Decálogo AEPD inteligencia artificial: reglas internas para usar IA en tu empresa sin perder el control de los datos

La Agencia Española de Protección de Datos publicó un decálogo con recomendaciones para proteger la privacidad al usar herramientas de inteligencia artificial. En muchas empresas el uso de IA ya no es un proyecto, es una práctica diaria. Se usa para redactar correos, resumir reuniones, preparar propuestas, clasificar incidencias, generar respuestas de soporte, transcribir audios o analizar documentos. Ese uso ahorra tiempo, pero también puede romper el control sobre datos personales en minutos. El decálogo no crea una ley nueva, pero marca un criterio de autoridad. Si tu empresa recibe una reclamación o una inspección, la AEPD mirará si adoptas medidas coherentes con estas recomendaciones. Por eso interesa convertir el decálogo en reglas internas, controles y evidencias.

Este artículo aterriza el decálogo en tareas reales. Verás qué riesgos aparecen, qué medidas reducen esos riesgos, y cómo documentar el control para que la empresa pueda demostrar diligencia. Si tu equipo usa IA de forma informal, este texto te ayuda a ordenar el uso sin bloquearlo. Si tu empresa integra IA en procesos, te ayuda a poner límites, filtrar datos, registrar tratamientos y responder a incidentes.

Decálogo AEPD inteligencia artificial: el riesgo más frecuente

El riesgo más común no viene de un sistema complejo, viene de un gesto simple. Un empleado copia el correo de un cliente, con nombre, teléfono, dirección o detalles de un problema, y lo pega en una herramienta externa para que “lo redacte mejor”. En ese momento tu empresa envía datos personales a un tercero sin analizar el rol del proveedor, sin contrato de encargo, sin medidas técnicas que limiten el uso y, muchas veces, sin una base jurídica clara para esa comunicación. Si la herramienta guarda el contenido, lo usa para mejorar el servicio o lo conserva más tiempo del necesario, tu empresa pierde control del ciclo de vida del dato.

Otro riesgo habitual aparece cuando la IA entra en procesos. Por ejemplo, un chatbot que atiende clientes, un sistema que clasifica tickets, una herramienta que puntúa leads o un motor que resume conversaciones. En ese escenario el tratamiento se vuelve sistemático y la empresa debe justificar finalidades, minimizar datos, definir accesos, registrar el uso y evaluar riesgos. El decálogo empuja a prevenir ese uso sin control. La prevención exige decisiones operativas.

Cómo convertir el decálogo en un plan de control

Para que el decálogo te sirva, conviértelo en un plan con tres capas: reglas internas de uso, revisión de proveedores y controles técnicos. Si te falta una capa, el riesgo sigue activo. Si cubres las tres, reduces fugas, mejoras trazabilidad y puedes demostrar responsabilidad proactiva.

1. Reglas internas de uso de IA

Empieza con una política interna de una página. Debe decir qué herramientas están permitidas, cuáles están prohibidas y cuáles están en evaluación. No dejes el criterio en frases genéricas. Pon una lista concreta y un responsable que la revise. La política debe exigir el uso de cuentas corporativas. Prohíbe el uso de cuentas personales para tareas de empresa, porque rompe el control contractual y dificulta la trazabilidad.

Después define reglas de datos. Usa tres niveles, con ejemplos propios:

Datos sin identificación: textos genéricos, plantillas, estructuras, ideas sin referencias a personas.
Datos personales: nombre, correo, teléfono, matrícula, imagen, voz, identificadores internos, direcciones IP si aplican.
Datos sensibles o confidenciales: salud, bajas, sanciones, datos de menores, nóminas, datos bancarios, contratos con precios, secretos comerciales y cualquier información que el cliente te entrega bajo expectativa de reserva.

Regla operativa 1. No pegues datos sensibles o confidenciales en ninguna herramienta de IA externa. Regla operativa 2. No pegues datos personales salvo herramienta aprobada por la empresa y con garantías revisadas. Regla operativa 3. Evita incluir contexto que permita reidentificar a una persona, incluso sin nombre. Un ejemplo típico: “el encargado del turno de tarde de la sede X”. Ese contexto identifica.

Incluye ejemplos de uso permitido y prohibido. Una política sin ejemplos falla porque cada persona interpreta. Prohibido: correos de clientes, capturas de WhatsApp con números, listados de empleados, incidencias con teléfonos, contratos, partes médicos, facturas, reclamaciones. Permitido: plantillas de correo sin datos, guiones de llamadas, estructura de una propuesta, resumen de un texto público, revisión ortográfica de un texto genérico, generación de ideas sin datos personales.

2. Proveedores y contratos

El decálogo insiste en revisar condiciones de uso. Para tu empresa eso se traduce en decidir el papel del proveedor. Si el proveedor actúa como encargado del tratamiento, necesitas contrato de encargo con medidas de seguridad, instrucciones y control de subencargados. Si actúa como responsable independiente, debes justificar la comunicación por una base jurídica y reflejarlo en tu información al interesado. En ambos casos revisa tres puntos que suelen fallar:

Uso del contenido para entrenar o mejorar el modelo. Desactívalo cuando exista opción, o prohíbelo por contrato.
Transferencias internacionales. Verifica dónde se tratan los datos y con qué garantías.
Retención y borrado. Exige plazos de conservación, mecanismos de eliminación y control de acceso.

Guarda evidencias. Capturas de configuración, anexos firmados, cláusulas del contrato. Sin evidencias, el control se queda en palabras. Si trabajas con proveedores integrados en tu entorno corporativo, revisa igualmente el alcance. La integración no elimina el riesgo si los permisos internos están mal definidos.

3. Controles técnicos mínimos

La tercera capa reduce el error humano. En empresas pequeñas, controles simples marcan la diferencia. Aplica al menos estos:

Navegador corporativo gestionado, con bloqueo de extensiones de IA no autorizadas.
Acceso por roles para herramientas que tratan datos personales.
Plantillas de prompts seguras, que obliguen a no incluir datos personales.
Seudonimización para análisis de casos: sustituye nombres por códigos.
Registro interno de herramientas aprobadas, versiones, responsables y finalidad.

Si tu empresa usa un asistente de IA dentro de un ecosistema corporativo, revisa permisos, compartición y retención. El riesgo típico no es el modelo, es el acceso. Si un usuario ve documentos que no debería ver, la IA amplifica ese error. Corrige permisos antes de automatizar.

Registro de actividades y evaluación de impacto

Cuando la IA entra en procesos con datos personales, actualiza el registro de actividades. Añade finalidad, categorías de datos, destinatarios, plazos y medidas. Si el tratamiento entraña alto riesgo, realiza una evaluación de impacto. No la hagas como trámite. Describe el flujo real: dónde entra el dato, dónde sale, quién accede, qué fallos pueden ocurrir y qué medida los mitiga.

Casos que exigen atención reforzada: chatbots que atienden reclamaciones, análisis automatizado de currículos, clasificación de incidencias con datos de salud, análisis de conversaciones de soporte, identificación biométrica, sistemas que puntúan o segmentan personas. En estos casos documenta tu análisis incluso si concluyes que no procede una evaluación formal. El valor está en la trazabilidad del criterio.

Transparencia con clientes y empleados

El decálogo también empuja a la transparencia. Si usas IA para tratar datos de clientes o empleados, revisa tu información. No basta con decir “usamos herramientas”. Indica finalidades y categorías. Si un cliente interactúa con un sistema automatizado, informa de forma clara. Si un proveedor participa en el tratamiento, refleja su papel según corresponda. Esto reduce quejas por sorpresa y mejora la confianza.

Incidentes: cómo actuar cuando alguien se equivoca

El uso de IA genera un tipo de incidente frecuente: pegar un dato donde no debe. Define un procedimiento interno para reportar ese error rápido. Registra el incidente, analiza impacto, aplica medida correctora y decide si procede notificación según el caso. En muchos escenarios, la rapidez evita daño. También te permite demostrar control. Crea un canal único, por ejemplo un correo interno o un formulario, y define responsable y tiempos de respuesta.

Checklist final para aplicar el decálogo

Política interna de IA aprobada, con lista de herramientas permitidas y prohibidas.
Regla de datos con ejemplos claros, sin interpretaciones.
Revisión contractual o de condiciones con proveedores, con evidencias guardadas.
Configuración de no entrenamiento y límites de retención cuando existan.
Registro de actividades actualizado cuando hay datos personales.
Evaluación de impacto cuando el uso entraña alto riesgo, o informe de análisis cuando no procede.
Controles técnicos en navegador, cuentas corporativas y permisos.
Procedimiento de incidentes por uso indebido de IA.

Si ejecutas esta checklist, el decálogo pasa de ser un documento informativo a un conjunto de medidas verificables. Eso reduce riesgo real y te coloca en una posición más sólida si un cliente reclama o si la autoridad solicita información.

Contacto: https://www.aepd.es

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Decálogo AEPD inteligencia artificial: reglas internas para usar IA en tu empresa sin perder el control de los datos

Decálogo AEPD inteligencia artificial: reglas internas para usar IA en tu empresa sin perder el control de los datos

Decálogo AEPD inteligencia artificial: el riesgo más frecuente

Cómo convertir el decálogo en un plan de control

1. Reglas internas de uso de IA

2. Proveedores y contratos

3. Controles técnicos mínimos

Registro de actividades y evaluación de impacto

Transparencia con clientes y empleados

Incidentes: cómo actuar cuando alguien se equivoca

Checklist final para aplicar el decálogo

La AEPD ya puede intervenir ante sistemas de IA prohibidos: lo que debes saber si tratas datos personales

Huella Digital en Empresas: Riesgos y Cómo Protegerla

LSSI: guia definitiva con 9 claves para web, cookies, ecommerce y marketing

AEPD: claves del día para empresas y autónomos

Cumplimiento en 2025: AEPD menores y privacidad y el marco del RD 868/2025 para asociaciones

Protección de datos AEPD: transferencias a Reino Unido y publicaciones oficiales sin riesgos

Deja una respuesta Cancelar la respuesta

Decálogo AEPD inteligencia artificial: reglas internas para usar IA en tu empresa sin perder el control de los datos

Decálogo AEPD inteligencia artificial: el riesgo más frecuente

Cómo convertir el decálogo en un plan de control

1. Reglas internas de uso de IA

2. Proveedores y contratos

3. Controles técnicos mínimos

Registro de actividades y evaluación de impacto

Transparencia con clientes y empleados

Incidentes: cómo actuar cuando alguien se equivoca

Checklist final para aplicar el decálogo

Publicaciones Similares

Deja una respuesta Cancelar la respuesta