Un organismo público regula por primera vez el uso que deben hacer sus trabajadores de la Inteligencia Artificial

La Agencia Española de Protección de Datos (AEPD) ha dado un paso al frente en la integración de la inteligencia artificial generativa en la Administración Pública, al publicar su nueva Política general interna para el uso de IA generativa. Este documento, pionero en el sector público, establece las directrices para la implantación, gobernanza y utilización responsable de estos sistemas en el ámbito interno. Según ha informado la AEPD en un comunicado, “su objetivo es reforzar la capacidad tecnológica y organizativa de la Agencia, asegurando una transformación digital segura, ética y conforme con el marco normativo vigente.”

La publicación de este documento responde a la estrategia definida en el Eje 1 del Plan estratégico 2025-2030 de la AEPD, que apuesta por una política de “IA first”. Es decir, consideran que esta herramienta “debe integrarse como un proceso normal en el funcionamiento de las administraciones públicas, al igual que en otros sectores de la sociedad”.

Entre los contenidos del documento, se incluyen casos de uso concretos en el ámbito administrativo, que ilustran cómo se aplicará la inteligencia artificial generativa en la práctica diaria de la Agencia. El análisis de riesgos identifica los principales desafíos asociados a la adopción de esta tecnología, mientras que la sección dedicada a la gobernanza, las políticas y la gestión establece el marco operativo necesario para su correcta implementación. En este sentido, se abordan cuestiones clave como la selección de soluciones tecnológicas, el tratamiento de datos personales, el diseño de casos de uso, la transparencia, la explicabilidad y la protección de los derechos fundamentales.

Procedimientos y alcance de la nueva normativa interna

La Política también describe los procedimientos para la redacción, aprobación y revisión de los casos de uso, así como para la incorporación de nuevos supuestos, la gestión de incidentes y la supervisión continua. Todo ello tiene como finalidad asegurar que la implantación de la inteligencia artificial generativa se realice de forma ordenada y en consonancia con los valores de la entidad, según han detallado.

La política detalla criterios para la selección del tipo de solución IAG, distinguiendo entre sistemas externos (gestionados por proveedores y accesibles como servicios en línea), sistemas internos (desplegados en infraestructura propia) y sistemas ad-hoc (desarrollados a medida e integrados con los sistemas internos). La Agencia señala que “se deberá seleccionar el enfoque y nivel de integración más adecuado para la incorporación de sistemas IAG en cada caso de uso en función de la evaluación del riesgo para el cumplimiento de los objetivos de esta política general”.

En cuanto al tratamiento de información personal y sensible, la política establece que los casos de uso que impliquen el procesamiento de datos personales, sensibles o confidenciales deberán implementarse preferentemente en sistemas internos o ad-hoc, aplicando el principio de precaución. Solo si esta aproximación impide alcanzar otros objetivos, se podrán emplear sistemas externos que acrediten el cumplimiento de la política más allá de compromisos contractuales.

En relación con las decisiones automatizadas, la política es tajante: “No existirán decisiones automatizadas basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. Todo sistema de soporte a la decisión que pueda afectar derechos fundamentales o garantías procedimentales deberá contar con validación y control humano previo, formación específica para los usuarios y una evaluación de la carga de trabajo para asegurar la intervención humana efectiva.