Infoposiciones.net

Portal de empleo, formación y oposiciones

|
5 diciembre, 2025
|
Inteligencia artificial

La AEPD estrena la primera política interna de IA generativa en la administración española

La Agencia Española de Protección de Datos publica la primera política interna para el uso de IA generativa.

AEPD: primera política interna de IA generativa en la Administración Pública española

La Agencia Española de Protección de Datos (AEPD) ha dado un paso que ningún otro organismo público había formalizado hasta ahora: aprobar una política interna integral para el uso de inteligencia artificial generativa (IAG) en sus procesos administrativos.

Se trata del primer marco de estas características en el sector público estatal y coloca al organismo en una posición de referencia para la gobernanza de tecnologías emergentes.

El documento, fechado el 27 de noviembre de 2025 y difundido como Política general para el uso de IA generativa en procesos administrativos de la AEPD, fija cómo deben desplegarse, supervisarse y evaluarse estas herramientas dentro de la institución. Su propósito es claro: impulsar la transformación digital sin comprometer la protección de datos, los derechos fundamentales ni la integridad institucional.

Un paso estratégico: integrar la IA como parte natural de la administración

La política está alineada con el Plan Estratégico 2025-2030 de la AEPD, que adopta un enfoque IA first. El documento subraya que la IA generativa no debe verse como un experimento aislado, sino como un recurso operativo que debe incorporarse “de manera normal” al funcionamiento administrativo.

El objetivo es doble: ganar eficiencia y, al mismo tiempo, demostrar que una administración puede usar IA con total garantía jurídica. La AEPD pretende ser ejemplo de cómo compatibilizar innovación con control, transparencia y respeto a los derechos.

Qué persigue la nueva política

Entre los objetivos destacan:

  • Aumentar la eficacia y calidad de los procesos mediante innovación sostenida.
  • Proteger los derechos fundamentales, con especial atención al tratamiento de datos personales.
  • Blindar la información sensible que maneja la Agencia.
  • Garantizar la seguridad y salud laboral frente a riesgos cognitivos derivados del uso de IA.
  • Asegurar la continuidad de los procesos, evitando dependencias tecnológicas críticas.
  • Controlar los costes operativos y garantizar la escalabilidad.
  • Reforzar la confianza pública mediante actuaciones coherentes, transparentes y explicables.

El planteamiento combina pragmatismo y cautela: la IA se adopta, sí, pero solo bajo un régimen de gobernanza estricto, supervisión humana efectiva y límites muy claros.

Qué usos concretos permitirá la AEPD

La política identifica una batería de casos de uso administrativos. No constituyen un listado cerrado, pero sí ilustran la variedad de aplicaciones posibles. Algunos ejemplos:

Apoyo documental y ofimático

  • Resumen, estructuración y análisis de documentos públicos.
  • Traducción automática de resoluciones o material internacional.
  • Elaboración de borradores, notas internas, cartas o respuestas institucionales.

Comunicación y divulgación

  • Generación de infografías, esquemas o contenidos formativos.
  • Creación de vídeos o audios sintéticos basados en documentación no confidencial.

Gestión interna y tramitación

  • Clasificación y resumen automático de denuncias o consultas.
  • Sistemas de alertas para priorizar brechas de datos o situaciones sensibles.
  • Apoyo a la evaluación de impacto en protección de datos (EIPD).
  • Transcripción de reuniones internas con garantías específicas.
  • Asistentes normativos para consulta rápida de criterios jurídicos.
  • Seguimiento inteligente del plan estratégico de la Agencia.

El documento deja claro que ninguno de estos casos de uso, en su planteamiento inicial, encaja en las categorías de “alto riesgo” o “sistemas prohibidos” del Reglamento Europeo de IA, algo que se recalca de forma reiterada.

Una arquitectura de riesgos: qué teme la AEPD y cómo piensa evitarlo

El capítulo de riesgos identifica con precisión qué amenazas deben controlarse antes de desplegar cada caso de uso.

La Agencia alerta sobre:

  • Ineficacia técnica de los modelos.
  • Sesgos, discriminación o impactos adversos en derechos.
  • Divulgación inadvertida de información sensible.
  • Fallos de seguridad o interrupciones del servicio.
  • Pérdida de integridad institucional y desgobierno.
  • Falta de transparencia o de explicabilidad.
  • Interacciones humanas incorrectas o negligentes.

Cada riesgo se vincula directamente a los objetivos que podría comprometer. El enfoque no es tecnológico, sino organizativo: la IA se evalúa en función del proceso administrativo donde opera, no solo por sus capacidades técnicas.

Gobernanza: quién decide, quién supervisa, quién controla

El modelo de gobernanza configura una estructura clara de roles:

  • Responsable de la organización: el Presidente de la AEPD.
  • Responsables funcionales: subdirecciones y divisiones vinculadas a cada caso de uso.
  • Responsables técnicos: Secretaría General.
  • Delegado de Protección de Datos: garante del cumplimiento del RGPD.
  • Responsables de seguridad de la información.
  • Responsable de IA: la División de Innovación Tecnológica.

La política obliga a que cualquier sistema sea registrado, supervisado y documentado. Nada queda al margen del control procedimental.

Las reglas del juego: qué se puede hacer y qué no

El documento desarrolla más de diez políticas internas que condicionan la implantación de cualquier herramienta de IA. Algunas de las más relevantes:

Selección del tipo de solución

La AEPD distingue entre sistemas externos (como servicios SaaS), sistemas internos desplegados en su infraestructura y sistemas ad hoc entrenados específicamente. Cada uno tiene ventajas y riesgos distintos, y su elección dependerá del tipo de información manejada y de la criticidad del proceso.

Tratamiento de datos personales y confidenciales

Si hay datos personales, la preferencia será usar sistemas internos o ad hoc. Solo se permitirá un sistema externo si demuestra garantías equivalentes.

Diseño responsable de casos de uso

Toda salida generada por IA debe revisarse siempre por personas competentes. No se permite confiar en los modelos sin validación humana.

Disponibilidad, resiliencia y continuidad de servicio

La Agencia quiere evitar dependencias tecnológicas críticas y exige planes de contingencia y control de versiones.

Transparencia interna y trazabilidad

La IA debe ser visible para quien la utiliza: el usuario debe saber cuándo interactúa con un sistema generativo y bajo qué condiciones.

Explicabilidad

Los sistemas deben ofrecer información sobre sus fuentes, razonamientos y rendimiento cuando se utilicen como soporte a decisiones.

Prohibición de decisiones automatizadas con efectos jurídicos

La política es tajante: no habrá decisiones automatizadas que produzcan efectos jurídicos o afecten significativamente a las personas.

Formación obligatoria del personal

La AEPD exige a todos los usuarios formación continua en uso seguro de IA, identificación de sesgos, revisión de resultados y gestión de incidentes.

Política de uso para el personal

Se exige revisión humana, coherencia institucional y prohibición expresa de usar sistemas no autorizados.

Procedimientos: cómo se aprueba, despliega y supervisa la IA

Se detallan también los procedimientos internos para diseñar un caso de uso, aprobarlo, desplegarlo y revisarlo periódicamente.ç

El proceso incluye:

  1. Identificación de necesidades.
  2. Análisis de riesgos y pruebas de concepto.
  3. Validación jurídica y de protección de datos.
  4. Aprobación formal por Presidencia.
  5. Desarrollo técnico y plan de despliegue.
  6. Registro del sistema en el inventario de activos.
  7. Supervisión periódica y auditoría interna o externa.

La política dedica incluso un apartado específico a la gestión de incidentes y a cómo clasificarlos, con un protocolo diferenciado para casos leves y graves.

Un marco pionero con vocación evolutiva

El documento concluye recordando que se trata de una política viva, que deberá revisarse y actualizarse conforme evolucionen la tecnología, la normativa y las necesidades organizativas. Pero su ambición es clara: establecer un estándar público de referencia para el uso responsable de IA generativa en la administración.

Descarga de la guía.

Temas relacionados: Inteligencia artificial