Interés legítimo e IA: recomendaciones de la CNIL

La Commission Nationale de l’Informatique et des Libertés (CNIL) publicó el 19 de junio de 2025 los resultados de la consulta pública lanzada el año pasado, con una serie de recomendaciones sobre el uso del interés legítimo como base legal para el desarrollo de sistemas de IA.

Estas recomendaciones se suman a la serie de fichas prácticas que la CNIL viene publicando desde 2023 para clarificar la aplicación del Reglamento General de Protección de Datos (RGPD) en el ámbito de la IA.

El interés legítimo como base jurídica: condiciones y garantías

La CNIL reconoce que el interés legítimo puede ser una base legal válida para el desarrollo de sistemas de IA, siempre que se implementen garantías sólidas y se respeten los derechos fundamentales de los interesados. En línea con la Opinión 28/2024 del Comité Europeo de Protección de Datos (puede consultarse aquí nuestra publicación al respecto), la CNIL subraya que no existe una jerarquía entre las bases legales previstas en el RGPD, y que el interés legítimo puede ser utilizado siempre que se cumplan tres condiciones cumulativas:

1. Identificación clara del interés legítimo perseguido por el responsable o un tercero, que debe ser lícito, real y presente, y no meramente especulativo.
2. Necesidad del tratamiento para la consecución de ese interés, evaluando si no existe una alternativa menos intrusiva.
3. Equilibrio entre el interés legítimo y los derechos y libertades de los interesados, teniendo en cuenta los riesgos para los derechos fundamentales y las expectativas razonables de los afectados.

La CNIL proporciona ejemplos concretos de tratamientos que pueden basarse en el interés legítimo, como la reutilización de futuras conversaciones de usuarios de un agente conversacional para mejorar el modelo de IA, siempre que se adopten garantías adicionales: información clara a los usuarios, derecho de oposición, y limitación del tratamiento a datos pseudonimizados o anonimizados.

Un punto importante, es el relativo a la aplicación del Reglamento de Mercados Digitales (DMA, por sus siglas en inglés, que hemos analizado en diversas entradas; por ejemplo, en esta). En este sentido, si bien cabe la aplicación del interés legítimo para el desarrollo del modelo, la DMA puede requerir que los designados como Gatekeepers deban obtener el consentimiento de los usuarios (vid. artículo 5.2 DMA).

Garantías y medidas recomendadas por la CNIL

Para que el interés legítimo sea una base legal válida en el desarrollo de IA, la CNIL recomienda la adopción de una serie de garantías y medidas, entre las que destacan:

• Exclusión de ciertos datos de la recogida, especialmente datos sensibles o de menores, y respeto a las señales técnicas de oposición al scraping (robots.txt, ai.txt).
• Transparencia reforzada, informando de manera clara y accesible a los interesados sobre la recogida y uso de sus datos, y facilitando el ejercicio de sus derechos.
• Facilitación del derecho de oposición, incluyendo la posibilidad de establecer mecanismos técnicos (listas de exclusión, opt-out) que permitan a los usuarios o sitios web oponerse al tratamiento de sus datos.
• Minimización y anonimización de los datos, aplicando técnicas de pseudonimización, anonimización o uso de datos sintéticos cuando sea posible.
• Evaluación de impacto y documentación, incluyendo la realización de análisis de riesgos y la documentación de las medidas técnicas y organizativas adoptadas.

La CNIL insiste en que la pertinencia y obligatoriedad de estas medidas debe evaluarse caso por caso, en función de la naturaleza del tratamiento y los riesgos identificados.

El moissonnage (web scraping) y el interés legítimo

Uno de los puntos más relevantes de las recomendaciones de la CNIL es la clarificación sobre el uso del interés legítimo como base legal para el moissonnage de datos accesibles en línea, práctica fundamental para el entrenamiento de modelos de IA. La CNIL considera que no todas las prácticas de moissonnage son ilícitas per se, pero su licitud dependerá de un análisis individualizado, teniendo en cuenta:

• Si la recogida de datos entra dentro de las expectativas razonables de los interesados.
• Si se excluyen de la recogida los sitios que expresamente se oponen al scraping.
• Si se limita la recogida a datos libremente accesibles, es decir, aquellos que no requieren autenticación o registro.
• Si se adoptan medidas para evitar la recogida de datos sensibles o de categorías especiales.

La CNIL recomienda, además, que los desarrolladores de IA colaboren en la creación de estándares técnicos que permitan a los titulares de derechos oponerse de manera efectiva al uso de sus datos para el entrenamiento de IA.

Conclusión

La publicación de estas recomendaciones por parte de la CNIL supone un avance significativo en la clarificación del marco jurídico aplicable al desarrollo de sistemas de IA en Europa. Al reconocer el interés legítimo como base legal válida, siempre que se implementen garantías adecuadas, la CNIL contribuye a fomentar la innovación en IA buscando un equilibrio con los derechos fundamentales de los ciudadanos.