- Autor: signature
- 08 Abr 2026
- 16
Imaginemos contestar el teléfono y escuchar lo siguiente: “Buenas tardes, le saluda Juan Pérez del Centro de Monitoreo de Transacciones del Banco X. El motivo de la llamada es que hemos detectado una actividad irregular en su tarjeta con terminación 6457 que requiere verificación. Para continuar, necesito confirmar algunos datos.
Sin duda, nuestra primera reacción sería de asombro. Tras dar la información solicitada y luego de que el operador nos comentara que la transacción correspondía a una compra por un valor de $1,275.00 en un reconocido establecimiento de tecnología de alta gama situado en la ciudad de Miami, el asombro se transformaría en una mezcla de pavor y enojo. Negaríamos categóricamente haber realizado esa compra y, probablemente, reprocharíamos al banco la falta de custodia sobre nuestros fondos.
El operador, con calma, nos informaría que la transacción ya fue bloqueada de forma preventiva y que ningún cargo se había aplicado.
Ya más tranquilo, solicitaríamos al operador revisar si ha habido otros intentos sospechosos y por precaución, bloquearíamos la tarjeta de inmediato.
Desde ese momento, la actitud del titular cambiaría por completo, agradeciendo la gestión y destacando la efectiva actuación del banco y su personal.
Pero lo que muchos no saben es que detrás de esa llamada no hay un ejército de auditores revisando cada transacción, sino Inteligencia Artificial, con modelos de aprendizaje automático que se reajustan continuamente y generan sus propios criterios de decisión a partir del comportamiento real del usuario. El sistema construye un perfil financiero que evoluciona con sus hábitos en tiempo real, asignando un puntaje de riesgo para detectar si un movimiento resulta sospechoso. Para ello evalúa al instante variables que un análisis manual no podría realizar en tiempo real, tales como si el lugar es donde acostumbra a comprar, si el monto corresponde a lo que normalmente gasta, si la transacción encaja con su historial, si el horario es el habitual o si el dispositivo es el mismo de siempre. Si los datos no cuadran, el algoritmo no espera una autorización humana sino que actúa de forma autónoma y ejecuta un bloqueo preventivo al detectar que la transacción no corresponde al comportamiento habitual.
En milisegundos, un sistema tomó decisiones sobre su dinero, su historial y su comportamiento. Esta vez actuó a su favor. ¿Quién le garantiza que siempre será así? La respuesta puede no ser tranquilizadora.
Porque ese mismo algoritmo que bloqueó el fraude ha aprendido mucho sobre usted en el proceso y seguirá aprendiendo. Sabe en qué supermercado compra, dónde carga combustible, cuándo paga el colegio de sus hijos. Con esos datos construye y actualiza permanentemente un perfil de sus hábitos y estilo de vida que se vuelve más detallado con cada transacción. ¿Lo usará el banco únicamente para protegerle? Probablemente sí. Pero ¿podría usarlo para otros fines? ¿Quién más tiene acceso a esa información? ¿Podría alguien acceder a ella de forma no autorizada? ¿Tendría forma de enterarse?
Ahí es donde la Inteligencia Artificial deja de ser simplemente su aliada y se convierte en algo más complejo.
Pero ¿qué es exactamente ese famoso algoritmo del que hablamos? El experto en inteligencia artificial Dave Bergman lo define así: “un algoritmo de aprendizaje automático es el procedimiento y la lógica matemática mediante los cuales una máquina -un sistema de inteligencia artificial- aprende a identificar patrones en datos de entrenamiento y aplica ese reconocimiento de patrones para hacer predicciones precisas sobre nuevos datos.” En pocas palabras, es un método que permite a una máquina aprender de la experiencia y usar ese aprendizaje para tomar decisiones, sin necesidad de intervención humana directa.
Y para aprender, necesita materia prima: datos. Miles de datos, millones, millardos. Datos de todo tipo, y muchos de ellos personales. La mayoría de los que alimentamos ese aprendizaje no siempre fuimos conscientes de ello.
El anterior es tan solo un ejemplo. Los algoritmos de aprendizaje automático forman ya parte de nuestras vidas, desde lo más cotidiano hasta lo más sensible. Nos recomiendan películas o series, qué ofertas nos pueden interesar, si el banco nos otorgará el crédito, si calificamos para un seguro de salud e incluso pueden influir en nuestras decisiones políticas. El derecho, como era de esperarse, no ha permanecido ajeno a ello.
Del algoritmo a la ley
¿Qué establecen las leyes de protección de datos sobre el uso de la inteligencia artificial? ¿Han actuado las autoridades de control al respecto? ¿Se han impuesto sanciones por decisiones automatizadas basadas en inteligencia artificial?
Nos enfocaremos para contestar estas preguntas en el marco europeo de protección de datos, ya que es el que con mayor rigurosidad ha abordado el tema.
La normativa europea ya contemplaba en la Directiva 95/46/CE disposiciones para evitar que una persona quedara sujeta a una decisión automatizada que pudiera afectarle de forma relevante sin intervención humana. El RGPD reforzó ese derecho incorporando el perfilado y permitiendo a las personas cuestionar la decisión automatizada, pudiendo exigir una explicación sobre los criterios usados. Sin embargo, tanto la Directiva como el Reglamento partían de un contexto tecnológico muy distinto al actual. Sus principios aplican a cualquier sistema que trate datos personales, independientemente de la tecnología. El problema es que varios de esos principios entran hoy en tensión con el funcionamiento de la IA: la licitud, cuando los datos se recolectan o reutilizan sin una base jurídica clara; la transparencia, frente a modelos opacos; la minimización, frente a la necesidad de grandes volúmenes de información; y la limitación de la finalidad, cuando se destinan a finalidades distintas a las originales.
Nadie anticipó la rapidez con la que estos mecanismos pasarían a integrarse en nuestras vidas, operando hoy a gran escala y, en muchos casos, sin que las personas siquiera lo advirtieran.
Para la persona afectada, ese derecho es en la práctica muy difícil de ejercer. Muchas veces no sabe siquiera que una decisión automatizada la afectó, y de intuirlo, desconoce cómo reclamar y ante quién. Por ello, las autoridades de control europeas no se han limitado a las denuncias recibidas; han actuado también de oficio, iniciando investigaciones que han derivado en procedimientos sancionatorios y concluido con sanciones millonarias.
De la teoría a la Acción
Este es el caso de OpenAI, proveedor del servicio ChatGPT. El 20 de marzo de 2023, usuarios reportaron que podían ver conversaciones ajenas en su historial. OpenAI confirmó que un fallo en una librería de código abierto permitió a usuarios activos acceder a chats de otros y, en el 1.2% de suscriptores de pago, a datos como nombre, correo, dirección de facturación y los últimos cuatro dígitos de su tarjeta. El servicio fue deshabilitado voluntariamente y de forma temporal hasta corregir el error.
El Garante italiano de protección de datos abrió una investigación y detectó que además de la brecha, OpenAI no notificó el incidente como lo exige el RGPD. Además, entrenó sus modelos con datos personales tomados masivamente de internet, sin una base legal clara, sin informar a los usuarios y sin mecanismos para verificar la edad. El servicio fue bloqueado en Italia durante casi un mes. En diciembre de 2024, el Garante impuso una multa de quince millones de euros y ordenó una campaña de comunicación de seis meses. OpenAI calificó la sanción de desproporcionada y la recurrió, sin que haya a la fecha resolución definitiva.
El caso, junto a otras resoluciones relevantes como las dictadas contra Clearview AI en varios países europeos, evidenció que las respuestas nacionales aisladas resultan insuficientes frente a plataformas que procesan datos de millones de personas en todo el mundo. Pero hay un riesgo adicional: cuando distintas autoridades actúan de forma independiente sobre un mismo hecho, las resoluciones pueden resultar contradictorias y las sanciones acumulativas, generando inseguridad jurídica para todos los actores.
Detrás de cada caso hay circunstancias distintas, pero el denominador común es claro: un marco jurídico desbordado por sistemas cuyo alcance nadie había imaginado y que necesitaba revisión.
A solicitud de la Agencia Española de Protección de Datos, el Comité Europeo creó en abril de 2023 un grupo de trabajo sobre ChatGPT para coordinar investigaciones en toda la Unión, cuyo mandato se amplió en febrero de 2025 a la inteligencia artificial en general.
Este mecanismo, si bien un paso importante, tenía una gran limitación. El grupo de trabajo podía coordinar e intercambiar información, pero no emitir decisiones obligatorias y vinculantes. Cada autoridad mantenía su autonomía y eso dejaba abierto el riesgo de resoluciones contradictorias.
El caso de Meta lo dejó en evidencia. Cuando la empresa anunció que usaría el interés legítimo como base para entrenar sus modelos con datos de Facebook e Instagram, ofreciendo a los usuarios la posibilidad de excluirse mediante opt-out, la autoridad irlandesa, actuando como autoridad líder bajo el mecanismo de ventanilla única del RGPD, no formuló objeciones inicialmente. Otras autoridades lo cuestionaron abiertamente y algunas optaron por pedir orientación al Comité Europeo. Una misma propuesta, interpretada de forma distinta según la autoridad.
Es así como la propia autoridad irlandesa decide solicitar al Comité Europeo una opinión de alcance general para intentar armonizar criterios. En diciembre de 2024, el Comité confirmó que el interés legítimo podía ser una base jurídica válida para el entrenamiento de modelos de IA, siempre que se superara un test de tres pasos (que exista un interés legítimo real, que el tratamiento sea necesario para alcanzarlo y que no prevalezcan los derechos de los titulares) y se garantizara a los afectados un derecho de exclusión incondicional.
En paralelo, la discusión dejó de ser solo jurídica y centrada en protección de datos, y pasó a ser también económica y estratégica. La Comisión Europea encargó a Mario Draghi, expresidente del Banco Central Europeo, un informe sobre el futuro de la competitividad del bloque. El documento, publicado en septiembre de 2024 bajo el título The Future of European Competitiveness, advertía que la fragmentación regulatoria en el ámbito digital era un freno estructural para la innovación y proponía simplificar el marco normativo en materia de inteligencia artificial.
La presión por parte de empresas tecnológicas de todos los tamaños es real. La incertidumbre jurídica y las diferencias de criterio entre países dificultaban desarrollar IA en Europa con la misma agilidad que en Estados Unidos o China. ¿Estaba el RGPD frenando la competitividad de Europa?
El Digital Omnibus: una reforma que no cierra debate
El 19 de noviembre de 2025, la Comisión Europea publicó el Digital Omnibus, una propuesta de reforma que plantea modificaciones al RGPD y a la Ley de Inteligencia Artificial.
Dos cambios merecen atención especial.
El primero: el interés legítimo quedaría reconocido de forma expresa en el texto normativo como base jurídica para entrenar modelos de IA. La Opinión 28/2024 del Comité Europeo ya lo había admitido, pero exigía demostrarlo caso por caso. Según un análisis de Bird & Bird publicado en el IAPP, esa expresión aparece dieciséis veces en el texto, mientras que términos como podría o puede se repiten ciento sesenta y una veces. Esa ambigüedad, según sus autores, podía llevar a interpretaciones distintas entre autoridades nacionales, sin descartarse que fuera deliberada por parte del propio Comité. Al elevarlo a norma expresa, el Digital Omnibus ofrece una vía jurídica más predecible y uniforme para todos los actores.
El segundo, quizás el más controvertido: la propuesta original de modificar el Artículo 4(1) del RGPD para redefinir el concepto de dato personal. Bajo el texto de la Comisión, una información no sería personal para una entidad si esta no tiene los medios razonablemente disponibles para identificar al titular, aunque otra entidad en la cadena de tratamiento sí pueda hacerlo. En la práctica, datos que hoy se consideran personales podrían dejar de serlo según quién los trate y lo que esa empresa declare sobre sus propias intenciones. Max Schrems, fundador de NOYB, lo resumió con una analogía contundente: “es como una ley de armas que solo aplica cuando el propietario confirma que es capaz de manejar un arma y tiene la intención de disparar a alguien”. El Comité Europeo e Protección de Datos y el Supervisor Europeo de Protección de Datos se opusieron a dicha modificación, advirtiendo que el cambio contradice la jurisprudencia del Tribunal de Justicia de la Unión Europea. El Consejo de la Unión Europea, en su borrador de compromiso del 20 de febrero de 2026, eliminó esta redefinición por completo. Pero el proceso legislativo no ha concluido y los intereses en juego son considerables. Nada está escrito.
El Digital Omnibus pone sobre la mesa una cuestión estructural. ¿Puede el marco europeo facilitar el desarrollo de la inteligencia artificial sin comprometer el nivel de protección de los derechos fundamentales?
Cambiar la definición de dato personal puede parecer tentador, pero ese concepto es la base del sistema. Si se relativiza según quién procese la información, la protección deja de ser un derecho universal y pasa a depender de lo que cada empresa declare sobre sus propias capacidades. El mismo dato podría estar protegido en manos de una empresa e ignorado en manos de otra, según lo que cada una afirme sobre sus intenciones o sus medios técnicos. El Comité Europeo y el Supervisor Europeo de Protección de Datos lo advirtieron con claridad: esa redefinición generaría más inseguridad que certeza. El problema no está en la definición sino en su aplicación desigual entre países y autoridades.
Lo mismo ocurre con el interés legítimo. Reconocerlo como base jurídica puede dar claridad, pero solo si se acompaña de salvaguardas reales y verificables. De lo contrario, cualquier empresa podría invocarlo para tratar datos más allá de los fines originales para los que fueron recogidos.
El vacío que no se nombra
Pero hay un problema que el Digital Omnibus no resuelve de fondo. Aunque amplía la ventanilla única al ámbito de las cookies y define autoridades para los sandboxes de la Ley de IA, no ofrece solución para las empresas que operan en Europa sin estar establecidas en ella. En esos casos, el mecanismo del artículo 56 del RGPD no se activa. El representante designado conforme al artículo 27 no equivale a establecimiento principal y cada autoridad nacional conserva competencia plena sobre los interesados en su territorio, con los riesgos de fragmentación y decisiones contradictorias que ya hemos visto.
Una posible vía de solución pasaría por introducir, mediante modificación del propio Reglamento, un mecanismo de designación de autoridad líder para responsables no establecidos en la Unión, sin necesidad de exigirles establecimiento físico como condición de acceso al mercado. A diferencia del artículo 56 actual, donde la autoridad líder se determina automáticamente por el lugar de establecimiento principal, este mecanismo podría operar con base en criterios claros y medibles como el volumen de interesados afectados, el impacto económico del tratamiento o la capacidad técnica de la autoridad competente, con el Comité Europeo como árbitro en caso de desacuerdo entre autoridades. Un modelo así permitiría supervisar de forma coherente sin necesidad de reformas estructurales al Reglamento.
Europa no necesita menos protección de datos para competir en inteligencia artificial. Necesita reglas más claras, coordinación institucional más robusta y exigencias técnicas más sofisticadas. Reducir el concepto de dato personal puede ofrecer un alivio regulatorio momentáneo frente a presiones que no son solo externas ni siempre confesables, pero erosionaría el activo más valioso del modelo europeo: su legitimidad normativa global. La tecnología avanzó más rápido que la ley, pero la respuesta no es que la ley retroceda, sino que evolucione con inteligencia.
La experiencia europea ofrece una lección que los países que hoy diseñan o reforman sus marcos de protección de datos no deberían desaprovechar. Europa construyó el sistema de protección de datos más robusto del mundo, y aun así la velocidad del cambio tecnológico lo puso a prueba de formas que resultaron difíciles de prever. Hoy quienes legislan cuentan con la experiencia acumulada de estos años: decisiones judiciales, actuaciones de autoridades de control y casos reales que evidenciaron dónde surgen las tensiones entre inteligencia artificial y derechos fundamentales. Esa experiencia permite anticipar tensiones que Europa solo pudo identificar después de enfrentarlas. El desafío ahora es diseñar marcos que integren desde el inicio las lecciones que su aplicación práctica dejó al descubierto.
