La inteligencia artificial se ha convertido en una palanca clave para la competitividad empresarial, pero también en un nuevo foco de riesgo jurídico. Su dependencia estructural de los datos —muchos de ellos personales— ha colocado a las compañías ante un terreno normativo incierto, donde conviven regulaciones complejas y autoridades con competencias aún en fase de definición. “Sin input no hay output”, resume Alejandro Touriño, socio director de Écija, aludiendo a una realidad incómoda: no hay IA sin datos. Y no hay datos que no estén ligados a obligaciones legales.
Este fue uno de los ejes centrales del encuentro Inteligencia artificial y protección de datos, celebrado este martes en la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid. El foro de debate, que fue seguido por más de 600 asistentes, reunió a responsables públicos y expertos del ámbito jurídico para analizar el encaje —todavía imperfecto— entre el Reglamento General de Protección de Datos (RGPD) y el nuevo Reglamento de Inteligencia Artificial (RIA). El encuentro estuvo moderado por Moisés Barrio, letrado del Consejo de Estado, asesor internacional en regulación digital y autor de la sexta entrega de la GuIA Práctica de la Inteligencia Artificial, editada por Aranzadi LA LEY, que lleva por título Inteligencia Artificial y Protección de datos.
Una guía práctica para navegar la complejidad
La Guía Práctica de la Inteligencia Artificial, presentada durante el encuentro, pretende precisamente ofrecer respuestas a este escenario cambiante. Cristina Retana, directora de contenidos e innovación de Aranzadi LA LEY, explicó que se trata de “un proyecto que acumula más de 10.000 lectores” y que se actualiza de forma periódica, con un nuevo número cada dos meses.
Retana expuso además la experiencia de Aranzadi LA LEY como ejemplo de desarrollo responsable de herramientas de IA: sistemas entrenados exclusivamente con datos corporativos internos, bien gobernados y catalogados, en entornos seguros y auditables. “Creamos una plataforma segura, con un proveedor tecnológico, para entrenar modelos con la seguridad de que los datos no pudieran ser utilizados para ningún entrenamiento externo”, explicó. A su juicio, la gobernanza de la IA exige una colaboración transversal que involucre a negocio, tecnología, equipos jurídicos y responsables de protección de datos.
Dos grandes normas, un encaje aún por resolver
El marco europeo que regula la IA descansa sobre una arquitectura normativa dual. Por un lado, el RGPD, en aplicación desde 2018 y plenamente operativo en materia sancionadora; por otro, el RIA, cuya aplicación será progresiva hasta 2027. La dificultad, coincidieron los ponentes, no es tanto la existencia de ambas normas como la falta de claridad sobre cómo se relacionan entre sí.
“Es cierto que el RGPD y el RIA convergen”, afirmó Francisco Pérez Bes, adjunto de la Agencia Española de Protección de Datos (AEPD), especialmente “en la parte de protección de datos”. Sin embargo, a esta bicefalia se suman otras directivas y proyectos comunitarios que complican aún más el panorama. Entre ellos, mencionó el Pack Digital, impulsado por la Unión Europea con el objetivo de simplificar la burocracia tecnológica.
Para Pérez Bes, “la intención de los reguladores europeos es buena”, aunque reconoció la dificultad de “analizar cómo esta normativa se complementa con las otras”. El resultado es un entorno regulatorio fragmentado que dificulta a las empresas cumplir con todas las obligaciones con seguridad jurídica.
¿Quién sanciona y cuándo llegarán las primeras multas?
Uno de los debates más relevantes giró en torno a la convivencia entre la AEPD y la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Según recordó Pérez Bes, “todo lo que tiene que ver con protección de datos está regido por el RGPD”, lo que incluye las competencias de control y sanción cuando se utilizan datos personales.
Pese a ello, la actividad sancionadora relacionada con la IA sigue siendo limitada. “El número de reclamaciones ha sido bajo”, señaló el representante de la AEPD, en parte porque se trata de una tecnología que aún no ha desplegado todo su impacto. No obstante, episodios recientes, como el caso de Grok —la inteligencia artificial de Elon Musk utilizada en la red social X en un caso vinculado a la generación de pornografía infantil—, anticipan un aumento de la preocupación y la posibilidad de que “puedan llegar las primeras reclamaciones” en 2026, señaló el experto.
Los datos, el talón de Aquiles de la IA
Desde la óptica empresarial, la protección de datos sigue siendo el principal punto de fricción. Belén Arribas Sánchez, delegada de protección de datos y presidenta de ENATIC, subrayó la inquietud de las compañías por desarrollar entornos de IA en los que “los datos estén completamente anonimizados”. Un ámbito en el que los proveedores tecnológicos han encontrado una clara oportunidad de negocio.
Arribas defendió que el RGPD ofrece herramientas suficientes para frenar determinados sistemas de IA, ya que muchos de sus principios entran en tensión con esta tecnología. Entre ellos, citó el principio de minimización frente al uso intensivo de big data; la limitación del plazo de conservación frente a la necesidad de retener grandes volúmenes de información; o la finalidad del tratamiento frente a los usos imprevistos de los modelos. A ello se suma el reto de garantizar los derechos de los interesados, como la rectificación, el acceso o la explicación de la lógica aplicada.
Estos conflictos normativos ya se traducen en riesgos concretos, advirtió la experta, como “la atribución incorrecta de hechos a individuos o grupos”, la revelación “de información de terceros sin consentimiento” o el tratamiento de “datos de categorías especiales o sensibles”.
Gobernanza de la IA: un reto organizativo
Alejandro Touriño centró su intervención en las implicaciones organizativas del nuevo marco regulatorio. “No recuerdo ninguna tecnología con un impacto tan relevante en todos los sectores económicos como la inteligencia artificial”, afirmó. Desde su punto de vista, el RIA y el RGPD comparten rango normativo, pero “protegen bienes jurídicos diferentes”, lo que explica parte de la confusión actual en las empresas.
La llegada escalonada del RIA ha provocado, según el abogado, que muchas organizaciones no hayan integrado de forma coherente sus procesos internos. De ahí la aparición de nuevas figuras de gobernanza, como el Chief AI Officer (CAIO). La cuestión clave, planteó Touriño, es cómo se relaciona este perfil con el Delegado de Protección de Datos (DPO). “El DPO vela por la privacidad; el CAIO no es el responsable de un derecho, sino de una tecnología. Son dos lenguajes distintos”.
Y en este contexto confiar la gobernanza de la IA a un perfil exclusivamente técnico puede ser un error. “Tenemos una tecnología que representa un impacto en muchos derechos fundamentales. Si lo abordamos desde un punto de vista solamente técnico, será complejo darle una solución”, señaló Touriño.
RGPD y RIA: cumplimiento acumulativo, no alternativo
El cierre del acto corrió a cargo de Moisés Barrio, quien sintetizó una de las conclusiones principales de la jornada: “El cumplimiento del RIA no es una lex specialis respecto al RGPD”. Cumplir con el nuevo Reglamento de Inteligencia Artificial no exime, por tanto, de las obligaciones ya existentes en materia de protección de datos.
La advertencia es clara: mientras la normativa se asienta y los reguladores afinan su coordinación, las empresas que desarrollen o utilicen sistemas de IA deberán extremar la vigilancia. El verdadero riesgo, coincidieron los expertos, no es solo la futura multa, sino operar hoy en un entorno donde la inseguridad jurídica sigue siendo la norma.
Precisamente a aportar seguridad se dirige la guía elaborada por el profesor Barrio, que analiza la relación entre el RIA y el RGPD, explicando cómo ambos deben aplicarse conjuntamente para garantizar un uso seguro, ético y legal de los datos en los sistemas de IA. Ofrece explicaciones claras, ejemplos reales y consejos prácticos para comprender, integrar y sacar partido a la IA en la respectiva actividad profesional y entidad, sea privada o pública.
