La Agencia Española de Protección de Datos publica su Política general para el uso de IA generativa en procesos administrativos

Predicar con el ejemplo

En Julio de 2025 se presentaba el plan estratégico de la AEPD 2025-2030, donde ya se apuntaba la necesidad y el compromiso de nuestra Autoridad de control con las nuevas tecnologías y la innovación. El eje 1 del plan, titulado una agencia inteligente, definía los conceptos básicos que debían regir su actuación, aspirando a una supervisión más inteligente, anticipativa y eficaz, apoyada en la tecnología y en una gestión eficiente orientada a resultados.

Fruto de este plan estratégico, en noviembre hemos podido conocer un documento trascendental, su Política general para el uso de IA generativa en procesos administrativos de la AEPD (IAG). Una declaración de intenciones, que como bien indica el propio texto, “aspira a convertirse en un referente institucional en el uso de sistemas inteligentes aplicados a la administración pública”.

La adopción de tecnologías disruptivas por parte de los organismos encargados de supervisarlas genera siempre una interesante paradoja, la innovación mejora procesos y puede repercutir positivamente en los ciudadanos, pero debe implementarse siendo los máximos garantes en la adopción de medidas y salvaguardas. Esta política establece las bases para integrar la IAG en el corazón del organismo regulador español bajo un mantra de IA first.

La necesidad de esta política es innegable. La IAG presenta riesgos asimétricos para una autoridad de control, no solo por los riesgos que puede enfrentar cualquier organización, sino porque el riesgo reputacional en caso de un incidente sería demoledor. El uso de «Shadow AI” por personal de nuestras administraciones, plantea altos riesgos de filtración de datos confidenciales y alucinaciones que pueden afectar al ciudadano.

La AEPD, consciente de su papel ejemplarizante, propone un marco de autolimitación y gobernanza que aspira a integrar la eficiencia de la IAG sin sacrificar la seguridad jurídica. Con buen criterio, nos aclara que sus reglas internas no son una interpretación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo de 13 de junio de 2024 de Inteligencia artificial (RIA), creando así un marco de gobernanza interno y una guía para el personal a su cargo. Vamos a repasar los puntos fundamentales de este interesante documento.

Principios rectores y objetivos de la política

El objetivo principal de la implementación de la IAG en nuestra Autoridad de control es aumentar la eficacia, eficiencia y calidad de los procesos internos, a través de la innovación. Elemento clave para cumplir con el principio constitucional de eficacia y de los mandatos legales de eficiencia y mejora continua que orientan la actuación administrativa.

La política tiene como prioridad proteger los derechos y libertades tanto del personal de la Agencia como de la ciudadanía en general. Esto se centra, en particular, en la protección de datos personales y va más allá del estricto cumplimiento normativo, basándose en el principio de responsabilidad proactiva.

Además, son también objetivos la protección de la seguridad y salud de su personal, garantizar la continuidad de procesos, controlar los costes operativos y financieros, así como fortalecer la confianza de la ciudadanía en la AEPD.

Esto se logra con coherencia en la aplicación de criterios y respuestas a la ciudadanía, acompañando el aumento de eficacia con una mayor transparencia, explicabilidad y trazabilidad en las acciones realizadas.

(Imagen: E&J)

Gobernanza y rigor operativo como eje

Para asegurar estos objetivos, establece un modelo de gobernanza interna que involucra a distintos niveles de la organización y a determinados roles esenciales. No hay posibilidad de gobernanza efectiva si no se dispone de medidas estructurales, por ello, la AEPD establece un marco de participación dotando de roles y responsabilidades. Como buen marco de gobernanza integra a todos los actores involucrados para fomentar las buenas prácticas, resolver conflictos y mejorar la comunicación efectiva.

La gestión de la IAG se articula mediante un conjunto de políticas específicas

Para el desarrollo de su política general, la AEPD desgrana una serie de políticas que serán el eje vertebrador de su sistema de gestión.

• Selección del Tipo de Solución IAG, esta política marca un tema básico, la soberanía del dato. El documento distingue tres enfoques de implementación, sistema Externo/SaaS, sistema Interno y sistema Ad-hoc. Incluye una tabla comparativa de fortalezas y debilidades, priorizando los sistemas internos o ad-hoc para cualquier tratamiento de datos personales, relegando los SaaS externos a tareas sin información confidencial debido al riesgo de filtración y falta de control.

Reconoce que los SaaS ofrecen mayor potencia, pero introducen riesgos inaceptables de privacidad como la revelación de información y riesgos asociados a falta de control de costes. La apuesta por modelos de pesos abiertos (Llama, Mistral ) alojados on-premise es la única vía realista para garantizar la soberanía del dato, aunque requiere una gran infraestructura técnica. La distinción es crítica: un SaaS conlleva opacidad en el entrenamiento y flujo de datos, mientras que un modelo en infraestructura propia permite auditoría real.

• Diseño y Supervisión Humana. Para proteger los derechos fundamentales, la política prohíbe las decisiones automatizadas basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o afecten significativamente a derechos y libertades. Incluir validación y capacitación al personal es una forma de evitar riesgos en este punto. Algunos casos de uso propuestos son especialmente peligrosos y sería conveniente una supervisión humana reforzada.
• Los sistemas de IAG implementados se someterán a la categorización del Esquema Nacional de Seguridad (RD 311/2022 ENS). Adoptar controles de nivel alto del anexo II del ENS cuando el caso de uso implique información sensible, datos personales de categorías elevadas o funciones críticas, es coherente con el artículo 32 del RGPD y una medida necesaria.

El Rigor Jurídico

La política garantiza el pleno cumplimiento de la normativa en materia de protección de datos personales. Para ello y siguiendo los principios del artículo 5 del RGPD el documento propone:

• Realizar una Evaluación de Impacto para la Protección de Datos (EIPD) cuando el caso de uso suponga un tratamiento de datos personales que entrañe un riesgo alto para derechos y libertades.
• Aplicar principio de minimización y limitación de la finalidad en la configuración del acceso a datos por parte de los sistemas IAG.
• Transparencia y Explicabilidad. La AEPD exige que las herramientas de trabajo hagan visible al usuario cuando está interactuando con un sistema IAG.

Un aspecto crucial de rigor jurídico es la posición de la AEPD frente al Reglamento de Inteligencia Artificial de la UE. La política es meridianamente clara en su alcance, establece explícitamente que es una política interna, aplicable exclusivamente a la AEPD, y no tiene carácter interpretativo ni desarrolla obligaciones derivadas del Reglamento de Inteligencia Artificial.

No obstante, la Agencia no ignora el futuro marco normativo. Si en una fase posterior de desarrollo o despliegue se apreciara que un caso de uso pudiera estar comprendido en alguno de los supuestos regulados por el RIA, el régimen jurídico previsto en dicho instrumento aplicaría íntegramente.

Conclusiones y aviso a navegantes

La Política general para el uso de IA generativa de la AEPD es un ejercicio de responsabilidad institucional encomiable. Al decidir gobernarse con procedimientos rigurosos antes de usar la IA, la Agencia envía un mensaje potente a otras administraciones y por supuesto a todas las empresas de este país.  La eficiencia administrativa o la adopción de nuevas tecnologías no puede poner en riesgo los derechos fundamentales. El estándar que establece aquí es, de facto, un manual de instrucciones que cualquier entidad pública sensata debería considerar seguir.

Establecer una política, con roles, procedimientos de actuación, casos de uso documentados y análisis de riesgo enlaza perfectamente con un sistema de gestión orientado a gestionar el riesgo y a la mejora continua. Un modelo que toda organización actual debería plantearse a la hora de utilizar IA generativa en sus procesos diarios, si quieren hacerlo de forma ordenada, supervisada, ética y segura.