Marc Sureda
La Unión Europea se encuentra en una situación de tensión al tener que optar por flexibilizar el Reglamento General de Protección de Datos, o posponer la aplicación de la Ley de IA para sistemas de alto riesgo. Este movimiento paralelo se traduce en un entorno normativo cambiante en el que las decisiones de inversión en IA deben tomarse con prudencia y con una lectura atenta de los riesgos.
El RGPD, en vigor desde 2018; se ha convertido en el marco de referencia europeo para la protección de datos personales, con principios como la minimización de datos y la limitación de propósito que chocan con el funcionamiento de la IA generativa. Esta última se basa en modelos que necesitan grandes volúmenes de información para entrenarse y generar contenidos, como ocurre con sistemas conocidos en el mercado, entre ellos ChatGPT o Gemini. El conflicto se produce cuando la lógica de cuanto más dato mejor para el desarrollo de estos modelos, se enfrenta a un marco legal que exige recoger solo los datos estrictamente necesarios y usarlos para fines concretos previamente definidos.
En este contexto, y según ha trascendido en Bruselas, la Comisión Europea estudia una vía para suavizar este choque entre innovación y protección de datos. La opción que se analiza pasa por reclasificar el desarrollo de IA como actividad de interés público o como investigación científica.
Esta posible reclasificación abriría la puerta a reutilizar datos anonimizados sin recabar de nuevo el consentimiento de las personas, algo que en la práctica significaría disponer de un margen más amplio para entrenar modelos de IA a partir de datos ya recogidos, siempre que se respete su anonimización.
Desde el ámbito empresarial, existen voces que ponen el foco en las implicaciones de este cambio. Sergio García Estradera, gerente de i3e (firma española con 25 años de experiencia en el sector tecnológico y especializada en ofrecer soluciones integrales en consultoría IT, ciberseguridad, servicios gestionados y desarrollo de software a medida), considera que esta reinterpretación del RGPD supone un giro profundo en la forma de entender la investigación. En incluir este concepto el desarrollo de productos comerciales basados en IA, y que esta evolución podría derivar, si no se acompaña de garantías, en una erosión gradual de los derechos digitales reconocidos hasta ahora en Europa.
García también insiste en que, aunque la UE llegue más tarde que otros actores globales a la carrera por la IA, no debería hacerlo a costa de rebajar los principios que han marcado su política de privacidad. Desde su perspectiva, la protección de datos puede ser un elemento diferenciador en el mercado si se integra en un modelo de innovación que incorpore la privacidad como parte del diseño y no como un requisito añadido.
En paralelo al debate sobre el RGPD, la Unión Europea ha decidido retrasar más de un año la entrada en vigor de la Ley de IA para sistemas considerados de alto riesgo. Esta norma, aprobada en 2024; pretende que el despliegue de la inteligencia artificial no comprometa ni la privacidad ni la resiliencia digital de las infraestructuras y servicios críticos. Sin embargo, la aplicación de sus disposiciones más exigentes se pospone ahora hasta diciembre de 2027 sin un marco específico a tecnologías como la identificación biométrica o la evaluación crediticia.
La justificación oficial de la Comisión Europea para este aplazamiento se centra en la necesidad de disponer de más tiempo para definir estándares técnicos y, al mismo tiempo; aliviar la carga administrativa que recaerá sobre las organizaciones. Con esta medida, Bruselas prevé que las empresas puedan ahorrar hasta 225 millones de euros en costes asociados al cumplimiento normativo, al disponer de requisitos más claros y armonizados cuando la Ley de IA sea plenamente aplicable.
No obstante, esta decisión abre un periodo transitorio en el que determinados sistemas de IA de alto impacto operarán con una supervisión menos detallada. Entre los ámbitos que quedarán en ese espacio intermedio figuran la identificación biométrica, la evaluación de solvencia o la gestión del tráfico urbano, todos ellos ejemplos de tecnologías que operan con información sensible o crítica. En un entorno en el que los ciberataques crecen un 30% anual y la IA se consolida como vector de ataque, la ausencia de estándares claros incrementa la exposición de empresas y administraciones.
Europa encara estos debates en un contexto de competencia global con otros bloques económicos, como Estados Unidos y China, que avanzan también en el desarrollo y despliegue de la IA. En este marco, la cuestión de fondo sigue abierta: cómo compatibilizar el impulso a la innovación en IA con la preservación de los valores y derechos digitales que han definido hasta ahora la política europea de datos.
