La incorporación de sistemas de inteligencia artificial (IA) en procesos de atención al cliente y marketing ha transformado por completo la forma en que las empresas gestionan sus comunicaciones. Sin embargo, esta automatización plantea una cuestión relevante desde el punto de vista jurídico: ¿puede exigirse a un sistema de IA que entienda y ejecute los derechos de protección de datos ejercidos por los usuarios?
La Agencia Española de Protección de Datos (AEPD) ha abordado recientemente este dilema en un caso que ilustra los retos de la IA en la gestión de derechos como la oposición al tratamiento o la revocación del consentimiento. Analizamos los aspectos legales y técnicos que se derivan de este criterio, a la luz del Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y el Reglamento de Inteligencia Artificial de la UE (Reglamento [UE] 2024/1183, en adelante, RIA).
El caso analizado por la AEPD: IA, comunicaciones comerciales y derechos del interesado
En el supuesto concreto, una empresa utilizó un sistema automatizado de IA, un chatbot, para enviar comunicaciones comerciales a través de una app de mensajería. La persona afectada respondió ejerciendo su derecho de oposición, alegando no haber prestado consentimiento y estar inscrita en la Lista Robinson [1]. Sin embargo, el sistema no comprendió sus mensajes, ya que estaba programado para interpretar únicamente la palabra “BAJA” como fórmula válida de oposición.
Pese a ello, la AEPD no impuso sanción. Consideró que:
Existía un procedimiento claro y gratuito para ejercitar el derecho (respuesta con la palabra “BAJA”).
El sistema de IA no puede estar obligado a interpretar todas las posibles variantes lingüísticas del usuario.
Se ofrecían otros canales para el ejercicio de derechos, con atención humana (correo electrónico, web).
Esta resolución plantea un debate de fondo: ¿debe la IA ser capaz de entender el lenguaje natural cuando lo que está en juego es el ejercicio de un derecho fundamental?
Marco jurídico: protección de datos y sistemas automatizados
Derechos de los interesados y obligaciones del responsable
El artículo 21 del Reglamento General de Protección de Datos (Reglamento [UE] 2016/679) reconoce expresamente el derecho de oposición a recibir comunicaciones con fines de mercadotecnia directa. Este derecho puede ejercerse “en cualquier momento” y de forma gratuita.
Por su parte, el artículo 23 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, establece que los responsables deben facilitar el ejercicio de derechos mediante medios sencillos y accesibles.
En consecuencia, si bien puede establecerse un procedimiento estructurado para ejercer estos derechos (por ejemplo, la palabra “BAJA”), dicho procedimiento no puede erigirse en una condición restrictiva o excluyente.
¿Puede un chatbot ser el único canal habilitado?
No. El principio de facilitación del ejercicio de derechos obliga a los responsables del tratamiento a prever canales alternativos. Así lo ha interpretado la jurisprudencia y la propia AEPD: no basta con ofrecer un canal automatizado si este puede no ser comprensible o accesible para todos los usuarios (Res. AEPD PS/00120/2021).
La AEPD destaca en su informe que el sistema en cuestión no era el único canal, y que existían medios humanos de contacto. Este factor fue clave para descartar la infracción.
IA y derechos fundamentales: entre lo deseable y lo exigible
¿Debe la IA comprender el lenguaje natural?
Desde un punto de vista técnico, no todas las IA están preparadas para entender lenguaje no estructurado. Sin embargo, en contextos como el ejercicio de derechos fundamentales, la interpretación excesivamente formalista de las expresiones del usuario puede resultar contraria al espíritu del RGPD.
El Considerando 59 del RGPD subraya que los procedimientos deben permitir al interesado ejercer sus derechos de forma sencilla, incluso a través de medios electrónicos. Exigir un término exacto (como “BAJA”) podría considerarse un formalismo desproporcionado, si no existen alternativas adecuadas.
¿Qué dice el Reglamento de IA?
Artículo 50 RIA: Obliga a informar claramente a las personas cuando interactúan con un sistema de IA.
Artículo 9 RIA: Las IA utilizadas en servicios que puedan afectar a derechos fundamentales deben estar diseñadas con garantías adecuadas de supervisión humana y mecanismos de reclamación efectivos.
Aunque estos artículos aún no están en vigor, la AEPD recomienda anticiparse a su cumplimiento, especialmente cuando se usan sistemas de IA con impacto en la privacidad.
Interpretación razonable vs. diseño limitado: el criterio de la AEPD
La Agencia se pronuncia con una lógica práctica: no puede exigirse a la IA que comprenda cualquier formulación lingüística, pero sí puede y debe exigirse a la empresa responsable que:
Informe correctamente de la existencia de IA en la interacción.
No limite el ejercicio de derechos a un canal automatizado mal entrenado.
Proporcione canales alternativos accesibles con atención humana.
Asegure una supervisión periódica del funcionamiento del sistema para evitar bloqueos o malentendidos.
Este enfoque evita trasladar al sistema de IA una responsabilidad que sigue siendo del responsable del tratamiento, conforme al principio de responsabilidad proactiva (art. 24 RGPD). Y ESTO ES LA CLAVE.
En definitiva
La cuestión de si un sistema de inteligencia artificial debe entender el ejercicio de un derecho de protección de datos no puede responderse en términos absolutos. Lo relevante es que la empresa, como responsable del tratamiento, diseñe sus sistemas y procedimientos respetando los principios del RGPD y anticipándose al nuevo marco regulatorio europeo de IA.
Los derechos de los interesados no pueden quedar bloqueados por un chatbot mal entrenado o una interfaz rígida. Si la tecnología no es capaz de entender el lenguaje natural, la empresa debe prever medios humanos y accesibles para garantizar el cumplimiento normativo.
En un entorno digital cada vez más automatizado, los derechos fundamentales no pueden depender de que un chatbot entienda o no una expresión. Desde Raia, podemos asesorarte en protección de datos, inteligencia artificial y derecho digital, tanto a empresas tecnológicas y startups para que sus sistemas cumplan con las normativas más exigentes, sin perder eficacia operativa, como a consumidores.
¿Tu empresa usa IA para comunicarte con tus clientes? Asegúrate de que el cumplimiento normativo no sea una línea de código mal interpretada.
[1] La Lista Robinson es un fichero de exclusión publicitaria gestionado por la Asociación Española de Economía Digital (Adigital), conforme al artículo 23.4 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. Permite a los ciudadanos oponerse al uso de sus datos con fines comerciales por parte de entidades con las que no mantienen una relación contractual previa. Las empresas que realicen tratamientos basados en el interés legítimo están obligadas a consultarla antes de remitir publicidad, salvo que cuenten con consentimiento expreso del destinatario. Más información en: www.listarobinson.es.
