La Agencia Española de Protección de Datos (AEPD) publicó a finales de 2025 su política general interna para el uso de inteligencia artificial generativa. No es un truco de marketing: es un marco de gobernanza, riesgos y supervisión humana pensado para el día a día de una administración que además vigila el RGPD. Si gestionas webs, datos de clientes o herramientas con IA integrada, te conviene leer entre líneas porque lo que hace la propia autoridad te marca el tono de lo que va a exigir el entorno.
Qué ha hecho la AEPD, en pocas palabras
Según la propia nota de la Agencia, el documento fija las líneas de implementación, gobernanza y uso responsable de la IA generativa en los procesos administrativos internos de la AEPD. Insiste en transformación digital segura, ética y alineada con la normativa, y forma parte de su política de información como autoridad independiente. Tambien enlaza con el plan estratégico 2025-2030 y un enfoque “IA first”, es decir: tratar la IA como algo que debe encajar en la rutina, no como un experimento aislado.
El texto aclara algo que muchos partners te venderán al revés: esa política no sustituye ni certifica el cumplimiento del Reglamento europeo de Inteligencia Artificial. Limita su alcance al uso interno y deja claro que habrá evaluación y mejora continuas. Es decir, modelo vivo, no PDF olvidado en un cajón.
Por qué te importa si no eres funcionario
Primero, porque la AEPD sigue siendo el referente que interpreta proporcionalidad, minimización y finalidad cuando una empresa mete un chatbot, un asistente de redacción o un clasificador automático en un flujo con datos personales. Cuando ellos publican casos de uso, análisis de riesgos, transparencia y procedimientos de revisión e incidentes, están enseñando el estándar de madurez que luego trasladan a orientaciones, sanciones y respuestas a consultas.
Segundo, porque en proyectos web reales el riesgo no es solo “que la IA se equivoque”: es filtrar datos a un proveedor sin base legal clara, retener conversaciones que no toca, o no poder explicar una decisión automatizada. La política interna de la propia AEPD subraya supervisión humana, explicabilidad y protección de derechos fundamentales. Si tú externalizas la IA a un SaaS sin registro de tratamientos y sin DPIA cuando toca, vas varios pasos por detrás de lo que ya consideran “normal” en una administración seria.
Qué puedes aplicar en una pyme o agencia
- Inventario y casos de uso. No “usamos IA”, sino dónde, con qué datos y con qué interviniente humano.
- Análisis de riesgos antes del despliegue. Igual que describe el marco de la AEPD para su ámbito interno, pero adaptado a tu escala.
- Proveedores y subencargados. Contratos, ubicación de datos, retención y opción de no entrenar con tus conversaciones cuando el producto lo permita.
- Transparencia hacia el usuario final. En formularios, chatbots y textos legales: qué automatizas y qué no.
- Plan de incidentes. Si se cuelan datos en un prompt o una API falla, quién corta, quién documenta y quién comunica.
No hace falta photocopiar un organismo público: hace falta demostrar criterio. La AEPD no te va a pedir su párrafo favorito, pero sí coherencia entre lo que prometes en privacidad y lo que hace tu stack.
Fuentes
- La Agencia publica su Política interna de uso de Inteligencia Artificial | AEPD
- Política general interna para el uso de la IA generativa en la AEPD (PDF)
- La AEPD publica su Política interna de uso de IA (resumen) | LegalToday
- La AEPD publica la primera política interna de IA generativa para AAPP | Club de Innovación
Si tu proveedor de IA te garantiza “cumplimiento total” con un check verde en la landing pero no te deja elegir residencia de datos ni límite de retención, ¿seguirías igual solo por el ahorro de horas de redacción?