IA agéntica y protección de datos: la AEPD eleva el debate del modelo al sistema

Por Iván Martínez, CEO de Intedya

La Agencia Española de Protección de Datos ha publicado en febrero de 2026 un documento que marca un punto de inflexión en la forma en que debemos analizar la inteligencia artificial desde el prisma jurídico: “Inteligencia Artificial Agéntica desde la perspectiva de protección de datos”

No se trata de una guía sobre IA generativa en sentido amplio. Tampoco es un manual técnico de arquitectura. Es algo más relevante: una advertencia estructural. El riesgo ya no está únicamente en el modelo, sino en la arquitectura que orquesta modelos, memoria, herramientas, APIs y autonomía. La AEPD cambia el foco: del algoritmo al sistema agéntico.

Del LLM reactivo al agente autónomo

En las primeras secciones del documento (capítulos II y III), la Agencia define con claridad qué entiende por agente de IA: un sistema que utiliza modelos de lenguaje para alcanzar objetivos mediante descomposición de tareas, planificación y ejecución autónoma.  La diferencia clave respecto a un LLM tradicional es triple:

1. Autonomía operativa: el agente decide cómo subdividir tareas y qué herramientas invocar.

2. Memoria persistente: puede almacenar contexto a corto y largo plazo.

3. Capacidad de acción: no solo genera texto; ejecuta acciones en sistemas internos o externos.

Este último punto es determinante. Cuando un sistema puede actuar en nombre del usuario o de la organización, deja de ser un asistente y se convierte en un operador automatizado con capacidad de impacto jurídico, la cuestión ya no es solo si “genera contenido”, sino si toma decisiones, modifica datos, ejecuta contratos o altera flujos operativos.

El verdadero riesgo: arquitectura y superficie de ataque

El capítulo IV introduce uno de los conceptos más relevantes del documento: la ampliación de la superficie de ataque, la IA agéntica no es un componente aislado, integra:

• LLMs (propios o externos),

• bases de datos,

• herramientas internas,

• servicios web,

• memoria estructurada y no estructurada,

• mecanismos de orquestación multiagente.

La AEPD advierte expresamente que no debe adoptarse una visión “meramente aditiva” de vulnerabilidades. La interacción entre componentes genera efectos multiplicativos, en otras palabras: el riesgo no es lineal, es sistémico.

Especialmente crítico es el concepto de SPOC (single point of compromise): la vulneración de un componente puede comprometer múltiples tratamientos simultáneamente. En entornos donde un mismo LLM como servicio procesa prompts de varios tratamientos, el sistema puede convertirse en nodo de concentración masiva de datos personales.

Memoria: la frontera más delicada

El apartado sobre memoria es, probablemente, el más estratégico del documento. La Agencia distingue entre:

• Memoria de trabajo (corto y largo plazo),

• Memoria de gestión (logs, trazabilidad, registros de actividad).

Y plantea una cuestión crítica: la compartimentación. El documento ilustra dos extremos arquitectónicos:

• Un repositorio único donde confluyen datos de múltiples tratamientos.

• Una compartimentación granular por tratamiento, caso y usuario.

La diferencia no es técnica; es jurídica. Un diseño sin compartimentación efectiva puede vulnerar:

• El principio de limitación de finalidad.

• El principio de minimización.

• Las garantías de separación de tratamientos.

Además, la memoria persistente facilita la creación de perfiles longitudinales, incluso cuando el tratamiento original no lo preveía. La AEPD introduce aquí un mensaje implícito: la memoria no es neutra. Es una fuente estructural de riesgo.

Autonomía y artículo 22 RGPD

En el análisis de autonomía, la Agencia plantea distintos niveles de interacción humano-agente:

• El agente propone.

• El agente colabora.

• El agente opera con aprobación.

• El agente opera con supervisión pasiva.

La cuestión central es si determinadas acciones constituyen decisiones automatizadas con efectos jurídicos o significativamente similares (art. 22 RGPD).

La AEPD no ofrece respuestas cerradas, pero sí criterios operativos:

• ¿La acción es reversible?

• ¿Existe supervisión humana efectiva?

• ¿Hay transparencia y trazabilidad?

• ¿Es reproducible la cadena de razonamiento?

El documento alerta también sobre el sesgo de automatización, la tendencia humana a confiar en la decisión tecnológica por apariencia de coherencia. La supervisión humana simbólica no es suficiente. Debe ser efectiva, informada y con capacidad real de intervención.

No reproducibilidad: ruptura del paradigma clásico de control

Uno de los apartados más sofisticados es el dedicado al comportamiento no repetible. En sistemas agénticos complejos:

• pequeñas variaciones en entorno o latencia pueden alterar la cadena de razonamiento,

• pueden generarse bucles infinitos,

• pueden producirse errores compuestos (compounding errors),

• la inferencia puede no ser determinista.

Esto rompe una premisa clásica del compliance tecnológico: misma entrada - misma salida. Sin reproducibilidad, se debilitan:

• la auditabilidad,

• la trazabilidad,

• la responsabilidad,

• la validación ex ante.

Desde el punto de vista jurídico, esto tiene implicaciones profundas en responsabilidad y en gestión probatoria.

BYOAgentic: el nuevo riesgo organizativo

La Agencia introduce un concepto informal pero muy ilustrativo: BYOAgentic, si el fenómeno fue BYOD (trae tu propio dispositivo), ahora viene BYOAI (trae tu propia IA). Aparece el riesgo de que usuarios no cualificados desplieguen flujos agénticos fuera de la gobernanza corporativa. Herramientas no-code permiten diseñar automatizaciones complejas sin intervención de TI, seguridad o DPD. La facilidad técnica puede generar una peligrosa banalización del riesgo.

Un documento prudente, pero exigente

El texto no es alarmista. Tampoco es prohibicionista. La AEPD insiste en que la IA agéntica puede ser una herramienta de protección de datos desde el diseño. Pero exige:

• Gobernanza formal.

• Evaluación de impacto cuando proceda.

• Gestión estricta de memoria.

• Control granular de privilegios.

• Supervisión humana efectiva.

• Trazabilidad completa.

• Control de identidad y credenciales.

• Segmentación de tratamientos.

No propone frenar la tecnología, propone disciplinarla.

El mensaje estructural del documento es claro, la IA agéntica no es una evolución incremental de la IA generativa, es un cambio de paradigma en la arquitectura de automatización. La protección de datos ya no puede centrarse solo en:

• el modelo,

• el entrenamiento,

• el dataset.

Debe analizar:

• la orquestación,

• la memoria,

• los flujos entre servicios,

• los privilegios,

• la autonomía,

• la reproducibilidad.

La AEPD ha elevado el debate. Ahora la cuestión es si las organizaciones están preparadas para asumir este nivel de madurez técnica y jurídica. Porque implementar un agente es sencillo, pero gobernarlo correctamente es otra cosa.