El Supervisor Europeo de Protección de Datos (EDPS) ha publicado el 11 de noviembre de 2025 una guía clave sobre gestión de riesgos en sistemas de inteligencia artificial, dirigida a instituciones y organismos de la Unión Europea que actúan como responsables del tratamiento. Aunque formalmente se centra en el Reglamento (UE) 2018/1725, su metodología es extrapolable a cualquier organización que deba conciliar el uso de IA con la protección de los derechos fundamentales.
1. Un marco de gestión de riesgos inspirado en ISO 31000:2018
La guía adopta la metodología ISO 31000:2018, aplicándola al ciclo de vida de los sistemas de IA. Identifica, analiza y trata los riesgos asociados a cada fase —desde el diseño y desarrollo hasta la puesta en servicio y retirada—, destacando la importancia de un enfoque preventivo y continuo.
El documento introduce una matriz cualitativa de riesgo (probabilidad × impacto) y promueve un modelo iterativo que exige evaluaciones continuas y, en su caso, consultas previas al EDPS cuando no sea posible mitigar razonablemente los riesgos detectados .
2. Interpretabilidad y explicabilidad: condición “sine qua non”
El EDPS considera la interpretabilidad y explicabilidad como requisitos transversales y previos a cualquier tratamiento conforme al Reglamento.
- Interpretabilidad significa comprender el funcionamiento interno del modelo (“cómo decide”).
- Explicabilidad, por su parte, consiste en comunicar las razones de una decisión concreta de modo comprensible para usuarios y afectados.
Sin estos elementos —advierte el informe— no es posible garantizar ni la transparencia ni la rendición de cuentas en el uso de la IA .
3. Principios de protección de datos y riesgos asociados
El núcleo de la guía desarrolla los riesgos técnicos vinculados a cinco principios fundamentales del Derecho europeo de protección de datos:
- Lealtad y equidad (fairness): se detallan riesgos como el sesgo en los datos de entrenamiento, el overfitting o los sesgos algorítmicos, junto con medidas de mitigación como auditorías de equidad, datos representativos o algoritmos fairness-aware.
- Exactitud (accuracy): el EDPS distingue entre la exactitud jurídica y la “exactitud estadística”, alertando sobre fenómenos como las alucinaciones de los modelos generativos y la deriva de datos (data drift).
- Minimización de datos: se advierte contra la recolección indiscriminada y se recomienda el uso de técnicas como muestreo, anonimización y pseudonimización.
- Seguridad: se analizan riesgos propios de la IA, como las fugas de datos mediante model inversion o membership inference attacks, proponiendo contramedidas como diferential privacy, entrenamiento con datos sintéticos y cifrado reforzado.
- Derechos de los interesados: la guía propone herramientas como machine unlearning, metadatos trazables y utilidades de recuperación de datos para facilitar el ejercicio efectivo de derechos de acceso, rectificación y supresión .
4. Un enfoque de gobernanza integral
La conclusión del documento es contundente: gestionar los riesgos de la IA no es una tarea periférica, sino un deber central de cumplimiento.
El EDPS insiste en que las instituciones deben integrar la gestión de riesgos de IA en la cultura organizativa, con mecanismos de rendición de cuentas, supervisión continua y revisión periódica.
La guía ofrece además anexos con métricas de evaluación y listas de verificación por fases del ciclo de vida, constituyendo una herramienta práctica para responsables de cumplimiento, DPO y equipos técnicos.
Este nuevo documento del EDPS consolida el paso de la ética de la IA a la gestión jurídica y técnica del riesgo, articulando una metodología alineada con el futuro marco del AI Act. Para juristas, ingenieros y responsables de cumplimiento, representa un instrumento esencial para anticipar las obligaciones de responsabilidad y trazabilidad que marcarán la gobernanza europea de la inteligencia artificial en los próximos años.
La guia completa se puede consultar aquí.
