Cómo usar IA con datos sensibles sin meterte en líos legales
Guía práctica sobre protección de datos en sistemas de inteligencia artificial. Aprende sobre RGPD, EU AI Act, anonimización y seudonimización. Con checklist práctico y tablas de referencia.
Sin registro. PDF de 7 páginas. Listo para imprimir o compartir con tu equipo.
Datos sensibles: tabla de referencia
Qué hacer con cada tipo: datos de salud, identificativos, bancarios, etc.
Cumplimiento RGPD + EU AI Act
Obligaciones, plazos y cómo implementarlas sin sorpresas legales.
DPA, DPIA y transferencias internacionales
Qué son, cuándo se necesitan y cómo hacerlos bien.
Lo más importante — léelo primero
"Tengo consentimiento del cliente, así que puedo meter sus datos en la IA sin problema"
ESO ES FALSO. Este es el error más frecuente.
El consentimiento permite usar el dato. Pero no te libra de protegerlo. Cada obligación legal viene de una norma distinta:
- 1.Medidas de seguridad (Art. 32 RGPD): seudonimización + cifrado. Obligatorio aunque el cliente consienta.
- 2.DPA con el proveedor (Art. 28 RGPD): contrato firmado. El consentimiento del cliente NO lo crea.
- 3.Garantías internacionales (Schrems II): si la IA procesa fuera de Europa, necesitas Cláusulas Contractuales Tipo + TIA.
- 4.DPIA (Art. 35 RGPD): si tratas datos de salud habitualmente, evaluación de impacto previa.
- 5.Minimización (Art. 5.1.c RGPD): aunque consienta, solo mandas lo imprescindible.
Tabla: según el tipo de dato, cuánta protección necesita
🔴 PROHIBIDO EN CLARO — Datos de salud y categorías especiales
Diagnósticos, lesiones, historial clínico, discapacidad, origen étnico, religión, orientación sexual, datos genéticos.
Qué hacer: Sustituir por código + cifrado AES-256 + clave en Europa + evaluación de impacto previa (DPIA).
Norma: Art. 9 + Art. 32 + Art. 35 RGPD
🟠 SEUDONIMIZACIÓN — Datos identificativos
Nombre, NIF/NIE, dirección, email, teléfono, matrícula, IBAN, tarjeta de crédito.
Qué hacer: Sustituir por código interno antes de enviar a la IA. Solo personal autorizado recupera el dato real.
Norma: Art. 6 + Art. 32 RGPD
🟡 MINIMIZACIÓN — Datos personales no sensibles para la tarea
Descripción de un caso sin identificar a la persona. Identificadores indirectos (número de expediente, póliza).
Qué hacer: Enviar solo lo imprescindible. Quitar o codificar identificadores.
Norma: Art. 5.1.c RGPD
🟢 NINGUNO — Contenido sin datos personales
Documentación técnica, normativa, procedimientos, FAQ, estadísticas anónimas irreversibles.
Qué hacer: Verificar que realmente no hay datos personales escondidos. Puede usarse en claro.
Norma: Recital 26 RGPD
Las leyes que aplican
RGPD (Reglamento UE 2016/679)
Ley europea de protección de datos. Si tratáis datos de personas, sois Responsables del Tratamiento.
Os obliga a:
- • Tener base legal para cada dato que uséis
- • Proteger datos según el riesgo (Art. 32)
- • Respetar derechos ARCO de vuestros clientes
- • Firmar DPA con cada proveedor externo
- • Llevar registro de qué datos usáis y para qué
Sanción: hasta 20 millones EUR o 4% de facturación mundial
EU AI Act (Reglamento UE 2024/1689)
Primera ley integral sobre IA. Aplica a cualquier empresa que use sistemas de IA en la UE.
Obligación universal desde 2 agosto 2026 (Art. 50):
"Aviso visible de que es una IA" — antes de que el usuario comparta datos. Algo simple: "Soy un asistente virtual impulsado por inteligencia artificial".
Sanciones por incumplimiento:
- • Hasta 35 M€ o 7% facturación → sistemas prohibidos
- • Hasta 15 M€ o 3% → no poner aviso de IA o incumplir obligaciones
- • Hasta 7,5 M€ o 1% → información incorrecta a autoridades
Para PYMEs: se aplica siempre el menor de los dos valores (cantidad fija o porcentaje).
Schrems II — Transferencias a EE.UU.
Si la IA procesa datos fuera del Espacio Económico Europeo (servidores en EE.UU. típicamente):
Necesitáis:
- • Cláusulas Contractuales Tipo (CCT) firmadas con el proveedor
- • Evaluación de Impacto de la Transferencia (TIA)
El consentimiento del cliente NO cubre esto. La AEPD ha sancionado empresas por saltarse este paso.
Checklist práctico — qué tenéis que hacer
Vuestra empresa
Proveedor de IA técnico (implementado por SAPIENSDATAAI)
Preguntas frecuentes legales
¿Puedo enviar datos de pacientes directamente a un chatbot de IA?
No. El consentimiento del cliente permite usar el dato, pero no lo libra de protegerlo. Los datos sensibles (salud, identificativos) deben seudonimizarse antes de llegar a la IA. Se sustituyen por códigos internos: la IA trabaja con códigos, nunca con nombres o datos reales.
¿Qué diferencia hay entre anonimización y seudonimización?
Anonimización: borrado irreversible. Una vez hecho, el RGPD no aplica. Seudonimización: sustituir por código reversible. La IA ve el código, vosotros sabéis quién es. El RGPD sigue aplicando porque podéis recuperar el dato real si es necesario. La mayoría de casos requieren seudonimización, no anonimización total.
¿Necesito un DPA (contrato con el proveedor de IA)?
Sí, obligatorio. El Art. 28 RGPD exige un contrato firmado (DPA) con cada proveedor que toque vuestros datos. Sin él, incumpliréis aunque el cliente haya consentido. El DPA especifica qué datos trata, para qué, medidas técnicas de seguridad y subproveedores (modelo de IA, base de datos, hosting).
¿Si la IA tiene servidores en EE.UU., qué me falta?
Si procesa datos fuera de Europa, necesitáis: (1) Cláusulas Contractuales Tipo (CCT) firmadas con el proveedor, (2) Evaluación de Impacto de la Transferencia (TIA). El consentimiento del cliente no cubre esto. La AEPD ha sancionado empresas por enviar datos a EE.UU. sin estas garantías. Esto es Schrems II.
¿Qué es una DPIA (Evaluación de Impacto)?
Un análisis previo obligatorio cuando procesas datos de alto riesgo, especialmente datos de salud. Contiene: descripción del tratamiento, evaluación de riesgos, medidas de mitigación. Para una clínica con chatbot que recibe síntomas de pacientes, una DPIA es muy recomendable (o obligatoria si se trata de forma habitual).
¿Cuál es la multa si incumplo?
RGPD: hasta 20 millones EUR o 4% de facturación mundial. EU AI Act (Art. 50, transparencia): hasta 15 millones EUR o 3% de facturación. Para PYMEs: se aplica siempre el menor de los dos. En la práctica, las autoridades priorizan infracciones graves (datos masivos comprometidos, negligencia sistemática).
¿Desde cuándo es obligatorio avisar que se usa IA?
Desde el 2 de agosto de 2026. El Art. 50 EU AI Act requiere un aviso visible y claro antes de que el usuario comparta datos personales. Algo simple: "Soy un asistente virtual impulsado por inteligencia artificial". Quedan menos de 2 meses.
Fuentes oficiales
RGPD (EUR-Lex): https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679
EU AI Act Art. 50 (Transparencia): https://artificialintelligenceact.eu/article/50/
EU AI Act Art. 99 (Sanciones): https://artificialintelligenceact.eu/article/99/
AEPD — Guía Adecuación RGPD a IA: https://www.aepd.es/guias/adecuacion-rgpd-ia.pdf
Necesitas más detalle sobre leyes
Consulta nuestra guía completa sobre EU AI Act, RGPD y LOPDGDD con más tablas, plazos y multas detalladas.
Ver guía completa de leyesAviso importante
Esta es una guía ORIENTATIVA e INFORMATIVA. Es una recopilación de la normativa vigente conforme nuestro criterio. SAPIENSDATAAI NO garantiza que la información sea exhaustiva, esté totalmente actualizada, ni sea jurídicamente exacta al 100%. No nos hacemos responsables de las decisiones basadas en ella ni de la veracidad o vigencia de los datos. Este documento NO constituye asesoramiento jurídico ni sustituye la consulta con un abogado especializado en protección de datos. Antes de tomar decisiones vinculantes (firmar DPA, desplegar sistemas con datos sensibles), validar siempre con un profesional del derecho.
