En Alemania y en la UE, la IA no es conforme al RGPD por defecto ni está prohibida por ser IA: importa el tratamiento concreto de datos personales [3][4]. La Opinión 28/2024 del EDPB se centra en anonimato, interés legítimo y efectos de un entrenamiento con datos personales tratados ilícitamente [3].

Create a landscape editorial hero image for this Studio Global article: Ist KI DSGVO-konform? Der Faktencheck für Deutschland und die EU. Article summary: KI ist in Deutschland und der EU nicht pauschal DSGVO konform: Nach der EDPB Opinion 28/2024 kommt es auf den konkreten Einsatz, personenbezogene Daten, Anonymität und Rechtsgrundlage an.. Topic tags: ai, privacy, gdpr, data protection, european union. Reference image context from search candidates: Reference image 1: visual subject "A blurred abstract image with warm gold, brown, and black tones is displayed alongside a white page featuring the title "Enzai | AI Governance Deep Dive" and a subtitle indicating" source context "Ist KI DSGVO-konform? Was in Deutschland und der EU wirklich gilt | Antwort | Studio Global" Reference image 2: visual subject "Der KI-Selbstcheck leitet dich mit einigen einfachen Fragen zu deinem Ergebnis. Natü
La pregunta decisiva no es si una herramienta lleva la etiqueta de «IA». Bajo el Reglamento General de Protección de Datos —RGPD, conocido en Alemania como DSGVO y en inglés como GDPR— lo importante es si, durante el desarrollo o el uso de un modelo, se tratan datos personales y si ese tratamiento tiene una base jurídica sólida .
La referencia más relevante en las fuentes disponibles es la Opinión 28/2024 del Comité Europeo de Protección de Datos —CEPD, más citado por sus siglas inglesas EDPB—. El documento trata determinados aspectos de protección de datos vinculados al tratamiento de datos personales en el contexto de modelos de IA . Su lectura no permite concluir que la IA tenga una autorización general, pero tampoco que esté prohibida por defecto
.
Decir «la IA cumple el RGPD» es demasiado amplio. También lo es afirmar que cualquier uso de IA sea automáticamente ilícito. El análisis del EDPB parte de una idea más concreta: los modelos de IA pueden implicar tratamiento de datos personales, y lo que debe evaluarse es ese tratamiento en su contexto real .
En su comunicado del 18 de diciembre de 2024, el EDPB resume tres preguntas centrales de la Opinión 28/2024: cuándo y cómo un modelo de IA puede considerarse anónimo; si el interés legítimo puede utilizarse como base jurídica para desarrollar o usar modelos de IA; y qué ocurre si un modelo se ha desarrollado con datos personales tratados ilícitamente .
Para Alemania no se desprende de estas fuentes una respuesta especial que se aparte de ese marco europeo. La cuestión práctica es la misma: qué datos personales se tratan, con qué finalidad, sobre qué base jurídica y con qué riesgos para tratamientos posteriores .
La Opinión 28/2024 no pretende resolver todo el derecho de la IA. Su alcance es más específico: aborda «determinados aspectos de protección de datos» relacionados con el tratamiento de datos personales en el contexto de modelos de IA .
Esa precisión es clave para empresas, administraciones y desarrolladores. Un proyecto no se evalúa solo por ser «inteligencia artificial», sino por lo que hace con datos personales en cada fase: entrenamiento, ajuste, despliegue, uso o reutilización .
Uno de los malentendidos más habituales es pensar que, si los datos personales ya no aparecen como una tabla, un documento o una ficha de usuario, el modelo pasa a ser automáticamente anónimo. El EDPB no lo plantea así: según su comunicado, las autoridades de protección de datos deben evaluar caso por caso si un modelo de IA puede considerarse anónimo .
En la práctica, no basta con declarar que el modelo «no contiene datos personales». La evaluación tiene que sostenerse en las características concretas del modelo, del contexto y de los posibles usos .
Este punto pesa especialmente cuando datos personales permanecen retenidos en el modelo. El material de ENISA sobre la Opinión 28/2024 describe escenarios en los que esa retención puede afectar a la licitud de un tratamiento posterior y exige una evaluación caso por caso .
La Opinión 28/2024 aborda expresamente si el interés legítimo puede utilizarse como base jurídica para desarrollar o usar modelos de IA, y cómo podría hacerse . Es una cuestión relevante, pero no equivale a una autorización automática.
De los materiales disponibles no se deduce que cualquier entrenamiento, despliegue o uso de IA quede cubierto por interés legítimo. Lo que debe comprobarse es si esa base jurídica encaja con el tratamiento concreto .
La evaluación se vuelve más delicada si hubo problemas en etapas anteriores. La documentación de ENISA indica que, cuando un tratamiento posterior se basa en interés legítimo, una ilicitud inicial puede tener que incorporarse a esa valoración .
Otro punto central de la Opinión 28/2024 es qué sucede cuando un modelo de IA se desarrolló utilizando datos personales que fueron tratados ilícitamente .
La consecuencia práctica es clara: una procedencia problemática de los datos no desaparece sin más porque ya no se use el conjunto original, sino un modelo entrenado. Si datos personales quedan retenidos en el modelo, eso puede influir en la licitud de tratamientos posteriores, y ENISA subraya que la evaluación debe hacerse caso por caso .
Además, cuando intervienen varias partes, conviene separar bien las responsabilidades. El material de ENISA distingue escenarios con el mismo responsable del tratamiento y con responsables distintos, y señala que cada responsable debería asegurarse de la licitud de su propio tratamiento .
Esta lista no sustituye a una revisión jurídica específica, pero resume los puntos que se desprenden de los materiales del EDPB y ENISA para modelos de IA.
Antes de hablar de cumplimiento, hay que saber de qué fase se trata: desarrollo, despliegue, uso u otro tratamiento relacionado con el modelo. El comunicado del EDPB se refiere expresamente al uso de datos personales para el desarrollo y el despliegue de modelos de IA .
El siguiente paso es documentar si se tratan datos personales y en qué momento. La Opinión 28/2024 se centra precisamente en el tratamiento de datos personales en el contexto de modelos de IA .
Si una organización sostiene que un modelo es anónimo, esa conclusión debe estar respaldada por una evaluación sólida. Según el EDPB, la anonimidad de un modelo de IA debe valorarse caso por caso por las autoridades de protección de datos .
Si se quiere invocar el interés legítimo, hay que analizar si puede sostener el tratamiento específico de desarrollo o uso del modelo . Las fuentes disponibles no reconocen una excepción general para la IA
.
Debe comprobarse si datos personales permanecen en el modelo y si los datos usados en la fase de desarrollo fueron tratados lícitamente. Ambos aspectos pueden ser relevantes para tratamientos posteriores .
Si varias entidades participan en el desarrollo, la puesta a disposición o el uso del modelo, conviene definir con precisión quién es responsable de cada tratamiento. ENISA destaca que cada responsable del tratamiento debería garantizar la licitud de su propia actividad .
«El modelo es anónimo porque no se ven los datos originales». No necesariamente. La anonimidad de un modelo de IA debe evaluarse caso por caso .
«El interés legítimo siempre basta». La Opinión 28/2024 analiza si esa base puede usarse y cómo, pero no convierte el interés legítimo en una justificación universal para cualquier proyecto de IA .
«Una vez entrenado el modelo, ya no importa de dónde salieron los datos». La Opinión trata expresamente qué ocurre si el modelo se desarrolló con datos personales tratados ilícitamente . Si datos personales permanecen en el modelo, esa circunstancia puede afectar a la licitud de tratamientos posteriores
.
En Alemania y en la Unión Europea, la IA no es conforme al RGPD solo por ser IA. Tampoco es ilícita automáticamente. El examen serio mira el tratamiento concreto de datos personales: anonimidad, base jurídica, contenido del modelo, historial del entrenamiento y responsabilidades de cada actor .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
En Alemania y en la UE, la IA no es conforme al RGPD por defecto ni está prohibida por ser IA: importa el tratamiento concreto de datos personales [3][4].
En Alemania y en la UE, la IA no es conforme al RGPD por defecto ni está prohibida por ser IA: importa el tratamiento concreto de datos personales [3][4]. La Opinión 28/2024 del EDPB se centra en anonimato, interés legítimo y efectos de un entrenamiento con datos personales tratados ilícitamente [3].
Si quedan datos personales en el modelo o hubo problemas en la fase de desarrollo, la licitud de usos posteriores puede requerir una evaluación caso por caso [2].