Mariana Duarte
BARRILERO SPS
La adopción creciente de herramientas de inteligencia artificial generativa, como ChatGPT o Copilot, ha venido transformando profundamente la forma en que organizaciones y profesionales interactúan con la información. Su capacidad para generar contenido, analizar documentos y apoyar procesos de decisión en tiempo real se traduce en ganancias evidentes de eficiencia. No obstante, esta evolución tecnológica expone un riesgo jurídico particularmente sensible y frecuentemente subestimado: la pérdida de control sobre la confidencialidad de la información. Este riesgo debe analizarse a la luz del marco normativo europeo aplicable, en particular del Reglamento General de Protección de Datos (RGPD) y del AI Act, cuya articulación refuerza la necesidad de un enfoque preventivo, estructurado y basado en el riesgo.
Desde el punto de vista del RGPD, la confidencialidad asume un papel central. En los términos del artículo 5.º, n.º 1, letra f), los datos personales deben ser tratados de forma que se garantice su seguridad, incluida la protección contra el tratamiento no autorizado o ilícito, siendo este principio densificado por el artículo 32.º, relativo a las medidas técnicas y organizativas adecuadas. Se añade, además, el régimen aplicable a las transferencias internacionales de datos (artículos 44.º y siguientes), particularmente relevante en el contexto de la utilización de proveedores tecnológicos radicados fuera de la Unión Europea.
En este marco, la utilización de herramientas de IA generativa plantea cuestiones críticas. La introducción de datos a través de “prompts” puede implicar su comunicación a terceros, a menudo sin que el usuario tenga plena conciencia de las implicaciones jurídicas. Tal utilización puede traducirse en una comunicación ilícita de datos personales, en una transferencia internacional no encuadrada o, en ciertos casos, en una violación de datos personales (artículo 4.º, n.º 12 del RGPD).
La naturaleza abierta y descentralizada de estas tecnologías agrava este riesgo. En la práctica, los colaboradores recurren a estas herramientas para apoyar tareas cotidianas —desde el análisis de currículos hasta la revisión de contratos— introduciendo información que puede incluir datos personales, contenidos sensibles o información estratégica. Esta realidad crea una zona de riesgo difícil de controlar y puede comprometer el cumplimiento del principio de responsabilidad proactiva (artículo 5.º, n.º 2 del RGPD).
A estos riesgos se añade la opacidad inherente a los sistemas de IA, concretamente en cuanto al almacenamiento, accesos y eventual reutilización de la información introducida, limitando la capacidad de escrutinio por parte de las organizaciones. Es en este contexto en el que el AI Act asume una relevancia particular, en la medida en que refuerza esta preocupación al imponer, en función de la calificación del sistema o modelo en cuestión, deberes de transparencia, documentación, gobernanza y mitigación de riesgos, con especial incidencia en los modelos de IA de uso general y, de forma reforzada, en los modelos con riesgo sistémico.
En este ámbito, destaca la publicación, por parte de la Comisión Europea, el 10 de julio de 2025, del Código de Conducta para Modelos de IA de Uso General, en cuanto instrumento voluntario que tiene por objeto apoyar el cumplimiento de las obligaciones previstas en el AI Act, señaladamente las constantes en los artículos 53.º y 55.º. Aunque no constituya una prueba automática de conformidad, funciona como referencia relevante para la implementación de prácticas adecuadas de gobernanza. Desde el punto de vista de la confidencialidad, el Código asume especial importancia al:
- exigir el mantenimiento de documentación técnica actualizada, asegurando simultáneamente la protección de secretos comerciales, propiedad intelectual e información confidencial, así como la adopción de medidas adecuadas de ciberseguridad;
- imponer un enfoque continuo de evaluación y mitigación de riesgos, incluidos riesgos para los derechos fundamentales como la privacidad y la protección de datos personales, en especial en el caso de modelos con riesgo sistémico;
- establecer salvaguardas que eviten el acceso o tratamiento de datos sensibles o confidenciales en violación del Derecho de la Unión, incluso en contextos de evaluación o monitorización.
Más allá de los datos personales, la utilización de herramientas de IA puede comprometer la protección de secretos empresariales, en la medida en que la introducción de información estratégica o know-how puede hacer cesar el requisito de confidencialidad, con consecuencias potencialmente irreversibles. Se impone, por ello, un enfoque prudente, basado en políticas internas claras, en la limitación de la introducción de datos personales e información confidencial y en la formación de los colaboradores.
Paralelamente, es esencial proceder a una evaluación de criterios de los proveedores, incluyendo condiciones contractuales, garantías en materia de protección de datos y localización de la información. Siempre que sea aplicable, deberá además ponderarse la realización de DPIAs, en particular cuando esté en cuestión un tratamiento sistemático o a gran escala. En términos técnicos, deben privilegiarse soluciones que minimicen la exposición de datos, como la anonimización o seudonimización, así como la utilización de entornos controlados o versiones empresariales de las herramientas.
En conclusión, la IA generativa representa una oportunidad significativa, pero también un riesgo relevante en el ámbito de la confidencialidad y de la protección de datos. El principal desafío no reside en la tecnología en sí, sino en la ausencia de control sobre su utilización. En un contexto en el que el RGPD impone elevados estándares de protección y el AI Act refuerza la lógica de gestión de riesgo y gobernanza, solo un enfoque prudente, estructurado y jurídicamente informado permitirá conciliar la innovación con la salvaguarda efectiva de los derechos fundamentales.
