La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha difundido un anexo de implementación de su Política General para el uso de herramientas de inteligencia artificial generativa (en adelante, “IAG”) en el desarrollo de sus procesos administrativos. Este documento, fechado el 11 de diciembre de 2025, concreta cómo se llevará a la práctica la política general previamente publicada, detallando los casos de uso, los riesgos asociados y las medidas de control necesarias para garantizar la protección de datos personales, la seguridad de la información y la transparencia institucional.
Se trata de un Anexo que delimita el ámbito de aplicación de la IAG en la AEPD, circunscribiéndolo a procesos internos y distinguiendo tres tipologías de sistemas: sistemas externos (servicios de terceros en la nube), sistemas internos (modelos desplegados en infraestructura bajo control de la Agencia) y sistemas ad-hoc (soluciones desarrolladas o afinadas específicamente para su entorno). Esta clasificación permite evaluar el impacto y el nivel de riesgo de cada uso.
En él, se detallan los objetivos perseguidos con la implantación de la IAG, entre los que se encuentran la mejora de la eficiencia organizativa, la automatización de tareas de bajo valor añadido, el refuerzo de la trazabilidad de los procesos y la incorporación sistemática de criterios de protección de datos y seguridad de la información desde el diseño.
En cuanto a los usos previstos, la AEPD identifica, entre otros, la aplicación de la IAG para resumir y estructurar documentos públicos, traducir documentación institucional, apoyar la creación de materiales divulgativos, analizar fuentes jurídicas públicas para elaborar marcos argumentales o estudios comparados, clasificar y resumir denuncias y consultas, y automatizar el seguimiento de indicadores estratégicos. Todos estos usos quedan condicionados a la exclusión de datos personales cuando se utilicen sistemas externos, a la anonimización previa cuando sea necesario y, en todo caso, a la revisión y control humano sin generación de decisiones automatizadas vinculantes .
El anexo destaca los siguientes puntos:
- La AEPD clasifica los sistemas de IAG en externos, internos y ad-hoc, con distintos niveles de riesgo y control.
- Se identifican de forma sistemática amenazas técnicas, organizativas y de protección de datos, especialmente en relación con fugas de información, sesgos, falta de trazabilidad e inyección de prompts.
- Se establecen obligaciones de revisión editorial, supervisión humana, anonimización y trazabilidad en todos los casos de uso con impacto jurídico o tratamiento de datos personales.
- Se prevé un plan de despliegue por fases que incluye evaluación previa, formación del personal, pruebas piloto, auditorías periódicas y mejora continua.
- El uso de IAG se concibe como herramienta de apoyo y nunca como sustituto de la valoración profesional ni de la decisión administrativa.
Con este anexo, la AEPD refuerza el enfoque de responsabilidad proactiva y puede servir de referencia para otras administraciones públicas que estén valorando la incorporación de la IAG en sus procesos internos.
