Ricard Castellet

Transcripción de voz con IA: la pregunta no es si funciona, sino si tu organización está preparada

por

La IA transcribe, pero la responsabilidad sigue siendo humana


La creciente adopción de herramientas de inteligencia artificial para transcribir reuniones, llamadas o conversaciones está transformando la forma en que las organizaciones gestionan la información. Agilidad, automatización y eficiencia son ventajas evidentes. Sin embargo, detrás de esa mejora operativa existe una cuestión que muchas empresas todavía no se han planteado: ¿quién responde cuando la tecnología se equivoca?


La reciente reflexión de la AEPD recuerda una idea esencial: utilizar IA para transcribir voz no implica trasladar la responsabilidad al proveedor tecnológico. La organización que decide implantar estas herramientas sigue siendo responsable del tratamiento y de sus consecuencias.


Cuando un error de transcripción deja de ser un error menor


Los errores pueden tener un impacto mucho mayor de lo que parece. Una transcripción puede atribuir una declaración a la persona equivocada, eliminar matices relevantes o registrar datos incorrectos. Un nombre mal identificado, un cargo erróneo o una frase sacada de contexto pueden afectar a la calidad de la información y, en determinados escenarios, generar riesgos jurídicos y de cumplimiento.


La cuestión no es si la tecnología falla—porque puede hacerlo—, sino si la organización ha previsto qué ocurrirá cuando suceda.


Transparencia, conservación y derechos: riesgos que suelen pasar desapercibidos


La transparencia también ocupa un papel central. Las personas deben conocer de forma clara cuándo su voz está siendo tratada mediante sistemas de IA, con qué finalidad y qué uso posterior puede darse a esa información.


Además, es necesario revisar aspectos que con frecuencia pasan desapercibidos: ¿las grabaciones se conservan más tiempo del necesario?, ¿los datos se utilizan para reentrenar modelos?, ¿existen mecanismos sencillos para rectificar errores o ejercer derechos?


La experiencia demuestra que muchas organizaciones incorporan soluciones de transcripción automática como una funcionalidad más dentro de plataformas colaborativas o herramientas de productividad, sin analizar realmente las implicaciones de privacidad y gobernanza que incorporan.


La verdadera pregunta: ¿ha revisado tu organización todo lo que debería?


Quizá la pregunta relevante ya no sea si utilizar o no estas herramientas. La cuestión es otra: ¿tu organización ha revisado realmente todo lo que debería revisar?


  • ¿Ha analizado el papel y las responsabilidades del proveedor?
  • ¿Existen protocolos para validar y corregir transcripciones erróneas?
  • ¿Se han definido periodos adecuados de conservación?
  • ¿Se informa correctamente a empleados, clientes o participantes?
  • ¿Se han evaluado los riesgos desde una perspectiva de privacidad y cumplimiento?

La inteligencia artificial puede aportar una enorme ventaja competitiva, pero la innovación sostenible exige algo más que implementar tecnología: requiere hacerlo con garantías.


Las organizaciones que obtendrán mayor valor de estas herramientas no serán necesariamente las que adopten más IA, sino aquellas que hayan dedicado tiempo a entender sus implicaciones y a implantarla con garantías.


Como siempre, cuidad los datos y ¡cuidaos!

XII Congreso Internacional de Privacidad e Inteligencia Artificial de APEP·IA

por

Los pasados 7 y 8 de mayo el equipo de Tecnolawyer asistió al XII Congreso Internacional de Privacidad e Inteligencia Artificial organizado por APEP·IA, un encuentro de referencia para profesionales del ámbito de la privacidad, la protección de datos y la gobernanza de la inteligencia artificial.


Durante las distintas sesiones y mesas de debate, el Congreso reunió a representantes institucionales, expertos jurídicos, académicos y compañías tecnológicas para analizar los retos que plantea la rápida evolución de la IA desde una perspectiva regulatoria, ética y operativa. A lo largo de las jornadas se abordaron cuestiones especialmente relevantes relacionadas con la aplicación práctica de la normativa de protección de datos, la gestión de riesgos, la transparencia de los sistemas de IA y la necesidad de avanzar hacia modelos de gobernanza responsables y sostenibles.


Uno de los aspectos más destacados del evento fue el enfoque práctico de muchas de las intervenciones, centradas en cómo las organizaciones pueden adaptarse al nuevo contexto tecnológico y regulatorio. La creciente integración de herramientas de inteligencia artificial en procesos empresariales y entornos laborales está generando nuevos desafíos en materia de privacidad, seguridad de la información y cumplimiento normativo, lo que exige una aproximación cada vez más transversal y estratégica.


El Congreso también puso de manifiesto el papel clave que está desempeñando Europa en la definición de estándares regulatorios en torno a la inteligencia artificial y la protección de datos. Los distintos debates reflejaron la importancia de encontrar un equilibrio entre innovación y garantía de derechos fundamentales, así como la necesidad de que empresas y profesionales se mantengan preparados ante un marco normativo en constante evolución.


Nuestra asistencia a este encuentro ha supuesto una excelente oportunidad para conocer de primera mano las tendencias y prioridades que marcarán el desarrollo de la IA en los próximos años, así como para compartir experiencias con otros profesionales del sector.


Desde nuestra firma, seguimos apostando por una visión de la innovación tecnológica alineada con el cumplimiento normativo, la protección de datos y la adopción responsable de soluciones de inteligencia artificial.


Agradecemos a APEP·IA la organización de un Congreso de gran nivel técnico y plenamente conectado con los desafíos actuales del entorno digital.


Como siempre, cuidad los datos y ¡cuidaos!

Evidencias digitales: el gran olvidado del cumplimiento

por

Muchas organizaciones han avanzado en los últimos años en materia de cumplimiento: políticas internas, protocolos, formaciones, cláusulas, procedimientos… El problema es que, en demasiados casos, todo eso sigue viviendo en documentos estáticos que rara vez se conectan con la operativa real de la empresa.


Y ahí aparece uno de los mayores riesgos actuales: no poder demostrar qué se hizo, cuándo, por quién y con qué controles.


El cumplimiento ya no se mide solo por lo que una organización tiene documentado, sino por su capacidad para acreditar que realmente funciona.


1. El cumplimiento ya no es un PDF


Durante años, muchas empresas han entendido el compliance como una cuestión principalmente documental: disponer de políticas, manuales o procedimientos.


El contexto ha cambiado; normativas como el RGPD, el Reglamento Europeo de IA, los requisitos de ciberseguridad o los sistemas internos de información exigen algo más: trazabilidad y capacidad de prueba.


No basta con afirmar que existe un control, sino que hay que poder demostrar: cuándo se aplicó, quién intervino, qué decisión se tomó, y qué evidencias lo respaldan.


2. El verdadero problema aparece cuando ocurre un incidente


La diferencia entre un cumplimiento «formal» y uno realmente operativo suele aparecer en el peor momento: una inspección, una reclamación, una brecha de seguridad o un conflicto laboral.


En ese escenario, las preguntas cambian rápidamente:


  • ¿puedes acreditar que se informó al empleado?
  • ¿existe registro de la autorización?
  • ¿quedó documentada la revisión humana?
  • ¿se puede reconstruir qué ocurrió?

Muchas veces, la respuesta es incompleta porque la organización tenía políticas… pero no evidencias.


3. De la documentación estática a sistemas defendibles


El reto actual no es generar más documentación, sino construir sistemas que permitan convertir el cumplimiento en algo aplicable, medible y defendible.


Esto afecta prácticamente a todas las áreas:


  • protección de datos,
  • uso de inteligencia artificial,
  • ciberseguridad,
  • canal interno de denuncias,
  • desconexión digital,
  • controles laborales o investigaciones internas.

En todos estos ámbitos, el elemento diferencial ya no es solo «tener normas», sino contar con mecanismos que permitan acreditar cómo se ejecutan realmente.


4. La evidencia digital como elemento estratégico


Muchas organizaciones siguen viendo las evidencias digitales como un aspecto técnico o secundario. Sin embargo, cada vez tienen más peso desde el punto de vista jurídico y operativo.


Registros de actividad, logs, autorizaciones, revisiones, trazabilidad de accesos o validaciones internas son elementos que permiten demostrar diligencia y control.


Y esto tiene un impacto directo:


  • reduce exposición ante sanciones,
  • fortalece la posición de la empresa ante conflictos,
  • y mejora la capacidad de respuesta ante incidentes.

Conclusión: el cumplimiento que no se puede probar es cada vez menos útil


Las organizaciones ya no necesitan únicamente políticas bien redactadas. Necesitan estructuras que permitan demostrar que esas políticas se aplican de forma efectiva.


Porque el verdadero cambio de paradigma está aquí: pasar de un cumplimiento basado en documentos a un cumplimiento basado en evidencias.


Y en un entorno donde confluyen IA, protección de datos, ciberseguridad y relaciones laborales, esa capacidad de prueba empieza a convertirse en una ventaja competitiva.


La pregunta clave: Si mañana tu organización tuviera que justificar una decisión, una actuación o un control concreto… ¿podría demostrarlo con evidencias claras y trazables, o solo con un procedimiento en PDF?


Como siempre, cuidad los datos y ¡cuidaos!

Píxeles en email marketing: el «invisible» que puede costarte 100.000 €

por

El email marketing sigue siendo una de las herramientas más rentables para las empresas. Pero hay un detalle técnico que muchas organizaciones utilizan sin cuestionarlo—y que ya está generando sanciones relevantes—: los píxeles de seguimiento.


Esos pequeños fragmentos de código que permiten saber si alguien abre un correo, cuándo lo hace o desde qué dispositivo. Útiles, sí. Inofensivos, no siempre.


La Agencia Española de Protección de Datos (AEPD) ya ha dejado claro el mensaje: no puedes rastrear sin permiso, aunque sí puedas enviar el email.


1. Recibir emails no significa aceptar ser monitorizado


Uno de los principales errores detectados es asumir que la aceptación de comunicaciones comerciales incluye, de forma implícita, el consentimiento para el seguimiento de la actividad del destinatario.


Desde el punto de vista normativo, esto no es correcto.


El uso de píxeles implica acceder al terminal del usuario para recabar información, lo que sitúa esta práctica dentro del ámbito del artículo 22.2 de la LSSI, en línea con el régimen aplicable a cookies y tecnologías similares.


Esto exige información previa clara y consentimiento específico, expreso y separado.


2. El píxel «invisible» no es neutro


Desde el punto de vista técnico, el píxel funciona como una orden al dispositivo del usuario para enviar información a un servidor externo.


Esto puede incluir:


  • si ha abierto el email,
  • a qué hora,
  • desde qué dispositivo,
  • e incluso patrones de comportamiento.

Cuando esta recogida se produce sin conocimiento del destinatario, puede vulnerar los principios de transparencia y lealtad establecidos en el RGPD.


3. Europa lo tiene claro: esto es como una cookie


El Comité Europeo de Protección de Datos ha equiparado el uso de píxeles a otras tecnologías de seguimiento, lo cual consolida la exigencia de consentimiento válido conforme a los estándares del Tribunal de Justicia de la Unión Europea.


Esto implica, entre otras cuestiones: exclusión de mecanismos basados en consentimiento tácito, invalidez de casillas premarcadas y necesidad de una acción afirmativa clara por parte del usuario.


Por lo tanto, el consentimiento debe ser claro, informado y verificable.


4. No es solo tu proveedor: la responsabilidad también es tuya


Otro punto crítico (y muy relevante a nivel comercial) es que muchas empresas utilizan herramientas de email marketing sin revisar qué hacen exactamente. Sin embargo, el hecho de que el tracking lo proporcione una plataforma externa no elimina tu responsabilidad.


Si se decide usar esas métricas, se definen sus parámetros o se obtienen beneficios de ellas, se está participando en el tratamiento de datos, por lo que eso te convierte en responsable (o corresponsable) del tratamiento.


Este aspecto resulta especialmente relevante en contextos de auditoría o inspección.


5. El precedente: 100.000 € por rastrear sin informar


La AEPD ya ha sancionado este tipo de prácticas en casos en los que no se informaba adecuadamente al usuario, no existía una base jurídica válida, y el tratamiento se realizaba de forma opaca.


En uno de sus últimos expedientes (PS/00328/2022), la sanción ha alcanzado la suma total de 100.000 €. En este sentido, la AEPD ha subrayado que la utilidad comercial de estas herramientas no justifica su uso sin garantías adecuadas. Esta sanción ha sido ratificada posteriormente en el recurso de reposición.


Conclusión: el problema no es medir, es cómo se hace


Medir resultados en marketing es necesario, pero hacerlo sin control puede salir caro.


El verdadero riesgo no está en usar tecnología de analítica, sino en hacerlo:


  • sin consentimiento adecuado,
  • sin transparencia,
  • y sin entender qué datos se están tratando realmente.

Aquí es donde muchas empresas fallan: no en la herramienta, sino en la configuración.


En un contexto de creciente exigencia regulatoria, resulta imprescindible que las organizaciones puedan responder con claridad a una cuestión básica: ¿qué datos se están recogiendo en nuestras campañas de email y bajo qué legitimación?


Cuando esta respuesta no está claramente definida, el riesgo deja de ser teórico y pasa a ser operativo.


Como siempre, cuidad los datos y ¡cuidaos!

De la IA al control biométrico: cuando la tecnología se pasa de frenada

por

En los últimos posts del blog hemos hablado mucho de inteligencia artificial: automatización, eficiencia, toma de decisiones… Pero hay otro fenómeno que avanza en paralelo y plantea retos igual de relevantes: el uso de tecnologías cada vez más intrusivas en el entorno laboral.


Porque no todo pasa por la IA. A veces, el problema está en algo más cotidiano: cómo controlamos el acceso o la actividad de los empleados.


La reciente sentencia de la Audiencia Nacional nº59/2026 lo deja claro: no todo lo técnicamente posible es jurídicamente válido, especialmente cuando hablamos de datos biométricos.


El caso: control excesivo para un problema menor


El asunto analizado parte de una medida que, en apariencia, buscaba mejorar la seguridad: utilizar sistemas de identificación biométrica (como la huella dactilar) para controlar el acceso de empleados a zonas como vestuarios o aseos.


El problema no fue la finalidad, sino el medio elegido.


La Audiencia Nacional concluye que la medida no superaba el análisis exigido en protección de datos:


  • no era necesaria,
  • no era proporcional,
  • y existían alternativas menos invasivas.

En otras palabras: se utilizó una solución desproporcionada para un problema que podía resolverse de forma más sencilla.


Datos biométricos: un nivel de exigencia más alto


No estamos ante datos cualquiera. Los datos biométricos—como la huella o el reconocimiento facial—tienen una protección reforzada en el RGPD.


¿Por qué? Porque permiten identificar de forma única a una persona y, además, son datos que no se pueden cambiar.


Esto implica que su uso debe ser excepcional y estar especialmente justificado. No basta con que sea útil o cómodo para la empresa.


El criterio clave: ¿de verdad no hay otra alternativa?


La sentencia pone el foco en una idea muy práctica que muchas organizaciones pasan por alto: antes de implantar una medida intrusiva, hay que preguntarse si existe otra menos invasiva.


En este caso, la respuesta era clara: sí, existían alternativas (tarjetas, códigos, controles físicos…). Y, cuando existen, el uso de biometría deja de estar justificado.


Más allá de la sanción: el riesgo real


Aunque, en este caso, la sanción económica se sustituyó por un apercibimiento, el mensaje es relevante. El problema no fue una mala intención, sino un mal diseño.


Y esto es clave para las empresas: muchos riesgos en protección de datos no vienen de decisiones deliberadas, sino de no analizar bien el impacto de las medidas que se implantan.


Además, el contexto agrava la situación: estamos hablando de espacios como vestuarios o zonas de descanso, en los cuales la expectativa de privacidad es mayor.


Conclusión: más tecnología no siempre es mejor control


La tecnología ofrece cada vez más posibilidades para controlar accesos, medir actividad o reforzar la seguridad. Pero eso no significa que todas deban utilizarse.


Igual que ocurre con la inteligencia artificial, la clave no está en lo que la tecnología permite hacer, sino en lo que es adecuado hacer en cada contexto.


Antes de implantar sistemas biométricos—o cualquier medida intensiva—conviene hacerse una pregunta sencilla: ¿estoy resolviendo el problema… o complicándolo innecesariamente?


Porque en protección de datos, elegir la herramienta más potente no siempre es la mejor decisión. A veces, es justo lo contrario.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la sentencia, haga clic aquí.

El error más común al usar IA en emails (y por qué puede costarte caro)

por

La inteligencia artificial se ha convertido en una aliada habitual para redactar emails: respuestas rápidas, textos más claros, mejor tono… Todo parece una mejora evidente en productividad.


Pero hay un error que se repite constantemente en empresas de todos los tamaños: copiar datos reales en el prompt para que la IA «mejore» el email.


Lo que parece un gesto inocente puede convertirse en una fuga de datos con implicaciones legales y reputacionales. La Agencia Española de Protección de Datos (AEPD), en sus recomendaciones sobre el uso de IA, insiste precisamente en este punto: el riesgo no está en la respuesta, sino en la información que se introduce.


El gesto más habitual (y más peligroso)


El escenario es muy común:


  • «Voy a mejorar este email a un cliente»
  • «Que lo haga más profesional»
  • «Que resuma este hilo»

Y para ello, se copia el contenido completo del correo en la herramienta de IA.


El problema es que ese contenido puede incluir:


  • datos personales de clientes o empleados,
  • información contractual,
  • datos financieros,
  • o incluso conversaciones sensibles.

En ese momento, esa información sale del entorno controlado de la empresa.


¿Qué ocurre realmente con esos datos?


No todas las herramientas de IA funcionan igual, pero la AEPD advierte de algo clave:
cuando se introduce información en estos sistemas, se puede perder el control sobre ella.


Dependiendo del proveedor, los datos pueden:


  • almacenarse temporalmente,
  • generar registros (logs),
  • o utilizarse para mejorar el servicio.

Esto no significa que siempre ocurra, pero sí que no se puede asumir que el dato desaparece tras obtener la respuesta.


El problema no es técnico, es de uso


Aquí está la clave: la mayoría de los riesgos no vienen de la tecnología, sino de cómo se utiliza.


El uso de IA en emails no es problemático por sí mismo. Lo problemático es introducir información que no debería salir del perímetro de la organización.


Por eso, la AEPD recomienda aplicar un principio básico: minimizar los datos que se introducen en herramientas de IA.


Cómo evitar el error (sin dejar de usar IA)


No se trata de dejar de usar estas herramientas, sino de usarlas mejor. Algunas buenas prácticas:


  • Evitar copiar datos reales: sustituir nombres, cifras o referencias por ejemplos ficticios.
  • Trabajar con plantillas: pedir a la IA estructuras o mejoras generales, no sobre casos reales.
  • Revisar condiciones del proveedor: entender qué ocurre con los datos introducidos.
  • Formar a los equipos: muchos errores vienen del desconocimiento, no de la mala fe.

El objetivo es claro: aprovechar la IA sin comprometer la información.


Conclusión: la productividad no puede ir por delante del control


La IA puede ayudarte a escribir mejores emails en menos tiempo. Pero ese beneficio no puede venir a costa de perder el control sobre los datos.


El error más común no es usar la herramienta, sino hacerlo sin criterio.


Porque en el día a día, una simple acción como «copiar y pegar» puede parecer insignificante…
hasta que deja de serlo.


Y, en protección de datos, ese momento suele llegar demasiado tarde.


Como siempre, cuidad los datos y ¡cuidaos!

¿Usas IA para contratar? Esto es lo que debes revisar antes de decidir

por

La inteligencia artificial ha llegado con fuerza a los procesos de selección: filtrado de CVs, análisis de candidatos, entrevistas automatizadas… La promesa es clara: más eficiencia, menos sesgos y decisiones más rápidas. 


Pero hay una pregunta que muchas organizaciones aún no se hacen: ¿estamos usando la IA en selección de forma legal y controlada? 


Recordemos que el Reglamento Europeo de Inteligencia Artificial (AI Act/RIA, Reglamento (UE) 2024/1689) introduce reglas muy claras, especialmente, cuando la IA afecta a decisiones laborales. 


Y aquí el nivel de exigencia sube. Ya introdujimos este tema en el blog (puedes releerlo aquí), pero hoy hablaremos del uso específico de la IA en procesos de selección. 


La IA en selección es «alto riesgo» (y no es una etiqueta menor) 


El RIA clasifica como sistemas de alto riesgo aquellos que se utilizan para: 


  • selección de candidatos,  
  • evaluación de CVs,  
  • toma de decisiones en contratación o promoción.  

Esto significa que no estamos ante una herramienta más, sino ante un sistema sujeto a obligaciones estrictas. 


¿Por qué? Porque estas decisiones tienen un impacto directo en la vida de las personas. 


No basta con que la herramienta funcione: hay que controlarla 


Uno de los mensajes clave del Reglamento es claro: usar IA no implica delegar la decisión. 


Las empresas deben garantizar: 


  • supervisión humana real 
  • comprensión del funcionamiento del sistema,  
  • y capacidad de intervenir o corregir decisiones.  

Es decir, la IA puede ayudar… pero no sustituir completamente el criterio humano. 


El riesgo invisible: sesgos y decisiones automatizadas 


Muchos sistemas de IA aprenden de datos históricos. Y ahí está el problema: 
si los datos están sesgados, la IA puede reproducir—o incluso amplificar—esos sesgos. 


En selección, esto puede traducirse en: 


  • discriminación indirecta,  
  • exclusión sistemática de ciertos perfiles,  
  • decisiones difíciles de explicar.  

El RIA obliga a las organizaciones a evaluar y mitigar estos riesgos, no a ignorarlos. 


Transparencia: el candidato debe saberlo 


Otro punto clave: si utilizas IA en procesos de selección, debes informarlo. 


Los candidatos tienen derecho a saber: 


  • que están siendo evaluados mediante sistemas automatizados, 
  • cómo influye eso en la decisión,  
  • y qué papel tiene la intervención humana.  

No es solo una cuestión legal, también lo es de confianza. 


Revisar el proceso, no solo la herramienta 


Un error habitual es centrarse únicamente en la tecnología: «¿la herramienta cumple?» 


Pero la pregunta correcta es otra: ¿cumple todo el proceso de selección? 


El riesgo no está solo en el software, sino en cómo se integra en la toma de decisiones. 


Esto implica revisar: 


  • cómo se usa la herramienta,  
  • quién toma la decisión final,  
  • y qué evidencias puedes aportar si alguien cuestiona el proceso.  

Conclusión: la IA no elimina la responsabilidad, la aumenta 


La inteligencia artificial puede mejorar los procesos de selección, pero también introduce nuevos riesgos. 


El RIA no prohíbe su uso, pero sí deja claro algo fundamental: quien decide sigue siendo responsable, aunque use IA. 


Por eso, más allá de la eficiencia, la clave está en el control. Porque en selección de personal, no solo importa elegir bien, sino que también importa poder demostrar que se ha hecho correctamente. 


Como siempre, cuidad los datos y ¡cuidaos! 

Plataformas educativas digitales: lo que hay que revisar antes de volver a clase

por

Las vacaciones escolares—como Semana Santa—no solo sirven para desconectar. También son un buen momento para revisar herramientas que usamos a diario sin cuestionarlas demasiado. 


Una de ellas: las plataformas educativas digitales (Google Classroom, Microsoft Education, plataformas autonómicas, etc.). 


Las autoridades de protección de datos en España han publicado una guía conjunta que lanza un mensaje claro: no basta con que funcionen bien, también tienen que usarse bien, pues, en la mayoría de los casos, implica el tratamiento de datos de menores. Esto afecta no solo a centros educativos, sino también a empresas que ofrecen o gestionan este tipo de soluciones. 


No todo lo que incluye la plataforma es «parte del servicio» 


Muchas plataformas educativas vienen con funcionalidades adicionales: analíticas, mejoras automáticas, integraciones… 


El problema es que no todo eso forma parte del servicio educativo «básico». Algunas de estas funciones implican que el proveedor use los datos para sus propios fines, no solo para prestar el servicio. 


¿Traducción práctica? Que el proveedor, en ciertos casos, no está actuando solo como proveedor, sino tomando decisiones sobre los datos. Y eso cambia completamente las reglas del juego. 


Usar datos sí… pero solo para lo necesario 


El uso de estas plataformas suele justificarse porque son necesarias para la actividad educativa. Pero esa justificación tiene límites. 


La guía insiste en algo muy importante: solo se pueden usar los datos para lo estrictamente necesario. 


Si se utilizan para otros fines (mejorar el producto, hacer analítica, perfilar usuarios…), la cosa se complica, especialmente porque estamos hablando de menores. 


Antes de implantar una plataforma, hay que analizar riesgos 


Uno de los mensajes más claros del documento es este: no se debería implantar una plataforma «y ya está». 


Antes, hay que hacer una especie de «análisis de impacto» que responda a preguntas como: 


  • ¿Qué datos se van a usar?  

  • ¿Quién accede a ellos?  

  • ¿Dónde se almacenan?  

  • ¿Qué riesgos existen?  

Y, muy importante, este análisis no es algo puntual: hay que revisarlo si la herramienta cambia o evoluciona. 


Explicar bien lo que pasa con los datos 


Otro punto clave: la transparencia. 


No vale con un aviso legal largo y difícil de entender. La información debe ser clara y comprensible, especialmente teniendo en cuenta que hablamos de menores y sus familias. 


En la práctica esto significa explicar, de forma sencilla: 


  • qué datos se usan,  

  • para qué,  

  • y quién los utiliza (centro y proveedor).  

Ojo con los datos que salen fuera de Europa 


Muchas de estas plataformas son globales. Y eso implica que los datos pueden viajar fuera de la Unión Europea. 


Aquí la guía es muy clara: si no se puede garantizar un nivel de protección adecuado, esa herramienta no debería usarse. 


No es un tema menor, y tampoco algo que se pueda «arreglar» con soluciones rápidas. 


Conclusión: no es solo tecnología, es responsabilidad 


Las plataformas educativas ya son parte del día a día. Pero utilizarlas bien no es solo una cuestión técnica, sino de responsabilidad en el uso de los datos. 


El mensaje de la guía es claro y muy práctico: no se trata de dejar de usar estas herramientas, sino de hacerlo con criterio. 


Especialmente cuando los usuarios—como ocurre en este caso—son menores. 


Porque cuando la tecnología entra en el aula, también lo hacen los datos. Y gestionarlos bien ya no es opcional. 


 Como siempre, cuidad los datos y ¡cuidaos! 

La política de IA que funciona: menos normas, más circuito

por

En muchas organizaciones, la respuesta al auge de la inteligencia artificial ha sido inmediata: redactar una política interna y distribuirla en formato PDF. El problema es que, en la práctica, una política que no se integra en la operativa diaria termina siendo irrelevante. 


Mientras tanto, el uso de herramientas de IA—muchas veces fuera de los canales autorizados—sigue creciendo. El fenómeno del Shadow AI no se corrige con prohibiciones generales, sino con alternativas viables. 


La Agencia Española de Protección de Datos (AEPD), en su Política de uso de IA generativa, apunta hacia un enfoque más práctico: no se trata solo de regular, sino de establecer un marco operativo que permita el uso seguro de estas herramientas. 


El error habitual: políticas que no se pueden aplicar 


Muchas políticas de IA comparten un problema común: están bien redactadas, pero mal aterrizadas. Prohíben usos genéricos o imponen restricciones amplias, sin ofrecer soluciones concretas para el día a día. 


El resultado es previsible: los empleados siguen necesitando estas herramientas para ser más eficientes, y acaban utilizándolas fuera de los canales corporativos. 


Esto no solo incrementa el riesgo, sino que reduce la capacidad de la organización para controlar y supervisar el uso real de la IA. 


Lo que sí funciona: crear un circuito de autorización 


Frente a este enfoque, la AEPD propone una lógica distinta: permitir el uso de la IA, pero dentro de un marco estructurado y controlado. 


Una política eficaz no es solo un documento, sino un circuito de autorización y gobernanza que incluya: 


  • Casos de uso definidos: qué se puede hacer y en qué contextos.  


  • Usuarios autorizados: quién puede utilizar determinadas herramientas y para qué fines.  


  • Herramientas validadas: qué soluciones han sido evaluadas desde el punto de vista de protección de datos y seguridad.  


  • Supervisión humana: revisión en aquellos procesos donde exista mayor impacto o riesgo.  


Este enfoque permite canalizar el uso de la IA en lugar de intentar bloquearlo. 


Menos prohibición, más alternativa segura 


Uno de los mensajes clave es que prohibir herramientas rara vez funciona. Cuando no existe una alternativa clara, los usuarios buscarán soluciones por su cuenta. 


Por el contrario, cuando la organización ofrece un «camino fácil y seguro»—herramientas aprobadas, criterios claros y soporte interno—el uso no autorizado disminuye de forma natural. 


Este cambio de enfoque transforma el problema: el Shadow AI deja de ser una cuestión disciplinaria para convertirse en un problema de diseño organizativo. 


Gobernanza de IA: control sin fricción 


El reto para las empresas no es elegir entre control o productividad, sino integrar ambos elementos. Una política bien diseñada permite mantener el control sobre los datos y los riesgos; garantizar el cumplimiento del RGPD; y, al mismo tiempo, facilitar el trabajo diario de los equipos.  


La clave está en construir un sistema donde el uso correcto de la IA sea más sencillo que el uso no autorizado. 


Conclusión: la política útil es la que se usa 


En el contexto actual, tener una política de IA ya no es suficiente. Lo relevante es que esa política sea operativa, comprensible y aplicable. 


Las organizaciones que entienden esto dejan de ver la IA como un riesgo que hay que limitar y empiezan a gestionarla como una capacidad que hay que gobernar. 


Porque, en la práctica, la mejor política no es la más restrictiva, sino la que consigue algo mucho más difícil: ordenar el uso de la IA sin frenar la productividad. 


 Como siempre, cuidad los datos y ¡cuidaos! 

Revisión Textos Legales Web