IA generativa en empresas: RGPD, cumplimiento y protección de datos

El auge de la IA generativa en el entorno empresarial

La irrupción de la IA generativa en el entorno empresarial ha sido, sin duda, uno de los fenómenos más relevantes de los últimos años. Herramientas como ChatGPT, Copilot o similares se han integrado rápidamente en el día a día de muchas organizaciones, aportando mejoras en eficiencia, productividad y capacidad de análisis.

Sin embargo, esta adopción acelerada plantea una cuestión clave desde el punto de vista jurídico: ¿se está utilizando la IA generativa dentro de un marco adecuado de cumplimiento en materia de protección de datos?

En muchos casos, la incorporación de estas herramientas ha ido por delante del desarrollo de políticas internas de uso de IA y mecanismos de control. Su uso se ha normalizado en tareas cotidianas, lo que hace necesario abordar esta realidad desde una perspectiva más estructurada, centrada en el cumplimiento normativo y la gestión del riesgo.

Riesgos de protección de datos en el uso de IA generativa

El uso de herramientas de IA generativa puede implicar, en determinadas circunstancias, el tratamiento de datos personales, incluso cuando este no resulte evidente a primera vista.

La introducción de información en prompts puede incorporar datos de clientes, información interna vinculada a personas físicas o documentación con contenido identificable, lo que genera un riesgo relevante desde el punto de vista del control de la información.

A ello se suma la posible pérdida de control sobre dichos datos una vez introducidos en la herramienta, especialmente cuando intervienen proveedores externos cuya infraestructura y condiciones de tratamiento no siempre son plenamente conocidas.

Asimismo, pueden existir implicaciones adicionales relacionadas con el acceso por terceros, la posible reutilización de la información para el entrenamiento de modelos o la realización de transferencias internacionales de datos.

En consecuencia, el uso de estas herramientas no puede considerarse neutro desde la perspectiva de la protección de datos, sino que debe ser analizado como un potencial tratamiento con implicaciones jurídicas relevantes.

Aplicación del RGPD al uso de inteligencia artificial

Desde una perspectiva jurídica, este tipo de usos debe analizarse necesariamente a la luz del Reglamento General de Protección de Datos, que resulta plenamente aplicable en estos contextos.

El primer paso consiste en determinar si existe un tratamiento de datos personales y, en su caso, identificar la base de legitimación correspondiente, cuestión que no siempre resulta evidente en usos aparentemente inocuos o indirectos.

En este análisis adquieren especial relevancia los principios fundamentales del RGPD:

• Principio de minimización de datos, que exige que la información tratada sea adecuada, pertinente y limitada a lo necesario.
• Limitación de la finalidad, que obliga a garantizar que el uso de los datos sea compatible con el propósito para el que fueron recogidos.
• Seguridad del tratamiento, conforme al art. 32 RGPD, que requiere la adopción de medidas técnicas y organizativas adecuadas al riesgo.

Otro aspecto especialmente relevante es la correcta calificación del proveedor de la herramienta de IA, que en función del caso podrá actuar como encargado del tratamiento o como responsable independiente, con implicaciones directas tanto a nivel contractual como en la distribución de responsabilidades.

Asimismo, debe analizarse la posible existencia de transferencias internacionales de datos, particularmente cuando los proveedores se encuentran fuera del Espacio Económico Europeo.

AI Act y gobernanza de la IA en las organizaciones

A este marco normativo se suma el reciente Reglamento de Inteligencia Artificial (AI Act), que introduce nuevas obligaciones en función del nivel de riesgo de los sistemas utilizados.

Si bien esta normativa no sustituye al RGPD, sí refuerza la necesidad de que las organizaciones adopten un enfoque más estructurado en el uso de la IA, incorporando principios de control, trazabilidad y gestión del riesgo.

Ambas normas deben entenderse como complementarias, configurando un entorno regulatorio más exigente que requiere una mayor madurez en la gobernanza del dato.

Cómo integrar la IA generativa de forma segura y conforme

En este contexto, el principal reto para las empresas no es tanto limitar el uso de la IA generativa como integrarla adecuadamente dentro de sus marcos de control.

La rapidez en su adopción ha hecho que, en muchos casos, su utilización se haya producido de forma descentralizada, sin criterios homogéneos ni supervisión suficiente desde las áreas de cumplimiento.

El siguiente paso natural consiste en evolucionar hacia un modelo en el que la organización define de forma clara qué herramientas pueden utilizarse, en qué condiciones y bajo qué criterios.

Este cambio de enfoque debe traducirse en la adopción de medidas concretas que permitan dotar de seguridad jurídica al uso de estas tecnologías:

• Definición de una política interna de uso de IA que establezca criterios claros y homogéneos dentro de la organización.
• Validación previa de herramientas, con la participación de las áreas de legal, cumplimiento y tecnología.
• Formación y concienciación de los empleados como elemento clave para mitigar riesgos operativos.
• Evaluación de riesgos, incluyendo cuando proceda la realización de evaluaciones de impacto en protección de datos.

Asesoramiento en protección de datos e inteligencia artificial

La IA generativa representa una oportunidad indiscutible para las organizaciones, pero su adopción no puede desligarse de las obligaciones existentes en materia de protección de datos.

El verdadero diferencial no reside únicamente en utilizar estas herramientas, sino en hacerlo de forma controlada, segura y conforme a la normativa.

En este contexto, contar con un asesoramiento especializado en protección de datos resulta clave para abordar de forma adecuada los retos derivados del uso de la inteligencia artificial.

Desde Baker Tilly, disponemos de un equipo especializado en protección de datos que acompaña a las organizaciones en la definición e implementación de modelos de uso de IA conformes con el Reglamento (UE) 2016/679 y el resto del marco normativo aplicable.