¿Qué ocurre cuando una inteligencia artificial se niega (o simplemente no puede) a cumplir con el RGPD? Es el epicentro de uno de los debates más urgentes.
Inteligencia Artificial generativa y protección de datos: ¿Pueden los modelos fundacionales cumplir el RGPD?
|
21/5/2025 05:35
|
Actualizado: 20/5/2025 21:04
|
En abril de 2023, un usuario descubrió que ChatGPT manejaba datos personales suyos que eran inciertos. El sistema le atribuía publicaciones que no había escrito y opiniones que nunca expresó. Al intentar ejercer su derecho de rectificación, se encontró con una respuesta inquietante: el sistema no podía modificar su comportamiento.
¿Qué ocurre cuando una inteligencia artificial se niega (o simplemente no puede) a cumplir con el Reglamento General de Protección de Datos (RGPD)?
Esa pregunta no es teórica: es el epicentro de uno de los debates más urgentes en la era de la inteligencia artificial generativa.
La Unión Europea ha trazado ya el marco para responder a esta y muchas otras preguntas a través del recién aprobado Reglamento de Inteligencia Artificial (AI Act).
Uno de sus puntos clave son los modelos fundacionales, la infraestructura invisible que alimenta los sistemas más avanzados de IA generativa. De ellos depende lo que escriben, dibujan, componen y hasta deciden las inteligencias artificiales de uso general. Y también, su grado de respeto a nuestros derechos.
Qué son los modelos fundacionales de IA, cómo funcionan… y qué problemas tienen
Llamarlos “fundacionales” no es una exageración: modelos como GPT-4, Claude o Gemini son entrenados con billones de palabras, imágenes, grabaciones de voz y vídeos extraídos en gran parte de Internet.
No distinguen entre una novela clásica, un foro de Reddit, una receta de cocina o un tuit que incluye datos personales. Aprenden de todo. Por eso pueden responder a casi cualquier cosa.
Pero ese entrenamiento masivo plantea un dilema esencial: ¿qué pasa cuando esos datos incluyen nombres reales, opiniones personales o fotografías reconocibles? ¿Quién pidió permiso para usarlos? ¿En qué momento se dio el consentimiento? En la mayoría de los casos, no se hizo.
“Hay un conflicto estructural entre el modo en que se entrenan los modelos fundacionales y los principios del RGPD”, explica Daniel López, abogado en la empresa de protección de datos Grupo Ático34. “Se recogen datos sin conocimiento del interesado, sin informar, sin limitar su uso a una finalidad concreta. En ese contexto, hablar de cumplimiento es como intentar encajar una esfera en un cubo”.
Lo que dice el Reglamento de IA: transparencia obligatoria, trazabilidad exigida
La AI Act reconoce ese potencial riesgo y lo afronta de forma directa. En su Artículo 52, establece una serie de obligaciones para estos modelos, que deben documentar cómo fueron entrenados, con qué datos, qué riesgos pueden implicar, y cómo se previenen usos ilegales o dañinos.
Y si además permiten generar contenido, lo que se conoce como Inteligencia Artificial generativa, deben añadir salvaguardas adicionales: alertar a los usuarios de que el contenido no es real, respetar los derechos de autor y evitar la difusión de desinformación o material ilegal.
La norma no se queda en lo declarativo: prevé sanciones de hasta 35 millones de euros o el 7 % del volumen de negocio global para quienes incumplan las obligaciones más graves. Y los reguladores ya están mostrando músculo.
En Italia, el regulador bloqueó temporalmente el uso de ChatGPT por sospechas de tratamiento ilícito de datos personales. En Francia, la CNIL ha abierto investigaciones por las mismas razones.
Y la organización NOYB, liderada por Max Schrems, presentó en 2024 11 reclamaciones simultáneas en varios países europeos contra OpenAI, tras demostrar que la herramienta generaba información falsa sobre personas reales, sin permitirles corregirla.
IA generativa y datos personales: una pareja difícil
El problema no es sólo cómo se entrenan estos sistemas. También importa lo que producen. Los modelos generativos pueden redactar textos que parecen escritos por humanos, crear retratos que imitan fotografías reales o generar voces prácticamente indistinguibles de las originales.
¿Y si la imagen generada se parece demasiado a una persona real? ¿Y si el texto atribuye hechos falsos a alguien identificable?
“En términos legales, si el contenido generado afecta a una persona concreta, puede constituir un tratamiento de datos personales incluso si el nombre no aparece y eso activa todas las obligaciones del RGPD”, apunta López. “Si ese contenido es difamatorio, engañoso o lesivo para la reputación, pueden exigirse responsabilidades. Y aquí la trazabilidad del modelo es esencial: hay que poder explicar cómo se ha llegado a esa salida de información”.
El AI Act impone precisamente esa trazabilidad como una obligación clave. Pero muchos de los modelos actuales no la cumplen. Son, en palabras de algunos expertos, “cajas negras” estadísticas: no se puede saber con certeza de dónde proviene una respuesta concreta ni qué dato del entrenamiento la generó. Y eso convierte en casi inviable ejercer derechos como el acceso, la rectificación o el olvido.
Ejemplos que inquietan
En mayo de 2023, un abogado en Estados Unidos usó ChatGPT para preparar un escrito judicial. El sistema citó sentencias inexistentes. En otro caso, un usuario pidió un resumen sobre un periodista australiano. El modelo lo acusó falsamente de acoso sexual.
A día de hoy, esa respuesta todavía aparece bajo ciertas circunstancias.
La falta de veracidad no es solo un defecto técnico: puede convertirse en un problema legal serio. Y si la información afecta a una persona identificable, la empresa que gestiona el modelo podría enfrentarse a reclamaciones bajo la legislación europea.
¿Es el RGPD un obstáculo o una brújula?
Desde el sector tecnológico se ha argumentado que aplicar el RGPD literalmente a estos modelos haría inviable su desarrollo en Europa. Pero desde el mundo jurídico, la posición es otra.
“Lo que hace el RGPD no es prohibir la IA, sino recordarnos que los derechos fundamentales no son opcionales. Si una tecnología no puede respetarlos, el problema no es del derecho, sino de la tecnología”, afirma Daniel López.
El propio AI Act busca una armonización con el RGPD, pero sin renunciar a la exigencia de respeto por la privacidad. El reto ahora está en cómo las empresas implementan esos principios en sistemas tan complejos.
¿Y ahora qué?
La Agencia Española de Protección de Datos (AEPD) ha mostrado una actitud proactiva. Ha impulsado guías sobre el uso responsable de IA y apoya iniciativas como el sandbox regulatorio, un entorno controlado para probar tecnologías emergentes con supervisión legal.
Además, el Gobierno ha creado la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, que será el organismo nacional encargado de aplicar el Reglamento.
Para las empresas que desarrollan o integran IA generativa en sus servicios, esto supone un cambio de paradigma. Ya no basta con innovar: hay que rendir cuentas, documentar, auditar y prevenir.
“La inteligencia artificial no es una tierra sin ley”, recuerdan desde Ático34. “Quien entrene, diseñe o comercialice estos modelos debe saber que está en el terreno del derecho, y que las consecuencias legales ya no son hipotéticas”.
Los modelos fundacionales y la IA generativa son el motor de una nueva era tecnológica. Pero ese motor necesita un volante. El RGPD y el Reglamento de IA representan, juntos, una respuesta europea al reto de compatibilizar innovación y derechos.
No será fácil. Pero como en toda transformación histórica, la pregunta no es si se puede cumplir la ley. Es si se puede permitir no hacerlo.
Noticias Relacionadas:
