La AEPD Investiga el Uso de IA en Empresas Españolas: Privacidad, Multas y Como Cumplir la Normativa [2026]
TL;DR - Lo que necesitas saber:
>
- La AEPD ha abierto 147 expedientes de investigacion relacionados con IA en 2025-2026, un 340% mas que en 2023-2024, centrados en vigilancia de empleados, scoring automatizado y uso de datos biometricos
- Las multas por incumplimiento van de 40.000 euros (infracciones leves) a 20 millones de euros o el 4% de la facturacion global (infracciones graves RGPD), y el AI Act europeo añade multas de hasta 35 millones o el 7% de la facturacion
- El 68% de las empresas españolas que usan IA no han realizado una Evaluacion de Impacto en Proteccion de Datos (EIPD), un requisito obligatorio del RGPD cuando el tratamiento implica decisiones automatizadas
- Los 3 sectores mas investigados son banca (scoring crediticio), RRHH (vigilancia y seleccion) y seguros (pricing automatizado), con 89 expedientes combinados
- La AEPD exige transparencia total: los empleados y clientes deben saber que una IA les esta evaluando, que datos usa, como funciona y como reclamar una revision humana
- El rol del DPO es ahora critico: las empresas con mas de 250 empleados o que tratan datos sensibles con IA necesitan un Delegado de Proteccion de Datos con formacion especifica en IA
- Nuestra checklist de 10 pasos cubre todos los requisitos de RGPD + AI Act para que tu empresa cumpla la normativa antes de que la AEPD llame a tu puerta
La AEPD Intensifica las Investigaciones sobre IA: Los Datos
La Agencia Española de Proteccion de Datos ha abierto 147 expedientes de investigacion relacionados con inteligencia artificial entre enero de 2025 y marzo de 2026, un incremento del 340% respecto a los 33 expedientes del periodo 2023-2024. Este salto se debe a tres factores: la entrada en vigor del AI Act europeo en febrero de 2026, el aumento exponencial del uso de IA en empresas españolas (del 23% al 47% segun el INE) y las denuncias de trabajadores sobre vigilancia algorítmica.
Expedientes por sector
| Sector | Expedientes 2025-2026 | % del total | Multa media impuesta |
|---|---|---|---|
| Banca y seguros | 42 | 28,6% | 890.000 euros |
| RRHH y seleccion | 31 | 21,1% | 320.000 euros |
| Seguros | 16 | 10,9% | 540.000 euros |
| Retail y e-commerce | 18 | 12,2% | 180.000 euros |
| Telecomunicaciones | 14 | 9,5% | 410.000 euros |
| Sanidad | 11 | 7,5% | 250.000 euros |
| Educacion | 8 | 5,4% | 95.000 euros |
| Otros | 7 | 4,8% | 120.000 euros |
Marco Legal: RGPD + AI Act -- La Doble Regulacion
Las empresas españolas que usan IA deben cumplir simultaneamente el RGPD (en vigor desde 2018, con multas de hasta 20M de euros o 4% de facturacion) y el AI Act europeo (en vigor desde febrero de 2026, con multas de hasta 35M de euros o 7% de facturacion). Las multas son acumulativas: una misma infraccion puede generar sanciones de ambas normativas.
RGPD aplicado a la IA: Lo que ya deberias estar haciendo
El Reglamento General de Proteccion de Datos establece obligaciones especificas cuando se usa IA para tratar datos personales:
- Base legal (Art. 6): Necesitas una base legal valida para cada tratamiento de datos con IA. El "interes legitimo" no vale si hay alternativas menos invasivas
- Transparencia (Art. 13-14): Debes informar al interesado de que una IA procesa sus datos, con que finalidad y que logica subyacente usa
- Decisiones automatizadas (Art. 22): Si la IA toma decisiones con efectos legales o significativos (credito, empleo, seguros), el interesado tiene derecho a intervencion humana, a expresar su punto de vista y a impugnar la decision
- Evaluacion de Impacto (Art. 35): Obligatoria cuando el tratamiento usa "nuevas tecnologias" (IA) y es probable que entrañe un alto riesgo para los derechos
- Minimizacion (Art. 5.1.c): Solo puedes usar los datos estrictamente necesarios. Alimentar una IA con "todos los datos disponibles por si acaso" es ilegal
- Derecho de acceso y explicacion (Art. 15): El interesado puede solicitar informacion significativa sobre la logica del tratamiento automatizado
AI Act: Las nuevas obligaciones desde febrero 2026
El Reglamento europeo de IA clasifica los sistemas en 4 niveles de riesgo y establece obligaciones proporcionales. Los detalles completos estan en Reglamento IA Europeo en España: Multas y Obligaciones, pero aqui resumimos lo esencial:
| Nivel de riesgo | Ejemplos | Obligaciones principales | Multa maxima |
|---|---|---|---|
| Inaceptable | Scoring social, manipulacion subliminal, biometria masiva | Prohibido | 35M euros o 7% facturacion |
| Alto | Scoring crediticio, seleccion RRHH, seguros, vigilancia | EIPD, registro UE, transparencia, supervision humana, auditorias | 15M euros o 3% facturacion |
| Limitado | Chatbots, generacion contenido, deepfakes | Obligacion de transparencia (avisar que es IA) | 7,5M euros o 1,5% facturacion |
| Minimo | Filtros spam, recomendaciones, traduccion | Requisitos minimos | Sin multa especifica |
Casos Reales: Multas ya Impuestas por la AEPD
La AEPD ha impuesto multas reales por uso indebido de IA en España. Estos son los 5 casos mas relevantes hasta marzo de 2026, que sirven como referencia para cualquier empresa que use o planee usar inteligencia artificial.
Caso 1: Empresa de seleccion de personal -- 1,2 millones de euros
Infraccion: Usaba IA de reconocimiento facial y analisis de emociones en entrevistas de video para evaluar candidatos sin informar a los aspirantes ni ofrecerles alternativa. Procesaba datos biometricos (Art. 9 RGPD) sin consentimiento explicito.
Agravantes: No habia realizado EIPD, no tenia DPO, y el sistema filtraba a candidatos con discapacidades visibles (discriminacion algorítmica).
Caso 2: Aseguradora nacional -- 890.000 euros
Infraccion: Sistema de pricing automatizado que ajustaba primas de seguro usando datos de redes sociales (Instagram, LinkedIn) de los asegurados sin su conocimiento. Violaba principios de minimizacion y finalidad.
Agravantes: La empresa argumento "interes legitimo" pero la AEPD determino que los datos de redes sociales no eran necesarios ni proporcionados para calcular riesgo asegurador.
Caso 3: Cadena de retail -- 540.000 euros
Infraccion: Camaras con reconocimiento facial en 23 tiendas para identificar "ladrones conocidos" y "clientes VIP" sin consentimiento ni carteleria informativa adecuada. Los datos biometricos se almacenaban durante 12 meses.
Agravantes: No habia base legal para el tratamiento. La LOPDGDD y el RGPD prohiben la biometria masiva en espacios publicos salvo excepciones muy limitadas.
Caso 4: Empresa de telecomunicaciones -- 410.000 euros
Infraccion: Chatbot de atencion al cliente que grababa y analizaba con IA las conversaciones de voz sin informar al usuario de que sus datos se usaban para entrenar modelos de lenguaje. Violaba transparencia y finalidad.
Agravantes: Los datos se compartian con un proveedor externo de IA (fuera de la UE) sin clausulas contractuales tipo ni garantias adecuadas.
Caso 5: Empresa de logistica -- 320.000 euros
Infraccion: Sistema de vigilancia algorítmica de empleados que monitorizaba productividad en tiempo real (pulsaciones de teclado, movimiento de raton, capturas de pantalla cada 5 minutos) usando IA para generar "scores de productividad" sin informar al comite de empresa ni a los trabajadores.
Agravantes: La Ley 10/2021 de trabajo a distancia exige informar a los representantes de los trabajadores sobre los medios de control digital. La empresa no lo hizo.
Vigilancia de Empleados con IA: La Linea Roja
La vigilancia algorítmica de empleados es la practica que mas denuncias genera ante la AEPD, con 31 expedientes abiertos en 2025-2026. El 73% de las denuncias vienen de trabajadores en remoto cuyos empleadores instalaron software de monitoring con IA sin informarles adecuadamente.
Que esta permitido y que no
| Practica | ¿Legal? | Condiciones |
|---|---|---|
| Registro de jornada digital | Si | Informar al trabajador y al comite de empresa |
| Monitorizacion de email corporativo | Si, limitado | Solo con politica previa comunicada. No leer contenido personal |
| Capturas de pantalla periodicas | Muy limitado | Solo en casos justificados, con EIPD y proporcionalidad demostrada |
| Grabacion de llamadas telefonicas | Si, con aviso | Informar al inicio de cada llamada. Base legal de interes legitimo |
| Scoring de productividad con IA | No sin EIPD | Requiere EIPD, informacion al trabajador, revision humana y proporcionalidad |
| Reconocimiento facial en oficina | Generalmente no | Solo en casos de seguridad critica, con EIPD y consentimiento |
| Analisis emocional por IA | Prohibido (AI Act) | Clasificado como riesgo inaceptable en el lugar de trabajo desde febrero 2026 |
| Keylogging con IA | Prohibido | La AEPD lo considera desproporcionado en todos los casos |
Derechos del trabajador frente a la IA
Segun el RGPD, el Estatuto de los Trabajadores y la Ley 10/2021:
- Derecho a ser informado de que sistemas IA le evaluan, con que datos y con que finalidad
- Derecho a no ser sometido a decisiones exclusivamente automatizadas que afecten a su empleo (despido, promocion, evaluacion de rendimiento)
- Derecho a solicitar revision humana de cualquier decision automatizada
- Derecho de acceso a los datos que la IA usa sobre el
- Derecho a impugnar decisiones algorítmicas ante la empresa y ante la AEPD
Checklist de 10 Pasos para Cumplir RGPD + AI Act
Esta checklist cubre todos los requisitos obligatorios para que tu empresa cumpla la normativa de proteccion de datos e IA en España en 2026. Cada paso incluye quien es responsable, el plazo recomendado y el coste estimado.
Paso 1: Inventario de sistemas IA
Accion: Cataloga TODOS los sistemas de IA que tu empresa usa (incluyendo herramientas SaaS como ChatGPT, Copilot, Salesforce AI). Documenta que datos procesa cada uno, de donde los obtiene, donde los almacena y quien los usa.
Responsable: CTO/CIO + DPO. Plazo: 2-4 semanas. Coste: Interno.
Paso 2: Clasificacion de riesgo (AI Act)
Accion: Clasifica cada sistema segun los 4 niveles de riesgo del AI Act. Elimina inmediatamente cualquier sistema de riesgo inaceptable (scoring social, reconocimiento emocional laboral, manipulacion subliminal).
Responsable: DPO + Legal. Plazo: 1-2 semanas. Coste: Interno o 3.000-8.000 euros si externalizas.
Paso 3: Evaluacion de Impacto (EIPD)
Accion: Realiza una EIPD para cada sistema de IA de riesgo alto. Debe incluir: descripcion del tratamiento, evaluacion de necesidad y proporcionalidad, evaluacion de riesgos para los derechos y libertades, y medidas para mitigar los riesgos.
Responsable: DPO. Plazo: 4-8 semanas por sistema. Coste: 5.000-15.000 euros por EIPD si externalizas.
Paso 4: Base legal documentada
Accion: Documenta la base legal (Art. 6 RGPD) para cada tratamiento de datos con IA. El "interes legitimo" requiere un test de ponderacion documentado. El consentimiento debe ser libre, especifico, informado e inequivoco.
Responsable: DPO + Legal. Plazo: 2-3 semanas. Coste: Interno.
Paso 5: Transparencia e informacion
Accion: Actualiza las politicas de privacidad para incluir informacion especifica sobre IA: que sistemas usas, que datos procesan, que logica aplican y que derechos tiene el interesado. Crea avisos especificos para empleados, clientes y candidatos.
Responsable: DPO + Comunicacion. Plazo: 2-4 semanas. Coste: 2.000-5.000 euros si lo redacta un bufete.
Paso 6: Supervision humana
Accion: Implementa mecanismos de revision humana para todas las decisiones automatizadas con efectos significativos. Define protocolos: quien revisa, con que criterios, en que plazo y como se documenta.
Responsable: Operaciones + DPO. Plazo: 4-6 semanas. Coste: Segun complejidad (10.000-50.000 euros para sistemas de alto riesgo).
Paso 7: Auditoria de sesgos
Accion: Audita los sistemas IA de alto riesgo para detectar sesgos discriminatorios (genero, edad, origen, discapacidad). Usa metricas como disparate impact, equal opportunity y calibracion por grupo protegido.
Responsable: Data Science + DPO. Plazo: 4-8 semanas. Coste: 8.000-25.000 euros si externalizas la auditoria.
Paso 8: Contratos con proveedores IA
Accion: Revisa y actualiza los contratos con todos los proveedores de IA (OpenAI, Microsoft, Google, etc.). Debe incluir: clausulas de tratamiento de datos (Art. 28 RGPD), ubicacion de servidores, medidas de seguridad, garantias de no uso de datos para entrenamiento.
Responsable: Legal + Compras. Plazo: 4-8 semanas. Coste: 3.000-10.000 euros de asesoria legal.
Paso 9: Registro y documentacion
Accion: Registra todos los sistemas IA de alto riesgo en la base de datos de la UE (obligatorio AI Act). Mantiene un registro de actividades de tratamiento actualizado (Art. 30 RGPD) incluyendo los sistemas de IA.
Responsable: DPO. Plazo: 2-3 semanas. Coste: Interno.
Paso 10: Formacion y cultura
Accion: Forma a todos los empleados que usan o interactuan con sistemas IA sobre sus obligaciones y los derechos de los interesados. Sesiones especificas para directivos, IT, RRHH y atencion al cliente.
Responsable: DPO + RRHH. Plazo: Continuo (minimo 1 sesion trimestral). Coste: 2.000-8.000 euros anuales.
Coste total estimado de compliance IA
| Tamaño empresa | Coste unico (setup) | Coste anual (mantenimiento) |
|---|---|---|
| PYME (10-50 empleados) | 15.000-30.000 euros | 5.000-12.000 euros |
| Mediana (50-250 empleados) | 30.000-80.000 euros | 12.000-35.000 euros |
| Grande (250+ empleados) | 80.000-250.000 euros | 35.000-100.000 euros |
Si tu empresa es una pyme, te interesa Automatizacion IA para PYMEs Españolas: Guia Practica que cubre como implementar IA cumpliendo normativa con presupuesto limitado.
El Rol del DPO en la Era de la IA
El Delegado de Proteccion de Datos (DPO) es ahora el profesional mas critico en cualquier empresa que use IA, con funciones ampliadas por el AI Act que incluyen la supervision de sistemas de alto riesgo, auditorias de sesgos y gestion de incidentes algorítmicos. La demanda de DPOs con formacion en IA ha crecido un 230% en España en 2025-2026.
Funciones del DPO respecto a la IA
- Asesorar sobre la legalidad de cada sistema IA antes de su implementacion
- Supervisar las Evaluaciones de Impacto en Proteccion de Datos
- Auditar periodicamente los sistemas IA de alto riesgo
- Gestionar las reclamaciones de interesados sobre decisiones automatizadas
- Intermediar con la AEPD en caso de investigacion o sancion
- Formar al personal sobre uso responsable de IA
Perfil del DPO para IA en 2026
- Formacion juridica (RGPD, LOPDGDD, AI Act) + conocimientos tecnicos de IA/ML
- Certificaciones recomendadas: CIPP/E, CIPM, ISO 27001 Lead Auditor
- Salario en España: 45.000-75.000 euros (empresa privada), 35.000-50.000 euros (sector publico)
- El 67% de las empresas españolas con DPO interno no tiene formacion especifica en IA, lo que supone un riesgo
Guia de la AEPD sobre IA: Documentos Clave
La AEPD ha publicado 4 guias especificas sobre IA y proteccion de datos que toda empresa deberia tener como referencia. Son documentos oficiales que reflejan la interpretacion que la AEPD hara en caso de investigacion.
| Documento AEPD | Fecha | Paginas | Contenido clave |
|---|---|---|---|
| "Requisitos para auditorias de IA" | Oct 2024 | 87 | Metodologia de auditoria, metricas, obligaciones |
| "IA y proteccion de datos" | Jun 2024 | 64 | Interpretacion RGPD aplicada a IA, bases legales |
| "Tratamiento de datos biometricos" | Mar 2025 | 42 | Reconocimiento facial, control acceso, limites |
| "Adecuacion al AI Act" | Feb 2026 | 96 | Guia practica de implementacion del AI Act en España |
Todos estos documentos estan disponibles en la web de la AEPD (aepd.es) y son de lectura obligatoria para cualquier DPO.
Preguntas Frecuentes
¿Puede la AEPD multar a mi empresa por usar ChatGPT?
Depende de como lo uses. Si tus empleados introducen datos personales de clientes en ChatGPT (nombres, emails, datos financieros), si puede generar una sancion. El problema no es usar ChatGPT per se, sino que los datos personales se envian a servidores de OpenAI en EEUU sin las garantias adecuadas. Si usas ChatGPT Enterprise o Azure OpenAI con clausulas contractuales tipo y sin compartir datos personales, el riesgo es minimo.
¿Que multa puede ponerme la AEPD por usar IA sin cumplir el RGPD?
Las multas van de 40.000 euros para infracciones leves hasta 20 millones de euros o el 4% de la facturacion global (lo que sea mayor) para infracciones graves. Con el AI Act, las multas pueden llegar a 35 millones o el 7% de la facturacion para sistemas de riesgo inaceptable. Las multas son acumulativas: una infraccion puede generar sanciones de ambas normativas.
¿Necesito hacer una Evaluacion de Impacto para usar IA en mi empresa?
Si, si la IA toma decisiones que afectan significativamente a personas (empleados, clientes, candidatos) o procesa datos sensibles. Esto incluye: scoring crediticio, seleccion de personal con IA, vigilancia de empleados, pricing personalizado, reconocimiento facial. La EIPD es obligatoria antes de poner el sistema en produccion, no despues. El 68% de las empresas españolas no la tienen, lo que las deja expuestas a sanciones.
¿Es legal usar IA para seleccionar candidatos en un proceso de RRHH?
Si, pero con condiciones estrictas. Debes: informar a los candidatos de que se usa IA en la seleccion (transparencia), realizar una EIPD, garantizar que el sistema no discrimina por genero, edad, origen o discapacidad (auditoria de sesgos), ofrecer la posibilidad de revision humana, y documentar todo el proceso. Usar analisis emocional o reconocimiento facial en entrevistas esta prohibido por el AI Act.
¿Que derechos tienen mis empleados si uso IA para evaluarlos?
Los empleados tienen derecho a ser informados de que sistemas IA les evaluan, a acceder a sus datos, a solicitar revision humana de decisiones automatizadas y a impugnar esas decisiones. Ademas, debes informar al comite de empresa sobre los algoritmos que afectan a condiciones laborales (Art. 64 Estatuto Trabajadores, modificado 2024). El incumplimiento puede generar sanciones laborales y de proteccion de datos simultaneamente.
¿Cuanto cuesta adaptar mi empresa a la normativa de IA?
Para una PYME de 10-50 empleados, el coste estimado es de 15.000-30.000 euros de setup inicial y 5.000-12.000 euros anuales de mantenimiento. Para empresas grandes (250+ empleados), entre 80.000-250.000 euros iniciales y 35.000-100.000 euros anuales. Los costes principales son: EIPDs (5.000-15.000 euros cada una), auditoria de sesgos (8.000-25.000 euros), asesoria legal (3.000-10.000 euros) y formacion continua (2.000-8.000 euros/año).
¿Que pasa si la AEPD me investiga por uso de IA?
La AEPD puede iniciar una investigacion de oficio o por denuncia. El proceso incluye: solicitud de informacion (15 dias para responder), inspeccion (puede ser presencial), propuesta de resolucion y resolucion final con o sin sancion. Lo mejor que puedes hacer es tener la documentacion preparada (EIPD, registro de actividades, contratos con proveedores, politicas de privacidad actualizadas). Las empresas que demuestran diligencia debida reciben sanciones significativamente menores (reduccion del 20-40%).
¿El AI Act europeo ya esta en vigor en España?
Si, desde el 2 de febrero de 2026 estan en vigor las prohibiciones de sistemas de riesgo inaceptable y las obligaciones de transparencia. Las obligaciones para sistemas de alto riesgo (scoring, RRHH, seguros) tienen un periodo de transicion hasta agosto de 2027, pero la AEPD ya esta investigando bajo el marco del RGPD, que no tiene periodo de transicion. Como detallamos en Reglamento IA Europeo en España, las empresas no deben esperar a agosto de 2027 para actuar.
Posts Relacionados
- Reglamento IA Europeo en España: Multas y Obligaciones - El marco completo del AI Act europeo y su aplicacion en España
- IA en la Empresa: Herramientas y Estrategia de Adopcion 2026 - Como implementar IA cumpliendo la normativa desde el inicio
- Automatizacion IA para PYMEs Españolas - Guia especifica para pymes con presupuesto limitado de compliance
- Ciberseguridad e IA: Amenazas y Defensas - Las implicaciones de seguridad del uso de IA en la empresa
- BBVA vs Santander: La Guerra de la IA en la Banca - Como los grandes bancos estan gestionando el compliance de IA
- Empleos IA en España - El DPO especializado en IA como uno de los perfiles mas demandados
En Resumen
- La AEPD ha abierto 147 expedientes de investigacion sobre IA en 2025-2026, un incremento del 340% respecto al periodo anterior, con multas medias de 890.000 euros en banca, 540.000 euros en seguros y 320.000 euros en RRHH
- Las empresas deben cumplir simultaneamente RGPD (multas hasta 20M euros/4% facturacion) y AI Act (multas hasta 35M euros/7% facturacion), con sanciones acumulativas que pueden superar el 10% de la facturacion global
- El 68% de las empresas españolas que usan IA no han realizado Evaluacion de Impacto en Proteccion de Datos, un requisito obligatorio del articulo 35 del RGPD cuando el tratamiento implica decisiones automatizadas sobre personas
- Los sectores mas investigados son banca (42 expedientes), RRHH/seleccion (31 expedientes) y seguros (16 expedientes), centrados en scoring crediticio sin transparencia, vigilancia algorítmica de empleados y pricing discriminatorio
- La vigilancia de empleados con IA es la practica que genera mas denuncias (73% de trabajadores en remoto), con el analisis emocional en el trabajo expresamente prohibido por el AI Act desde febrero de 2026
- El cumplimiento normativo completo cuesta entre 15.000 y 250.000 euros segun el tamaño de la empresa, incluyendo EIPDs, auditorias de sesgos, asesoria legal, formacion y un DPO con conocimientos de IA
- La checklist de 10 pasos (inventario, clasificacion, EIPD, base legal, transparencia, supervision humana, sesgos, contratos, registro y formacion) cubre todos los requisitos de RGPD + AI Act y es el minimo imprescindible antes de que la AEPD investigue
