La vigilancia de la IA desde la protección de datos — intervención de la AEPD antes de la ley nacional


 


La vigilancia de la IA desde la protección de datos — intervención de la AEPD antes de la ley nacional

Entrada técnica, sobria y docente para Blog de la IA y el Derecho. Autor: Santiago Carretero Sánchez. Fecha: 4 de diciembre de 2025.

Resumen ejecutivo

La Agencia Española de Protección de Datos (AEPD) ha reiterado su competencia y su capacidad de actuación frente a sistemas de inteligencia artificial que utilicen datos personales de forma contraria a los estándares de protección de datos, aun cuando no se haya completado la transposición o aprobación de normativa sectorial nacional específica. Esta posición se articula sobre instrumentos ya vigentes (RGPD y el Reglamento de la UE sobre IA) y sobre políticas internas y orientaciones publicadas por la propia Agencia para la gestión y supervisión de IA. El propósito de esta entrada es exponer la base jurídica, identificar los supuestos prácticos de actuación, evaluar el alcance de las potestades sancionadoras y proponer criterios de cumplimiento prácticos para operadores y responsables.

1. Marco jurídico aplicable

El marco europeo relevante está constituido por el Reglamento General de Protección de Datos (RGPD) y por el Reglamento europeo sobre inteligencia artificial —la Ley de IA de la UE— que establece obligaciones, obligaciones de transparencia y un régimen sancionador escalonado. Aunque la regulación europea sobre IA organiza obligaciones materiales y procedimientos supervisorios, las autoridades nacionales de control conservan competencias para aplicar la protección de datos y medidas cautelares cuando se detectan tratamientos que vulneran derechos fundamentales o prohíben determinadas técnicas (por ejemplo, identificación biométrica remota en espacios públicos). La Agencia española ha explicitado que algunas disposiciones del régimen supervisor y sancionador del Reglamento de IA ya permiten actuación desde el 2 de agosto de 2025 en supuestos concretos.

2. Declaraciones y documentos de la AEPD

En julio y en noviembre de 2025 la AEPD ha publicado notas y documentos públicos que reflejan una política activa respecto a la supervisión de IA: comunicados sobre su capacidad de actuación frente a sistemas prohibidos y una Política general para el uso de IA generativa que regula su propio uso interno y establece procedimientos de gestión de incidentes y supervisión. Estas publicaciones configuran no solo pautas técnicas internas, sino criterios interpretativos que pueden trasponerse, con matices, a la supervisión de agentes privados.

3. Supuestos prácticos de intervención

A título ilustrativo, la AEPD puede intervenir en estos escenarios:

  • Despliegue de sistemas de reconocimiento facial en espacios públicos sin base legal clara o sin evaluación de impacto adecuada.
  • Plataformas que entrenan modelos con datos personales sensibles sin consentimiento ni licencias válidas.
  • Herramientas de scoring automatizado que afectan derechos de acceso, exclusión o condiciones contractuales.
  • Procesos que incorporan datos personales en sistemas prohibidos por el Reglamento de IA (p. ej. puntaje social) aun cuando la normativa nacional sectorial no esté aún desarrollada.

4. Potestades y medidas disponibles

La AEPD cuenta con un espectro de medidas: emisión de advertencias y requerimientos de cese y suspensión de tratamientos, la imposición de medidas correctoras (incluyendo órdenes de bloqueo o limitación del flujo de datos), y la apertura de procedimientos sancionadores con multas. Además, puede coordinar acciones con otras autoridades europeas y emplear herramientas administrativas para ordenar la corrección inmediata de riesgos graves para los derechos fundamentales.

5. Fundamentos técnicos y jurídicos para la actuación preventiva

Desde la perspectiva técnica, la inevitabilidad de “alucinaciones” y el carácter no determinista de algunos modelos abonan la necesidad de controles ex ante: documentación completa de entrenamiento, registros de decisiones automáticas, evaluación de impacto en la protección de datos (DPIA) y sistemas de verificación humana. Jurídicamente, las obligaciones de minimización, licitud y transparencia del RGPD, junto con las prohibiciones categóricas previstas por el Reglamento de IA para determinados usos, crean una base jurídica robusta para que la AEPD actúe frente a riesgos inminentes.

6. Consecuencias prácticas para operadores y responsables

Recomendaciones operativas (resumidas): realizar auditorías de datos y modelos; mantener registros de fuentes de datos y consentimientos; ejecutar DPIA cuando el sistema sea de alto riesgo; implantar medidas técnicas (control de versiones del modelo, pruebas de robustez, monitorización de output) y establecer un responsable de cumplimiento de IA y protección de datos.

7. Propuestas doctrinales y criterios de compatibilidad

Las proposiciones que siguen están redactadas en estilo continuo, sin numeración, y con enfoque doctrinal y operativo. Es recomendable que los operadores integren en su gobernanza una política de "protección de datos por diseño" que contemple, además de las comprobaciones exigidas por el RGPD, protocolos de verificación de outputs y planes de contingencia ante evidencias de sesgo o daños. Los contratos con proveedores de modelos deben contener cláusulas de responsabilidad sobre la trazabilidad del entrenamiento y las fuentes de datos, así como derechos de auditoría técnica del cliente. En sede doctrinal, debe promoverse la exigencia de evaluaciones de conformidad independientes para sistemas de alto riesgo y la obligación de conservación de logs y metadatos orientados a reproducir decisiones automatizadas en procesos de investigación o inspección. Finalmente, desde un punto de vista pedagógico y de formación, urge que los juristas incorporen competencias técnicas básicas —entendimiento de datasets, nociones de overfitting o deriva de modelo— para poder evaluar con criterio la conformidad jurídica de sistemas complejos.

Comentarios

Publicar un comentario

Entradas populares de este blog

ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS)

  🧷 ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS) Por Santiago Carretero Sánchez, Profesor Titular de Filosofía del Derecho, Abogado       1. Encabezamiento Órgano judicial : Ilmo./a. Sr./Sra. Letrado/a de la Administración de Justicia del Juzgado de [Primera Instancia] nº ___ de [localidad]. Parte compareciente : D./D.ª [Nombre del letrado/a del solicitante], en nombre y representación de [cliente], conforme a poder/apoderamiento (notarial o apud acta) que se acompaña/se encuentra ya incorporado. Procedimiento : Indicar si es escrito autónomo previo a demanda o subsanación de requerimiento judicial (art. 438.1 LEC). 2. Exposición de antecedentes y hechos relevantes Breve reseña del conflicto : Detallar la controversia con hechos jurídicamente relevantes. Indicación de la voluntad de acudir a MASC : Expresar que, antes de iniciar/reanudar el procedimiento jud...
Leer más

EL MODELO DE INTENTO DE CONCILIACIÓN QUE IMPONE LA LEY DE EFICIENCIA PROCESAL, PROPUESTA DEL ICAM

  MODELO PARA LA ACREDITACIÓN DEL INTENTO DE NEGOCIACIÓN Y TERMINACIÓN DEL PROCESO SIN ACUERDO Artículo 10º.1 de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia     Artículo 10. Acreditación del intento de negociación y terminación del proceso sin acuerdo.   1. A los efectos de acreditar que se ha intentado una actividad negociadora previa y cumplir el requisito de procedibilidad, dicha actividad negociadora o el intento de la misma deberá ser recogida documentalmente .   2. Si no hubiera intervenido una tercera persona neutral, la acreditación se cumplirá mediante cualquier documento firmado por ambas partes en el que se deje constancia de la identidad de las mismas y, en su caso, de las personas profesionales o expertas que hayan participado asesorándolas , la fecha, el objeto de la controversia, la fecha de la reunión o reuniones mantenidas, en su caso, y la declaración responsable d...
Leer más

La justicia frente a las “alucinaciones jurídicas”: una advertencia global desde la Corte Suprema de Colombia

Imagen
  La justicia frente a las “alucinaciones jurídicas”: una advertencia global desde la Corte Suprema de Colombia Por el Profesor Santiago Carretero, Profesor Titular de Filosofía del Derecho de la Universidad Rey Juan Carlos La sentencia  STC 17832-2025 , dictada por la Corte Suprema de Justicia de Colombia el 5 de noviembre de 2025, constituye uno de los pronunciamientos más relevantes en materia de motivación judicial y uso de tecnologías generativas en la función jurisdiccional. Su impacto trasciende el caso concreto: introduce en el lenguaje jurídico el riesgo de las  alucinaciones jurídicas  y marca un estándar de diligencia para cualquier tribunal que utilice herramientas tecnológicas en la elaboración de sus decisiones. 1. El caso: cuando una decisión se funda en citas inexistentes La Corte conoció una acción de tutela contra una sentencia del Tribunal Superior de Sincelejo cuya motivación incluía citas jurisprudenciales atribuidas a decisiones previas —entre e...
Leer más