La inteligencia artificial ya forma parte del día a día de muchas empresas. Se utiliza para redactar textos, resumir documentos, transcribir reuniones, atender consultas, automatizar procesos y analizar información con una rapidez que hasta hace poco parecía ciencia ficción. Pero, como suele ocurrir cuando la tecnología corre más que el boletín oficial, muchas organizaciones han empezado a usar estas herramientas sin revisar antes sus implicaciones legales.
Y ahí es donde entra en juego la protección de datos.
Porque cuando una herramienta de inteligencia artificial trata datos personales, no opera en un vacío legal. Sigue siendo plenamente aplicable la normativa de protección de datos, y además Europa ha dado un paso más con el Reglamento de Inteligencia Artificial, que ya tiene un calendario de aplicación en marcha y que obliga a las empresas a tomarse esta materia mucho más en serio.
La inteligencia artificial no deja al margen la protección de datos
Uno de los errores más frecuentes es pensar que, por tratarse de una herramienta novedosas, su uso se mueve en una especie de zona gris. No es así. Si una empresa introduce en un sistema de IA nombres, voces, correos electrónicos, documentos, expedientes, imágenes o cualquier otra información que permita identificar a una persona, está tratando datos personales y debe cumplir las exigencias habituales en materia de privacidad.
La AEPD ha recordado recientemente, por ejemplo, que la voz puede constituir un dato personal, así como los metadatos asociados y el propio contenido de la comunicación. También insiste en que el responsable del tratamiento debe actuar con diligencia al seleccionar la herramienta, comprobar si existen tratamientos adicionales, conocer si hay reutilización de los datos para reentrenamiento, revisar los plazos de conservación y verificar la localización de los datos y las garantías ofrecidas por el proveedor.
Dicho de forma sencilla: usar inteligencia artificial no elimina las obligaciones de información, minimización, seguridad, transparencia o base jurídica. Solo cambia el escenario. Y en muchos casos, lo complica.
Qué cambia con el nuevo Reglamento europeo de IA
El llamado Reglamento de Inteligencia Artificial, esto es, el Reglamento (UE) 2024/1689, no se aplica de golpe, sino por fases. Desde el 2 de febrero de 2025 ya resultan aplicables las prohibiciones sobre determinadas prácticas de IA y la obligación de alfabetización en IA. Desde el 2 de agosto de 2025 son aplicables las reglas de gobernanza y las obligaciones relativas a los modelos de IA de propósito general. La aplicación general del Reglamento llegará el 2 de agosto de 2026, mientras que ciertas obligaciones para sistemas de alto riesgo integrados en productos regulados se posponen hasta el 2 de agosto de 2027. La Comisión, además, propuso en noviembre de 2025 ajustar parte del calendario de alto riesgo, aunque esa propuesta sigue actualmente en tramitación.
Esto significa que las empresas no deberían esperar a 2026 para empezar a organizarse. El tren regulatorio ya está en marcha, y luego vienen las prisas, las auditorías y el clásico “esto pensábamos verlo más adelante”, que en cumplimiento suele salir caro.
Los riesgos más habituales en las empresas
En la práctica, muchas incidencias no nacerán de grandes desarrollos tecnológicos propios, sino del uso cotidiano de herramientas externas. Por ejemplo, cuando se suben contratos, nóminas, datos fiscales o conversaciones con clientes a plataformas de IA sin tener claro qué hace el proveedor con esa información. O cuando se implantan sistemas de transcripción automática sin informar adecuadamente a las personas afectadas. O cuando se utilizan funciones que pueden inferir emociones, salud, creencias o incluso realizar tratamientos biométricos sin valorar bien su impacto.
La AEPD advierte precisamente sobre esta necesidad de diligencia. La empresa debe conocer si hay tratamientos adicionales, si intervienen terceros, si los datos se reutilizan para entrenar o mejorar el sistema y si la herramienta puede inferir categorías especialmente sensibles. Además, el Comité Europeo de Protección de Datos ha recordado que cuestiones como la anonimidad de un modelo o la utilización del interés legítimo como base jurídica no pueden resolverse con automatismos, sino mediante un análisis real del caso concreto.
Imágenes, deepfakes y riesgos invisibles
Otro de los temas más actuales es el uso de imágenes de terceros en sistemas de inteligencia artificial. La AEPD ha alertado en 2026 sobre los riesgos visibles e invisibles de estas prácticas, incluso cuando se realizan en contextos aparentemente triviales o recreativos. Entre esos riesgos se encuentran la pérdida de control sobre la imagen, la retención por terceros, la generación de copias no visibles, la reutilización de rasgos identificativos y la creación de contenidos sintéticos con potencial impacto reputacional.
En paralelo, la Agencia también ha impulsado iniciativas de sensibilización sobre deepfakes, recordando que esta tecnología puede utilizarse para suplantar, humillar o desacreditar a una persona. Ha insistido, además, en la necesidad de solicitar consentimiento cuando se utilicen imágenes o datos personales de terceros. Y a ello se suma que la Comisión Europea ha indicado que las obligaciones de transparencia sobre contenido generado por IA serán aplicables desde el 2 de agosto de 2026.
Qué deberían hacer ya las empresas
A estas alturas, la mejor estrategia no es frenar la innovación, sino gobernarla bien. Una empresa que quiera utilizar inteligencia artificial de forma razonable debería empezar por identificar qué herramientas usa realmente en su organización, incluidas aquellas que el personal emplea por su cuenta en tareas diarias. Después, conviene aprobar una política interna de uso que delimite qué datos pueden introducirse, qué usos están prohibidos, qué validaciones humanas deben hacerse y cómo deben contrastarse los resultados.
También resulta clave revisar la relación con proveedores, comprobar si actúan como encargados del tratamiento, qué subencargados intervienen, dónde se alojan los datos, si existe reutilización para entrenamiento y qué medidas de seguridad se aplican. Igualmente, debe valorarse la necesidad de realizar una evaluación de impacto cuando el riesgo sea elevado, apoyándose para ello en las guías, modelos y herramientas que la AEPD mantiene publicadas sobre privacidad desde el diseño y EIPD. La propia AEPD, tanto en su política interna de IA generativa como en sus orientaciones sobre IA agéntica, insiste en una implantación segura, ética, controlada y bajo supervisión humana.
Conclusión
La inteligencia artificial ofrece oportunidades indudables para mejorar la productividad y la eficiencia empresarial. Pero una cosa es aprovechar la tecnología, y otra muy distinta entregarle alegremente datos personales como quien le deja las llaves de la oficina al primero que pasa. En 2026, el uso de IA exige criterio, política interna, revisión de proveedores, formación y documentación.
La conclusión es clara: innovar sí, pero con garantías. Las empresas que se anticipen y ordenen ahora su uso de herramientas de inteligencia artificial estarán en mejor posición para cumplir la normativa, proteger los derechos de las personas y evitar riesgos innecesarios. Y, de paso, demostrarán algo muy valioso ante clientes y trabajadores: que modernizarse no está reñido con hacer las cosas bien.
En nuestro despacho ayudamos a empresas y profesionales a implantar el uso de la inteligencia artificial con criterios de protección de datos, cumplimiento normativo y seguridad jurídica. Si tu organización ya utiliza herramientas de IA o está valorando incorporarlas, es el momento de revisar su encaje legal antes de que el problema llegue por la puerta principal.
Un cordial saludo,
José María Quintanar Isasi
Consultor sobre privacidad
