Por Iván Martínez, CEO de Intedya.

La Agencia Española de Protección de Datos (AEPD) ha dado un paso relevante en la gobernanza pública de la inteligencia artificial con la publicación, en enero de 2026, de un resumen estructurado de obligaciones y recomendaciones para el uso de inteligencia artificial generativa (IAG) en sus procesos administrativos. Este documento desarrolla y operacionaliza la Política General para el Uso de IA Generativa en Procesos Administrativos, aprobada en noviembre de 2025, junto con su anexo técnico publicado en diciembre del mismo año. El texto no se limita a una declaración de principios, sino que configura un marco práctico de aplicación segura, ética y controlada, dirigido tanto a los órganos decisores como a los equipos técnicos y funcionales responsables de diseñar, implantar y supervisar casos de uso de IAG dentro de la organización.

Gobernanza y control del ciclo de vida de la IA

Uno de los ejes centrales del documento es la gobernanza. La AEPD exige identificar de forma precisa los roles de decisión y ejecución para cada caso de uso de IAG, diferenciando claramente responsabilidades funcionales y técnicas. Cada sistema debe contar con aprobación previa antes de su despliegue y quedar registrado en el inventario corporativo de activos digitales, documentando su finalidad, funcionamiento y nivel de riesgo. Asimismo, se establece la obligación de definir y aplicar un procedimiento de gestión del ciclo de vida de los sistemas de IAG, desde la fase de propuesta hasta su retirada, ajustando las medidas de control al riesgo de los procesos y tratamientos afectados. Este enfoque anticipa claramente los principios del futuro Reglamento Europeo de Inteligencia Artificial y los integra con la lógica de gestión de riesgos ya presente en el RGPD y el ENS.

Diseño responsable y primacía del control humano

En materia de diseño y desarrollo, la AEPD es explícita: la IAG debe concebirse como apoyo a la función humana, nunca como sustitución. Se exige que las interfaces sean comprensibles y seguras, adaptadas al nivel técnico de los usuarios, y que se documente el funcionamiento general de los modelos utilizados, incluyendo fuentes, limitaciones y sesgos conocidos. El documento subraya la necesidad de mecanismos sistemáticos de detección y corrección de errores, así como evaluaciones periódicas del rendimiento del sistema para asegurar su alineación con principios éticos y legales. Esta exigencia refuerza la idea de supervisión continua frente a enfoques meramente declarativos.

Protección de datos personales y control de la información sensible

Un bloque especialmente detallado se dedica al tratamiento de datos personales, sensibles o confidenciales. La AEPD recuerda la plena aplicación de los principios del RGPD (minimización, limitación de finalidad y proporcionalidad) y la obligación de actualizar las Evaluaciones de Impacto en la Protección de Datos (EIPD) cuando los sistemas de IAG sufran modificaciones relevantes. Se prioriza el uso de sistemas internos o soluciones ad-hoc para los casos que impliquen datos personales, y se exige implantar mecanismos que eviten que los usuarios introduzcan información sensible en sistemas no autorizados. Además, se refuerza el control humano en cualquier caso de uso que pueda derivar en decisiones automatizadas con efectos jurídicos o impactos significativos sobre los derechos de las personas.

Transparencia, trazabilidad y rendición de cuentas

El documento insiste en la transparencia y explicabilidad como pilares irrenunciables. Los sistemas deben permitir explicar las decisiones automatizadas, ser transparentes respecto a las fuentes utilizadas y dejar rastro documental de los procedimientos y decisiones adoptadas.

Se exige la implantación de mecanismos de trazabilidad y registros de actividad, así como avisos claros en las interfaces que informen cuando se interactúa con una IA y que indiquen la obligatoriedad de revisión humana. Este enfoque conecta directamente con las exigencias de rendición de cuentas propias del sector público.

Seguridad, contratación y dependencia tecnológica

En el ámbito de la seguridad, los sistemas de IAG deben someterse a categorización conforme al Esquema Nacional de Seguridad, aplicando cifrado, control de accesos por roles, aislamiento de entornos críticos y mecanismos de respuesta ante incidentes. La AEPD advierte expresamente contra la dependencia de la IAG en decisiones críticas o urgentes y contra la dependencia de un único proveedor. En contratación, se establecen criterios estrictos: evaluación del uso de metadatos, logs y telemetría por parte del proveedor, ubicación y retención de datos, estabilidad contractual y cláusulas específicas de no reutilización de datos y cumplimiento del RGPD, el Reglamento de IA y el ENS.

Formación y uso responsable

Finalmente, el documento refuerza el papel de los recursos humanos y la capacitación continua. El uso de IAG queda restringido a usuarios formados y autorizados, y se exige informar de forma explícita de prohibiciones clave: uso de sistemas no registrados, introducción de datos confidenciales, utilización de contenidos generados por IA en documentos con efectos jurídicos sin validación humana, y vulneración de derechos de propiedad intelectual.

Aunque el documento se dirige formalmente a la AEPD, su contenido constituye un referente avanzado para cualquier administración pública y, por extensión, para organizaciones privadas que busquen implantar inteligencia artificial generativa con garantías. La combinación de gobernanza, gestión de riesgos, protección de datos, seguridad y formación sitúa este marco como uno de los más completos actualmente en el contexto europeo. Más que una guía técnica, el texto refleja una posición clara: la IA generativa es una herramienta poderosa, pero su uso institucional exige control, responsabilidad y supervisión humana constante.