Inteligencia Artificial

Ni anonimato ni IA: el RGPD se aplica incluso a las imágenes manipuladas digitalmente

por

La Agencia Española de Protección de Datos (AEPD) ha vuelto a pronunciarse sobre uno de los fenómenos más alarmantes del entorno digital: la difusión de imágenes falsas de desnudos («deepnudes») creadas mediante inteligencia artificial. Ha impuesto una multa de 2.000 € (reducida finalmente a 1.200 € por reconocimiento y pago voluntario) a un particular por difundir imágenes manipuladas de menores en grupos de mensajería instantánea.


Aunque el sancionado no generó las imágenes, su participación en la difusión fue suficiente para que la Agencia apreciara una infracción del artículo 6.1 del RGPD, al tratarse de un tratamiento de datos personales sin base jurídica legítima.


Lo que dice el RGPD (y por qué importa aquí)


El artículo 6 del RGPD establece que todo tratamiento de datos personales debe fundarse en una base de licitud: consentimiento, obligación legal, interés público, contrato o interés legítimo. Si ninguna de ellas concurre—como en este caso—, el tratamiento es ilícito, incluso si el infractor no obtiene beneficio ni persigue un fin sexual.


La AEPD recuerda que el rostro de una persona es un dato personal (art. 4 RGPD), y que alterarlo o combinarlo con otro cuerpo no elimina esa condición, sino que la agrava: se crea una asociación falsa en un contexto íntimo, con potencial de causar graves daños reputacionales.


Por tanto, reenviar o publicar este tipo de imágenes constituye un tratamiento adicional, que requiere consentimiento y proporcionalidad. La ausencia de ambas bases legitima la sanción.


La IA no borra la responsabilidad


La resolución refuerza una idea clave: el uso de inteligencia artificial no exime de responsabilidad. La tecnología puede automatizar el daño, pero la decisión de compartir sigue siendo humana. Además, cuando los afectados son menores de edad, entra en juego el artículo 84 de la LOPDGDD, que refuerza la protección frente a la difusión de imágenes que puedan vulnerar su dignidad o derechos fundamentales.


Lecciones que deja el caso


  • La IA no anula la ley: las imágenes sintéticas siguen siendo datos personales si permiten identificar a una persona.
  • Compartir también es tratar: reenviar o publicar implica tratamiento y puede acarrear sanción.
  • Los menores cuentan con una protección reforzada, lo que eleva la gravedad de la infracción.
  • El RGPD es plenamente aplicable a la IA generativa: sus principios de licitud, minimización y proporcionalidad siguen siendo la base del cumplimiento.

Conclusiones


La sanción de 1.200 € —tras reducciones por reconocimiento y pago voluntario— resulta, cuanto menos, llamativamente baja si se compara con la gravedad moral y social de difundir imágenes falsas de desnudos de menores.


Aunque el RGPD permite graduar las multas en función de la proporcionalidad, cabe preguntarse si este tipo de conductas no merecerían también respuesta penal, especialmente cuando concurren elementos de humillación, acoso o afectación grave a la dignidad personal.


El caso invita a un debate necesario:


  • ¿Estamos aplicando sanciones realmente disuasorias frente a los nuevos riesgos digitales?
  • ¿Debe el Derecho penal intervenir cuando la inteligencia artificial amplifica el daño a menores?

La AEPD ha puesto el foco en la ilicitud del tratamiento de datos, pero la reflexión jurídica—y ética—va más allá: la tecnología puede replicar rostros, pero no puede replicar el consentimiento… ni reparar el daño emocional causado.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

IA en RRHH: de la promesa al riesgo regulado

por

El pasado 18 de septiembre tuvimos el placer, desde Tecnolawyer, de impartir para ASNALA el webinar «Cómo la IA está redefiniendo las Relaciones Laborales». Y si algo quedó claro tras la sesión es que la Inteligencia Artificial ya no es una promesa de futuro: es una realidad regulada que impacta directamente en la gestión de personas y en las obligaciones legales de las empresas.


Hoy, dos de cada tres organizaciones utilizan herramientas de IA en sus departamentos de RRHH. Hablamos de sistemas de selección, algoritmos que evalúan el desempeño, herramientas de cálculo de productividad o aplicaciones que asignan turnos y tareas. Todos ellos tienen algo en común: afectan a decisiones laborales críticas, y por tanto están bajo el radar del Reglamento Europeo de Inteligencia Artificial (RIA – AI Act).


Las «decisiones invisibles»


Uno de los conceptos clave que debatimos es el de las decisiones invisibles: aquellas que adopta un algoritmo en silencio, pero que determinan el acceso a un empleo, una promoción o incluso un despido. La mayoría de empresas aún desconoce sus obligaciones frente a este nuevo marco, lo que genera un riesgo creciente de sanciones y litigios.


El Reglamento clasifica estos sistemas como de alto riesgo y exige un cumplimiento exhaustivo. No basta con aplicar la norma: hay que poder demostrar que se cumple. Aquí entran en juego la documentación técnica, la evaluación de impacto algorítmico, los protocolos de supervisión humana y la trazabilidad de las decisiones.


Responsabilidad y sanciones


Las obligaciones recaen principalmente en las empresas usuarias de la IA, aunque proveedores e integradores también asumen responsabilidades. No obstante, la organización que decide implantar un sistema es la que responderá ante la Inspección o los tribunales si surgen problemas.


Las sanciones administrativas pueden alcanzar los 35 millones de euros o el 7 % de la facturación global. Pero más allá de la multa, existen otros riesgos: demandas laborales por discriminación, paralización de sistemas críticos, daño reputacional y mayores inspecciones laborales.


Cumplimiento y oportunidad


Durante el webinar insistimos en que este nuevo escenario no debe verse solo como un riesgo, sino también como una oportunidad de diferenciación. Las empresas que se anticipen con un plan de cumplimiento sólido estarán mejor posicionadas frente a clientes, trabajadores y reguladores.


La implementación efectiva del RIA ya está en marcha. Actualmente, nos encontramos en la Fase III del calendario de obligaciones: auditorías internas obligatorias, revisión continua y actualización permanente. No es momento de esperar: es momento de actuar.


¿Qué deben hacer las empresas?


La respuesta pasa por tres pasos esenciales:


  1. Auditoría inicial de los sistemas de IA en RRHH.
  2. Documentación y políticas internas claras sobre su uso.
  3. Supervisión humana efectiva, que garantice que la tecnología nunca sustituye el juicio profesional.

En definitiva, la IA en RRHH ha dejado de ser un lujo o una moda. Es un campo regulado, de alto riesgo, que exige preparación, acompañamiento jurídico y un enfoque multidisciplinar (Legal, IT y RRHH).


Desde Tecnolawyer, junto con ASNALA, queremos ayudar a empresas y despachos a navegar este nuevo marco. Porque la pregunta ya no es si tu organización usa IA, sino cómo la estás usando y si lo haces de forma legal y responsable.


Como siempre, cuidad los datos y ¡cuidaos!

Italia aprueba la primera ley integral de IA en la UE: ¿qué implica realmente?

por

Italia se ha convertido en el primer país de la Unión Europea en promulgar una ley integral que regula la inteligencia artificial (IA). Esta normativa, alineada con el Reglamento de Inteligencia Artificial de la UE (RIA) , pretende asegurar que el uso de la IA sea humano, transparente y seguro, al tiempo que promueve la innovación, la ciberseguridad y la protección de la privacidad.

¿Qué introduce la nueva ley italiana?

  • Se establecen penas de prisión de 1 a 5 años para aquellos que utilicen IA para causar perjuicio, como la difusión de deepfakes o la manipulación de contenido perjudicial.
  • Obliga a un control humano y una estricta supervisión en el uso de la IA en ámbitos como el sanitario, educativo, la justicia, los puestos de trabajo, etc.
  • Para menores de 14 años , se exige el consentimiento parental para acceder a servicios basados ​​en IA.
  • En materia de derechos de autor , la ley establece que sólo las obras asistidas por IA que provengan de un esfuerzo intelectual humano genuino estarán protegidas. Asimismo, la minería de datos con IA sólo se permitirá sobre contenido no sujeto a derechos de autor o para fines científicos autorizados.

Beneficios clave de esta regulación

  • Da seguridad jurídica a empresas y usuarios al definir claramente qué usos de la IA son aceptables y cuáles no.
  • Refuerza la privacidad de los ciudadanos , limitando abusos tecnológicos como los deepfakes o el uso indebido de los datos.
  • Promueve la innovación responsable , ya que obliga a las empresas a adoptar estándares más altos de transparencia, supervisión y ética.
  • Fomenta la confianza : los usuarios pueden tener más certeza de que sus derechos están protegidos al interactuar con IA.

Retos prácticos para su implementación

  • Es necesario adaptar tecnologías existentes para cumplir con los requisitos de supervisión humana, trazabilidad y transparencia.
  • Las empresas tendrán que revisar sus modelos de negocio , los procedimientos de protección de datos y su responsabilidad legal.
  • Probablemente habrá costes elevados para cumplir con las nuevas obligaciones, tanto en desarrollo como en auditoría interna.
  • Vigilarán agencias como la Agencia por la Italia digital y la Agencia Nacional por la Seguridad Informática , lo que implica más controles y posibles sanciones en caso de incumplimientos.

¿En qué cambia la IA después de esta ley

  • La IA deja de ser un campo regulado únicamente a nivel europeo; Italia ya lo implementa con fuerza jurídica local .
  • Aumenta el peso del derecho de los usuarios frente a los fabricantes o proveedores de servicios de IA.
  • Se refuerzan los límites legales sobre contenidos generados por IA, especialmente cuando tienen impacto social, educativo o menores.
  • Se establece un estándar que podría influir en cómo otros países de la UE regulen la IA localmente.

Conclusión

Italia da un paso pionero en la regulación de la IA, marcando un precedente en Europa. Será fundamental cómo las empresas adopten esta ley para convertir la obligación en valor añadido , no sólo para evitar sanciones, sino para construir confianza en el uso ético de la IA .

Como siempre, ¡cuidad los datos y cuídese!

La primera nación gobernada por una IA: un experimento político que plantea más preguntas que respuestas

por

En un rincón paradisíaco de Palawan, Filipinas, se está gestando un experimento político y tecnológico sin precedentes: la Isla Sensay, la primera comunidad insular gobernada por un gabinete íntegramente formado por réplicas de inteligencia artificial de figuras históricas.


La iniciativa parte de la startup británica Sensay, especializada en crear réplicas humanas de IA capaces de reproducir con fidelidad la personalidad y los patrones de decisión de personajes célebres, entrenadas con sus escritos, discursos y filosofía. En la Isla Sensay, un gabinete de 17 líderes históricos ocupará los principales cargos de gobierno, encabezados por Marco Aurelio como presidente y Winston Churchill como primer ministro.


Otros puestos clave estarán en manos de Nelson Mandela (Justicia), Eleanor Roosevelt (Asuntos Exteriores), Florence Nightingale (Salud), Sun Tzu (Defensa), Ada Lovelace (Ciencia y Tecnología) y Mahatma Gandhi (Asesor de Ética), entre otros. Incluso se incluye a Leonardo da Vinci como ministro de Cultura y Nikola Tesla como asesor de Innovación.


Un gobierno sin partidos… pero con algoritmos


El proyecto se presenta como una oportunidad para demostrar que la IA puede gobernar «libre de partidismos políticos y bloqueos burocráticos». Cualquier persona del mundo podrá registrarse como E-residente, proponer políticas a través de una plataforma abierta y seguir en directo los debates y votaciones del gabinete virtual.


La hoja de ruta es ambiciosa:


  • 2025: compra de la isla y aprobación de la Carta Fundacional, que garantiza libertades y derechos básicos.
  • 2026: llegada de observadores e investigadores y puesta en marcha de una microrred de energía renovable.
  • 2027: apertura del programa de residencia y declaración de un Santuario Ambiental que cubrirá el 60% de la isla.
  • 2028: celebración del Primer Simposio Global sobre Gobernanza de IA.

Implicaciones y desafíos legales


Aunque la Isla Sensay nace como un proyecto privado, plantea preguntas complejas sobre soberanía y derecho internacional:


  • ¿Puede un territorio ser reconocido como «nación» si su gobierno no está compuesto por humanos?
  • ¿Quién es legalmente responsable si las decisiones del gabinete provocan daños?
  • ¿Cómo se garantiza la transparencia y la ausencia de sesgos en los algoritmos?

Además, la gestión de datos será crítica: la IA manejará información personal de residentes y e-residentes. El volumen y la naturaleza de la información exigirán estándares de ciberseguridad avanzados.


Más que un experimento tecnológico


El fundador de Sensay, Dan Thomson, asegura que el proyecto es una respuesta a la crisis global de confianza en los parlamentos, que según estudios ha caído un 78’4% desde 1990. Pero el debate trasciende lo técnico: ¿puede la inteligencia artificial sustituir al juicio humano en la política? ¿Qué papel juegan la empatía, la cultura y la ética en decisiones que afectan a comunidades reales?


La Isla Sensay podría ser un laboratorio vivo para el futuro de la gobernanza… o un recordatorio de que no todo lo que la tecnología permite es lo que la sociedad necesita.


Como siempre, cuidad los datos y ¡cuidaos!


Imagen: © 2025 Sensay Island – Sovereign Micronation. All rights reserved.

IA bajo control: a partir del 2 de agosto, innovar sin cumplir la ley dejará de ser una opción

por

A partir de mañana 2 de agosto de 2025, el Reglamento de Inteligencia Artificial de la Unión Europea (RIA) comenzará a aplicar la mayoría de sus disposiciones, marcando un antes y un después en el uso de la inteligencia artificial en Europa.


Y no, no hace falta usar un sistema de IA avanzado para estar afectado. Desde esa fecha, todas las herramientas que utilicen IA deberán cumplir con obligaciones básicas, incluso si no se consideran de alto riesgo. Por ejemplo, si usas chatbots u otros asistentes conversacionales con IA, deberás informar claramente al usuario de que está interactuando con un sistema automatizado; y, si generas contenido con IA (imágenes, vídeos, textos), deberás advertir que ha sido creado con inteligencia artificial.


Asimismo, aunque no es obligatorio, también se recomienda explicar cómo funciona la automatización, para reforzar la transparencia.


¿Cuándo se considera que un sistema es de alto riesgo?


Solo en determinados casos, como sistemas de IA que afectan a:


  • Procesos de contratación o evaluación laboral.
  • Educación y evaluación de estudiantes.
  • Acceso a servicios esenciales o públicos (salud, vivienda, crédito, inmigración).
  • Biometría, vigilancia o diagnóstico médico.
  • Aplicación de la ley o decisiones judiciales.
  • Infraestructuras críticas, transporte o sistemas industriales.

Si tu sistema entra en una de estas categorías, las exigencias legales se multiplican: tendrás que realizar análisis de riesgos, garantizar la supervisión humana, documentación técnica exhaustiva, implementar medidas de ciberseguridad, registro en una base de datos europea y cumplir con los requisitos de inspección y supervisión regulatoria.


Cuidado con la confusión entre «modelo» y «sistema»


El Reglamento de IA distingue entre modelos de IA (como GPT, Gemini o Claude) y sistemas de IA, que son las herramientas concretas que los integran (como un chatbot, una app o una plataforma de gestión documental). Las obligaciones comentadas se aplican a los sistemas, no directamente a los modelos base.


Conclusión


A partir de este 2 de agosto, ya no hay excusas. Si tu empresa usa inteligencia artificial —aunque sea de forma básica o puntual—, debe conocer y cumplir con las nuevas reglas. Porque la innovación no está reñida con la transparencia y, en la nueva era de la IA, cumplir la normativa será parte del diseño.


Como siempre, cuidad los datos y ¡cuidaos!

¿Tu chatbot cumple la ley? Riesgos legales de automatizar la atención al cliente con IA.

por

En plena era de la digitalización, cada vez más empresas optan por automatizar su atención al cliente mediante chatbots e inteligencia artificial (IA). Esta tecnología permite responder a los usuarios en tiempo real, reducir costes operativos y mejorar la disponibilidad del servicio. Pero, si bien tiene sus beneficios, su uso plantea riesgos legales significativos, especialmente en lo relativo a la protección de datos personales.


Chatbots y datos personales: ¿Qué obligaciones legales existen?


Los chatbots que interactúan con usuarios suelen recoger datos como nombre, correo electrónico, número de teléfono, preferencias de consumo o incluso información sensible. Esto los convierte en sistemas de tratamiento de datos personales, lo que se debe aplicar el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).


Por tanto, si tu empresa utiliza un chatbot, debe asegurarse de:


  • Informar al usuario de forma clara y visible sobre la identidad del responsable del tratamiento, la finalidad, la base jurídica y los derechos que puede ejercer ( 13 RGPD).
  • Contar con una base legal válida para tratar los datos. En muchos casos, será el consentimiento, pero también podría aplicarse la ejecución de un contrato o el interés legítimo, siempre que se haya realizado un análisis previo de ponderación.
  • Garantizar la posibilidad de ejercer derechos como el acceso, oposición o supresión, incluso cuando el contacto se haya producido a través de un sistema automatizado.

Incumplimientos comunes detectados


Algunos de los incumplimientos frecuentes relacionados con el uso de chatbots serían:


  • Falta de transparencia: muchos bots no informan adecuadamente al usuario sobre qué datos están recogiendo ni con qué fin.
  • Ausencia de mecanismos para ejercer derechos: si el chatbot no permite redirigir al usuario a un canal de atención humana o formular solicitudes de derechos ARCOPOL, se infringe el RGPD.
  • Grabación de conversaciones sin justificación: almacenar las interacciones sin una finalidad clara ni límite temporal constituye una infracción de los principios de limitación y minimización del tratamiento ( 5 RGPD).

Además, si el chatbot toma decisiones automatizadas con efectos significativos sobre el usuario (por ejemplo, denegar un servicio o priorizar atención), es necesario aplicar garantías adicionales según el art. 22.3 RGPD, como la intervención humana y el derecho a obtener una explicación.


¿Y si el chatbot usa IA generativa o modelos predictivos?


La integración de modelos de lenguaje avanzados (como los que permiten respuestas naturales o personalizadas) puede requerir una Evaluación de Impacto relativa a la Protección de Datos (EIPD), especialmente si se trata de tratamientos innovadores, masivos o potencialmente intrusivos.


Actualmente, también deberá tenerse en cuenta el Reglamento Europeo de Inteligencia Artificial (RIA), que clasifica los sistemas de IA según su nivel de riesgo y exige requisitos específicos de transparencia y supervisión.


Buenas prácticas para usar chatbots con garantías legales


  • Implementar una política de privacidad específica para el canal de atención automatizada.
  • Habilitar siempre la posibilidad de escalado a un agente humano.
  • Asegurar la minimización de datos y la retención limitada.
  • Registrar el tratamiento en el Registro de Actividades y revisar contratos con proveedores externos.

En definitiva, automatizar la atención al cliente con chatbots es una decisión estratégica acertada, pero solo si va acompañada de un cumplimiento normativo sólido y proactivo. No hacerlo puede suponer sanciones, pérdida de confianza y riesgos reputacionales. Como siempre en Derecho Digital: tecnología, sí, pero con garantías.


Como siempre, cuidad los datos y ¡cuidaos!

Revisión Textos Legales Web