La consolidación de sistemas de inteligencia artificial (IA) en el entorno de la vida cotidiana ha acelerado una transformación estructural del ecosistema jurídico. Estos sistemas, al operar sobre grandes volúmenes de datos personales y adoptar decisiones automatizadas, inciden directamente en el contenido esencial del derecho fundamental a la protección de datos, mencionados en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE) y en el artículo 18.4 de la Constitución Española (CE), consolidando el derecho a la protección de datos como un derecho autónomo e inderogable, y cuya efectividad no puede interrumpida por la complejidad técnica de los nuevos entornos digitales.
En este contexto, el marco jurídico europeo ha experimentado una evolución con la entrada en vigor el pasado 1 de agosto de 2024, del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (en adelante, AI Act), que complementa y coexiste con el Reglamento General de Protección de Datos (UE) 2016/679 (en adelante, RGPD). Ambos instrumentos configuran una normativa coherente cuyo objetivo principal es garantizar que el desarrollo y uso de sistemas de IA se produzca en estricto respeto de los derechos fundamentales.
La protección de datos como límite material al uso de la inteligencia artificial
El RGPD establece principios rectores del tratamiento de datos personales (licitud, transparencia, minimización, exactitud, limitación de la finalidad, integridad y confidencialidad), que resultan plenamente aplicables al diseño, desarrollo e implementación de sistemas de IA. No obstante, la complejidad técnica de estos sistemas introduce nuevos vectores de riesgo que exigen una reinterpretación jurídica a la luz del principio de responsabilidad proactiva, o también conocido como accountability, resaltado la importancia de mostrar y promover buenas practicas en la protección de datos personales, que aparece reflejado en el artículo 42 RGPD.
Además, la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), refuerza la aplicación del RGPD en el ordenamiento interno y prevé mecanismos específicos para la protección de colectivos vulnerables.
El concepto de vulnerabilidad digital
El desarrollo doctrinal de la «vulnerabilidad digital«, especialmente impulsado por Lorenzo Cotino, actual presidente de la AEPD, y progresivamente incorporado por la Agencia Española de Protección de Datos (AEPD), requiere una aproximación jurídico-normativa que trascienda el marco clásico de la protección de datos. La IA puede generar entornos de desigualdad estructural y de asimetría cognitiva, que afectan con mayor intensidad a menores, personas con discapacidad, personas mayores o individuos con baja alfabetización digital. Se podría traducir como un déficit de garantías sustantivas frente a riesgo como
- La elaboración de perfiles sin conocimiento ni control del interesado.
- La imposibilidad de comprender las condiciones de prestación del consentimiento.
- La exclusión algorítmica basada en sesgos estructurales no corregidos.
En este sentido, tanto el RGPD (arts. 12.1 y 13) como el AI Act (arts. 5 y 50) reconocen la necesidad de establecer obligaciones reforzadas de transparencia, comprensibilidad y supervisión humana en la interacción con estos colectivos. Puesto que, el AI Act propone una clasificación por niveles de riesgos de los sistemas de la IA, declarado como un alto riesgo aquellos que afectan a los derechos fundamentales, lo cual incluye sistemas que realizan tratamiento automatizado de datos persona con impacto significativo
Cuestiones jurídicas en el uso de IA sobre datos personales
- Validez del consentimiento en entornos algorítmicos: El artículo 6.1.a) del RGPD establece el consentimiento como una de las bases legales para el tratamiento de datos, que debe ser libre, específico, informado e inequívoco. Sin embargo, en entornos donde se utilizan interfaces manipulativas (dark patterns) o técnicas de nudging, el consentimiento pierde sustancia jurídica, volviéndose más una ficción que una expresión real de voluntad libre. Esta situación ha sido objeto de especial atención por parte del Comité Europeo de Protección de Datos (CEPD) y por la AEPD en sus directrices sobre transparencia y consentimiento.
La LOPDGDD, en su artículo 6, refuerza la exigencia del consentimiento expreso para tratamientos basados en el artículo 9 RGPD (categorías especiales), pero no regula expresamente los problemas derivados de la manipulación conductual mediante IA.
- Tratamiento de datos inferidos y perfilado automatizado: Los sistemas de IA generan «datos inferidos» (no proporcionados directamente por el interesado) que pueden revelar información altamente sensible. Aunque estos datos no estén formalmente incluidos en las «categorías especiales» del art. 9 RGPD, su uso puede tener efectos jurídicos o significativamente negativos, activando la protección del art. 22 RGPD. El AI Act refuerza esta perspectiva al exigir requisitos específicos de gobernanza, explicabilidad y supervisión para sistemas de alto riesgo.
Esta ambigüedad normativa impide aplicar de forma automática las salvaguardias reforzadas previstas por el RGPD, generando un vacío de protección frente a decisiones que pueden resultar discriminatorias, invasivas o inexactas.
- Riesgos de discriminación algorítmica: Aunque el RGPD introduce principios como privacy by design y privacy by default (art. 25), así como la obligación de realizar evaluaciones de impacto (art. 35), no contempla una regulación específica del diseño, funcionamiento, ni supervisión de sistemas de IA que implican aprendizaje automático o decisiones no supervisadas.
El tratamiento automatizado puede perpetuar o amplificar sesgos existentes en los datos de entrenamiento, generando decisiones discriminatorias en materia de acceso al empleo, crédito o servicios esenciales. El AI Act contempla obligaciones específicas de evaluación y mitigación de riesgos (arts. 9, 10 y 15), así como de documentación técnica y trazabilidad del sistema.
Interacción normativa entre las diferentes normativas
El RGPD y el AI Act se aplican de forma simultánea, configurando un marco normativo multinivel que exige una lectura armónica por parte de los operadores jurídicos. Mientras el RGPD regula el tratamiento de datos personales con carácter general, el AI Act introduce un enfoque sectorial y basado en el riesgo, exigiendo obligaciones reforzadas para los sistemas de IA catalogados como «alto riesgo» (Anexo III AI Act).
La AEPD, como autoridad nacional de control, ha desarrollado directrices interpretativas y participa en los mecanismos de cooperación a nivel europeo. A su vez, la LOPDGDD continúa siendo un pilar esencial en la adaptación del RGPD al contexto español y en la regulación de derechos digitales emergentes (como el derecho a la neutralidad algorítmica o a la portabilidad).
Orientaciones para una IA acorde a la normativa aplicable
Ante el nuevo contexto normativo, las organizaciones deben adoptar una estrategia jurídica integral que combine el cumplimiento normativo estricto con una visión proactiva de los derechos fundamentales. En este sentido, se recomienda:
- Integrar desde el inicio el principio de «protección de datos desde el diseño y por defecto«
- Realizar Evaluaciones de Impacto en Protección de Datos (EIPD) en todos los tratamientos que impliquen decisiones automatizadas o uso de datos sensibles.
- Aplicar las exigencias del AI Act para sistemas de alto riesgo: documentación técnica, trazabilidad, supervisión humana, medidas de ciberseguridad y transparencia.
- Establecer mecanismos internos de auditoría y ética algorítmica, promoviendo la gobernanza de datos.
- Garantizar formación continuada a los equipos técnicos y jurídicos en materia de protección de datos e inteligencia artificial
Conclusión
Por lo anteriormente expuesto, podemos indicar que el AI Act supone una respuesta normativamente ambiciosa a los retos planteados por la IA. Su integración con el RGPD y la LOPDGDD permite configurar un marco jurídico sólido, adaptado a las particularidades tecnológicas del momento, respetando los principios del Estado de Derecho.
La inteligencia artificial no puede desarrollarse al margen del Derecho ni menoscabar el contenido esencial de los derechos fundamentales. Por el contrario, debe constituirse como una instrumento que promueva la dignidad, la autonomía individua y la equidad social. El desafío jurídico consiste, en garantizar que los sistemas inteligentes operen en un entorno de legalidad, transparencia y control, permitiendo que la innovación tecnológica se despliegue sin menoscabo de las garantías democráticas