🔍 Compliance · 9 de mayo de 2026 · 7 min de lectura

AEPD y agentic AI: cómo está regulando España la IA generativa autónoma

La Agencia Española de Protección de Datos ha sido en los últimos años una de las autoridades europeas más activas en aclarar cómo aplicar el RGPD a la inteligencia artificial. En 2026, su foco se ha desplazado hacia un nuevo objeto: los agentes autónomos. Si tu organización está experimentando con agentic AI, esto es lo que la AEPD espera de ti.

De los chatbots a los agentes autónomos

Durante 2023 y 2024 el debate regulatorio se centró en los modelos generativos: alucinaciones, reproducción de datos personales, falta de transparencia. En 2025, el debate evolucionó hacia los modelos de propósito general (GPAI) y sus obligaciones bajo el AI Act. En 2026, el centro de gravedad ha vuelto a moverse: ahora se discute sobre agentic AI, sistemas que no solo generan texto o imágenes sino que actúan: invocan herramientas, escriben en bases de datos, completan transacciones, navegan webs, ejecutan código.

La diferencia es de naturaleza. Un chatbot recomienda; un agente actúa. Y la acción multiplica tanto las oportunidades de productividad como las superficies de riesgo. La AEPD lo ha identificado y, con su tradición de publicar guías técnicamente sólidas, ha empezado a cartografiar el problema con un enfoque alineado con el del Comité Europeo de Protección de Datos (EDPB).

Por qué los agentes plantean riesgos nuevos para protección de datos

La protección de datos clásica asume un tratamiento delimitado: una finalidad, una base jurídica, unos datos identificables, un responsable. Los agentes autónomos rompen varios de esos presupuestos a la vez:

1. Encadenamiento de finalidades

Un agente que "ayuda al usuario a planificar un viaje" puede acabar consultando su calendario, enviando correos, contratando servicios y compartiendo datos con terceros. Cada acción es un tratamiento con finalidad propia, pero el usuario solo consintió la primera. La cadena de finalidades derivadas no estaba explícitamente cubierta.

2. Inyección de instrucciones (prompt injection)

A diferencia de un programa tradicional, un agente lee contenido externo (correos, webs, documentos) y puede ser persuadido por instrucciones ocultas dentro de ese contenido para realizar acciones no autorizadas: enviar datos personales fuera, modificar registros, ejecutar transacciones. Es un vector de ataque sin equivalente directo en sistemas no agénticos.

3. Memoria persistente y perfilado encubierto

Muchos agentes guardan información de sesiones previas para mejorar su rendimiento. Esa memoria, si no está acotada, puede acumular un perfil del usuario sin base jurídica explícita y sin que el interesado lo perciba como un tratamiento de datos.

4. Trazabilidad insuficiente

Cuando algo sale mal con un agente —se ha enviado un dato indebido, se ha tomado una decisión errónea— reconstruir la cadena causal es muy distinto de revisar logs de un programa determinista. El agente pudo haber consultado tres herramientas, llamado al modelo cinco veces, recibido inputs de fuentes externas. Sin observabilidad específica, el ejercicio del derecho de acceso o la investigación de incidentes se vuelve impracticable.

La aproximación de la AEPD

La AEPD ha publicado en los últimos meses orientaciones que extienden a los agentes el marco general que ya venía aplicando a sistemas generativos. Los principios rectores, simplificados, son los siguientes:

Privacy by design también para agentes

El art. 25 del RGPD exige protección de datos desde el diseño y por defecto. La AEPD insiste en que esto aplica al diseño del agente, no solo del modelo subyacente: limitar las herramientas que el agente puede invocar, definir explícitamente qué datos personales puede leer y escribir, y aplicar el principio de mínimo privilegio en cada conexión.

Evaluación de impacto (DPIA) como requisito por defecto

La AEPD considera que los agentes que tratan datos personales deben someterse a una evaluación de impacto en protección de datos antes del despliegue. La razón: las características que la AEPD asocia a "alta probabilidad de alto riesgo" (uso innovador, decisiones automatizadas, tratamiento masivo, datos sensibles, perfilado) tienden a converger en los sistemas agénticos.

Supervisión humana significativa

No basta con un botón "aprobar" al final de la cadena. La AEPD coincide con el AI Act en exigir supervisión humana significativa: la persona que supervisa debe tener información comprensible, tiempo razonable y capacidad real para interrumpir o corregir las acciones del agente.

Transparencia reforzada

El usuario debe saber que está interactuando con un agente, qué herramientas puede invocar en su nombre, qué datos personales suyos se procesan en cada paso y cómo se conserva esa memoria. Las cláusulas genéricas tipo "usamos IA para mejorar el servicio" no cumplen este estándar.

Bases jurídicas específicas por acción

Si una acción del agente implica una nueva finalidad (por ejemplo, contratar un servicio externo en nombre del usuario), debe tener su propia base jurídica. Encadenar todo bajo un consentimiento genérico inicial no es válido.

Mitigaciones esperadas en una empresa que despliega agentes

Con la doctrina actual, una organización que ponga en producción un agente con tratamiento de datos personales debería poder demostrar al menos lo siguiente:

  • Inventario de capacidades del agente: qué herramientas puede invocar, sobre qué datos, con qué efectos. Documentado y revisado.
  • Permisos granulares: el agente accede solo a los datos estrictamente necesarios para cada tarea, con permisos diferenciados por usuario y caso de uso.
  • Sandbox de pruebas: entornos donde el agente se prueba contra ataques de prompt injection antes del despliegue.
  • Logging extendido: registro de cada interacción del agente con herramientas externas, con tiempo, parámetros y resultado, para reconstruir cualquier acción a posteriori.
  • Revisión humana en acciones de alto impacto: definidas por política, no por defecto técnico. Acciones irreversibles o que afecten a derechos exigen aprobación humana antes de ejecutarse.
  • DPIA documentada: con análisis de los riesgos específicos de la agentía (encadenamiento, inyección, memoria persistente).
  • Política de retención clara para la memoria del agente: qué se guarda, durante cuánto tiempo, con qué bases jurídicas, y cómo el usuario puede consultarlo o pedir su supresión.

Coordinación con AESIA y la dimensión AI Act

La AEPD no actúa sola. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) es la autoridad de mercado nacional para el AI Act, y las competencias se solapan en muchos casos prácticos. Un agente desplegado en RRHH para decisiones de contratación cae simultáneamente bajo el alto riesgo del AI Act (Anexo III) y bajo el RGPD (decisiones automatizadas, art. 22). Las dos autoridades pueden investigar el mismo sistema desde ángulos distintos.

Esto no es una duplicación: es la realidad europea actual. Las organizaciones serias están construyendo sus expedientes de agentic AI con un mismo cuerpo de evidencia que sirva para ambas autoridades, con secciones específicas para cada normativa.

Lo que viene

El panorama europeo está convergiendo. El EDPB ha publicado durante 2025 y 2026 directrices específicas sobre agentic AI y modelos generativos en aplicación del RGPD, y la Comisión Europea ha ampliado el AI Act Service Desk con preguntas frecuentes específicas sobre agentes. La AEPD se mueve dentro de ese marco europeo y por lo general anticipa o incorpora rápido la doctrina común.

Para cualquier organización española que esté experimentando con agentes, el mensaje práctico es: trátalos como sistemas de alto riesgo desde el primer día, aunque no lo sean formalmente. Documenta la DPIA, define los permisos granulares, audita los logs y prepara el expediente de compliance pensando en que algún día la AEPD o la AESIA pueden pedírtelo. Quien empieza con esa disciplina lleva ventaja; quien empieza sin ella, tarde o temprano se ve rehaciendo el sistema.