Ana Belén MuñozIncluso las herramientas de IA clasificadas como de «riesgo limitado», como el típico chatbot de Recursos Humanos, presentan peligros significativos para la protección de tus datos. La IA generativa, definida como una tecnología disruptiva por su capacidad de producir contenido a una escala sin precedentes, funciona de una manera muy particular. Se nutre constantemente de la información que procesa para generar respuestas e inferir nuevos datos. Pero, ¿qué sucede realmente con nuestros datos personales cuando interactuamos con estas herramientas? Aunque no son tan intrusivas como los sistemas de IA de «alto riesgo» utilizados para seleccionar personal, incluso estas herramientas de «riesgo limitado» abren una caja de Pandora de implicaciones legales y técnicas.
Cuando abordamos el uso de la IA en el ámbito laboral nos centramos en aquellas modalidades que la empresa podría tener interés en utilizar y que pueden tener un impacto laboral negativo. Es el caso de los sistemas de IA que pueden suponer un riesgo inaceptable para los derechos fundamentales de las personas empleadas (por ejemplo, los sistemas automatizados de reconocimiento de emociones o intenciones) o alto riesgo (un sistema de IA empleado para seleccionar personal) siguiendo la clasificación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, RIA).
Sin embargo, hay que poner el foco también en la IA generativa (artículo 50 RIA) que cada vez podría estar más integrada en el entorno laboral y que se define como una tecnología disruptiva debido a su capacidad de producir contenido similar al humano a una escala sin precedentes. Por ejemplo, un chatbot puesto a disposición de las personas candidatas a un puesto de trabajo para responder a preguntas sobre el procedimiento o que responde dudas a los trabajadores sobre vacaciones, nóminas o políticas internas (la ética de la empresa o la prevención de riesgos laborales). Algunos ejemplos fueron analizados en entrada previa de blog. Este tipo de IA se podría describir como un agujero negro en la medida que se nutre de datos e infiere otros. Pese a que no toma decisiones y se encuentra en principio ubicada en el nivel 3 (riesgo limitado) puede presentar también ciertos peligros. Así lo ha advertido el Comité Europeo de Protección de Datos en 2024 y la Comisión Europea en 2025. Veamos algunos de ellos.
Conviene recordar que el derecho de protección de datos de carácter personal se configura a nivel europeo como un derecho fundamental y que se define como el poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso (artículo 8.1 Carta de los Derechos Fundamentales de la Unión Europea, artículo 16.1 del Tratado de Funcionamiento de la Unión Europea y el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, RGPD).
Hay que resaltar que el RIA no ha modificado el RGPD y que esta norma sigue siendo la encargada de regular los derechos de acceso, rectificación, supresión y oposición de las personas empleadas que podríamos decir que son el corazón de la protección de datos, pues garantizan el cumplimiento de este derecho (artículos 15-22 RGPD). Estos derechos son un suelo mínimo que se aplica a cualquier dato de carácter personal, pues el RGPD no distingue entre niveles de riesgos. Sobre el alcance de los mismos nos remitimos a nuestra entrada previa de blog.
Por su parte el RIA indica que el derecho a la intimidad y a la protección de datos personales debe garantizarse a lo largo de todo el ciclo de vida del sistema de IA (Considerando 69 RIA). Y tan solo se refiere al derecho de eliminación en el caso de los sistemas de alto riesgo, guardando silencio para la IA generativa. Concretamente, el artículo 60.5 del RIA señala que: «Cualquier sujeto de las pruebas en condiciones reales o su representante legalmente designado, según proceda, podrá, sin sufrir por ello perjuicio alguno y sin tener que proporcionar ninguna justificación, abandonar las pruebas en cualquier momento retirando su consentimiento informado y solicitar la supresión inmediata y permanente de sus datos personales. La retirada del consentimiento informado no afectará a las actividades ya completadas».
La aplicación conjunta de ambas normativas nos permite plantear si en los sistemas de IA el trabajador podría ejercer el derecho de acceso a sus datos en los términos que ha sido interpretado por la doctrina judicial comunitaria. Es decir, el derecho a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento implica que se entregue al interesado una reproducción auténtica e inteligible de todos esos datos. Este derecho incluye el de obtener copia de extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, dichos datos, si la entrega de tal copia es indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento (STJUE de 4.5.2023, Asunto C‑487/21). Siguiendo este razonamiento, ¿el trabajador tendría derecho a recibir una copia de los datos de entrenamiento del sistema de IA?
Mayor problemática surge cuando en la actualidad no parece posible, en términos generales, que un responsable del tratamiento (la empresa) identifique, para un individuo específico, todos los datos relativos a ese individuo que han sido almacenados por el modelo de IA sin que este último proporcione información adicional. Así sería preciso que el trabajador proporcionase las instrucciones (prompts) que cree que revelan el almacenamiento de sus datos personales por parte del modelo de IA. Ahora bien, el RGPD no especifica ninguna forma en particular y esta información adicional aportada por los empleados no debería ser tratada con fines distintos al ejercicio de sus derechos.
Incluso en ocasiones puede ocurrir que la empresa no pueda verificar la existencia de un almacenamiento, pero tampoco puede descartarlo. Ello se debe a las limitaciones técnicas de los métodos actuales, tal y como se señala en el trabajo IA: Respecter et faciliter l’exercice des droits des personnes concernées, CNIL, 2025.
Como reflexión final, si bien el derecho fundamental de protección de datos de carácter personal no es absoluto y permite ciertos sacrificios, sería conveniente que incluso en los sistemas de IA de riesgo limitado se procurara garantizar su ejercicio desde el diseño. De esta forma, se evitaría el riesgo de anulación de este derecho en la medida que el ejercicio de sus derechos esenciales podría suponer grandes dificultades o incluso ser imposible.
Nota: Artículo publicado por la autora en El Foro de Labos.
Ana Belén Muñoz es Profesora Titular de Derecho del Trabajo y de la Seguridad Social de la Universidad Carlos III Madrid. Premio de Excelencia otorgado por el Consejo Social de la Universidad Carlos III de Madrid (2021). Profesora Excelente + por la Universidad Carlos III (mayo 2020) habiendo obtenido 95,7 puntos sobre un máximo de 100 (Programa Docentia). Designada como Mediadora en el Servicio Interconfederal de Mediación y Arbitraje F.S.P (SIMA-FSP), Fundación estatal desde marzo de 2020. De sus investigaciones destacan la tecnología y el control laboral en la empresa (inteligencia artificial, uso de algoritmos, etc.) y la problemática del Convenio Colectivo de Empresa tras la reforma laboral de 2012. Entre los reconocimientos, Premio La Ley y Premio Estudios Financieros. Ha realizado estancias de investigación en las Universidades de Harvard, Oxford y London School of Economics and Political Science (LSE). Ha desarrollado labores docentes en inglés en prestigiosas Universidades en Bélgica, Dinamarca, Países Bajos, Suecia, Suiza, Reino Unido y Hungría. Es Subdirectora del Máster Universitario en Prevención de Riesgos Laborales de la UC3M.
Maite Sáenz
Annais Paradela
