Última revisión: 26 de mayo de 2026

¿Cómo se aplica el RGPD a la IA? Definición y retos para la empresa

El RGPD encuadra todo tratamiento de datos personales por un sistema de IA operado en Europa o que conciernen a europeos. Cuatro obligaciones se aplican con prioridad: finalidad explícita, minimización de los datos, derechos de acceso y de oposición, y estudio de impacto para los tratamientos de riesgo elevado.

El Reglamento General de Protección de Datos (RGPD, reglamento europeo 2016/679) se aplica a todo sistema de IA en cuanto trate datos personales (nombre, correo, dirección IP, historial de compra, imagen, voz). Cuatro obligaciones estructuran el análisis para los despliegues de IA. La finalidad explícita: un sistema de IA solo puede tratar datos para usos claramente definidos por anticipado y notificados a las personas concernidas. La minimización: solo se tratan los datos estrictamente necesarios para la finalidad, no más. Los derechos de las personas: acceso, rectificación, oposición, portabilidad, supresión. El estudio de impacto (DPIA, Data Protection Impact Assessment): obligatorio para todo tratamiento de IA con riesgo elevado para los derechos y libertades, lo que cubre la mayoría de los casos de uso de empresa no triviales. La CNIL publicó en 2024 directrices específicas sobre IA, que hacen autoridad en Francia y se retoman a nivel europeo vía el EDPB.

Ejemplo concreto

Una empresa francesa de e-commerce despliega un chatbot de IA para su servicio al cliente. Tres preguntas RGPD a resolver antes de la puesta en producción. Primero, ¿sobre qué base jurídica reposa el tratamiento (consentimiento, interés legítimo, ejecución contractual)? Segundo, ¿las conversaciones se transmiten a un subcontratista fuera de la UE (OpenAI, Anthropic vía API)? Si es así, se requieren una cláusula contractual tipo y un análisis de transferencia (TIA). Tercero, ¿durante cuánto tiempo se conservan las conversaciones? Sin respuesta precisa sobre estos tres puntos, el despliegue es jurídicamente frágil, y la CNIL puede dictar una multa administrativa que puede alcanzar el 4 % de la facturación mundial del grupo.

A exigir contractualmente

Seis cláusulas RGPD a exigir a todo proveedor de IA que trate datos personales para usted. Primero, una calificación clara de los roles: quién es responsable del tratamiento (usted, lo más frecuente), quién es subcontratista (el proveedor), con sus obligaciones respectivas en el sentido de los artículos 26 y 28 del RGPD. Segundo, una cartografía de las transferencias fuera de la UE y las garantías asociadas (CCT, BCR, decisión de adecuación). Tercero, la duración y las modalidades de conservación de los datos por el proveedor (logs, prompts, salidas). Cuarto, el derecho de auditoría, ejercido a su cargo, sobre la conformidad RGPD del subcontratista. Quinto, la obligación de notificación de incidente en 24 horas (frente a 72 horas para la declaración a la CNIL). Sexto, el procedimiento de ejercicio de los derechos de las personas: quién los recibe, quién responde, en qué plazos.

Ver también

Para profundizar

Recomendaciones de la CNIL sobre IA, 2024 (recurso externo)

Fuentes

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD). https://eur-lex.europa.eu/eli/reg/2016/679/oj (consultado el 2026-05-24)
Inteligencia artificial, recomendaciones y guías, CNIL, 2024. https://www.cnil.fr/fr/intelligence-artificielle (consultado el 2026-05-24)

← Volver al glosario