AEPD y sistemas de IA prohibidos: qué debes hacer ya

La conversación regulatoria sobre inteligencia artificial ha dejado de ser teórica. La Agencia Española de Protección de Datos (AEPD) ha aclarado que ya puede supervisar y actuar frente a tratamientos de datos personales realizados mediante sistemas de IA, incluido el uso de sistemas de IA prohibidos cuando afectan al derecho fundamental a la protección de datos. Esto sucede en paralelo al calendario de la Ley de IA de la UE (Reglamento 2024/1689), que activa distintos bloques de obligaciones entre 2025 y 2026.

Cronograma: qué aplica en 2025 y qué en 2026

La Ley de IA entró en vigor el 1 de agosto de 2024, con una aplicación escalonada:
2 de agosto de 2025: empezaron a aplicarse algunos bloques iniciales. entra en vigor el régimen supervisor y sancionador para prácticas prohibidas (art. 5).
2 de agosto de 2026: la normativa será plenamente aplicable para el resto de obligaciones (proveedores, desplegadores, transparencia, etc.).

Traducción operativa: 2025 es el año de cortar prácticas prohibidas y de preparar evidencia de cumplimiento; 2026 te exigirá tener maduro tu programa de gobernanza de IA.

Qué son los sistemas de IA prohibidos (art. 5 RIA)

El Reglamento de IA establece una lista de prácticas de alto daño social completamente vetadas en la Unión. Entre ellas destaca la identificación biométrica remota en tiempo real en espacios públicos con fines de aplicación de la ley (con excepciones tasadas), técnicas que manipulen subliminalmente a personas, explotación de vulnerabilidades de grupos específicos o sistemas de clasificación social.

Para las empresas, esto tiene dos derivadas inmediatas:

1. Si tu solución se acerca a alguno de esos supuestos (p. ej., análisis emocional en el trabajo o la escuela sin base médica o de seguridad), conviene replantear el diseño
2. Incluso fuera de la “zona prohibida”, el tratamiento con IA exige base jurídica, minimización, transparencia, EIPD cuando proceda y medidas de seguridad proporcionales.

Como referencia práctica sobre biometría, puedes consultar nuestros análisis sobre reconocimiento facial en gimnasios, el control horario con biometría en el sector laboral (registro biométrico y control horario y huella dactilar en el registro laboral), así como casos polémicos de captura del iris, como Worldcoin en España y el debate sobre el escaneo de iris y criptomonedas.

Qué ha recordado la AEPD y por qué te afecta

El 15 de julio de 2025, la AEPD publicó una nota recordando dos ideas clave. Primero, que el régimen supervisor y sancionador aplicable a los sistemas de IA prohibidos (art. 5 del RIA) empieza a operar en la UE a partir del 2 de agosto de 2025. Segundo, que aunque España no haya culminado aún su ley nacional de IA, la AEPD mantiene competencia plena en protección de datos: puede abrir actuaciones, inspeccionar y sancionar tratamientos de datos personales que utilicen IA, cuando vulneren el RGPD/LOPDGDD, incluso si se trata de prácticas recogidas como prohibidas por el propio Reglamento de IA.

Dicho de forma práctica: si tu organización procesa datos personales con algoritmos o modelos (internos o de terceros), la AEPD puede pedirte explicaciones hoy. Y si el uso encaja en un supuesto prohibido —por ejemplo, identificación biométrica remota en tiempo real en espacios públicos— la exposición a sanción se multiplica. Puedes revisar la nota oficial aquí: AEPD: “ya puede actuar ante sistemas de IA”.

Quién vigila en España: AEPD, AESIA y coordinación

En España se prevé que la AESIA (Agencia Española de Supervisión de la IA) asuma funciones de vigilancia de mercado del RIA, pero hasta que la ley nacional consolide este reparto, la AEPD conserva —y ejerce— su competencia en protección de datos. En la práctica, veremos coordinación: AESIA para vigilancia de producto/mercado del RIA y AEPD cuando haya tratamientos personales, con especial foco en biometría, menores, vigilancia, telecomunicaciones y administraciones públicas.

Qué puede exigir ya la AEPD bajo RGPD/LOPDGDD

Aunque tu uso de IA no sea “prohibido”, la AEPD puede solicitarte pruebas de cumplimiento RGPD en cualquier momento. Lo más habitual:

• Base jurídica y finalidad clara por tratamiento (consentimiento válido, interés legítimo ponderado, ejecución de contrato, etc.).
• Información y transparencia reforzada cuando existan decisiones automatizadas con efectos significativos; y canales activos para ejercer derechos.
• EIPD (DPIA) para tratamientos de alto riesgo (p. ej., biometría, monitorización sistemática, perfilado intensivo). Revisa nuestro paso a paso para realizar una evaluación de impacto de privacidad.
• Privacidad desde el diseño y por defecto, minimización y gobernanza del dataset de entrenamiento.
• Contratos y due diligence con proveedores de IA (incluida transferencia internacional).
• Seguridad alineada con el riesgo y, en el ámbito público/proveedores, con el ENS; aquí te explicamos cómo cumplir el ENS en empresas: ENS para empresas: cómo cumplirlo.

Multas y exposición al riesgo: cifras y escenarios

El AI Act prevé sanciones muy superiores a las del RGPD para infracciones relativas a prácticas prohibidas: hasta 35 millones de euros o el 7 % de la facturación anual mundial, lo que sea mayor. 

Para otras obligaciones, los topes descienden (por ejemplo, 15 millones o el 3 %). Esto implica que una mala decisión técnica (p. ej., activar reconocimiento facial en vivo en una tienda sin base legal ni garantías) puede convertirse en un riesgo existencial para una PYME o en un incidente reputacional/global para una gran empresa.

Casos prácticos que deberías revisar hoy

Antes de entrar al detalle, una recomendación: identifica cuál de tus casos de uso puede tener efectos significativos sobre personas (empleados, clientes, usuarios) y valida si cae en alto riesgo o roza la prohibición.

A partir de ahí, ejecuta EIPD, ajusta base jurídica y documenta la supervisión humana.

Biometría en accesos y control horario

Si utilizas huella, reconocimiento facial u otros rasgos biométricos para fichaje o acceso, debes justificar la base jurídica, realizar EIPD y aplicar medidas reforzadas. Evita cualquier identificación remota en tiempo real en espacios públicos: es terreno de prohibición. Para profundizar, revisa nuestros análisis sobre huella dactilar y RGPD y reconocimiento facial en gimnasios.

Scoring y perfiles de clientes

Modelos de propensión y riesgo pueden afectar significativamente a personas (p. ej., denegar un servicio). Revisa si hay decisiones automatizadas con efectos jurídicos y habilita intervención humana, explicaciones y mecanismos de reclamación.

IA generativa en marketing y atención al cliente

La transparencia y, en su caso, el etiquetado de contenidos generados por IA escalarán con el calendario del RIA. Planifica procedimientos y avisos para 2026, incluyendo marcas legibles por máquinas y avisos visibles para humanos.

Analítica de empleados y vigilancia digital

Monitorización intensiva o análisis emocional en el trabajo son áreas de alto riesgo y, en determinadas configuraciones, colindan con prácticas prohibidas. Requieren EIPD y salvaguardas estrictas, o su abandono si el diseño resulta incompatible. Si además empleas videovigilancia, te interesa repasar qué es legal y qué no en cámaras de videovigilancia y, fuera del centro de trabajo, las dashcams y su régimen sancionador: multas por la cámara del coche. Para comunicaciones internas, cuidado con la fricción en canales no formales: mira nuestro análisis de grupos de WhatsApp en el trabajo.

Documentación y evidencias que te pedirán antes que tarde

Lo no documentado no existe a ojos de la AEPD. La clave del cumplimiento es la accountability: poder acreditar qué hacemos, por qué es lícito y cómo lo controlamos. Por eso necesitamos evidencias audit-ready que muestren trazabilidad de modelos y datos (logs, versionado, lineage), EIPD con decisiones firmadas, transparencia efectiva y contratos que respalden el ciclo de vida de la IA. Con esta base, cualquier requerimiento se responde en horas y no en semanas, reduciendo riesgo regulatorio y operativo.

• Política de IA corporativa y estándares internos (clasificación de riesgos, roles, criterios de despliegue).
• Registros: tratamientos RGPD, inventario de IA, catálogos de datasets, logs de entrenamiento/inferencia, justificación de versiones.
• DPIA/EIPD con anexos técnicos (datasets, métricas de sesgo/robustez, pruebas de seguridad y rendimiento).
• Contratos y DPA con proveedores que toquen el ciclo de vida (entrenamiento, fine-tuning, hosting, inferencia).
• Procedimientos de derechos: acceso, rectificación, oposición, limitación y no ser objeto de decisiones automatizadas sin garantías.
• Plan de respuesta a incidentes de IA (daños, decisiones erróneas, fugas de datos, hallazgos de sesgo).

Errores habituales que vemos en empresas

1. Asumir que, si el proveedor “cumple RIA”, tú ya cumples. El desplegador tiene obligaciones propias.
2. Basarse en interés legítimo sin ponderación real ni medidas compensatorias.
3. Olvidar el ciclo de vida: el modelo cambia, tus riesgos también.
4. Infraestimar la biometría (foto ≠ consentimiento para reconocimiento).
5. Carecer de un responsable de IA y de métricas de cumplimiento.
6. No preparar un dossier listo para AEPD/AESIA: si te lo piden, es tarde para empezar.

Preguntas clave que conviene resolver internamente

• ¿Qué casos de uso tocan datos personales? ¿Podemos minimizar o anonimizar?
• ¿Hay alguna componente que encaje en prácticas prohibidas? Si sí, ¿cesamos el proyecto?
• ¿Cuál es la base jurídica de cada flujo de datos y cómo lo informamos a las personas?
• ¿Hemos realizado EIPD y documentado la supervisión humana?
• ¿Tenemos planes de contingencia para errores graves del modelo o sesgos detectados?
• ¿Cómo probamos a la AEPD que cumplimos hoy si nos lo pide? (registros, dossieres, contratos, logs).

Fuentes oficiales y dónde ampliar

• Nota oficial de la AEPD: “La AEPD recuerda que ya puede actuar ante sistemas de IA”.
• Texto del Reglamento (UE) 2024/1689 (Ley de IA) en EUR-Lex: Reglamento de Inteligencia Artificial.

IA prohibida: pasos finales

Cierra lo esencial y evita sustos: corta cualquier uso que roce la prohibición, documenta lo que mantienes (EIPD, transparencia, contratos) y asegúrate de tener trazabilidad (logs, versionado) lista para la AEPD. 

Si dudas con biometría o decisiones automatizadas, mejor parar y revisar antes de seguir. ¿Lo vemos juntos?