En diciembre de 2025 la AEPD publicó un complemento práctico a su política interna de uso de IA generativa: casos de uso concretos, análisis de riesgos con medidas de mitigación y hasta un ejemplo de plan de despliegue con formación, pilotos y monitorización. La noticia, contada por la propia Agencia, es clara: quieren que la IA se integre como herramienta de apoyo, con supervisión humana y sin que el output de un modelo sustituya la valoración profesional ni genere efectos vinculantes a la ligera.
Yo lo leo con dos gorros puestos. Como ciudadano, me gusta ver a un regulador que no solo multa sino que ordena su casa y documenta riesgos como alucinaciones, sesgos o fugas de datos. Como técnico que ayuda a pymes con web, automatización y proveedores SaaS, me pregunto hasta qué punto esto es replicable fuera de un organismo con plantilla, presupuesto y cultura jurídica propia.
La pieza encaja con lo que ya habían anunciado en noviembre: una política interna pensada para procesos administrativos internos, alineada con su plan estratégico y con un discurso sensato (transparencia, seguridad, confianza, evaluación continua). La parte nueva es la que importa en el día a día: traducir principios en tareas reconocibles (gestión documental, traducción de textos públicos, material divulgativo, borradores de informes) y en contramedidas que no suenen a postureo.
Ahí es donde yo me pongo algo cinico. En muchas empresas pequeñas la “política de IA” sigue siendo un PDF olvidado y un acceso corporativo a ChatGPT sin registro de prompts. Cuando ves un anexo con análisis de riesgos y un plan de despliegue en fases, piensas: esto es lo mínimo que deberíamos exigir también a quien te vende un plugin de WordPress con “IA integrada” o a la agencia que te automatiza el soporte. La diferencia es que la AEPD puede permitirse decir “supervisión humana obligatoria” y respaldarlo con procedimientos; tú en cambio tienes tres personas, un WooCommerce vivo y un proveedor de hosting que ni sabe si tu tienda llama a una API externa.
Tampoco me engaño con el marco legal. La propia Agencia deja claro, en la nota de la política general, que el alcance es el uso interno de IA generativa en sus procesos administrativos y que no supone una verificación ni certificación indirecta del Reglamento europeo de Inteligencia Artificial. Traducción para el lector de ticweb: son buenas prácticas y gobernanza, no un sello mágico que te exima de cumplir normativa sectorial o de protección de datos cuando metas un modelo en producción.
Lo que sí me parece útil, y casi pedagógico, es cómo nombran amenazas que vemos cada semana en proyectos web: alucinaciones que acaban publicadas, sesgos en textos automáticos, filtraciones por prompts mal planteados. Si tu negocio digital depende de contenidos, atención al cliente o informes automáticos, esas categorías no son abstractas. Son tickets de incidencia esperando a pasar a facturación.
Desde el gobierno central también se ha puesto el foco en el carácter pionero de la política interna en el sector público, lo cual refuerza la idea de que el debate ya no es “si usamos IA” sino “con qué límites y con qué trazabilidad”. Eso cuadra con lo que comentamos en el sector: cada cliente quiere velocidad hasta que aparece el primer error grave; entonces quiere auditoría, registros y alguien a quien echar la culpa.
Mi conclusión no es la de siempre (“cumple el RGPD y listo”). Es más simple y más incómoda: el estándar de referencia para uso serio de IA en organizaciones va a parecerse a lo que acaba de publicar la AEPD, aunque tú no tengas ni un décimo de sus recursos. Eso deja a las pymes en una posición delicada: o externalizas gobernanza con consultores y herramientas serias, o te quedas en el experimentation theater con cuentas compartidas y cero registro de decisiones.
Si algo rescato para la práctica diaria es el ritmo que describen: formación, pilotos, monitorización continua. No es el camino del “despliegue en viernes por la tarde”. Es lento, aburrido y por eso funciona mejor que el hype. También es, para muchos, inasumible sin presupuesto; ahí está la tensión real entre discurso institucional y realidad de negocio.
Si mañana tu web o tu tienda online pasaran una auditoría con el mismo rigor que este anexo (riesgos nombrados, pilotos, monitorización y trazabilidad de decisiones), ¿sabrías demostrar quién aprobó cada flujo automático y con qué datos se alimenta el modelo?
Fuentes
- Desarrollo práctico de la Política general interna para el uso de la IA generativa en la AEPD (AEPD, 12 de diciembre de 2025)
- La Agencia publica su Política interna de uso de Inteligencia Artificial (AEPD, 27 de noviembre de 2025)
- La AEPD publica la primera política interna sobre uso de inteligencia artificial en la Administración pública (España Digital)