Agentes de IA y tratamiento de datos personales: las claves de la nueva Guía de la AEPD

La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha recientemente publicado un documento con lineamientos a considerar por todos aquellos responsables y encargados de tratamiento que utilicen agentes de IA para realizar cualquier tipo de tratamiento de datos personales.

En primer lugar, debemos contestar la siguiente pregunta ¿qué es un agente de IA? Según la Guía de la AEPD, es un sistema de inteligencia artificial que utiliza modelos de lenguaje (“LLMs”) para cumplir un objetivo, es decir, estos agentes actúan de manera adecuada según sus circunstancias y sus objetivos, son flexibles ante entornos y metas cambiantes, y aprenden de la experiencia y toma de decisiones.

En otras palabras, estos agentes no se tratan únicamente de sistemas que únicamente analizan información o generan respuestas, sino que pueden planificar, ejecutar acciones, interactuar con múltiples fuentes, almacenar memoria persistente y actuar con un grado significativo de autonomía operativa. En este contexto, el desafío está en asumir la importancia de que su implementación exige un uso consciente y una gobernanza clara en los procesos y en las políticas internas.

En razón de lo anterior, te dejamos algunos aspectos relevantes a considerar en caso de que uses o planees usar agentes de IA en tu tratamiento de datos:

• Calidad de los datos utilizados para el entrenamiento: En primer lugar, se debe configurar y alimentar el agente con información contextual de calidad, coherente y actualizada, especialmente en sus mecanismos de memoria y recuperación de contexto en vistas a que esto permita alcanzar los resultados más correctos posible. En caso contrario, la IA agentica podría comenzar con pequeños errores o alucinaciones que poco a poco comienzan a desviar el propósito de su uso causando así perjuicios para los responsables y encargados. 
• Protección desde el diseño y por defecto: En consideración al estado de la técnica, su coste, naturaleza, contexto, fines y riesgos existentes, el responsable deberá aplicar medidas técnicas y organizativas apropiadas tanto en el momento de determinar los medios del tratamiento como en el tratamiento propiamente tal. De esa forma, el agente de IA deberá estar diseñado de manera tal que únicamente utilice los datos estrictamente necesarios, los use exclusivamente para las finalidades para las cuales fueron recogidas y proteja esta información durante todo su ciclo de vida. Además, se deberá definir el nivel de autonomía de cada agente en sus labores con el entorno.
• Control de la memoria y autonomía: La memoria del agente permite acumular información sobre el contexto, aprender patrones y con ello realizar un trabajo autónomo con el tiempo que tendrá resultados acorde a la información recopilada. De esa forma, se hace necesario implementar medidas y políticas que permitan evitar el almacenamiento excesivo de datos innecesarios.
• Revisión de externos con los que se relaciona: En el uso del agente de IA intervienen habitualmente más actores externos tales como proveedores de modelos, APIs de terceros, servicios cloud, entre otros. En razón de ello, el responsable debe evaluar el funcionamiento del agente de IA, los proveedores que utiliza y las medidas técnicas y organizativas determinadas con la finalidad de disminuir los riesgos.
• Evaluación de riesgos y gobernanza del tratamiento: La incorporación de agentes de IA puede alterar el contexto, fines, medios y riesgos del tratamiento, por lo que debe revisarse la determinación de responsabilidades (responsable/encargado), la base de legitimación, el Registro de Actividades de Tratamiento (RAT) y, cuando corresponda, realizar una Evaluación de Impacto (EIPD), especialmente si existen decisiones automatizadas en los términos del artículo 22 del RGPD. Asimismo, debe integrarse dentro de la gobernanza interna y bajo supervisión del DPO, evitando despliegues no controlados (“BYOAgentic”).

Para más información, te recomendamos revisar el documento en el siguiente aquí.