La entrada en vigor progresiva del Reglamento Europeo de Inteligencia Artificial (AI Act) está obligando a miles de empresas a revisar cómo utilizan la inteligencia artificial dentro de sus procesos internos.
Aunque la norma introduce nuevas obligaciones para proveedores y usuarios de sistemas de IA, muchas organizaciones se plantean una cuestión concreta: ¿qué papel desempeña el Delegado de Protección de Datos (DPD) cuando la empresa utiliza inteligencia artificial?
La respuesta es importante porque gran parte de los sistemas de IA utilizados en recursos humanos, evaluación de clientes, videovigilancia o análisis de comportamiento procesan datos personales. En estos casos, el AI Act y el RGPD deben aplicarse de forma conjunta, convirtiendo al DPD en una figura clave dentro de la gobernanza tecnológica de la organización.
En este artículo analizamos cuál es el papel real del Delegado de Protección de Datos ante la inteligencia artificial, qué obligaciones deben revisar las empresas y la importancia de realizar una consulta obligatoria al DPD antes del despliegue de IA de alto riesgo.
¿Qué dice el AI Act sobre los sistemas de IA de alto riesgo?
El AI Act clasifica los sistemas de inteligencia artificial según el nivel de riesgo que pueden generar para los derechos fundamentales de las personas. Cuanto mayor es el riesgo, mayores son las obligaciones que deben cumplir las organizaciones que los desarrollan o utilizan.
Los sistemas de IA de alto riesgo están sujetos a requisitos específicos relacionados con la gestión de riesgos, la calidad de los datos, la supervisión humana, la trazabilidad, la transparencia y la documentación técnica.
Además, cuando estos sistemas se utilizan en el ámbito laboral, el artículo 26.7 del AI Act establece la obligación de informar a los trabajadores afectados y a sus representantes sobre el uso de dichas herramientas.
Aunque el Reglamento no impone una consulta obligatoria al Delegado de Protección de Datos, en la práctica muchos de estos sistemas implican tratamientos complejos de datos personales. Por este motivo, el DPD suele intervenir como figura de asesoramiento y supervisión dentro del marco de cumplimiento del RGPD.
¿Qué debe documentar el DPD antes del despliegue?
Cuando un sistema de inteligencia artificial trata datos personales, resulta recomendable documentar previamente los riesgos asociados al tratamiento y las medidas de control adoptadas por la organización, evaluando detalladamente cómo realizar una EIPD según el RGPD.
Desde una perspectiva de responsabilidad proactiva, las empresas deberían conservar evidencia suficiente para demostrar que han evaluado adecuadamente los riesgos derivados del uso de la IA.
Un protocolo interno de revisión puede estructurarse mediante los siguientes elementos:
| Componente del registro | Contenido Técnico Mínimo | Vinculación Normativa |
|---|---|---|
| Identificación del sistema | Finalidad, proveedor, funcionamiento básico y categorías de datos tratados. | AI Act / RGPD |
| Análisis de Riesgos | Evaluación de sesgos, calidad de los datos, precisión y posibles impactos sobre los interesados. | AI Act |
| Valoración de privacidad | Base jurídica, minimización de datos, transparencia y necesidad de realizar una EIPD. | Art. 35 RGPD |
| Informe del DPD | Observaciones, recommendations y medidas correctoras propuestas. | Art. 39 RGPD |
Cuando el tratamiento pueda generar un alto riesgo para los derechos y libertades de las personas, esta documentación deberá coordinarse con la correspondiente Evaluación de Impacto en Protección de Datos (EIPD).
Sistemas de IA de alto riesgo que más afectan a las empresas
Las organizaciones deberían prestar especial atención a aquellas herramientas de inteligencia artificial incluidas dentro de las categorías de alto riesgo previstas en el Anexo III del AI Act.
- Sistemas de selección de personal y filtrado de candidatos: herramientas que analizan currículums, clasifican perfiles o intervienen en procesos de contratación mediante algoritmos.
- Software de gestión del rendimiento y control laboral: plataformas que monitorizan productividad, asignan tareas o generan recomendaciones relacionadas con promociones, sanciones o despidos.
- Sistemas de evaluación crediticia y solvencia: algoritmos utilizados para valorar la capacidad económica de personas físicas antes de conceder financiación o determinados servicios.
- Sistemas de videovigilancia con análisis automatizado: soluciones que incorporan reconocimiento de patrones, categorización de comportamientos o tratamiento avanzado de imágenes.
En todos estos escenarios resulta especialmente relevante analizar el impacto que la herramienta puede generar sobre los derechos de las personas afectadas.
¿Qué ocurre si la empresa no tiene DPD obligatorio?
La ausencia de un Delegado de Protección de Datos no exime del cumplimiento del AI Act ni del RGPD.
Las empresas que no estén obligadas a designar un DPD continuúan siendo plenamente responsables de garantizar que los sistemas de IA utilizados cumplen con los requisitos legales aplicables.
Además, determinados sistemas de alto riesgo pueden requerir la realización de una Evaluación de Impacto sobre Derechos Fundamentales (FRIA) o contratar formalmente un servicio de Evaluación de Impacto en Protección de Datos cuando exista tratamiento de información personal compleja.
Por este motivo, muchas organizaciones están optando por apoyarse en consultores especializados o servicios externos de Delegado de Protección de Datos para reforzar sus procesos de cumplimiento.
Conclusión
El AI Act no convierte al Delegado de Protección de Datos en el responsable directo de supervisar todos los sistemas de inteligencia artificial utilizados por una empresa. Sin embargo, cuando dichos sistemas procesan datos personales, el DPD adquiere un papel fundamental para garantizar el cumplimiento del RGPD y ayudar a la organización a identificar riesgos antes de que se produzcan problemas legales o reputacionales.
La combinación entre inteligencia artificial, protección de datos y derechos fundamentales obliga a las empresas a adoptar una visión integrada del cumplimiento normativo. Anticiparse hoy permitirá reducir riesgos y facilitar la adaptación a las nuevas obligaciones europeas.
En Acorán ayudamos a empresas y organizaciones a cumplir el RGPD y adaptar sus procesos internos al nuevo marco regulatorio de la inteligencia artificial. Si tu empresa utiliza sistemas de IA, podemos ayudarte a evaluar riesgos y establecer un modelo de cumplimiento sólido y sostenible.
Preguntas frecuentes sobre el Delegado de Protección de Datos y la inteligencia artificial
¿El AI Act obliga a consultar al Delegado de Protección de Datos?
No. El AI Act no establece una obligación general de consulta al DPD. Sin embargo, cuando un sistema de IA trata datos personales, el Delegado de Protección de Datos puede intervenir en virtud de las funciones que le atribuye el RGPD.
¿Qué sistemas de IA se consideran de alto riesgo?
Entre otros, los sistemas utilizados para selección de personal, gestión laboral, evaluación crediticia, acceso a servicios esenciales y determinadas aplicaciones biométricas contempladas en el Anexo III del AI Act.
¿Es obligatoria una Evaluación de Impacto en Protección de Datos para todos los sistemas de IA?
No. La obligación depende del nivel de riesgo que el tratamiento de datos personales genere para los derechos y libertades de las personas. Debe analizarse cada caso de forma individual.
¿Qué ocurre si una empresa no dispone de DPD?
La empresa sigue siendo responsable de cumplir el RGPD y el AI Act. La inexistencia de un Delegado de Protección de Datos no elimina ninguna obligación legal aplicable.
Comentarios recientes