La Agencia Española de Protección de Datos (AEPD), acaba de publicar en febrero la guía “Inteligencia Artificial Agéntica desde la perspectiva de protección de datos”, un documento que se centra específicamente en la IA agéntica, es decir, sistemas basados en modelos de lenguaje que actúan con cierto grado de autonomía para cumplir objetivos dentro de un tratamiento de datos personales.
Con esta guía, la AEPD ofrece un marco para gestionar las peculiaridades que introduce la IA agéntica cuando se incorpora a un tratamiento de datos personales.
Parte de una idea fundamental: no basta con saber usar estas herramientas, es necesario comprender sus fundamentos, límites y forma de implementación.
La AEPD advierte contra dos extremos: el rechazo irracional y la adopción acrítica en tratamientos de datos personales.
Además, subraya que esta tecnología puede y debe aprovecharse como herramienta de protección de datos desde el diseño e incluso como Privacy Enhancing Technology (PET) en determinados contextos.
Nuevos riesgos
El uso de agentes puede implicar, entre otros impactos potenciales:
- Mayor tratamiento de datos de personal trabajador o usuarios.
- Menor transparencia.
- Retención de datos en más sistemas.
- Nuevas finalidades.
- Acciones automatizadas con efectos sobre las personas
La guía aclara que estos efectos no son inherentes a toda IA agéntica, sino que dependen del diseño y configuración del sistema. Esto traslada el foco al Responsable del tratamiento: la tecnología no determina el incumplimiento; lo hace su mala gobernanza.
Gobernanza: el verdadero núcleo del cumplimiento
Uno de los capítulos más relevantes, es el dedicado a Gobernanza. El Responsable del tratamiento que implemente la IA agéntica, debe de: garantizar el cumplimiento normativo, gestionar los nuevos riesgos y analizar la proporcionalidad de los impactos críticos.
Además, la AEPD insiste en que la gobernanza debe incorporar elementos específicos cuando se introducen agentes de IA, como:
- Definir roles y responsabilidades.
- Anticipar efectos colaterales.
- Establecer criterios de selección de agentes y sus conexiones externas.
- Controlar el despliegue, monitorización y retirada del sistema
.
Gestión del riesgo: enfoque estructurado y proactivo
La AEPD dedica un bloque completo a la gestión del riesgo, que debe ser:
- Proactiva.
- Integral (no solo centrada en el sistema, sino en todo el tratamiento).
- Basada en identificación, evaluación y priorización de amenazas
Se recomienda utilizar el marco LIINE4DU para el modelado de amenazas y es un punto clave el hecho de que la introducción de agentes no implica automáticamente la obligación de realizar una EIPD, pero puede requerirla dependiendo del tratamiento concreto.
Protección de datos desde el diseño… también para agentes autónomos
El agente de IA es un medio para implementar el tratamiento, por lo que debe configurarse conforme a los principios de protección de datos desde el inicio.
La guía establece que el agente debe recoger sólo los datos estrictamente necesarios; minimizar, aislar y proteger los datos en cada fase (percepción, memoria, razonamiento y acción); mantener trazabilidad y explicabilidad; y respetar la privacidad incluso cuando actúe sin supervisión directa.
Esto es especialmente relevante en arquitecturas multiagente o con memoria persistente.
Transparencia reforzada
Más allá de las obligaciones mínimas del RGPD, la AEPD sugiere medidas adicionales como:
- Información en tiempo real del flujo de datos.
- Acceso a registros de actividad.
- Información sobre la cadena de razonamiento.
- Posibilidad de revisión humana
Es decir, no basta con una cláusula informativa estándar cuando el sistema actúa con autonomía.
El papel estratégico del DPD
La guía refuerza el rol del Delegado de Protección de Datos, que debe:
- Comprender los fundamentos técnicos del sistema.
- Conocer alternativas técnicas y organizativas.
- Integrarse en las decisiones de diseño.
No es un rol reactivo, sino estratégico.
Un cambio de paradigma organizativo
La IA agéntica, no es solo una herramienta tecnológica: cambia la concepción de los procesos y workflows de la organización.
Puede afectar a:
- Seguridad y ciberseguridad.
- Resiliencia.
- Ética.
- Imagen corporativa.
- Cumplimiento normativo (incluyendo Reglamento de IA y otras normas sectoriales)
orientaciones-ia-agentica.
Estamos ante una transformación estructural, no ante una simple automatización.
En definitiva, la AEPD reconoce el potencial de la IA agéntica incluso como herramienta de mejora de la privacidad pero el mensaje es claro: "la incorporación de agentes de IA en tratamientos de datos exige: gobernanza, gestión de riesgos, diseño responsable y evidencia de cumplimiento".
Las organizaciones que quieran desplegar agentes de IA no deben preguntarse únicamente “¿qué puede hacer la herramienta?”, sino también:
- ¿Qué datos trata?
- ¿Qué decisiones automatiza?
- ¿Qué riesgos introduce?
- ¿Cómo los controlo y documento?
Redactado por Elena, a fecha 03 de marzo de 2026.