Gestión de riesgos en sistemas de IA: Directrices del SEPD

2025-11-21T12:06:00
Unión Europea
Nuevas directrices del SEPD sobre la gestión de riesgos en los sistemas de inteligencia artificial que procesan datos personales
Gestión de riesgos en sistemas de IA: Directrices del SEPD
21 de noviembre de 2025

El 11 de noviembre de 2025, el Supervisor Europeo de Protección de Datos (“SEPD”) publicó el documento “Guidance for Risk Management of Artificial Intelligence systems” (las “Directrices”), el cual se centra en la gestión de los riesgos para la protección de datos personales a lo largo del ciclo de vida de los sistemas de inteligencia artificial (“IA”) utilizados por las instituciones, los órganos y los organismos de la UE (las “Instituciones de la UE”) en virtud del Reglamento (UE) 2018/1725, de 23 de octubre de 2018 (“EUDPR”).

Aunque las Directrices están destinadas principalmente a las Instituciones de la UE, también proporcionan una serie de recomendaciones técnicas y prácticas de gran valor para las empresas que desarrollan, implementan o gestionan inteligencia artificial. Estas Directrices resultan especialmente útiles para aquellas organizaciones que buscan armonizar la gobernanza de la IA, la protección de datos y los requisitos establecidos en el Reglamento sobre IA.

De la ISO 31000:2018 a la práctica: un marco técnico para el cumplimiento de la IA

El SEPD adopta la metodología y la arquitectura de la norma ISO 31000:2018 para la gestión de riesgos (identificar, analizar, evaluar y tratar), vinculándola con las obligaciones de responsabilidad proactiva (accountability) del EUDPR.

Las Directrices abarcan todas las etapas del ciclo de vida de la IA, desde la adquisición o la preparación de los datos hasta su retirada, e identifica en cada una los riesgos más probables y los correspondientes controles técnicos. Con este fin, el SEPD traduce los principios de protección de datos (el qué) en controles técnicos concretos (el cómo), estructurados en los siguientes ejes, que deben guiar la evaluación del riesgo:

  • Principio de lealtad (fairness): identificar, medir y mitigar los sesgos derivados de la mala calidad o representatividad de los datos, el sesgo de datos de entrenamiento, el sesgo algorítmico y el sesgo de interpretación, con auditorías y uso de métricas de equidad y pruebas con casos límite.
  • Principio de exactitud: garantizar la exactitud de los datos y validar la exactitud estadística del modelo; prevenir la deriva de datos y las salidas incorrectas (incluidas las “alucinaciones”).
  • Principio de minimización de datos: tratar únicamente datos adecuados, pertinentes y limitados a lo necesario; evitar la recogida o el almacenamiento indiscriminados; justificar cada categoría tratada y, cuando sea posible, utilizar un muestreo representativo y la anonimización o la pseudonimización (y datos sintéticos con precauciones).
  • Principio de seguridad: evitar filtraciones de datos (incluida la memorización o reproducción del modelo), la exposición a través de interfaces de programación de aplicaciones (“API”) y las vulneraciones del almacenamiento; aplicar cifrado, control de acceso, supervisión y medidas específicas para la IA (p. ej., privacidad diferencial y filtros de salida).

En la misma sección dedicada a los riesgos asociados a los principios de protección de datos, destaca uno de los mayores retos para los responsables del tratamiento de datos: el ejercicio de los derechos de los titulares. La búsqueda, el acceso, la rectificación y el borrado de los datos incorporados en los modelos, en particular en la web profunda y los large language models (LLM), son técnicamente complejos. El SEPD propone mecanismos operativos para el acceso, la rectificación y el borrado, incluidas estrategias de identificación de datos y herramientas de mantenimiento y recuperación de metadatos, así como técnicas de desaprendizaje automático cuando sea posible.

Sin interpretabilidad y explicabilidad no hay rendición de cuentas ni verdadera transparencia para los titulares

Las Directrices establecen la interpretabilidad y la explicabilidad como condiciones sine qua non de cumplimiento, identifican el riesgo específico de los sistemas “no interpretables o inexplicables” y proponen medidas de mitigación: documentación técnica apropiada, técnicas de IA explicables (“XAI”), como LIME y SHAP, y análisis estadístico de los productos. Estas medidas se pueden aplicar en diferentes fases del ciclo de vida de los sistemas, como la selección y la provisión, la verificación y la validación, la operación y el seguimiento, la validación continua y la reevaluación.

A efectos de las Directrices, estos conceptos se entienden de la siguiente manera:

  • Interpretabilidad: la capacidad de comprender la lógica del modelo y los factores que determinan las salidas (outputs) de los datos de entrada (inputs).
  • Explicabilidad: la capacidad de notificar los motivos de los resultados a los usuarios finales de forma significativa.

En cuanto al contexto, la interpretabilidad y la explicabilidad apoyan el cumplimiento, pero no sustituyen las obligaciones de transparencia para con los titulares; por tanto, incluso con explicaciones técnicas del modelo, es importante proporcionar información comprensible sobre lo que se hace con los datos y por qué.

Contratación de IA

En lo que se refiere a la contratación de IA, las Directrices del SEPD aumentan el nivel de diligencia debida exigido a los proveedores. Es esencial solicitar lo siguiente: (i) documentación técnica y de gobernanza de los datos (arquitectura o modelo, origen y calidad de los datos, limitaciones y parámetros probados), (ii) métricas de rendimiento, (iii) controles de seguridad y API, y (iv) requisitos de XAI que mitiguen la opacidad del modelo (caja negra) (p. ej., LIME o SHAP), acompañados de apoyo estadístico para las salidas. En la práctica, esto debería reflejarse en el pliego de condiciones, los criterios de adjudicación y las cláusulas contractuales, así como en las pruebas de aceptación antes del paso a la producción de un sistema de IA.

De la urgencia a la práctica: por qué la adopción metodológica ya no es “opcional”

1.   Ejecución operativa

Las Directrices del SEPD materializan la responsabilidad del responsable del tratamiento en la realización de tareas y procedimientos operativos claros, así como en la definición de funciones, pruebas documentales, procedimientos de evaluación y tratamiento de riesgos ajustados a la norma ISO 31000:2018 y ciclos de reevaluación proporcionales al riesgo.  Este enfoque permite a los equipos aplicar la interpretabilidad y la explicabilidad, los principios de protección de datos y los derechos de los interesados, así como realizar evaluaciones de impacto sobre la protección de datos y la consulta previa, cuando proceda, cumpliendo de forma sistemática y auditable las obligaciones de rendición de cuentas.

2.   Cumplimiento consolidado (RGPD, EUDPR y Reglamento sobre IA)

La aplicación de esta estructura mejora el cumplimiento del EUDPR y, por analogía, del RGPD y prepara sistemáticamente a las organizaciones para los requisitos del Reglamento sobre IA sin sustituirlos. Se trata de un ajuste preparatorio sólido y coherente con los requisitos de gestión de riesgos.

3.   Pruebas

Estar alineado proactivamente con las Directrices del SEPD constituye diligencia debida (due diligence) y demuestra una elevada gobernanza corporativa, lo que refuerza la confianza de las partes interesadas.

Conclusión

Las Directrices del SEPD constituyen un marco operativo esencial para cualquier entidad que desee desarrollar y aplicar sistemas de IA en la UE, ya que garantizan la debida protección de derechos y libertades fundamentales y preparan, de manera concreta y auditable, la gestión de riesgos exigida por el ecosistema regulador de la UE.

21 de noviembre de 2025

Actualidad

Ver más

Recibe en tu email el contenido jurídico que te interesa

Personaliza tus intereses y accede a un mundo de conocimiento jurídico:

Escoge tus intereses