AEPD e IA: qué exige cuando automatizas en tu despacho

La AEPD —Agencia Española de Protección de Datos— es la autoridad que inspecciona, sanciona y publica criterios concretos sobre cómo se puede (y cómo no se puede) usar la inteligencia artificial cuando hay datos personales de por medio. No es un ente europeo abstracto: es la casa que pone tu nombre en una resolución del BOE si algo va mal. Y desde 2020 publica guías específicas sobre IA que, si las lees bien, te dicen exactamente qué necesitas tener en la carpeta antes de que alguien llame a la puerta.

Lo que vamos a ver aquí es qué pide la AEPD en concreto cuando tu despacho mete IA en el flujo de trabajo —borradores de escrituras, clasificación de facturas, extracción de datos de expedientes, lo que sea—. Y qué documentos te pedirán primero si un día entras en el radar de la Agencia.

TL;DR: La AEPD no prohíbe usar IA en tu despacho. Exige que puedas demostrar, con documentación auditable, que hay base legal para el tratamiento, que has hecho evaluación de impacto cuando es preceptiva (art. 35 RGPD), que existe intervención humana en decisiones automatizadas con efecto significativo (art. 22 RGPD), que tienes firmado el acuerdo de encargado del tratamiento con tu proveedor (art. 28 RGPD) y que el registro de actividades del tratamiento está al día. Las sanciones pueden llegar hasta 20 millones de euros o el 4 % del volumen de negocio anual mundial —la cifra que sea mayor— según el art. 83.5 RGPD.

Qué es la AEPD (y por qué te importa aunque sólo uses IA "para las facturas")

La Agencia Española de Protección de Datos es la autoridad de control independiente en España para todo lo relacionado con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD). Lo que en la jerga del sector llamamos simplemente "la Agencia".

En términos prácticos, la AEPD hace tres cosas que te afectan directamente:

1. Publica criterios. Guías, informes jurídicos, pronunciamientos. Desde 2020, específicamente sobre cómo encajar la IA con el RGPD.
2. Atiende reclamaciones. Cualquier cliente tuyo puede presentar una reclamación si cree que sus datos no se están tratando correctamente. La AEPD las instruye.
3. Inspecciona y sanciona. El art. 58 del RGPD le da potestades de investigación muy amplias: puede pedir información, acceder a instalaciones, examinar sistemas de tratamiento. El art. 83 fija el régimen sancionador.

Un matiz importante: la AEPD no es la única autoridad que regula IA en España. Desde finales de 2023 existe la AESIA (Agencia Española de Supervisión de Inteligencia Artificial), creada por el Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la AESIA, publicado en el BOE del 2 de septiembre de 2023 y con sede en A Coruña. La AESIA se ocupa de la supervisión del Reglamento europeo de IA (las prácticas prohibidas, los sistemas de alto riesgo, la gobernanza de modelos). La AEPD sigue ocupándose de todo lo que implique datos personales, que es casi todo lo que hace una IA en un despacho.

En la práctica, cuando automatizas con IA en tu despacho, lo más probable es que te toquen las dos: la AEPD por los datos, la AESIA por el sistema. Pero la que tiene 45 años de oficio inspeccionando y sancionando es la AEPD. Es la que manda primero.

La posición de la AEPD sobre IA: qué ha publicado desde 2020

La AEPD empezó a publicar material específico sobre IA en 2020. No es doctrina dispersa ni opinión suelta: son documentos de referencia que un inspector va a citar si instruye un expediente contra ti.

Los más relevantes para un despacho que quiera automatizar son estos:

• "Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción" (febrero de 2020). La guía fundacional. Introduce los criterios que la AEPD aplica para evaluar si un tratamiento basado en IA es compatible con el RGPD. Sigue siendo el punto de partida.
• "Requisitos para Auditorías de Tratamientos que incluyan IA" (enero de 2021). El mismo enfoque pero desde la óptica de "cómo auditar" un sistema que ya está en producción. Útil si te piden una auditoría externa. Define objetivos de control concretos sobre inventario del algoritmo, transparencia, proporcionalidad, calidad del dato y gestión de sesgos.
• "Listas de tipos de tratamientos de datos que requieren evaluación de impacto (art. 35.4 RGPD)" (septiembre de 2019). Incluye expresamente los tratamientos con elaboración de perfiles a gran escala y los que usan tecnologías novedosas de forma masiva. Si tu IA entra en esas categorías, la DPIA no es opcional.
• La sección de "Innovación y tecnología" en aepd.es y el documento infográfico "Tratamientos que incluyen Inteligencia Artificial (IA)", donde la Agencia sintetiza los criterios principales de forma visual.

¿Qué actitud se ve al leer todo esto junto? La AEPD no está en contra de la IA. Está en contra de la IA sin documentación. Es una distinción enorme. Lo que la Agencia pide —y lo repite en cada documento— es que el responsable del tratamiento pueda demostrar, por escrito y con registros, que ha pensado en el impacto sobre los derechos de las personas antes de poner el sistema en producción. El mensaje no es "no lo hagas". El mensaje es "no lo hagas a ciegas".

Si aún no tienes claro el marco general en el que se mueve la AEPD, merece la pena detenerse un momento en el post en el que desglosamos los cinco principios del RGPD aplicados a la automatización con IA en despachos. Este post asume ese marco y va directamente a lo que la AEPD pide por encima.

Los requisitos que la AEPD pide a cualquier tratamiento con IA

Si destilas las guías de la AEPD y las cruzas con los artículos del RGPD que más cita, salen nueve requisitos que cualquier tratamiento con IA —sea tu despacho clasificando expedientes o un banco puntuando solvencia— debe cumplir. No son "buenas prácticas"; son el criterio que la Agencia aplicará si mira tu sistema.

1. Base legal clara antes de empezar (art. 6 RGPD). Antes de meter un solo dato personal en un modelo, tienes que saber qué base legal del art. 6 estás aplicando: consentimiento, ejecución de contrato, obligación legal, interés legítimo, etc. Y tiene que estar documentada. Si la base es interés legítimo, además debes haber hecho la ponderación y haberla guardado.
2. Minimización de datos (art. 5.1.c RGPD). No metas al modelo más datos de los estrictamente necesarios para la finalidad. La AEPD es muy expresa en esto: "es posible que los datos del cliente estén accesibles, pero no es obligatorio usarlos todos". Si puedes entrenar o procesar con menos, hazlo.
3. Transparencia real con el interesado (arts. 13 y 14 RGPD). El cliente tiene derecho a saber que hay un tratamiento automatizado involucrado, qué finalidad tiene, qué lógica básica sigue y cuáles son las consecuencias previstas. No vale con enterrarlo en la letra pequeña de un contrato.
4. Evaluación de impacto cuando toca (art. 35 RGPD). Obligatoria cuando el tratamiento pueda suponer "un alto riesgo para los derechos y libertades". La lista AEPD incluye explícitamente el profiling automatizado y las decisiones con efecto jurídico. Si tu IA entra ahí, la DPIA se hace antes de poner el sistema en producción, no después.
5. Seguridad técnica y organizativa adecuada (art. 32 RGPD). Cifrado en tránsito y en reposo, control de accesos por roles, seudonimización cuando sea posible, copias de seguridad, plan de recuperación, registro de accesos. La AEPD no prescribe tecnologías concretas, pero pide proporcionalidad al riesgo.
6. Contrato de encargado del tratamiento con el proveedor (art. 28 RGPD). Si usas un proveedor de IA externo —y la mayoría de los despachos lo hacen, al menos en parte— tienes que firmar un DPA (Data Processing Agreement) antes de que un solo dato personal salga de tu sistema hacia el del proveedor. Sin DPA no hay tratamiento legal, sin más matices. En el post sobre RGPD y automatización con IA ya entramos a fondo en qué debe contener el DPA y por qué no es un trámite.
7. Registro de actividades de tratamiento actualizado (art. 30 RGPD). El documento vivo en el que, como responsable, listas qué tratamientos haces, con qué datos, con qué finalidad, durante cuánto tiempo, con quién los compartes. El tratamiento con IA es un tratamiento más: tiene que aparecer explícitamente en el registro, no como "cajón genérico".
8. Intervención humana en decisiones automatizadas con efecto significativo (art. 22 RGPD). Si un cliente puede verse afectado por una decisión completamente automatizada que tenga efectos jurídicos o similares —por ejemplo, una resolución que influye en su procedimiento—, tiene derecho a exigir revisión humana. En un despacho, esto en la práctica significa: la IA propone, el profesional revisa y firma.
9. Notificación de brechas en 72 horas (art. 33 RGPD). Si hay una brecha de seguridad que afecte a datos personales, tienes 72 horas para notificársela a la AEPD desde que tienes conocimiento. Si además pone en riesgo a los interesados, también tienes que avisarles a ellos (art. 34). La IA no cambia este plazo.

Estos nueve puntos son el molde. El resto de lo que dice la AEPD sobre IA es, en general, la forma concreta de aplicar cada uno de ellos a casos específicos.

¿Tengo que hacer una evaluación de impacto (DPIA)?

Si hay una pregunta que los socios nos hacen más que ninguna otra cuando arrancamos un piloto, es esta. La respuesta corta —en despachos que trabajan con datos de clientes— es casi siempre sí, y conviene hacerla aunque la ley no te obligue. La larga:

El art. 35.1 RGPD obliga a una DPIA cuando el tratamiento "es probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas". El art. 35.3 da tres supuestos automáticos:

• Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado, incluida la elaboración de perfiles.
• Tratamiento a gran escala de categorías especiales de datos (art. 9) o datos relativos a condenas e infracciones penales (art. 10).
• Observación sistemática a gran escala de una zona accesible al público.

El art. 35.4 dice que cada autoridad de control publicará su propia lista de tipos de tratamientos que exigen DPIA obligatoria. La AEPD lo hizo en septiembre de 2019 con el documento "Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art. 35.4 RGPD)", y esa lista incluye explícitamente:

• Tratamientos con elaboración de perfiles a gran escala.
• Tratamientos que utilizan datos biométricos para identificar unívocamente a una persona.
• Tratamientos que impliquen decisiones automatizadas con efectos jurídicos o igualmente significativos.
• Uso de categorías especiales de datos (arts. 9 y 10 RGPD) con tecnologías novedosas.
• Fusión de bases de datos procedentes de operaciones con finalidades distintas.

Traduciendo al día a día del despacho: si tu automatización extrae datos de contratos, facturas o expedientes de clientes para alimentar un modelo que propone borradores de escrituras o clasifica casos —aunque sea para su revisión posterior por un profesional—, estás en el territorio donde la DPIA suele ser exigible. Un ejemplo concreto que cruza clusters: incluso una automatización aparentemente "inofensiva" como la clasificación de facturas recibidas —el tipo de flujo que describimos en la guía VERIFACTU 2026— contiene datos personales del cliente en cada factura, con lo que también cae bajo el perímetro del RGPD y la AEPD. Si además tu sistema toma alguna decisión que pueda influir en el procedimiento del cliente (aunque sea una propuesta), estás directamente en el supuesto del art. 35.3.a.

Y un matiz muy importante: aunque tu caso concreto no encaje en la lista AEPD al pie de la letra, hacer la DPIA es el mejor seguro que existe. Es lo que tendrás que enseñar en primer lugar si la Agencia inspecciona, y es lo que te protege frente a reclamaciones de clientes. El coste de hacerla es bajo; el coste de no tenerla cuando toca es muy alto.

Intervención humana, transparencia y sesgo: los tres puntos donde la mayoría falla

De los nueve requisitos que pide la AEPD, tres son los que en inspecciones y auditorías dan más problemas a los despachos. Merecen sección propia.

Intervención humana real (no de adorno)

El art. 22 RGPD dice que el interesado tiene derecho a no ser objeto de una decisión basada únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente. Hay excepciones —consentimiento expreso, celebración de contrato, autorización legal—, pero cuando alguien invoca el art. 22, la decisión tiene que poder pasar por revisión humana con capacidad real de modificarla.

Dónde falla la gente: llamar "intervención humana" a un sello de goma. Si el profesional del despacho recibe una lista de 800 propuestas del modelo y las aprueba en bloque sin abrir ninguna, eso no es intervención humana a efectos del art. 22. La AEPD lo ha dicho expresamente en varias ocasiones: la intervención debe ser significativa, competente y con capacidad efectiva de cambiar la decisión. Si tu flujo es "IA propone, humano firma", tiene que quedar evidencia de que el humano leyó, comprendió y pudo rechazar.

En Gradion aplicamos el criterio de que cada decisión automatizada revisable queda trazada con timestamp, identidad del revisor, resultado de su decisión (aceptar, modificar, rechazar) y justificación mínima cuando la modificación cambia la propuesta original.

Transparencia que el cliente pueda leer

Los arts. 13 y 14 RGPD obligan a informar al interesado. Los arts. 22.3 y 22.4 añaden, para las decisiones automatizadas, que la información debe incluir "información significativa sobre la lógica aplicada" y "las consecuencias previstas" del tratamiento.

Dónde falla la gente: meter esa información en la política de privacidad del despacho junto al resto, en mitad del párrafo 14, con redacción jurídica. El criterio AEPD es transparencia efectiva: el cliente tiene que poder entender, sin asesoría técnica, que hay un tratamiento automatizado por el medio, qué hace, y qué puede pedir al respecto. Lo recomendable es tener una sección separada dedicada a automatización y a IA, en lenguaje plano, y referirla cuando sea necesario.

Sesgo y calidad de los datos

El sesgo no es un concepto filosófico —es una cuestión jurídica con consecuencias. Si tu modelo fue entrenado con datos que introducen sesgos por origen, género, edad, nacionalidad o cualquier otra categoría protegida, y ese sesgo se traduce en decisiones desiguales para personas en situaciones comparables, tienes un problema de discriminación directo.

La AEPD, en su guía sobre IA, pide explícitamente que el responsable del tratamiento evalúe la calidad de los datos de entrenamiento y las posibles fuentes de sesgo. Esto no es una recomendación blanda: forma parte de la DPIA cuando es preceptiva, y es una de las primeras preguntas que hará un inspector. ¿Con qué datos se entrenó el modelo? ¿Quién los revisó? ¿Qué sesgos conocidos se han identificado y cómo se han mitigado? Si la respuesta es "no lo sé, lo entrena el proveedor", el responsable sigues siendo tú —y tendrás que pedirle al proveedor esa información por contrato.

Qué pasa en una inspección de la AEPD (y qué documentos te pedirán primero)

Las potestades de investigación de la AEPD están en el art. 58 RGPD. En la práctica, una inspección empieza casi siempre por un requerimiento escrito: la Agencia te pide documentación por escrito, con un plazo de respuesta. Si la respuesta no es suficiente o hay indicios de infracción, puede seguir con una visita de inspección in situ.

En los requerimientos relacionados con tratamientos de IA, los documentos que solemos ver pedidos primero —basándonos en las resoluciones publicadas en la sección de informes y resoluciones de aepd.es y en la experiencia de los proyectos que hemos acompañado— son estos:

1. Registro de actividades de tratamiento (art. 30 RGPD) en su versión actual, con la entrada concreta del tratamiento basado en IA.
2. Evaluación de impacto (DPIA) del tratamiento cuando sea preceptiva.
3. Contrato de encargado del tratamiento con cualquier proveedor que procese los datos (art. 28 RGPD).
4. Información proporcionada a los interesados —política de privacidad, avisos específicos sobre el tratamiento automatizado, formularios de consentimiento si aplica.
5. Registro de la base legal aplicada al tratamiento y, si es interés legítimo, la ponderación documentada.
6. Evidencia del mecanismo de intervención humana cuando hay decisiones automatizadas: flujo, logs, responsables.
7. Políticas de seguridad aplicadas al sistema (art. 32), incluido el análisis de riesgos técnico y las medidas adoptadas.
8. Notificaciones de brechas —si ha habido alguna en los últimos 24 meses.

Si miras la lista, verás que no pide "el código de la IA" ni "la arquitectura técnica". Pide el expediente administrativo del tratamiento. La AEPD no inspecciona tu IA — inspecciona tu carpeta. Tener bien preparada esa carpeta es, en la práctica, el 80 % de salir bien de una inspección.

Esto enlaza también con el RGPD y la automatización con IA en despachos que tratamos en un post anterior: los cinco principios que allí describíamos son exactamente los que el inspector va a buscar documentados, uno a uno, en esta carpeta.

Sanciones recientes con componente IA: tres casos que conviene conocer

Las sanciones impuestas por la AEPD en casos con componente de IA o tratamientos automatizados masivos son la mejor brújula para entender dónde está la línea. No porque vayas a repetir esos casos en tu despacho, sino porque el razonamiento jurídico de la AEPD es el que aplicará también a los tuyos.

Tres casos de referencia:

• Mercadona y el reconocimiento facial en supermercados. En su procedimiento PS/00120/2021, resuelto en julio de 2021, la AEPD impuso a Mercadona una sanción de 3,15 millones de euros (reducida a 2,52 millones tras el descuento por pago voluntario) por desplegar un sistema de reconocimiento facial en varias tiendas con la finalidad declarada de identificar a personas con órdenes de alejamiento firmes. La Agencia apreció infracción del art. 6 (licitud del tratamiento) y del art. 9 (tratamiento de categorías especiales de datos, incluidos los biométricos) del RGPD, y argumentó que el sistema confundía "utilidad" con "necesidad": aunque pudiera ser útil, no era necesario ni proporcionado. Lectura obligatoria si en algún momento tu despacho valora algún uso de biometría.
• Clearview AI y el scraping masivo de fotografías. La empresa estadounidense ha sido sancionada por varias autoridades europeas de protección de datos (Francia, Italia, Grecia, Reino Unido) por raspar masivamente fotografías públicas de internet para entrenar su base de datos de reconocimiento facial. En España, la AEPD inicialmente archivó una reclamación al respecto, pero la Audiencia Nacional determinó en 2022 que la Agencia era competente y debía admitir la reclamación, interpretando que el art. 3.2.b del RGPD se aplicaba. El punto clave del razonamiento europeo: el consentimiento de los titulares no se puede inferir del hecho de que las fotos estén "públicas" en internet. La lógica aplica a cualquiera que entrene un modelo raspando datos públicos, esté donde esté.
• Worldcoin (Tools for Humanity) y el escaneo de iris. En marzo de 2024 la AEPD ordenó una medida cautelar contra Tools for Humanity Corporation, responsable del proyecto Worldcoin, exigiendo el cese inmediato del tratamiento de datos biométricos (iris) en España y el bloqueo de los datos ya recogidos. La medida se notificó el 4 de marzo de 2024 con un plazo de 72 horas para su cumplimiento, tenía una duración máxima de tres meses, y fue avalada posteriormente por la Audiencia Nacional, que consideró que la protección del derecho fundamental a la protección de datos prevalecía sobre el interés particular de la empresa. El caso es interesante porque ilustra la velocidad a la que la Agencia puede actuar: no esperó al final de un procedimiento sancionador.

Los tres casos tienen un denominador común: todos implican tratamientos automatizados a gran escala con datos sensibles y sin un expediente de cumplimiento claro. Ninguno te afecta directamente si tu automatización consiste en clasificar expedientes de clientes —pero el marco mental que aplica la AEPD, sí.

Preguntas frecuentes sobre AEPD e IA

¿Tengo que notificar a la AEPD antes de empezar a usar IA en mi despacho?

No hay un deber general de notificación previa. Pero si tu tratamiento requiere evaluación de impacto (DPIA) y, tras hacerla, el resultado es que el riesgo residual sigue siendo alto, el art. 36 RGPD obliga a una consulta previa a la AEPD antes de iniciar el tratamiento. En la mayoría de automatizaciones de despacho la DPIA concluye con riesgo residual bajo, con lo que esta consulta no es necesaria. Pero hay que hacer la DPIA primero para saberlo.

¿Qué es exactamente una DPIA y cuándo la necesito obligatoriamente para IA?

Una DPIA (Data Protection Impact Assessment, o Evaluación de Impacto en la Protección de Datos) es el análisis documentado de cómo un tratamiento afecta los derechos y libertades de las personas, qué riesgos introduce y qué medidas vas a adoptar para mitigarlos. Es obligatoria cuando el tratamiento supone un alto riesgo (art. 35 RGPD) y, específicamente, cuando entra en la lista que ha publicado la AEPD (art. 35.4). Para tratamientos con IA, incluye la evaluación de los datos de entrenamiento, de los sesgos conocidos y de los mecanismos de intervención humana.

¿La AEPD puede inspeccionarme sin previo aviso?

Sí, en teoría. El art. 58 RGPD le da potestad para acceder a instalaciones y equipos. En la práctica, las inspecciones suelen empezar por un requerimiento de información por escrito, al que hay que responder con documentación. Las visitas in situ existen, pero son menos frecuentes y suelen ir precedidas de expedientes con indicios claros de infracción.

¿Qué diferencia hay entre la AEPD y la AESIA?

La AEPD es la autoridad de protección de datos: se ocupa de todo lo que implique datos personales y del cumplimiento del RGPD/LOPD-GDD. Lleva haciéndolo desde 1994. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) es la autoridad de supervisión del Reglamento europeo de IA en España, creada a finales de 2023, y se ocupa de las prácticas prohibidas, los sistemas de alto riesgo y las obligaciones específicas del AI Act. En la mayoría de casos en un despacho, las dos aplican en paralelo: la AEPD por los datos personales, la AESIA por el sistema de IA. La que te inspeccionará con más probabilidad en los primeros años es la AEPD.

¿Puedo usar un proveedor de IA estadounidense si firmo el DPA?

El DPA (art. 28 RGPD) es condición necesaria, pero no suficiente. Para transferencias de datos a terceros países fuera del EEE tienes que cumplir, además, las disposiciones del capítulo V del RGPD. Para Estados Unidos concretamente, la Comisión Europea adoptó el EU-U.S. Data Privacy Framework el 10 de julio de 2023, que permite las transferencias a proveedores adheridos; la Comisión publicó su primera revisión periódica en octubre de 2024 y, a fecha de publicación de este artículo, la decisión sigue vigente. Las alternativas son las cláusulas contractuales tipo aprobadas por la Comisión, las normas corporativas vinculantes y las excepciones tasadas del art. 49. Antes de firmar nada conviene comprobar el estado actualizado en la página de decisiones de adecuación de la Comisión Europea, no después.

¿Qué registro tengo que llevar de las decisiones automatizadas?

No hay un formato oficial, pero para sostener una intervención humana "significativa" (art. 22 RGPD) y poder responder una inspección, el mínimo razonable es registrar, para cada decisión: timestamp, identificador del expediente o caso, propuesta del sistema automatizado, identidad del profesional que revisa, resultado de la revisión (aceptada, modificada, rechazada) y justificación mínima si la decisión final se aparta de la propuesta. Todo esto debe poder extraerse en un informe legible ante un requerimiento.

¿Qué pasa si mi cliente invoca el derecho del art. 22 y pide intervención humana?

Tienes que concederla, salvo que se aplique alguna de las excepciones del art. 22.2 (consentimiento, ejecución de contrato, autorización legal), y aun así el cliente mantiene derecho "como mínimo" a impugnar la decisión, a expresar su punto de vista y a obtener la intervención humana. En la práctica, esto significa que tu flujo tiene que permitir, por diseño, que una decisión sea revisada por un profesional con capacidad real de modificarla. Si no lo permite, no cumples con el art. 22.

Cómo lo estamos resolviendo en Gradion

En los proyectos que hemos hecho con despachos, el patrón se repite: el equipo cumple técnicamente —los datos están bien cifrados, hay control de accesos, los servidores están en la Unión Europea— pero cuando les pedimos la prueba documental de cada una de esas cosas, aparece a medias. El registro de actividades del tratamiento no tiene entrada específica para la IA. El acuerdo con el proveedor se firmó pero no se revisó en cada cambio. La DPIA está empezada en un Google Doc que nadie terminó. La información al cliente está en la política de privacidad general, sin una sección específica sobre automatización. Técnicamente cumplen; demostrativamente no.

Por eso cuando diseñamos una automatización en Gradion, el expediente de cumplimiento se construye en paralelo al flujo automatizado, no después. Cada componente que entra en producción deja tres tipos de rastro auditable por diseño:

1. Trazabilidad del tratamiento. Cada operación queda registrada con el dato que entró, la base legal aplicable a esa operación, la finalidad concreta y la retención prevista. El registro de actividades del tratamiento se alimenta de eso, no al revés. Cuando el despacho tiene que enseñar su registro en una inspección, los datos están ya allí.
2. Trazabilidad de la intervención humana. Cada propuesta de la IA que requiera revisión queda ligada a un identificador de revisor, timestamp, resultado (aceptada, modificada, rechazada) y —cuando la modificación es sustantiva— la justificación corta que introduce el profesional. Esto no es un sistema paralelo de auditoría; es parte del propio flujo de revisión. El despacho tiene, sin esfuerzo extra, la evidencia de que el art. 22 se cumple.
3. Expediente del despliegue. Antes de que un flujo automatizado se active en producción, generamos el dossier correspondiente: DPIA cuando aplica, análisis de riesgos técnicos del art. 32, contrato de encargado del tratamiento firmado, aviso al cliente actualizado, y entrada en el registro del art. 30. El despacho recibe ese dossier como entregable del piloto, no como "documentación adicional" que se le cobra aparte.

Gabriel Naranjo, co-fundador y Cloud Architect certificado en Azure, AWS, Google Cloud y Oracle —además de Microsoft Certified Trainer en cloud y seguridad—, es el garante técnico de esta arquitectura. La lógica es simple: si cuando termina el piloto el socio no puede abrir una carpeta con el expediente listo para una inspección, el piloto no está terminado.

Es un cambio pequeño en el enfoque, pero tiene consecuencias grandes. El socio del despacho deja de ver la AEPD como una amenaza difusa y empieza a verla por lo que realmente es: una autoridad que pide documentación específica, que puedes preparar y que ya tienes hecha.

¿Tu equipo pierde 15 horas a la semana en papeleo?

Nosotros te lo resolvemos en 10 días, con un piloto a precio fijo. Datos en la UE, DPA firmado desde el primer día, expediente de AEPD listo antes de producción.

Cuéntanos tu caso →