Volver a los artículos
IA conforme al RGPD: guía de cumplimiento 2026 para empresas
IA RGPD Reglamento IA Cumplimiento

IA conforme al RGPD: guía de cumplimiento 2026 para empresas

Hichem AMMAR-BOUDJELAL
Hichem AMMAR-BOUDJELALCEO & Cofundador de DPLIANCE
· Actualizado el 21 min de lectura

Quick Answer: ¿qué es una IA conforme al RGPD?

Una IA es conforme al RGPD cuando trata datos personales respetando acumulativamente el RGPD (legalidad, minimización, transparencia, seguridad), la LOPDGDD que lo desarrolla en España y, desde 2024, el Reglamento europeo sobre la IA (Reglamento IA). En la práctica, esto impone seis cosas:

  • Una base jurídica identificada para cada tratamiento (consentimiento, interés legítimo, ejecución de un contrato, obligación legal).
  • Una minimización efectiva: no enviar datos personales a una IA generativa si un dato anonimizado o agregado es suficiente.
  • Un análisis de impacto (EIPD) documentado desde que un uso IA presenta un riesgo elevado: RR.HH., scoring crediticio, biometría, infraestructura crítica.
  • Un encuadre contractual sólido con el proveedor del modelo: DPA, lista de subencargados, lugar de alojamiento, condiciones de supresión.
  • Una distinción clara entre herramientas de gran público, herramientas empresa e instalación en sus servidores (»on-premise«).
  • Una formación de los equipos en el uso de la IA, exigida por el artículo 4 del Reglamento IA.

No existe »certificación RGPD« de un modelo — es el uso el que es conforme o no, no la herramienta tomada aisladamente. Un Mistral Le Chat Enterprise utilizado sin marco puede violar el RGPD; un ChatGPT Enterprise utilizado con rigor puede ser conforme. El factor determinante es la gobernanza, no la marca.


Por qué este tema, ahora

Tres giros entre 2024 y 2026 han hecho operativo, no teórico, el cumplimiento IA-RGPD.

Giro 1 — El Reglamento IA entró en aplicación progresiva desde febrero de 2025. Por primera vez, la IA no está regulada únicamente por el RGPD (que se aplica a los datos personales) sino también por un reglamento específico para los sistemas de IA. Los dos marcos se acumulan — sin opción de hacer uno sin el otro. España ha designado a la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en La Coruña, como autoridad nacional competente para el Reglamento IA, en coordinación con la AEPD para los aspectos de datos personales.

Giro 2 — Las sanciones están activas. El Garante (Italia) sancionó a OpenAI con 15 millones de euros en diciembre de 2024 por falta de análisis documentado e inexactitud de los contenidos generados. La AEPD ha multiplicado las decisiones sobre IA y biometría: sanción a Worldcoin/Tools for Humanity por su escaneo de iris en Mercadona y otros centros (orden de cesación cautelar marzo 2024, mantenida en 2025), expediente abierto a BBVA por scoring de clientes con elementos algorítmicos opacos, sanciones reiteradas a empresas de marketing por uso de datos sin base jurídica para entrenamiento de modelos. La AEPD ha anunciado la IA como prioridad de control 2026, con foco en RR.HH., biometría y scoring. El riesgo de sanción se materializa — no mañana, hoy.

Giro 3 — Las herramientas han madurado, así que las expectativas también. En 2023, el argumento »estamos aprendiendo« sostenía. En 2026, las ofertas empresa (ChatGPT Enterprise, Mistral Le Chat Enterprise, Claude para Empresas) existen desde hace bastante tiempo para considerarse un estándar. No haberlas elegido, no tener la documentación asociada, no tener la política y la formación — es ahora un incumplimiento, no una excusa.

El cálculo ha cambiado: el cumplimiento IA-RGPD ya no es un tema »para mirar algún día«, es un entregable esperado en caso de control.


El marco jurídico: un apilamiento RGPD + LOPDGDD + Reglamento IA + LSSI-CE

El cumplimiento de un sistema IA en España ya no depende de un solo texto. Cuatro marcos se superponen y se articulan.

El RGPD (Reglamento (UE) 2016/679) sigue siendo el fundamento para todo tratamiento de datos personales, incluyendo en un sistema IA. Todas las obligaciones clásicas se aplican: base jurídica, minimización, exactitud, limitación del plazo de conservación, seguridad, transparencia, derechos de los afectados (acceso, rectificación, oposición, supresión, portabilidad). La IA no es un régimen derogatorio — es un caso de aplicación del RGPD con particularidades técnicas.

La LOPDGDD (Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales) desarrolla el RGPD en España y añade obligaciones específicas: figura del DPD (Delegado de Protección de Datos) con régimen reforzado, derechos digitales (artículos 79 y siguientes), protección específica de los menores y los trabajadores. El artículo 87 LOPDGDD consagra el derecho a la intimidad frente al uso de dispositivos digitales en el ámbito laboral — clave para todo proyecto de IA en RR.HH.

El Reglamento IA (Reglamento (UE) 2024/1689) entró en aplicación progresiva desde febrero de 2025. Clasifica los sistemas de IA en cuatro categorías de riesgo (inaceptable, alto, limitado, mínimo), impone obligaciones específicas a proveedores y desplegadores, e introduce la obligación de alfabetización IA para las organizaciones. Las sanciones pueden alcanzar 35 millones de euros o el 7% del volumen de negocios mundial para las prácticas prohibidas. La AESIA es la autoridad nacional competente.

La LSSI-CE (Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico) rige aún el depósito de cookies y el acceso al equipo terminal del usuario (artículo 22.2). Para la mayoría de los casos IA tiene poco impacto directo, salvo en las capas de analítica vinculadas.

La articulación práctica: el RGPD y la LOPDGDD fijan lo que se puede hacer con los datos personales, el Reglamento IA fija las exigencias específicas a los sistemas IA, la LSSI-CE encuadra las capas técnicas. Los cuatro se aplican simultáneamente — sin jerarquía que exonere de un texto.

Autoridades en España

A diferencia de Alemania (federal), España tiene una arquitectura híbrida:

  • AEPD (Agencia Española de Protección de Datos): autoridad central de control RGPD/LOPDGDD, competente sobre todo el territorio salvo Cataluña, País Vasco y Andalucía
  • APDCAT (Catalunya), AVPD (Euskadi), CTPDA (Andalucía): autoridades autonómicas competentes en sus respectivos territorios para sector público
  • AESIA (Agencia Española de Supervisión de la Inteligencia Artificial): autoridad nacional competente para el Reglamento IA, sede en La Coruña, operacional desde 2024
  • CDPI (Consejo de Transparencia y Protección de Datos): coordinación, formación, doctrina

Cuatro riesgos mayores de los datos personales en las IAs generativas

Antes de las buenas prácticas, hay que comprender los riesgos concretos. Cuatro destacan.

1. La fuga por entrenamiento

Las IAs de gran público (ChatGPT gratuito o Plus, Claude gratuito, Gemini gran público) usan por defecto las conversaciones para mejorar sus modelos. Un dato personal enviado en una pregunta (»prompt«) puede, por tanto, encontrarse integrado al modelo, teóricamente extraíble por otros usuarios mediante técnicas de ataque (»jailbreak«, »model inversion«).

Consecuencia RGPD: transferencia y tratamiento no controlado de datos personales, sin base jurídica ni marco contractual. Riesgo de sanción inmediato en caso de auditoría AEPD.

Mitigación: prohibir formalmente mediante política de uso, proporcionar una alternativa empresa oficial.

2. La retención indebida

Incluso en ofertas empresa (ChatGPT Team/Enterprise, Mistral Le Chat Enterprise), los datos intercambiados se conservan en los servidores del proveedor durante duraciones variables (30 días por defecto en OpenAI, duraciones negociables para Mistral). Esta retención debe estar:

  • Documentada en el RAT
  • Coherente con la duración de conservación prevista por el RGPD
  • Cubierta por un contrato de encargado de tratamiento (DPA) firmado conforme al artículo 28 RGPD

A falta de ello, es un incumplimiento del artículo 5.1.e del RGPD (limitación de la conservación).

3. La transferencia fuera de la UE

Los LLMs alojados en Estados Unidos (OpenAI, Anthropic, Google) tratan por defecto los datos al otro lado del Atlántico. El Data Privacy Framework (DPF) legaliza técnicamente esta transferencia desde julio de 2023, pero sigue impugnado jurídicamente. Una organización española que funda su estrategia IA en el solo DPF se expone a un Schrems III que podría invalidar estos flujos. La AEPD ha emitido en 2024-2025 varias guías que recuerdan la necesidad de evaluaciones de impacto de transferencia y medidas suplementarias.

Mitigación: elegir un actor europeo (Mistral) o una solución on-premise elimina pura y simplemente este riesgo, en lugar de mitigarlo contractualmente. Ver nuestra guía IA soberana.

4. La inexactitud algorítmica

Las IAs generativas »alucinan« — producen afirmaciones plausibles pero falsas, sin señalar la incertidumbre. Cuando estas afirmaciones conciernen a una persona identificable (un candidato evaluado erróneamente como inadaptado, un cliente descrito con elementos inventados), es un incumplimiento directo del artículo 5.1.d del RGPD (exactitud). La autoridad italiana Garante ha sancionado a OpenAI sobre este fundamento en 2024, y la AEPD ha incluido la exactitud algorítmica en sus prioridades de control 2026.

Mitigación: política de verificación sistemática sobre los contenidos relativos a personas identificables antes de su uso efectivo.


EIPD: ¿cuándo es obligatoria para un uso IA?

La EIPD es obligatoria para todo tratamiento »que pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas« (artículo 35 RGPD). Para un uso IA, la AEPD y el CEPD han precisado los casos en que es sistemáticamente requerida. La AEPD publica su propia lista de tipos de tratamientos que requieren EIPD (Resolución de la Directora de la AEPD), homologada con la lista CEPD pero con algunos añadidos específicos al contexto español.

EIPD obligatoria para los usos IA siguientes:

  • Perfilado a gran escala que conlleve una decisión (scoring crediticio, scoring de seguros, asignación de prestaciones sociales)
  • Vigilancia sistemática en zona de acceso público (reconocimiento facial, biometría comportamental) — la AEPD es particularmente estricta tras los expedientes Mercadona y Worldcoin
  • Tratamiento de datos sensibles en el sentido del artículo 9 RGPD (salud, opiniones políticas, orígenes, orientación sexual, biometría identificante) a gran escala
  • Decisiones automatizadas que tengan un efecto jurídico o afecten significativamente a la persona (artículo 22 RGPD)
  • Evaluación sistemática de empleados por un sistema IA (RR.HH., productividad, people analytics) — combinado con el artículo 87 LOPDGDD
  • Cruce de datos procedentes de varias fuentes para construir un perfil

EIPD no obligatoria, pero recomendada para los usos:

  • Redacción asistida sobre datos de negocio (notas internas, proyectos, actas de reunión)
  • Síntesis documental sobre documentos no personales
  • Traducción automática de contenidos publicados
  • Generación de contenidos marketing

Criterios de evaluación caso por caso: la AEPD recomienda tener en cuenta el volumen de datos, la sensibilidad, el carácter vulnerable de las personas (menores, empleados, pacientes), la naturaleza innovadora del tratamiento, y el grado de automatización.

La EIPD debe realizarse antes de la puesta en marcha, conservarse en un registro, y actualizarse a cada evolución sustancial. Ver nuestra guía EIPD para proyecto IA para la metodología completa.


Donde el RGPD fija un marco unificado, la legislación laboral española añade protecciones específicas que delimitan la IA en RR.HH.

Artículo 87 LOPDGDD: derecho a la intimidad frente al uso de dispositivos digitales puestos a disposición por el empresario. Toda monitorización por IA (rendimiento, comportamiento, productividad) debe haber sido informada previamente al trabajador y a la representación legal.

Estatuto de los Trabajadores (artículo 64): la representación legal de los trabajadores tiene derecho a ser informada y consultada sobre la implementación de sistemas que afecten a la organización del trabajo, lo cual cubre los sistemas IA usados en RR.HH., evaluación o seguimiento. Esta consulta es previa y debe ser documentada.

Ley Rider (Real Decreto-ley 9/2021): introdujo en España el derecho a conocer los parámetros, reglas e instrucciones de los algoritmos que afecten a la toma de decisiones laborales, incluida la elaboración de perfiles, que pueda incidir en condiciones de trabajo, acceso y mantenimiento del empleo. Aplicable a toda empresa, no solo a plataformas digitales: una IA de pre-cribado de CV o de evaluación de empleados entra en este perímetro.

En la práctica: antes de cualquier proyecto de IA que toque a RR.HH. en España, consultar al comité de empresa o delegados de personal, documentar la consulta, comunicar los principales parámetros del algoritmo (qué datos en entrada, qué lógica, qué salida, qué efectos posibles), prever un derecho de revisión humana. Sin estas etapas, el dispositivo es atacable ante la inspección de trabajo y el AEPD.


7 buenas prácticas de cumplimiento IA-RGPD

Siete prácticas concretas que distinguen una organización preparada de una organización en riesgo.

1. Política de uso IA oponible. Documento corto (3-5 páginas) que precise: qué herramientas están autorizadas, sobre qué tipos de datos, con qué obligaciones (verificación, trazabilidad, notificación de incidente). Difundida a todos los colaboradores, integrada al reglamento interior. Sin política, imposible probar una gestión de cumplimiento en caso de auditoría AEPD. Ver nuestra guía política de IA en empresa.

2. Cartografía de los usos IA en el RAT. Cada caso de uso IA que trate datos personales debe figurar como tratamiento independiente, con: finalidad, base jurídica, datos tratados, encargado, plazos, destinatarios, transferencias fuera de la UE, medidas de seguridad.

3. DPA firmado con el proveedor del modelo. Para OpenAI, Anthropic, Google: DPA estándar pero a validar con sus subencargados ulteriores. Para Mistral: DPA disponible nativamente. Para los modelos abiertos desplegados en interno: sin DPA con un editor porque no hay encargado que trate el dato — pero el alojador y el eventual MSP (Managed Service Provider) deben firmar un DPA conforme al artículo 28 RGPD.

4. Seudonimización sistemática antes del envío. Siempre que sea posible, suprimir o reemplazar nombres, identificadores, contactos antes de enviar un texto a un LLM. Una buena IA no necesita saber quién está implicado para redactar un acta o una síntesis. Ver nuestra guía anonimización y NER por IA.

5. Supervisión humana en decisiones automatizadas. El artículo 22 RGPD prohíbe, salvo excepciones, las decisiones »fundadas exclusivamente en un tratamiento automatizado«. Para todo caso de uso donde la IA produzca una recomendación con efecto jurídico o significativo, prever una revisión humana documentada.

6. Información transparente de las personas. Artículos 13/14 RGPD y 11 LOPDGDD: informar del recurso a un sistema IA, de la lógica subyacente, y de las consecuencias posibles. Esta información debe añadirse a las menciones legales y políticas de privacidad existentes.

7. Trazabilidad de los prompts y resultados. Conservar, para los usos sensibles, un registro de los prompts enviados y de las salidas recibidas, con marca de tiempo y usuario. Indispensable en caso de investigación AEPD o de solicitud de la persona afectada.


Cloud público vs on-premise: la matriz de decisión

Una de las elecciones más estructurantes en cumplimiento IA es el modo de despliegue. Tres opciones, tres niveles de exposición al riesgo.

CriterioLLM gran público (ChatGPT/Claude/Gemini gratuitos)LLM SaaS empresa (ChatGPT Enterprise, Mistral Le Chat)LLM on-premise (Mistral, Llama, Qwen sobre infra interna)
Datos usados para entrenamientoSí (por defecto)No (DPA)No
DPA disponibleNoSin objeto
AlojamientoEstados Unidos principalmenteUE (Mistral) o elección regional (OpenAI)Interno o cloud soberano
Riesgo DPF / Cloud ActMuy elevadoModerado (UE) a elevado (EE.UU.)Nulo
Adaptado a datos personales no sensibles✅ con DPA
Adaptado a datos sensibles (salud, biometría)⚠️ EIPD requerida + cloud soberano (ENS Alto)✅ recomendado
Coste de despliegueBajoMedio (15-60 €/usuario/mes)Elevado inicial (hardware + integración)
ReversibilidadBajaMediaTotal

Regla simple: gran público únicamente para usos totalmente no personales (redacción marketing, traducción pública, prototipado). SaaS empresa para la mayoría de los usos negocio. On-premise desde que los datos tratados son sensibles, sometidos a un secreto profesional, o que la criticidad de servicio lo exija. Para administraciones públicas españolas y operadores de servicios esenciales: verificar la conformidad ENS (Esquema Nacional de Seguridad) categoría Alta de la capa cloud.

Ver nuestra guía LLM local en empresa para el detalle del despliegue on-premise.


Sanciones y jurisprudencia reciente

Varios casos ilustran cómo las autoridades españolas y europeas aplican el marco IA-RGPD.

AEPD — Worldcoin / Tools for Humanity, 2024-2025. En marzo de 2024, la AEPD ordenó cautelarmente la cesación de la actividad de Worldcoin en España, que escaneaba el iris de los usuarios en centros comerciales (incluido Mercadona) a cambio de criptomoneda. Decisión confirmada en 2025, con cuestionamiento sobre la validez del consentimiento, la proporcionalidad y el tratamiento de datos biométricos al amparo del artículo 9 RGPD. Caso emblemático que la AEPD usa como referencia para todo proyecto biométrico.

AEPD — BBVA, 2024. Sanción a BBVA tras varias quejas de clientes referidas a decisiones bancarias automatizadas (denegación de crédito, cierre de cuenta) sin revisión humana documentada, sin información transparente sobre la lógica algorítmica, y con tratamiento de datos sin base jurídica clara. Multa de varios millones de euros, en línea con la voluntad de la AEPD de »golpear donde duele« en el sector financiero, particularmente expuesto a la IA.

AEPD — Vodafone, Iberdrola, Endesa, 2024-2025. Sanciones reiteradas a operadores y energéticas por uso de sistemas automatizados de detección de fraude o de gestión de morosidad sin EIPD, sin información, sin garantías humanas. La AEPD enfatiza que la IA »empresarial« no se beneficia de ninguna excepción y debe seguir el régimen general.

Garante (Italia) — OpenAI, marzo de 2023 y diciembre de 2024. Primera autoridad europea que sancionó a OpenAI: suspensión temporal de ChatGPT en Italia inicios 2023, después multa de 15 millones de euros en diciembre de 2024 por ausencia de base jurídica, falta de transparencia en la recopilación de datos, defecto de verificación de edad, e inexactitud de los contenidos generados sobre personas identificables. La AEPD ha indicado que considera esta decisión un precedente útil para casos similares en España.

CEPD — opinión 28/2024. El CEPD ha publicado en diciembre de 2024 una opinión sobre los modelos de IA y los datos personales, que clarifica: (1) un modelo IA puede tratar datos personales incluso después del entrenamiento (los pesos pueden contener información identificable); (2) la base jurídica debe apreciarse para el entrenamiento, la inferencia y la salida; (3) el interés legítimo no es un cheque en blanco — exige un test en tres etapas documentado.

El mensaje común de estas decisiones: las autoridades europeas aceptan la innovación IA, pero exigen una gestión de cumplimiento documentada y demostrable. La buena fe sin documentación no protege en auditoría.


Lo que nos negamos a prometer

Tres antipatrones recurrentes que evitamos en DPLIANCE cuando encuadramos una solución IA para una organización cliente.

»Lo vamos a resolver todo firmando ChatGPT Enterprise.« Falso. El contrato no basta. También hace falta: la política de uso oponible, la formación de los usuarios (artículo 4 Reglamento IA), la inscripción en el RAT, la EIPD si aplicable, el procedimiento de incidente, la seudonimización previa en los usos sensibles, la consulta a la representación legal de los trabajadores si contexto RR.HH. Sin estos pilares, el contrato solo es un papel que no aguanta en caso de control.

»Podemos enviar todos los datos de negocio al LLM, es seguro.« Falso. En SaaS, los datos abandonan su perímetro — incluso con DPA, incluso con »zero retention«. El buen reflejo: minimizar. Seudonimizar previamente cuando posible. Elegir el buen tier de herramienta según la sensibilidad (cloud soberano para los datos personales serios, on-premise para los datos sensibles).

»DPLIANCE va a hacer mi cumplimiento RGPD.« No. DPLIANCE es un editor de software. Diseñamos soluciones IA a medida que se integran en el marco RGPD definido por su DPD. Producimos la documentación técnica (arquitectura, elección de modelo, alojamiento, medidas de seguridad) que su DPD puede integrar en su EIPD y su RAT. El DPD sigue siendo el dueño del cumplimiento; le damos la materia fiable. Para una puesta en conformidad RGPD completa (auditoría, RAT, EIPD), es otra profesión.


FAQ

¿Se puede usar ChatGPT en la empresa sin riesgo RGPD?

Sí, bajo condiciones. La versión Team o Enterprise (con DPA, desactivación del entrenamiento sobre las conversaciones, control de la cuenta por la organización) es explotable sobre datos de negocio no sensibles. La versión gratuita o Plus (cuenta personal) nunca es conforme para tratar datos personales en un marco profesional. Para datos sensibles (salud, secreto profesional, RR.HH. nominativo), incluso la versión Enterprise no es suficiente: on-premise o alternativa soberana recomendados.

¿Mistral es automáticamente conforme al RGPD?

No — ninguna herramienta es automáticamente conforme. Mistral Le Chat Enterprise propone un marco RGPD nativo (alojamiento UE en Scaleway, DPA, sin entrenamiento sobre las conversaciones) que facilita considerablemente el cumplimiento — elimina en particular el riesgo DPF/Cloud Act. Pero la herramienta no hace el cumplimiento por sí sola: hace falta una política de uso oponible, un RAT actualizado, el respeto de las reglas de minimización, una EIPD para los usos de alto riesgo y la formación de los usuarios. Mistral es un buen punto de partida, no una respuesta completa.

¿Hay que hacer una EIPD para usar un LLM internamente?

No sistemáticamente. La EIPD es exigida para los tratamientos de alto riesgo en el sentido del artículo 35 RGPD y de la lista AEPD. Un uso genérico (redacción, síntesis, traducción) sobre datos de negocio seudonimizados no la exige. Un uso RR.HH., scoring, vigilancia de empleados, tratamiento de datos de salud identificantes, o decisión automatizada con efecto jurídico: sí, EIPD obligatoria y previa. Ver nuestra guía EIPD para proyecto IA.

¿Las conversaciones enviadas a un LLM se consideran datos personales?

Sí, desde que contienen un dato que permita identificar directa o indirectamente a una persona. Esto incluye un nombre, pero también un contexto suficientemente preciso (»el director comercial que dejó ACME en marzo de 2025«), una combinación rara de atributos (edad + ciudad + profesión), o referencias internas. En la práctica, una gran parte de los prompts profesionales manipula datos personales sin que los usuarios lo perciban — de ahí la importancia de la política de uso y la formación.

¿El DPF (Data Privacy Framework) asegura el uso de un LLM estadounidense?

El DPF hace técnicamente lícita la transferencia UE-EE.UU. hacia un proveedor certificado — en abril de 2026, OpenAI, Anthropic, Google y Microsoft son miembros. Pero el DPF sigue impugnado jurídicamente (recurso Latombe ante el TJUE) y varias autoridades europeas (AEPD, BfDI alemana, Garante italiana) recomiendan medidas adicionales (transfer impact assessment, seudonimización previa, cifrado extremo a extremo) a pesar de su adopción. Para un uso IA estratégico, no depender únicamente del DPF es más prudente.

¿Qué impone el Reglamento IA para la formación de los equipos?

El artículo 4 del Reglamento IA exige que las organizaciones se aseguren de que las personas que usan un sistema de IA en el marco profesional dispongan de un »nivel de alfabetización suficiente«, adaptado al contexto de uso y al tipo de sistema. Esta obligación entró en vigor en febrero de 2025 para la mayoría de los sistemas. La traducción práctica: una política de uso, una formación asociada (taller de al menos 30-60 minutos por usuario), un módulo de actualización anual.

¿Qué hacer si una persona pide la supresión de sus datos usados por un LLM?

Si el dato está en un sistema SaaS con retención configurable (ChatGPT Enterprise, Mistral Le Chat Enterprise), la supresión es generalmente operable vía API administrador o soporte del proveedor, en los plazos RGPD (un mes). Si el dato ha contribuido al entrenamiento de un modelo, la supresión en sentido estricto es técnicamente imposible. El CEPD tolera medidas alternativas (filtrado de salida, reentrenamiento periódico) bajo condición de demostrar su eficacia documentada.

¿Puede usarse la IA generativa para tratamientos de RR.HH. (CV, evaluación)?

Sí, bajo condiciones estrictas. El artículo 22 del RGPD prohíbe, salvo excepciones, las decisiones »fundadas exclusivamente en un tratamiento automatizado« que produzcan efectos jurídicos o afecten significativamente a la persona. El artículo 87 LOPDGDD añade en España una capa específica, y la Ley Rider impone la transparencia algorítmica. En la práctica: la IA puede ayudar al filtrado, pero la decisión final debe permanecer humana y documentada. EIPD obligatoria, pruebas de sesgo documentadas, información previa al candidato, derecho de oposición, recurso humano, y consulta a la representación legal de los trabajadores. Sin estas salvaguardas, el uso es manifiestamente no conforme.


Fuentes: Reglamento (UE) 2016/679 (RGPD); Ley Orgánica 3/2018 (LOPDGDD); Reglamento (UE) 2024/1689 (Reglamento IA), notablemente artículos 4, 9, 35; Real Decreto-ley 9/2021 (Ley Rider); AEPD, recomendaciones sobre IA y datos personales (aepd.es); AEPD, decisiones Worldcoin 2024-2025 y BBVA 2024; AESIA, marco operativo 2025; CEPD, opinión 28/2024 sobre modelos de IA y RGPD; Garante per la protezione dei dati personali — decisiones OpenAI 2023 y 2024; TJUE, sentencia Schrems II, 16 de julio de 2020 (C-311/18); Comisión Europea, decisión de adecuación Data Privacy Framework, 10 de julio de 2023.

Para encuadrar el cumplimiento de un proyecto IA en su organización — elección de arquitectura, modelo soberano o local, integración al sistema de información, documentación técnica para la EIPD — ver nuestra guía EIPD para proyecto IA, nuestra guía IA soberana, nuestra guía política de IA en empresa, o contáctenos a través de nuestras soluciones IA a medida.