Del reglamento de protección de datos al de inteligencia artificial
Mientras uno protege al individuo afectado, el otro pretende disciplinar la arquitectura que genera el impacto
Durante años, el cumplimiento del Reglamento General de Protección de Datos se abordó como un ejercicio casi burocrático. Informar, identificar una base jurídica, firmar contratos y, si había suerte, nombrar un delegado de protección de datos con paciencia infinita. Ese esquema funcionaba —con matices— mientras el tratamiento de datos seguía una lógica lineal: recoger, usar, almacenar. La inteligencia artificial ha hecho saltar por los aires esa comodidad.
El problema ya no es solo qué datos se tratan, sino qué decisiones se habilitan a partir de ellos. Y cuando el Derecho entra en el terreno de las decisiones, deja de regular procedimientos para empezar a regular poder. Poder para perfilar, predecir, influir y, en el límite, excluir. En ese contexto aparece el Reglamento europeo de Inteligencia Artificial, no como sustituto del RGPD, sino como su incómodo compañero de viaje.
Conviene decirlo sin rodeos: no estamos ante una transición suave, sino ante una convivencia forzada. El RGPD sigue siendo el eje de la protección del dato personal y de los derechos individuales. El Reglamento de IA introduce otra pregunta, más incómoda: si determinados sistemas deberían existir y bajo qué condiciones. No cómo cumplir, sino si es aceptable hacer.
Esta diferencia de enfoque marca un cambio de época. El RGPD parte de que el tratamiento existe y exige garantías. El reglamento de IA clasifica por riesgos y, en algunos casos, prohíbe directamente. Europa deja de confiar solo en la autorregulación técnica y se atreve a poner límites materiales. No es menor.
El problema es que, en la práctica, ambos marcos se solapan sin encajar del todo. Y ahí aparecen las zonas grises reales, no las de manual. Evaluaciones de impacto que conviven sin hablarse, transparencias formales que no explican nada y sistemas que pasan comités internos sin que nadie pueda afirmar que los entiende de verdad. El riesgo es claro: cumplimiento cosmético, mucho papel y poca gobernanza.
Las decisiones automatizadas son el mejor ejemplo. El RGPD lleva años intentando acotar cuándo una decisión es verdaderamente automatizada y qué significa una intervención humana real. El reglamento de IA entra por otro lado: exige control estructural del sistema, supervisión y gestión del ciclo de vida. Mientras uno protege al individuo afectado, el otro pretende disciplinar la arquitectura que genera el impacto. Si no se conectan bien, la protección se diluye.
La biometría lleva esta tensión al límite. No se trata solo de datos sensibles, sino de modelos que afectan a libertades básicas. El debate europeo sobre identificación biométrica en espacios públicos no es técnico, es casi constitucional. La pregunta no es si el dato es personal, sino qué tipo de sociedad acepta sistemas que tratan a todos como potenciales sospechosos. Por eso, en biometría no basta con invocar una base jurídica: la garantía real exige gobernar el sistema durante todo su ciclo de vida (diseño, entrenamiento, despliegue y uso), con supervisión humana efectiva, evaluación continua de riesgos y auditorías periódicas.
La realidad, por incómoda que resulte, es sencilla: una parte muy relevante de la IA útil hoy opera con datos personales, especialmente en casos de alto impacto sobre personas, porque básicamente son su combustible, generan inferencias sobre personas o producen efectos directos sobre ellas. En ese contexto, el RGPD no es una capa más. Sigue siendo el centro de gravedad. El reglamento de IA no lo desplaza, eso es cierto, pero lo tensiona.
Gobernar la IA no consiste en acumular documentos, sino en asumir que el riesgo está en el uso, en la deriva del sistema, en los contextos no previstos y en esa “IA en la sombra” que aparece cuando nadie gobierna de verdad. Ahí está el quid de la cuestión, la gobernanza, que ha entrado con gran protagonismo en este segundo cuarto de siglo, ya que está demostrado que el papel puede demostrar todo, pero no tiene ojos para gobernar.
El RGPD ya nos dejó una advertencia, que el dato personal es poder. El reglamento de IA añade otra advertencia, que el algoritmo tampoco es neutro. Es una arquitectura de decisiones diseñada por alguien y sufrida por otros. La pregunta no es si ambas normas encajan bien, sino si seremos capaces de evitar el peor escenario: una inteligencia artificial desplegada con prisa, gobernada con PDFs y justificada con palabras bonitas.
Porque en el nuevo derecho digital europeo empieza a consolidarse una regla simple y exigente: lo que no se gobierna, acaba rompiéndose. Y cuando se rompe, no siempre se arregla con una multa. A veces se arregla tarde. Y otras veces, no se arregla.