deje constancia de la identidad de las mismas y, en su caso, de las personas profesionales o expertas que hayan participado asesorándolas , la fecha, el objeto de la controversia, la fecha de la reunión o reuniones mantenidas, en su caso, y la declaración responsable d...
Leer más

ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS)

  🧷 ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS) Por Santiago Carretero Sánchez, Profesor Titular de Filosofía del Derecho, Abogado       1. Encabezamiento Órgano judicial : Ilmo./a. Sr./Sra. Letrado/a de la Administración de Justicia del Juzgado de [Primera Instancia] nº ___ de [localidad]. Parte compareciente : D./D.ª [Nombre del letrado/a del solicitante], en nombre y representación de [cliente], conforme a poder/apoderamiento (notarial o apud acta) que se acompaña/se encuentra ya incorporado. Procedimiento : Indicar si es escrito autónomo previo a demanda o subsanación de requerimiento judicial (art. 438.1 LEC). 2. Exposición de antecedentes y hechos relevantes Breve reseña del conflicto : Detallar la controversia con hechos jurídicamente relevantes. Indicación de la voluntad de acudir a MASC : Expresar que, antes de iniciar/reanudar el procedimiento jud...
Leer más

Resumen de la Ley Orgánica 1/2025: mi nuevo resumen para comprender lo que va a pasar ( si es posible)

  Autor: Santiago Carretero Sánchez, Profesor Titular de la URJC El 3 de abril de 2025 entró en vigor la Ley Orgánica 1/2025, que establece la obligatoriedad de intentar un Mecanismo Alternativo de Solución de Conflictos (MASC) antes de interponer una demanda en el ámbito civil o mercantil. El Consejo General de la Abogacía Española (CGAE) ha publicado una guía para facilitar la comprensión y aplicación de esta nueva exigencia legal. ¿Qué son los MASC? La Ley Orgánica 1/2025 define los MASC de forma abierta como cualquier actividad negociadora para resolver un conflicto. Entre los MASC reconocidos se incluyen: - Mediación - Conciliación (pública o privada) - Negociación directa entre las partes - Oferta vinculante confidencial - Opinión de persona experta independiente - Derecho Colaborativo o Abogacía Colaborativa Ámbitos de aplicación y exclusiones La obligación de intentar una solución extrajudicial se aplica a todos los procesos declarativos y especiales regula...
Leer más