La CNIL (Commission Nationale de l’Informatique et des Libertés), autoridad francesa de protección de datos, ha publicado en julio de 2025 una serie de fichas prácticas y recomendaciones finales para orientar el desarrollo de sistemas de inteligencia artificial (IA) conforme al Reglamento General de Protección de Datos (RGPD). Estas directrices están especialmente dirigidas a desarrolladores, responsables de tratamiento y organizaciones públicas o privadas que deseen innovar sin poner en riesgo los derechos fundamentales de las personas.
En primer lugar, la CNIL destaca la importancia de determinar si el sistema de IA está sometido al RGPD, lo que dependerá de si el modelo trata, directa o indirectamente, datos personales. En caso afirmativo, se deben adoptar medidas específicas para garantizar la licitud del tratamiento. Incluso cuando el modelo no se haya entrenado intencionalmente con datos personales, si estos pueden aflorar durante su funcionamiento, deberá considerarse dentro del ámbito del RGPD.
Respecto a la base jurídica, la autoridad francesa considera que el interés legítimo puede ser una base adecuada para desarrollar sistemas de IA, siempre que se adopten garantías eficaces. Estas pueden incluir la minimización de datos, el uso de filtros, mecanismos de oposición efectivos o la anonimización previa. En determinadas actividades, como el web scraping, la CNIL recuerda que deben excluirse los datos sensibles, proporcionar información clara a los interesados y respetar el principio de lealtad.
Otro de los pilares de estas recomendaciones es la realización de una evaluación de impacto relativa a la protección de datos (AIPD), especialmente en los casos de tratamientos innovadores o con alto riesgo. Esta AIPD debe integrar el análisis de riesgos desde las fases iniciales de desarrollo, valorando elementos como la calidad de los datos, los procesos de anotación, la trazabilidad de versiones y la gobernanza de los modelos.
En relación con la seguridad, la CNIL insiste en la necesidad de adoptar medidas técnicas robustas como el cifrado, la segregación de entornos, el control de accesos y el uso de datos sintéticos siempre que sea posible. También se recomienda documentar detalladamente las decisiones adoptadas, conservar pruebas del cumplimiento de las obligaciones legales y asegurar la reversibilidad y supervisión de los modelos entrenados.
La transparencia ocupa un lugar central en estas recomendaciones. Las organizaciones deben informar de forma clara a los usuarios o interesados sobre las finalidades del tratamiento, su base jurídica, los derechos que les asisten y las implicaciones del uso de IA. También se aboga por implementar mecanismos que permitan ejercer eficazmente los derechos de acceso, rectificación, oposición y supresión, incluso cuando se utilicen técnicas de aprendizaje automático.
Un aspecto novedoso que subraya la CNIL es la necesidad de una anotación ética y técnicamente sólida de los datos, garantizando su calidad y reduciendo sesgos. Esta fase debe ser trazable y segura, con herramientas que aseguren la integridad y confidencialidad tanto para los datos como para los metadatos utilizados en la creación del modelo.
Estas recomendaciones, aunque no son vinculantes, constituyen una referencia sólida para diseñar IA de forma responsable. La CNIL ha anunciado que continuará desarrollando orientaciones específicas para sectores como la salud, la educación o el mundo laboral, así como guías sobre la distribución de responsabilidades en la cadena de valor de los sistemas de IA.
En definitiva, estas fichas prácticas de la CNIL suponen un paso relevante hacia una IA que respete la privacidad desde el diseño, proporcionando un marco operativo claro para quienes desarrollan tecnología puntera sin renunciar al cumplimiento normativo ni a la ética. Se trata de integrar el RGPD como una herramienta de confianza, no como un obstáculo, en el camino hacia una inteligencia artificial respetuosa y fiable.
