La reciente publicación por la Agencia Española de Protección de Datos de su Política general para el uso de IA generativa en procesos administrativos constituye, a mi juicio, un hito especialmente relevante desde una doble perspectiva: institucional y académica. No es habitual que una autoridad de control, llamada precisamente a supervisar y sancionar usos indebidos de tecnologías intensivas en datos, se sitúe de forma tan explícita en la posición de usuario responsable de dichas tecnologías, y lo haga además mediante un documento público, sistemático y jurídicamente fundamentado.
Como profesor de Derecho, valoro muy positivamente que la AEPD no haya optado por un enfoque meramente tecnológico o experimental, sino que haya articulado el uso de la IA generativa desde los principios clásicos del Derecho público y de la protección de datos: legalidad, finalidad, proporcionalidad, seguridad jurídica y, muy especialmente, responsabilidad proactiva. La política no pretende “normalizar” el uso de la IA por razones de eficiencia administrativa, sino someterlo a límites claros y verificables, recordando que la automatización nunca puede sustituir al juicio humano cuando están en juego derechos fundamentales.
Uno de los aspectos más interesantes del documento es su insistencia en que la IA generativa no puede intervenir en la toma de decisiones administrativas con efectos jurídicos directos, ni condicionar resoluciones, informes o actuaciones que afecten a los derechos de los ciudadanos. Esta afirmación, que puede parecer obvia, resulta crucial en un contexto en el que muchas administraciones —y también empresas privadas— tienden a difuminar la frontera entre herramientas de apoyo y sistemas de decisión automatizada. Desde el punto de vista del Derecho administrativo, la AEPD refuerza aquí una idea esencial: la potestad pública es indelegable en algoritmos.
Asimismo, la política conecta de forma coherente con el marco europeo existente, en particular con el Reglamento General de Protección de Datos (RGPD) y con el futuro Reglamento de Inteligencia Artificial. No se trata de anticipar la aplicación del AI Act, sino de demostrar que sus principios —evaluación de riesgos, supervisión humana, trazabilidad, gobernanza— ya pueden y deben integrarse en la práctica administrativa cotidiana. En este sentido, la AEPD predica con el ejemplo y ofrece un modelo exportable al resto del sector público.
Desde una óptica docente, considero que este documento tiene un enorme valor pedagógico. Permite explicar a los estudiantes —y también a los operadores jurídicos— que la IA generativa no es un “territorio sin ley”, sino un fenómeno tecnológico que debe leerse a la luz de categorías jurídicas ya conocidas. Transparencia, motivación de los actos administrativos, control jurisdiccional o protección de datos personales no desaparecen con la IA: al contrario, se vuelven más exigentes.
Finalmente, creo que esta política interna lanza un mensaje claro al tejido empresarial y profesional: si la autoridad de control se impone a sí misma límites estrictos, evaluaciones previas y controles reforzados, resulta difícil justificar usos opacos o irresponsables de IA generativa en el ámbito privado. La innovación jurídica y tecnológica no consiste en hacer “todo lo posible”, sino en hacer solo lo jurídicamente legítimo y socialmente aceptable.
En definitiva, estamos ante un documento que merece ser leído con atención, no solo como una guía interna de la AEPD, sino como una pieza doctrinal de referencia sobre cómo integrar la inteligencia artificial en el funcionamiento de las instituciones sin erosionar el Estado de Derecho.
