Retos jurídicos del tratamiento de los datos (personales y no personales) a través de sistemas de Inteligencia Artificial en el Derecho de la Unión Europea
Barra lateral del artículo
Detalles del artículo
Esta obra está bajo una licencia internacional Creative Commons Atribución 4.0.
La publicación se distribuye bajo la licencia Creative Commons Attribution-4.0 International (CC BY- 4.0). Los derechos de los trabajos publicados en esta revista son propiedad del autor y son libres de distribuir y difundir las mismas fuentes siempre que cite correctamente la fuente de publicación.
Contenido principal del artículo
Resumen
El Reglamento (UE) 2024/1689 de la Unión Europea (el Artificial Intelligence Act “AI Act” en el acrónimo inglés) y otras fuentes destacan la importancia de los datos para los sistemas de inteligencia artificial (“IA”): de hecho, la IA funciona con datos personales y no personales en la entrada y, por otro lado, produce datos en la salida. El objetivo de este artículo es identificar los principales problemas jurídicos derivados del uso de datos personales y no personales por parte de los sistemas de IA en el marco de la legislación de la Unión Europea. En el caso de los datos personales, el AI Act establece la obligación de cumplir con el Reglamento General de Protección de Datos (GDPR) y otras normativas europeas. Respecto a los datos no personales, el AI Act reconoce intereses legales relacionados con la propiedad intelectual, los secretos comerciales, la seguridad pública y la confidencialidad. Sin embargo, el uso masivo de datos en la IA puede dificultar los principios del GDPR (como la minimización o el consentimiento) y la tutela de los demás intereses. Desde el punto de vista ético-jurídico, el tratamiento de datos por las tecnologías plantea muchas cuestiones que solo parcialmente se pueden solucionar con normas específicas como el AI Act, el GDPR y otras normativas, que tienen enfoques y objetivos distintos. Se deben identificar principios y reglas comunes, como la responsabilidad y la ética por diseño, que pueden generar sinergias e impulsar soluciones más eficientes y sostenibles.
Citas
Artzt, M., & Viet Dung, T. (2022). Artificial Intelligence and data protection: how to reconcile both areas from the european law perspective. Vietnamese Journal of Legal Sciences, 7(2), 39–58. https://doi.org/10.2478/vjls-2022-0007
Benlloch Domènech, C., & Sarrión Esteve, J. (2022). Los derechos fundamentales ante las aporías de la era digital. Cuestiones constitucionales. Revista Mexicana de Derecho Constitucional, (46), 3–28. https://doi.org/10.22201/iij.24484881e.2022.46.17046
Burzagli, L., Cornejo-Plaza, M. I., Colcelli, V., & Cippitani, R. (2025). Uso de sistemas de Inteligencia Artificial generativa en la educación: evaluación éticojurídica de una aplicación concreta. Revista de Educación y Derecho, (32). https://doi.org/10.1344/REYD2025.32.51543
Busch, F., Kather, J. N., Johner, C., Moser, M., Truhn, D., Adams, L. C., & Bressem, K. K. (2024). Navigating the European Union Artificial Intelligence Act for Healthcare. Npj Digital Medicine,7(1). https://doi.org/10.1038/s41746-024-01213-6
Buttarelli, G. (2016, 8 de noviembre). A smart approach: counteract the bias in artificial intelligence. European Data Protection Supervisor (EDPS). https://www.edps.europa.eu/press-publications/press-news/blog/smart-approach-counteract-biasartificial-intelligence_en Butterworth, M. (2018). The ICO and artificial intelligence: The role of fairness in the GDPR framework. Computer Law and Security Review, 34(2), 257–268. https://doi.org/10.1016/j.clsr.2018.01.004
Bygrave, L. (2014). Data privacy law: An international perspective. Oxford University Press.
Cippitani, R. (Ed.). (2012). El Derecho privado de la Unión Europea desde la perspectiva de la sociedad del conocimiento. ISEG.
Cippitani, R. (2018). Genetic research and exceptions to the protection of personal data. En R. Arnold, R. Cippitani, & V. Colcelli (Eds.), Genetic information and individual rights (pp. 54–79). Universität Regensburg. https://doi.org/10.5283/epub.36785
Cippitani, R. (2023b). La noción de “seguridad” en el Derecho de la Unión Europea. Criminogenesis, 163–181.
Cippitani, R., & Castrogiovanni, L. (2023). ChatGpt a la prueba del derecho de la Unión Europea: protección de datos personales y otras cuestiones ético-jurídicas. En M. I. Cornejo Plaza & E. Isler Soto (Eds.), Temas actuales sobre consumo, inteligencia artificial, plataformas digitales y neuroderechos. Rubicón Editores.
Colcelli, V., Cippitani, R., Brochhausen-Delius, C., & Arnold, R. (Eds.). (2023). GDPR requirements for biobanking activities across Europe. Springer. https://doi.org/10.1007/978-3-031-42944-6
Cornejo-Plaza, M. I. (2021). Neuroderecho(s): propuesta normativa de protección al uso inadecuado de neurotecnologías disruptivas. Revista Jurisprudencia Argentina, XXIII (número especial de Bioética), 49–62.
Cornejo-Plaza, M. I., & Cippitani, R. (2023). Consideraciones éticas y jurídicas de la IA en Educación Superior: Desafíos y perspectivas. Revista de Educación y Derecho (Education and Law Review), (28). https://doi.org/10.1344/REYD2023.28.43935
Cornejo-Plaza, M. I., Cippitani, R., & Pasquino, V. (2024). Chilean Supreme Court ruling on the protection of brain activity: Neurorights, personal data protection, and neurodata. Frontiers in Psychology, 15. https://doi.org/10.3389/fpsyg.2024.1330439
Finck, M., & Biega, A. J. (2021). Reviving purpose limitation and data minimisation in personalisation, profiling and decision-making systems. SSRN Electronic Journal. https://doi.org/10.2139/ssrn.3749078
Fosch Villaronga, E., Kieseberg, P., & Tiffany, L. (2018). Humans forget, machines remember: Artificial intelligence and the Right to Be Forgotten. Computer Law and Security Review, 34(2), 304–313.
Irion, K. (2016). A Special Regard: The Court of Justice and the fundamental rights to privacy and data protection. En Gesellschaftliche Bewegungen - Recht unter Beobachtung und in Aktion: Festschrift für Wolfhard Kohte (pp. 873–890). Nomos.
Ishii, K. (2019). Comparative legal study on privacy and personal data protection for robots equipped with artificial intelligence: looking at functional and technological aspects. AI & Society, 34, 509–533. https://doi.org/10.1007/s00146-017-0758-8
Kamarinou, D., Millard, C., & Singh, J. (2016). Machine learning with personal data. Queen Mary School of Law Legal Studies Research Paper No. 247/2016. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2865811
Mantelero, A. (2014). The future of consumer data protection in the EU Re-thinking the «notice and consent» paradigm in the new era of predictive analytics. Computer Law & Security Review, 30(6), 643–660.
Martínez, R. (2019). Inteligencia artificial desde el diseño. Retos y estrategias para el cumplimiento normativo. Revista Catalana de Dret Públic, (58), 64–81. https://dialnet.unirioja.es/servlet/articulo?codigo=7005057&orden=0&info=link
Mayta-Tovalino, F., Rospigliosi-Lazo, A. C., Arana-Torres, E., & Tello-Sifuentes, S. (2024). Análisis cienciométrico sobre el uso de ChatGPT, inteligencia artificial o agente conversacional inteligente en la función de formación médica. Educación Médica, 25(2), 100873.
Mitrou, L. (2018). Data Protection, Artificial Intelligence and Cognitive Services: Is the General Data Protection Regulation (GDPR) ‘Artificial Intelligence-Proof’? (SSRN Abstract No. 3386914). https://ssrn.com/abstract=3386914
Mökander, J. (2023). Auditing of AI: Legal, Ethical and Technical Approaches. Digital Society, 2(49). https://doi.org/10.1007/s44206-023-00074-y
Novelli, C., Casolari, F., Hacker, P., Spedicato, G., & Floridi, L. (2024). Generative AI in EU law: Liability, privacy, intellectual property, and cybersecurity. Computer Law & Security Review, 106066. https://doi.org/10.1016/j.clsr.2024.106066
Reed, C. (2018). How Should We Regulate Artificial Intelligence? Philosophical Transactions of the Royal Society A: Mathematical, Physical and Engineering Sciences, 376(2128). https://doi.org/10.1098/rsta.2017.0360
Ruschemeier, H. (2025). Generative AI and data protection. Cambridge Forum on AI: Law and Governance, 1(e6), 1–16. https://doi.org/10.1017/cfl.2024.2
Sacramed, M. T. (2024). Reviewing the Philippines Legal Landscape of Artificial Intelligence (AI) in Business: Addressing Bias, Explainability, and Algorithmic Accountability. International Journal of Research and Innovation in Social Science, 8(5), 2506. https://doi.org/10.47772/ijriss.2024.805181
Saracini, C., Cornejo-Plaza, M. I., & Cippitani, R. (2025). Techno-emotional projection in human– GenAI relationships: a psychological and ethical conceptual perspective. Frontiers in Psychology, 16. https://doi.org/10.3389/fpsyg.2025.1662206
Sarra, C. (2025). Artificial Intelligence in Decision-making: A Test of Consistency between the “EU AI Act” and the “General Data Protection Regulation.” Athens Journal of Law, 11(1), 45. https://doi.org/10.30958/ajl.11-1-3
Taylor, M. (2012). Genetic data and the law: A critical perspective on privacy protection. Cambridge University Press.
van Daalen, F., Jacquemin, M., van Soest, J., Stahl, N., Townend, D., Dekker, A., & Bermejo, I. (2025). A critique of current approaches to privacy in machine learning. Ethics and Information Technology, 27(32). https://doi.org/10.1007/s10676-025-09843-4
Veale, M., & Borgesius, F. Z. (2021). Demystifying the Draft EU Artificial Intelligence Act — Analysing the good, the bad, and the unclear elements of the proposed approach. Computer Law Review International, 22(4), 97. https://doi.org/10.9785/cri-2021-220402
Wagner, J. (2018). The transfer of personal data to third countries under the GDPR: when does a recipient country provide an adequate level of protection? International Data Privacy Law, 8(4), 318–337.
Wang, B., & Haak, D. (2024). Regulating Artificial Intelligence in the European Union and the United States. Journal of Student Research, 13(2). https://doi.org/10.47611/jsrhs.v13i2.6798
Wilkinson, M. D., Dumontier, M., Aalbersberg, I. J. J., Appleton, G., Axton, M., Baak, A., Blomberg, N., Boiten, J. W., da Silva Santos, L. B., Bourne, P. E., Bouwman, C. L., Brookes, A. J., Clark, T., Crosas, M., Dillo, I., Dumon, O., Faulkes, S. C., Gledhill, P., ... Mons, B. (2016). The FAIR
Guiding Principles for scientific data management and stewardship. Scientific Data, 3(160018). https://doi.org/10.1038/sdata.2016.18
Normas citadas
Tratados
Tratado de Funcionamiento de la Unión Europea (s.f.).
Tratado de la Unión Europea (s.f.).
Carta de derechos
Carta de los Derechos Fundamentales de la Unión Europea (s.f.).
Directivas
Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos.
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital.
Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público.
Reglamentos
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018.
Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (“Data Governance Act”).
Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (“Data Act”).
Reglamento (UE) 2024/982 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, relativo a la búsqueda y al intercambio automatizados de datos para la cooperación policial, y por el que se modifican las Decisiones 2008/615/JAI y 2008/616/JAI del Consejo y los Reglamentos (UE) 2018/1726, (UE) 2019/817 y (UE) 2019/818 del Parlamento Europeo y del Consejo (Reglamento Prüm II).
Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial.
Reglamento (UE) 2025/327 del Parlamento Europeo y del Consejo, de 11 de febrero de 2025, relativo al Espacio Europeo de Datos de Salud.
Decisiones
Decisión (UE, Euratom) 2015/444 de la Comisión, de 13 de marzo de 2015, sobre las normas de seguridad para la protección de la información clasificada de la UE.
Otros documentos citados
AEPD (Agencia Española de Protección de Datos). (2020). Adecuación al RGPD de tratamientos que incorporan inteligencia artificial. Una introducción. https://www.aepd.es/guias/adecuacion-rgpd-ia.pdf
AESGP, AICI - Associazione Italiana Cistite Interstiziale, Alliance for Regenerative Medicine, BBMRI-ERIC, Biomedical Alliance in Europe, Cancer Patients Europe, COCIR, Deshre, DIGITALEUROPE, EATRIS, ECHAlliance, ECL - Association of European Cancer Leagues, EFN European Federation of Nurses Associations, EFPIA - European Federation of Pharmaceutical Industries and Associations, EHA - European Hematology Association, EHTEL, ELF - European Lung Foundation, ESCRS - European Society of Cataract & Refractive Surgeons, EU EYE, ... ,& WFIPP - World Federation of Incontinence and Pelvic Problems. (2023).
Stakeholder coalition
Calls for legislative refinement of the EHDS. https://uroweb.org/news/stakeholder-coalition-calls-forlegislative-refinement-of-the-ehds Centre for Data Innovation. (2021). How Much Will Artificial Intelligence Act Cost Europe? https://www2.datainnovation.org/2021-aia-costs.pdf
CEPS, Centro de Estudios Políticos Europeos (2021). Clarifying the costs for the EU’s AI Act. https://www.ceps.eu/clarifying-the-costs-for-the-eus-ai-act/?mc_cid=1b1e61c5af&mc_eid=9a740783cd
CNIL (Commission nationale de l’informatique et des libertés) (2017). Comment permettre à l’homme de garder la main? - Les enjeux éthiques des algorithmes et de l’intelligence artificielle.
Comisión Europea (1993). Libro Blanco “Crecimiento, competitividad, empleo”. (COM(93) 700 final).
Comisión Europea (2010). Comunicación “EUROPA 2020 Una estrategia para un crecimiento inteligente, sostenible e integrador”. (COM/2010/2020 final).
Comisión Europea (2016). Comunicación “Digitalización de la industria europea Aprovechar todas las ventajas de un mercado único digital”. (COM(2016) 180 final).
Comisión Europea (2020a). Comunicación “Una estrategia europea para los datos”. (COM(2020) 66 final).
Comisión Europea (2020b). Comunicación sobre la configuración del futuro digital de Europa. (COM(2020) 67 final).
Comisión Europea (2020c). Libro Blanco sobre la inteligencia artificial. (COM(2020) 65 final).
Comisión Europea (2021). Comunicación “Brújula Digital 2030: el enfoque de Europa para el Decenio Digital”. (COM(2021) 118 final).
Comité europeo de protección de datos personales (2019). Directrices 2/2019 sobre el tratamiento de datos personales en virtud del artículo 6, apartado 1, letra b), del RGPD en el contexto de la prestación de servicios en línea a los interesados (Versión 2.0).
Comité europeo de protección de datos personales (2024a). Report of the work undertaken by the ChatGPT Taskforce.
Comité europeo de protección de datos personales (2024b). Dictamen 28/2024 sobre determinados aspectos de la protección de datos relacionados con el tratamiento de datos personales en el contexto de los modelos de IA.
Consejo de Europa (2018). Report on Artificial Intelligence -Artificial Intelligence and Data Protection: Challenges and possible remedies.
Data Protection Authority of Belgium, General Secretariat (2024). Artificial Intelligence Systems and the GDPR: A Data Protection Perspective. https://www.autoriteprotectiondonnees.be/publications/ artificial-intelligence-systems-and-the-gdpr---a-data-protection-perspective.pdf