RGPD e IA: Por qué 'ya seremos conformes' no es un plan

En mayo de 2023, la Comisión de Protección de Datos de Irlanda multó a Meta con 1.200 millones de euros por transferir datos de usuarios europeos a Estados Unidos. Una sola decisión. Un solo mecanismo de transferencia. Dos años después, en mayo de 2025, TikTok recibió una multa de 530 millones de euros por enviar datos del EEE a China. La infracción era idéntica: datos personales que abandonaban la UE sin protección adecuada.

Esto ya no son avisos. Los avisos fueron hace años.

Si tu empresa está desplegando herramientas de IA que enrutan datos a través de servidores estadounidenses, la pregunta no es si los reguladores se van a fijar. Es cuándo les toca a ustedes.

Los muros regulatorios ya están levantados

El AI Act europeo entró en vigor el 1 de agosto de 2024. No es un borrador ni una propuesta — es ley vinculante con un calendario de aplicación escalonado.

Las primeras prohibiciones son efectivas desde el 2 de febrero de 2025: scoring social, prácticas manipulativas de IA y reconocimiento facial indiscriminado son ahora ilegales. Las obligaciones para modelos de IA de propósito general — la categoría que abarca todos los grandes modelos de lenguaje — son exigibles desde el 2 de agosto de 2025. Los requisitos de transparencia y las normas sobre IA de alto riesgo entran en vigor el 2 de agosto de 2026. Los sistemas de alto riesgo integrados en productos regulados siguen el 2 de agosto de 2027.

La estructura de sanciones es agresiva. Infracciones relativas a prácticas de IA prohibidas: hasta 35 millones de euros o el 7 % de la facturación anual global, lo que sea mayor. IA de propósito general: hasta 15 millones o el 3 %. Infracciones de procedimiento: 7,5 millones o el 1 %.

Esto se suma al RGPD. Dos marcos regulatorios, un mismo conjunto de datos. Las empresas que despliegan herramientas de IA en la UE afrontan obligaciones de cumplimiento en paralelo — y los reguladores de ambos frentes están sancionando activamente.

La AEPD: récord de sanciones y la IA en el punto de mira

Según el estudio de DLA Piper de enero de 2026, las autoridades de control europeas impusieron aproximadamente 1.200 millones de euros en multas RGPD durante 2025, igualando el total de 2024. El acumulado desde la entrada en vigor del RGPD en mayo de 2018 alcanza ya los 7.100 millones de euros.

España está lejos de ser un mero espectador en esta dinámica. En 2024, la Agencia Española de Protección de Datos (AEPD) impuso multas por 35,5 millones de euros, un incremento del 19 % respecto al año anterior, con 10 sanciones superiores al millón de euros. En enero de 2025, ninguna autoridad de protección de datos de la UE impuso tantas multas ni de importes tan elevados como la AEPD.

Los casos son de sobra conocidos en España. CaixaBank acumula varias sanciones: 6 millones de euros por tratamiento ilícito de datos y falta de transparencia, 5 millones por una brecha de seguridad que expuso datos de transferencias de clientes, y 3 millones más por deficiencias en la obtención del consentimiento para la elaboración de perfiles. Orange España fue sancionada en 2025 con 1,2 millones de euros por duplicar tarjetas SIM sin verificar la identidad del titular — un caso que pone de manifiesto cómo las deficiencias operativas se convierten en infracciones del RGPD. A La Liga le costó 1 millón de euros el uso indebido de datos personales.

En materia de IA, la AEPD ha dejado clara su posición. En julio de 2025, la Agencia anunció que está facultada para actuar contra sistemas de IA prohibidos que procesen datos personales, aunque España aún no haya designado formalmente su autoridad de vigilancia del mercado bajo el AI Act. Además, España fue pionera con el primer sandbox regulatorio europeo vinculado al AI Act, establecido mediante Real Decreto 817/2023, donde ya se han probado 12 sistemas de IA de alto riesgo bajo supervisión directa.

A nivel europeo, los ejemplos se multiplican. Italia multó a OpenAI con 15 millones de euros en diciembre de 2024 por infracciones del RGPD relacionadas con ChatGPT. Países Bajos sancionó a Clearview AI con 30,5 millones por tratamiento ilícito de datos biométricos. Y TikTok recibió 530 millones por lo mismo de siempre: datos que salían de la UE sin protección adecuada.

La moraleja: “la residencia de datos la solucionamos después” tiene un precio, y empieza con nueve cifras.

”Residencia de datos próximamente” no es una estrategia de cumplimiento

Microsoft completó su EU Data Boundary en febrero de 2025. Los datos de clientes en reposo permanecen en la UE. Hasta ahí, correcto.

Pero los datos en reposo son solo la mitad de la ecuación. Cuando un empleado en Madrid introduce un prompt en Microsoft 365 Copilot, ese prompt necesita ser procesado por un modelo de lenguaje. Dónde ocurre ese procesamiento importa.

Microsoft anunció en noviembre de 2025 que el procesamiento de datos en país (in-country) para las interacciones de Copilot se desplegaría por fases. (Analizamos la comparación completa del Copilot — precios, memoria y arquitectura — en un artículo separado.) La primera ola — Australia, Reino Unido, India y Japón — estaba prevista para finales de 2025. España, junto con Alemania, Canadá, Italia y otros países, fue pospuesta a 2026. Mientras tanto, los prompts de Copilot en España se procesan donde Microsoft tenga capacidad LLM disponible — dentro de la EU Data Boundary, pero no necesariamente en España.

Para una empresa española sujeta a la LOPD-GDD y al RGPD, “procesamiento en la región UE” y “procesamiento en España” son afirmaciones fundamentalmente distintas.

Y ese es el mejor escenario: un proveedor que trabaja activamente hacia el cumplimiento. Muchas herramientas de IA ofrecen menos. Muchas procesan datos europeos en EE.UU., apoyándose en cláusulas contractuales tipo o en el EU-US Data Privacy Framework.

El DPF sobrevivió a una impugnación legal en septiembre de 2025, cuando el Tribunal General de la UE desestimó el caso Latombe. Tranquilizador en la superficie. Pero Max Schrems y NOYB — quienes tumbaron Safe Harbor y Privacy Shield — han declarado públicamente que están evaluando opciones para una impugnación más amplia. La sentencia validó el DPF ante un conjunto limitado de alegaciones; la tensión fundamental entre la legislación de vigilancia estadounidense y los derechos fundamentales europeos de privacidad sigue sin resolverse.

Construir tu infraestructura de IA sobre un mecanismo de transferencia con un futuro legal incierto es jugársela. Y si pierdes, no hay periodo de gracia.

Lo que realmente requiere una IA conforme

El cumplimiento normativo para herramientas de IA en la UE se reduce a una lista corta.

Residencia de datos, no perímetro de datos. Tus prompts, respuestas y memoria de IA deben procesarse y almacenarse en una jurisdicción que controles. Para empresas españolas y europeas, eso significa la UE — no “la región UE en general”, no “lo tendremos para 2026”.

Sin dependencia de mecanismos de transferencia cuestionados. Si tu proveedor de IA enruta datos a través de infraestructura estadounidense, tu posición de cumplimiento depende de la validez continuada del DPF. Esa es una cuestión política, no técnica. El alojamiento dentro de la UE elimina el problema.

Transparencia conforme al RGPD y al AI Act. Bajo el RGPD, tus empleados y clientes tienen derecho a saber cómo se procesan sus datos. Bajo el AI Act, los operadores de sistemas de IA de alto riesgo afrontan obligaciones adicionales de documentación, gestión de riesgos y supervisión humana. Tu proveedor debería hacer esto sencillo — no algo que tengas que desenterrar de un whitepaper de 200 páginas.

Responsabilidad hoy, no promesas en una hoja de ruta. Una hoja de ruta de cumplimiento no es cumplimiento. Si la residencia de datos de tu proveedor está programada para el año que viene, tú asumes el riesgo hasta entonces. Los reguladores no te sancionan según la hoja de ruta de tu proveedor. Te sancionan según lo que pasa con tus datos ahora mismo.

Esto no es hipotético. La multa de 1.200 millones a Meta fue por transferencias que ocurrieron mientras un mecanismo de transferencia aún estaba técnicamente vigente. Los 530 millones de TikTok fueron por transferencias que la empresa creía conformes. Las buenas intenciones no compensan una mala arquitectura.

Elegir herramientas de IA como empresa española

Si estás evaluando plataformas de IA, hazle tres preguntas a tu proveedor: ¿Dónde se procesan los prompts? ¿Dónde se almacena el contenido generado por IA? ¿En qué mecanismos de transferencia os apoyáis para datos transfronterizos?

Si las respuestas incluyen “centros de datos en EE.UU.”, “cláusulas contractuales tipo” o “estamos trabajando en la residencia de datos en la UE” — ya sabes la brecha de cumplimiento que estás aceptando.

La alternativa existe. Herramientas de IA desarrolladas en Europa, alojadas en Europa, procesadas en Europa. Sin decisiones de adecuación de las que preocuparse. Sin transferencias de datos que justificar. Sin puntos de hoja de ruta de 2026 que puedan deslizarse a 2027.

amaiko se construyó así desde el primer día. Ingeniería alemana, alojamiento europeo, nativo en Teams. Tus datos se quedan en Europa — no eventualmente, no en una hoja de ruta, sino hoy. Para empresas que se toman en serio la protección de datos, eso no es una funcionalidad. Es la base.