La AEPD ya puede intervenir ante sistemas de IA prohibidos: lo que debes saber si tratas datos personales

Desde el 2 de agosto de 2025, la Agencia Española de Protección de Datos (AEPD) ha activado una nueva competencia: puede actuar directamente contra el uso de sistemas de inteligencia artificial (IA) que vulneren la normativa de protección de datos, incluso si la futura Ley Nacional de IA aún no está en vigor.

Este cambio es clave para cualquier organización que utilice herramientas de IA en su operativa, especialmente aquellas que traten datos personales. La AEPD ha dejado claro que supervisará, sancionará y, si es necesario, prohibirá el uso de tecnologías que entren en conflicto con el Reglamento General de Protección de Datos (RGPD) y demás normativa aplicable.

¿Qué ha cambiado exactamente?

La entrada en vigor parcial del Reglamento Europeo de Inteligencia Artificial (Reglamento de la UE 2024/1624) ha habilitado a los organismos nacionales, como la AEPD, para actuar ante el uso de sistemas de IA prohibidos cuando estos impliquen tratamiento de datos personales.

Esto significa que, aunque la Ley española sobre IA aún esté en fase de tramitación, ya existe una base legal sólida para que la AEPD intervenga. Y no se trata de una medida menor: la Agencia podrá imponer sanciones, ordenar la suspensión de sistemas e incluso obligar a su retirada del mercado si detecta riesgos graves para los derechos de las personas.

Entre los sistemas de IA que se consideran prohibidos y están bajo la lupa de la AEPD se incluyen:

Sistemas de identificación biométrica remota en tiempo real en espacios públicos (como reconocimiento facial).
Sistemas que manipulen el comportamiento de personas de forma subliminal o exploten vulnerabilidades.
Tecnologías que generen puntuaciones sociales con base en el comportamiento o características personales.

¿Por qué es relevante para tu empresa o actividad?

Muchos empresarios y autónomos han empezado a incorporar soluciones de IA en su día a día: desde sistemas de atención al cliente automatizados hasta herramientas de análisis predictivo o software de control de rendimiento.

Aunque muchas de estas aplicaciones son lícitas, el uso de IA que implique tratamiento de datos personales requiere una revisión profunda desde el punto de vista legal. Y con este nuevo marco, la supervisión se endurece.

Si tu empresa, por ejemplo, utiliza cámaras de videovigilancia con capacidades de reconocimiento facial para controlar accesos, estás en una zona de alto riesgo. Lo mismo ocurre si empleas sistemas que analizan el estado emocional de empleados o clientes, aunque sea con fines aparentemente inocuos como mejorar la experiencia de usuario.

La AEPD ha reiterado que estos tratamientos deben pasar un análisis de impacto en protección de datos (DPIA) y, en muchos casos, requieren medidas técnicas y organizativas extraordinarias o incluso estar completamente prohibidos.

Claves para adaptarte y evitar sanciones

Ante este nuevo escenario, las organizaciones deben adoptar un enfoque proactivo. Aquí van algunas recomendaciones prácticas:

Audita tus sistemas de IA actuales: Evalúa si alguno de ellos entra dentro de las categorías de riesgo o está directamente prohibido.
Realiza un análisis de impacto (DPIA): Es obligatorio para tratamientos de alto riesgo. Incluye una evaluación específica del sistema de IA.
Consulta con expertos en protección de datos: La figura del delegado de protección de datos (DPD) cobra aún más importancia. Si no cuentas con uno, es momento de considerarlo.
Documenta todas las decisiones: Ten registro de las evaluaciones, medidas adoptadas y justificaciones legales. En caso de inspección, será tu mejor defensa.
Sigue de cerca las guías de la AEPD: La Agencia está publicando orientaciones prácticas que ayudan a entender qué es aceptable y qué no. Ignorarlas no es una opción.

¿Qué ocurre si no cumples?

Las consecuencias pueden ser muy graves. La AEPD tiene la capacidad de imponer sanciones de hasta 20 millones de euros o el 4% del volumen de negocio global anual, como marca el RGPD.

Además, la intervención puede ser inmediata si se detecta un riesgo grave o una vulneración flagrante. Esto puede implicar la paralización de un servicio, la retirada de un producto o la prohibición de seguir utilizando cierta tecnología.

Y no olvidemos el impacto reputacional. En un contexto cada vez más sensible a la protección de datos, un expediente público por uso indebido de IA puede dañar seriamente la confianza de clientes, proveedores e inversores.

¿Y si aún no usas IA?

Incluso si todavía no has integrado soluciones de IA en tu empresa, este es el momento perfecto para prepararte. El mercado se está moviendo en esa dirección, y hacerlo sin garantías puede salir caro.

Estar al día en materia normativa y adoptar una política de \»IA responsable\» desde el principio será un activo competitivo. Clientes y colaboradores valoran cada vez más que las empresas actúen con ética y legalidad.

Conclusión: la IA no es un terreno sin ley

Con esta nueva competencia de la AEPD, se desmonta la idea de que la inteligencia artificial opera en un vacío legal. Muy al contrario: el uso de estas tecnologías debe alinearse con principios sólidos de protección de datos y respeto a los derechos fundamentales.

Para empresarios, autónomos y organizaciones de todo tipo, esto implica una revisión profunda de sus sistemas, procesos y cultura tecnológica. La IA puede ser una gran aliada, pero solo si se implementa con responsabilidad.

¿Tienes dudas sobre cómo aplicar estas normas en tu empresa?

? Contáctanos o escríbenos por WhatsApp para recibir asesoramiento.

Publicaciones Similares

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

La AEPD ya puede intervenir ante sistemas de IA prohibidos: lo que debes saber si tratas datos personales

La AEPD ya puede intervenir ante sistemas de IA prohibidos: lo que debes saber si tratas datos personales

¿Qué ha cambiado exactamente?

¿Por qué es relevante para tu empresa o actividad?

Claves para adaptarte y evitar sanciones

¿Qué ocurre si no cumples?

¿Y si aún no usas IA?

Conclusión: la IA no es un terreno sin ley

Canal de denuncias y protocolo de acoso: 7 claves definitivas para implantarlo bien

7 Estrategias Infalibles para una Selección de Personal Legal con Cumplimiento Normativo y Reputación Empresarial

Informe de Cumplimiento LOPDGDD – PYMEs y Autónomos

Convenio Colectivo Comercio de Flores y Plantas 2024-2028: resumen y claves para RRHH

IX Convenio Estatal del Corcho

AEPD: claves del día para empresas y autónomos

Deja una respuesta Cancelar la respuesta