RGPD aplicado a IA

El RGPD se aprobó en 2016, antes de la explosión de la IA generativa, pero se aplica plenamente a cualquier tratamiento de datos personales que se haga con IA. Esto significa que si tu empresa usa IA para procesar nombres, correos, datos de salud, datos económicos u otros datos personales, todas las obligaciones RGPD aplican: identificar la base legal (consentimiento, contrato, interés legítimo, obligación legal), informar a los titulares sobre el tratamiento (incluyendo el uso de IA y, si aplica, decisiones automatizadas), permitir el ejercicio de derechos (acceso, rectificación, supresión), garantizar transferencias internacionales adecuadas (importante con proveedores estadounidenses), aplicar medidas técnicas y organizativas, y evaluar impactos cuando el tratamiento es de alto riesgo. Los puntos especialmente sensibles con IA son: el contrato DPA (Data Processing Agreement) con el proveedor, que debe firmarse antes de empezar a tratar datos personales en su sistema; las transferencias a EE.UU., cubiertas hoy por el Data Privacy Framework pero con histórico de impugnaciones; los modelos entrenados con datos personales, que plantean preguntas no resueltas sobre derecho al olvido (cómo borrar un dato de un modelo ya entrenado). La AEPD ha publicado guías específicas sobre IA y RGPD que conviene seguir. El uso de planes gratuitos y personales para datos profesionales suele incumplir el RGPD por falta del contrato DPA.