No, la gran IA de los laboratorios tecnológicos, sino la que hoy utilizan nuestros empleados para redactar informes, resumir contratos, analizar datos comerciales o preparar propuestas a clientes. La cuestión ya no es si debemos usar inteligencia artificial; la cuestión real es si la estamos utilizando con control jurídico. Porque conviene dejar clara una idea esencial: la IA no es el problema, el problema es usarla sin reglas internas.
Cada vez que un trabajador introduce información en una herramienta de IA está realizando un tratamiento de datos personales si esos datos identifican o pueden identificar a clientes, empleados o proveedores. Y si existe tratamiento de datos personales, entramos directamente en el ámbito del Reglamento (UE) 2016/679 (RGPD). No estamos ante una simple prueba técnica, sino ante una actuación jurídicamente relevante que activa obligaciones concretas.
La empresa es responsable, aunque no haya dado una orden expresa para utilizar estas herramientas. El principio de responsabilidad proactiva obliga al responsable del tratamiento no solo a cumplir la normativa, sino a poder demostrar ese cumplimiento. Alegar desconocimiento no es una estrategia válida si la herramienta se utiliza dentro de la actividad empresarial. La responsabilidad es corporativa. Aquí es donde muchas pymes se encuentran en una situación de riesgo silencioso: no han prohibido la IA, pero tampoco la han regulado. Y regular no significa frenar la innovación, sino establecer principios claros que aporten seguridad.
Uno de los pilares fundamentales debe ser el uso ético y proporcional. No todo lo técnicamente posible es jurídicamente aceptable. Si una empresa utiliza IA para analizar currículums o evaluar candidatos, debe preguntarse si ese tratamiento es necesario, adecuado y no discriminatorio. Igualmente, esencial es la supervisión humana significativa. El artículo 22 del Reglamento (UE) 2016/679 reconoce el derecho del interesado a no ser objeto de decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o le afecten significativamente. Esto implica que ninguna decisión relevante debería adoptarse exclusivamente por un sistema automático sin posibilidad real de revisión humana. No es solo una buena práctica, es una exigencia normativa.
Otro aspecto crítico es la minimización de datos. Debemos preguntarnos si es realmente necesario introducir datos reales en estas herramientas o si pueden anonimizarse o pseudonimizarse. El riesgo muchas veces no está en la herramienta en sí, sino en la cantidad y calidad de la información que volcamos en ella. A ello se suma la necesidad de prevenir sesgos y discriminaciones, especialmente en procesos de selección, evaluación de desempeño o análisis financiero, donde un algoritmo mal supervisado puede generar responsabilidad directa para la empresa. La transparencia también es clave: si el uso de IA impacta en clientes o trabajadores, debe informarse de manera clara y comprensible, porque la opacidad genera desconfianza y la desconfianza termina en reclamaciones.
Desde el punto de vista operativo, antes de implantar una herramienta basada en IA debería realizarse una evaluación previa de riesgos: analizar si se tratan categorías especiales de datos, si existen transferencias internacionales o si puede ser necesaria una Evaluación de Impacto en Protección de Datos. También es imprescindible revisar las condiciones contractuales del proveedor, la ubicación de los servidores y las garantías ofrecidas. La responsabilidad del proveedor no sustituye la del responsable del tratamiento. Y, por supuesto, ninguna política será eficaz sin formación interna adecuada; el personal debe entender los límites y riesgos del uso de estas herramientas.
Conviene además establecer conductas expresamente prohibidas, como introducir datos personales sin análisis previo, utilizar IA para suplantar identidades, manipular información o adoptar decisiones automáticas sin base jurídica. La ausencia de reglas genera improvisación, y la improvisación genera riesgo.
En los próximos años, el verdadero riesgo en protección de datos no vendrá por no tener un aviso legal actualizado, sino por no haber regulado el uso interno de la inteligencia artificial. Igual que las empresas implantaron políticas de desconexión digital en aplicación de la Ley Orgánica 3/2018, hoy es necesario implantar una política de uso responsable de la IA. No para frenar la innovación, sino para protegerla. Porque la innovación sin cumplimiento es vulnerabilidad, pero la innovación con cumplimiento es una auténtica ventaja competitiva