La autoridad de protección de datos española emite una guía detallada sobre IA agentiva y cumplimiento del GDPR
En febrero de 2026, la autoridad de protección de datos española publicó una guía sobre cuestiones de protección de datos relacionadas con el uso de agentes de IA. La guía sigue un análisis similar realizado por una autoridad de otro país, el cual fue discutido en una publicación anterior.
¿Qué es un agente de IA?
Un agente de IA es un sistema que actúa de manera adecuada según sus circunstancias y objetivos, es flexible ante cambios en el entorno y aprende de la experiencia para tomar decisiones apropiadas. Su característica definitoria es la autonomía operativa: un agente puede planificar y adaptar acciones de manera independiente en busca de un objetivo, interactuando con datos internos y servicios externos con intervención humana limitada.
Un ejemplo práctico de un agente de IA es aquel que organiza automáticamente un viaje de negocios: cuando un viaje aparece en el calendario de un empleado, el agente reserva el transporte y el alojamiento, recopila información relevante como el clima o tasas de cambio, y envía al empleado un plan de viaje completo.
¿Quién es el controlador? ¿Quién es el procesador?
Desde una perspectiva de protección de datos, los agentes de IA pueden llevar a cabo operaciones sobre datos personales. Por diseño, pueden acceder a datos de manera autónoma, combinar información de diferentes fuentes, almacenar contexto en la memoria y generar salidas o desencadenar acciones. Sin embargo, esto no significa que el agente de IA sea responsable del procesamiento. Los agentes de IA son tratados como medios técnicos a través de los cuales se lleva a cabo el procesamiento, no como actores legales autónomos.
La clave radica en la distinción entre ejecución y responsabilidad. Aunque un agente de IA puede realizar operaciones de manejo de datos de forma autónoma, el procesamiento sigue siendo atribuible legalmente al controlador o procesador que implementa el sistema y determina sus propósitos y medios esenciales.
¿Cómo utilizan los agentes de IA servicios externos?
Los agentes de IA a menudo se conectan a herramientas de terceros, APIs, bases de datos o plataformas en línea para llevar a cabo sus tareas. Esto amplía la cadena de procesamiento y puede involucrar a más actores en el proceso. La guía sugiere que los controladores deben verificar si se envían datos personales a terceros, la fiabilidad y trazabilidad de las fuentes externas, y si los contratos y controles técnicos mantienen el cumplimiento del GDPR.
¿Por qué es un riesgo de cumplimiento la «memoria»?
La IA agentiva puede almacenar datos en diferentes capas de memoria, cada una con sus propios problemas de protección de datos. Se recomienda establecer reglas claras sobre qué puede almacenar el agente, por qué y durante cuánto tiempo. Conservar muchos datos «por si acaso» puede entrar en conflicto con los principios de limitación de propósito y minimización de datos del GDPR.
¿Qué deben hacer las organizaciones ahora?
La guía es una de las evaluaciones más completas de las implicaciones de protección de datos de la IA agentiva hasta la fecha. Para las organizaciones que implementan o consideran la IA agentiva, se señalan algunas prioridades prácticas:
– Establecer una clara responsabilidad en el procesamiento habilitado por IA;
– Comprender los flujos de datos, incluyendo el uso de herramientas y servicios externos;
– Definir reglas claras para la memoria y retención del agente;
– Aplicar conceptos de protección de datos desde el diseño y por defecto.
A medida que las autoridades de supervisión de la UE continúan interactuando con sistemas de IA cada vez más autónomos, la guía indica que una mayor autonomía técnica no reduce la responsabilidad legal.
