Análisis jurídico del decálogo de recomendaciones de la AEPD sobre el uso de la Inteligencia Artificial

Planteamiento: el decálogo de la AEPD y su encaje en el RGPD y la LOPDGDD

La Agencia Española de Protección de Datos (AEPD) ha difundido un decálogo de recomendaciones sobre el uso de herramientas de inteligencia artificial (IA) dirigido, fundamentalmente, a personas usuarias no expertas. Bajo el lema «Cuidado con lo que le confías», se sistematizan una serie de pautas de prudencia en la interacción con sistemas de IA generativa y otros servicios en línea basados en IA.Aunque el documento tiene un enfoque eminentemente práctico y preventivo, su contenido se asienta de forma directa en el marco normativo europeo y nacional de protección de datos, esencialmente: 

• Reglamento (UE) 2016/679, General de Protección de Datos (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Doctrina y criterios interpretativos de la propia AEPD (guías, informes, circulares, etc.). 

Marco normativo aplicable al uso de herramientas de IA

RGPD: principios y deberes relevantes

En el contexto del uso de herramientas de IA, resultan especialmente relevantes los siguientes preceptos del RGPD:  

• Licitud, lealtad y transparencia (art. 5.1.a y arts. 6 y 13-14 del RGPD): Toda comunicación de datos personales a un proveedor de IA debe apoyarse en una base jurídica válida. Debe existir información clara, inteligible y accesible sobre cómo se tratarán los datos. 
• Limitación de la finalidad (art. 5.1.b del RGPD): Los datos solo pueden tratarse para fines determinados, explícitos y legítimos. El envío masivo de información a una herramienta de IA para fines distintos de los inicialmente previstos por la organización puede ser incompatible con este principio.
• Minimización de datos (art. 5.1.c del RGPD): Conecta directamente con la recomendación de «no subir información personal» y de evitar datos innecesarios o excesivos.
• Exactitud y actualización (art. 5.1.d del RGPD): Aunque el decálogo se centra en la privacidad, la advertencia sobre «no creer todo lo que dice una IA» se vincula indirectamente con la exigencia de exactitud, especialmente cuando la salida de la IA se reutiliza para tomar decisiones sobre personas. 
• Limitación del plazo de conservación (art. 5.1.e del RGPD): Relacionado con la recomendación de «borrar el historial» y gestionar adecuadamente la retención de datos por los proveedores. 
• Integridad y confidencialidad (art. 5.1.f y art. 32 del RGPD): Especialmente comprometidos cuando se suben datos sensibles, profesionales o confidenciales a sistemas de IA en la nube. 
• Responsabilidad proactiva (art. 5.2 y 24 del RGPD): Exige a responsables y encargados acreditar el cumplimiento, lo que condiciona el uso de servicios de IA por parte de empresas y administraciones.Además, el art. 25 del RGPD (protección de datos desde el diseño y por defecto) adquiere una relevancia central, imponiendo a los proveedores de servicios de IA la obligación de integrar garantías de privacidad en el propio diseño de las herramientas (p. ej., opciones de no registro de historiales, anonimización, cifrado, etc.).

LOPDGDD: especificidades españolas relevantes

La LOPDGDD complementa el RGPD, destacando: 

• Tratamiento de datos de menores (art. 7 de la LOPDGDD): Establece la edad mínima para el consentimiento digital y el refuerzo de la protección de menores, elemento directamente conectado con la recomendación de «asesorar y guiar a los menores a tu cargo». 
• Deberes de confidencialidad y medidas de seguridad (arts. 5 y 32 de la LOPDGDD, en remisión al RGPD) : Refuerzan la prohibición de compartir datos confidenciales de la organización con herramientas de IA externas sin base jurídica y sin garantías adecuadas. 
• Garantía de los derechos digitales e interacción con otras normas sectoriales:El uso de IA transversalmente puede colisionar con normativa sectorial que refuerza la reserva y confidencialidad de determinados datos:normativa sanitaria (historias clínicas, datos de salud), normativa financiera y de servicios de inversión, normativa de secreto profesional (abogacía, procuradores, etc.), y normativa de función pública y acceso a información reservada.La recomendación de la AEPD de no remitir a la IA información médica, financiera o contractual, ni información profesional sensible, traduce en términos prácticos estos deberes de reserva y los límites de comunicación de datos a terceros.

Análisis jurídico de cada bloque del decálogo

A continuación, ofrecemos un resumen de las recomendaciones facilitadas por la Agencia Española de Protección de Datos, relacionándola con la normativa especializada de esta materia.

1. «No subas a la IA tu información personal»

Desde la perspectiva jurídico?técnica, el envío de datos personales a una herramienta de IA supone un tratamiento de datos (art. 4.2 del RGPD), y, en la mayor parte de los casos, también una comunicación a un tercero e incluso una transferencia internacional si los servidores se ubican fuera del EEE. La AEPD recomienda recurrir a «casos ficticios» y evitar identificadores directos que permitan la identificación del usuario, en concreto, recomiendan no ofrecer nombre completo, dirección, número de teléfono, DNI/NIE, imágenes personales...

2. «Evita especialmente subir información delicada o sensible»

El decálogo introduce una categoría práctica de datos «delicados o sensibles» que, jurídicamente, se corresponde en buena medida con: 

• Las categorías especiales de datos (art. 9 del RGPD): salud, origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, orientación sexual, datos biométricos, etc. 
• Datos sobre infracciones y condenas penales (art. 10 del RGPD).
• Datos que, sin encajar propiamente en estas categorías, requieren una protección reforzada por su potencial impacto (por ejemplo, datos financieros o relacionados con la localización constante de una persona). 

3. «Respeta la privacidad de terceros»

En este caso la AEPD recomienda precaución a la hora de describir hecho que afecten a terceros, en particular, si se trata de menores. Además, advierte de que no se deben de utilizar imágenes en las que aparezcan terceras personas para generar nuevo contenido sobre ellas, ya que podría llegar a cometerse una infracción o incluso un delito.

Cabe recordar aquí que incorporar datos de terceros en consultas a herramientas de IA implica, en la práctica, una comunicación de datos a un nuevo responsable o encargado, con consecuencias jurídicas significativas, ya que se requiere base jurídica de tratamiento para esos terceros (art. 6 del RGPD) , que rara vez existirá en contextos de uso personal o lúdico.

4. «No incluyas información profesional»

La recomendación para el caso de utilizar IA en el trabajo es seguir las políticas de información y seguridad de la empresa, y concretamente, no incluir información que desvele datos confidenciales de la entidad, ni de su personal o clientes.

En este sentido, cuando el usuario actúa en el marco de una organización (empresa, administración, despacho profesional), el envío de información profesional a sistemas de IA puede implicar: 

• Vulneración de obligaciones contractuales de confidencialidad. 
• Infracción de la normativa de protección de secretos empresariales.
• Tratamiento ilícito de datos personales de empleados, clientes, usuarios o proveedores. 

A TENER EN CUENTA. En términos de RGPD/LOPDGDD, la organización sigue siendo responsable del tratamiento, aunque el empleado utilice por iniciativa propia una herramienta de IA externa, si actúa en el marco de sus funciones. La falta de políticas internas claras sobre uso de IA puede agravar la posición de la organización frente a la AEPD.

5. «Revisa las condiciones del servicio de IA antes de usarlo y elige las versiones más seguras»

El punto quinto del decálogo aconseja revisar, que el servicio de IA no obtenga más información de la necesaria —la facilitada en el prompt—, ya que existen versiones que se nutren también de cookies, direcciones IP, datos de seguimiento y de uso, metadatos, información de tu dispositivo, de contactos y de localización...

Esta recomendación traduce en conducta práctica la obligación de debida diligencia y de evaluación de riesgos ex arts. 24, 25, 32 y 35 del RGPD.

6. «Si necesitas asesoramiento profesional especializado, apoyo emocional o psicológico, acude a un profesional antes que a la IA»

En aquellos casos en los que el usuario atraviesa una situación personal delicada, la AEPD recomienda acudir a profesionales adecuados, ya que la IA puede generar una falsa sensación de entender la situación, pero ni empatiza con la situación ni puede ofrecer un asesoramiento cualificado ni un diagnóstico profesional certero.

Esta recomendación tiene un doble trasfondo: 

• Protección de la salud y la integridad moral (ámbito extra?LOPD, pero conectado con derechos fundamentales). 
• Riesgos de decisiones automatizadas (art. 22 del RGPD) : todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado. Además, si el proveedor de IA ofrece servicios asimilables a asesoramiento sanitario, jurídico, financiero o psicológico, podría producirse un engaño sobre la naturaleza del servicio, relevante a efectos de deberes de información y responsabilidad.

7. «No creas todo lo que dice una IA: mantén una postura crítica ante sus respuestas»

En este punto recuerda la AEPD que la IA ofrece respuestas que parecen convincentes pero que pueden ser erróneas. Es por ello, debe mantenerse una actitud crítica y contrastar con otras fuentes la veracidad de la información facilitada.

8. «Asesora y guía a los menores a tu cargo»

Para la infancia y la adolescencia el decálogo destaca la importancia de informar a estos colectivos de las ventajas y los riesgos de su uso, además de fomentar su pensamiento crítico.

El uso de IA por menores despliega un conjunto reforzado de garantías: 

• Edad de consentimiento digital (art. 7 de la LOPDGDD) : Por debajo de la edad fijada, se requiere el consentimiento de los titulares de la patria potestad para el tratamiento de datos por servicios de la sociedad de la información.
• Deberes específicos de protección en el ámbito educativo y familiar: Escuelas, institutos y otros centros deben extremar las precauciones al introducir herramientas de IA en procesos formativos, con evaluaciones previas de riesgo. 
• Los progenitores o tutores tienen un papel activo en la educación digital y en la supervisión del uso de estas herramientas.La AEPD enfatiza la necesidad de fomentar el pensamiento crítico, lo que, en clave jurídica, contribuye a prevenir tratamientos ilícitos y vulneraciones de derechos de los menores.

9. «Utiliza distintas cuentas y borra el historial»

La AEPD recomienda no usar el correo personal ni profesional cuando se experimente con la IA, sino utilizar distintos correos para los diferentes servicios y asegurarse de que esas direcciones de email no reflejan tus datos personales. La recomendación de no utilizar correos personales o profesionales y de evitar identificadores directos contribuye a reducir el riesgo de reidentificación y la extensión de las consecuencias de una eventual brecha de seguridad.

Además, también aconseja eliminar las conversaciones con frecuencia cuando sea posible, ya que borrar el historial reduce el riesgo ante posibles filtraciones con consecuencias negativas para la privacidad. La posibilidad de eliminar historiales de conversación constituye una garantía técnica y organizativa alineada con el art. 25 del RGPD.

10. «Tus preguntas pueden definirte»

La AEPD advierte que las propias consultas, aunque no contengan datos obvios de identificación, pueden revelar información, como por ejemplo, preferencias, intereses, preocupaciones..., que permita la elaboración de un perfil que contenga más información personal de la que cabría esperar.