Síguenos en redes sociales:

En la IA Agéntica -que decide y actúa- el responsable no es el algoritmo, "el ser humano es el que debe mandar"

La Agencia Española de Protección de Datos (AEPD) ha publicado una guía de orientaciones sobre las reglas del juego y la responsabilidad de los desarrolladores y las empresas

NTMEFE

18·02·26 | 14:30 | Actualizado a las 16:54

En la IA Agéntica -que decide y actúa- el responsable no es el algoritmo, "el ser humano es el que debe mandar"Freepik

La Inteligencia Artificial (IA) ya no es solo un motor de búsqueda o un generador de contenido, la llegada de la IA Agéntica -sistemas de IA capaces de tomar decisiones, interactuar con otros servicios y actuar de forma autónoma- ha introducido nuevos retos, algunos relacionados con el tratamiento de datos.

Ante este avance tecnológico, la Agencia Española de Protección de Datos (AEPD) ha publicado una guía de orientaciones que redefine las reglas del juego y la responsabilidad de los desarrolladores y las empresas.

La consigna de la agencia es clara: la responsabilidad no puede delegarse en el algoritmo sino que las organizaciones deben establecer marcos de gobernanza claros antes de desplegar los sistemas de IA agéntica porque "el agente (la IA) puede actuar, pero el ser humano siempre debe mandar", advierte.

Canalizar la innovación

El objetivo de esta hoja de ruta, asegura la AEPD, no es frenar la innovación sino canalizarla hacia "un terreno seguro" porque, aunque la IA agéntica promete "una explosión de productividad", esta no puede realizarse "a costa de la pérdida de control sobre nuestra información personal".

Además, las empresas españolas y europeas que ignoren las directrices de esta guía se enfrentarán no solo a sanciones millonarias sino a la pérdida de confianza que en la era digital es "el activo más difícil de recuperar", avisa.

Muchas empresas ya consideran clave el uso de la IA en el trabajo.

Vulnerar los derechos y libertades de las personas

 Hasta ahora, interactuábamos con modelos de lenguaje (LLM) que esperaban una instrucción para responder. El "agente", sin embargo, es software que utiliza el razonamiento de la IA para alcanzar un objetivo: Si le pides que organice un viaje, no solo te dará opciones; entrará en tu calendario, comparará vuelos en tiempo real, se comunicará con la aerolínea y, si tiene permiso, lo abonará.

Esta autonomía preocupa a la AEPD porque en su trabajo el agente maneja una cantidad ingente de datos personales y puede vulnerar los derechos y libertades de las personas de manera mucho más directa que un chatbot convencional.

"Caja negra" tecnológica

Pero en tal caso, ¿es responsable el desarrollador del modelo base, el creador del agente específico o la empresa que lo implementa?. La AEPD es tajante: la responsabilidad no puede delegarse en el algoritmo y las organizaciones deben establecer marcos de gobernanza claros antes de desplegar estos sistemas a los clientes.

La guía subraya que cada "caso de uso" debe estar documentado y contar con un responsable técnico y funcional y si el agente comete una infracción de privacidad o toma una decisión sesgada, las empresas no podrán escudarse en la "caja negra" tecnológica.

Minimización de datos, control humano y transparencia

 La AEPD basa las recomendaciones para los desarrolladores en tres pilares: Minimización de datos, control humano y transparencia. Sobre el primero, recuerda que los agentes suelen tener acceso a múltiples herramientas (bases de datos, correos..). La guía de la AEPD exige que el acceso sea de "mínimo privilegio" porque un agente encargado de resumir reuniones no necesita acceso a la base de datos de nóminas de la empresa.

Respecto a la segunda, recuerda que la autonomía total es "un riesgo legal" e insiste en que, especialmente en decisiones que tengan impacto jurídico o significativo para el ciudadano (un crédito o un diagnóstico médico), haya una supervisión humana capaz de revertir la decisión de la máquina.

Sobre la tercera, aclara que el usuario debe saber siempre que está interactuando con un agente y qué alcance tiene su autonomía. ¿Puede este sistema comprar por mí? ¿Puede compartir mis datos con terceros?. No facilitar esta información -subraya la AEPD- es una violación directa del Reglamento General de Protección de Datos (RGPD).

Riesgos emergentes, sesgos y futuro

A diferencia de la IA generativa tradicional, donde una "alucinación" (un dato falso inventado por la IA) puede ser una simple anécdota, en la IA agéntica puede ser catastrófica porque si el agente "alucina" una transferencia bancaria o en un protocolo de seguridad, las consecuencias son reales.

El informe también destaca el riesgo de seguridad. Los agentes de IA pueden convertirse en "identidades privilegiadas" dentro de una red corporativa. Por ello, la AEPD recomienda tratar a los agentes casi como a empleados: con monitorización constante y auditorías de comportamiento.

La agencia no olvida el componente social y explica que los agentes aprenden de datos que a menudo contienen sesgos históricos que después se replican. Por ejemplo, un agente de contratación que descarta candidatos automáticamente basándose en patrones aprendidos no solo es ineficiente, también es ilegal.

Evaluaciones de Impacto

Por eso, insta a las empresas a hacer Evaluaciones de Impacto en la Protección de Datos (EIPD) específicas para agentes para analizar cómo tratan los datos y si su "conducta" puede afectar a grupos vulnerables.

Para el futuro, la AEPD aconseja que los sistemas de IA de "alto riesgo" pasen controles estrictos antes de salir al mercado, recuerda que los ciudadanos siempre pueden exigir saber por qué un agente tomó una decisión determinada sobre ellos, e insta a priorizar el uso de modelos internos o entornos controlados frente a nubes públicas cuando se maneje información sensible.