La adopción de herramientas de inteligencia artificial en formato SaaS (Software as a Service) se está acelerando en todos los departamentos: marketing, recursos humanos, atención al cliente o análisis de datos. En muchos casos, la decisión se toma por razones de eficiencia o innovación, pero sin un análisis profundo del impacto en protección de datos.
Sin embargo, cuando una herramienta de IA «aprende», surge una cuestión clave: ¿con qué datos se entrena y con qué base legal? La respuesta no siempre es evidente. Y, desde la perspectiva del RGPD, no basta con confiar en el proveedor. Es necesario poder demostrar diligencia y control.
El Comité Europeo de Protección de Datos (EDPB) ha abordado esta cuestión en su Opinión 28/2024 sobre determinados aspectos de protección de datos en modelos de IA y recuerda que el uso de datos personales en el desarrollo y funcionamiento de estos sistemas debe ajustarse estrictamente a los principios y bases jurídicas del RGPD.
Cuando la IA «aprende»: la cuestión del origen de los datos
Los sistemas de IA generativa y otros modelos avanzados se basan en grandes volúmenes de datos para su entrenamiento, mejora o ajuste. El problema surge cuando esos datos incluyen información personal utilizada para fines distintos de aquellos para los que se recogieron.
El EDPB subraya que el tratamiento de datos personales en modelos de IA requiere una base jurídica válida conforme al artículo 6 del RGPD y debe respetar principios esenciales como la limitación de finalidad, minimización de datos y transparencia.
En otras palabras, si un proveedor utiliza datos para entrenar o mejorar su sistema, debe poder justificar por qué está legitimado para hacerlo y para qué fines concretos.
Para las empresas clientes, esto plantea una cuestión práctica: no basta con revisar la funcionalidad del producto; es necesario entender cómo se utilizan los datos que pasan por la herramienta.
El nuevo riesgo: el «Shadow AI» de proveedores
Cuando se habla de «Shadow AI», normalmente se piensa en empleados que utilizan herramientas de IA sin autorización. Pero existe otro fenómeno menos visible: la contratación de proveedores que incorporan IA sin un análisis adecuado del tratamiento de datos.
Muchas soluciones SaaS integran modelos de IA que procesan prompts, documentos, imágenes o datos de clientes. En algunos casos, estos datos pueden:
- almacenarse temporalmente o de forma persistente,
- generar metadatos y logs de uso,
- utilizarse para mejorar el servicio o entrenar modelos.
Si estos usos secundarios no están claramente definidos o documentados, la organización puede perder visibilidad sobre lo que ocurre realmente con la información que introduce en la herramienta.
Due diligence real: más allá del contrato estándar
La opinión del EDPB insiste en que las organizaciones deben evaluar cuidadosamente el tratamiento de datos personales en el contexto de sistemas de IA. Esto implica realizar una due diligence real sobre los proveedores, especialmente cuando se utilizan modelos capaces de aprender de los datos procesados.
Entre las preguntas clave que deberían plantearse destacan:
- ¿Qué datos utiliza el proveedor para entrenar o mejorar el modelo?
- ¿Se reutilizan los datos introducidos por los clientes?
- ¿Existe anonimización real o solo seudonimización?
- ¿Qué ocurre con los prompts, logs o metadatos generados?
- ¿Qué responsabilidades se asumen si el tratamiento resulta ilícito?
Responder a estas cuestiones es esencial para evaluar el cumplimiento del RGPD y evitar riesgos regulatorios o reputacionales.
Conclusión: la pregunta clave no es qué hace la IA, sino qué puedes demostrar
La inteligencia artificial está transformando la forma en que las empresas utilizan tecnología. Pero también exige elevar el nivel de gobernanza del dato.
Contratar herramientas con capacidades de IA sin analizar su funcionamiento interno puede generar zonas grises en la responsabilidad del tratamiento. Y en un contexto regulatorio cada vez más exigente, la cuestión no será solo qué hacía la herramienta, sino qué diligencia aplicó la empresa antes de utilizarla.
Porque, en protección de datos, la pregunta decisiva suele llegar después: si mañana una autoridad lo solicita, ¿qué puedes demostrar realmente sobre el uso de esa IA?
Como siempre, cuidad los datos y ¡cuidaos!
