La AEPD publica una guía exhaustiva sobre IA agentiva y protección de datos: Lo que los DPO deben saber

Introducción

La IA agencial ya no es un concepto teórico confinado a artículos de investigación. Las organizaciones están desplegando sistemas de IA que planifican tareas de forma autónoma, acceden a bases de datos corporativas, interactúan con servicios externos y ejecutan decisiones con mínima intervención humana. Las implicaciones para la privacidad son significativas — y hasta hace poco, la orientación regulatoria sobre cómo gobernar estos sistemas bajo el RGPD era prácticamente inexistente.

Esto cambió el 18 de febrero de 2026, cuando la Agencia Española de Protección de Datos (AEPD) publicó un documento de orientación de 81 páginas que aborda específicamente los desafíos de protección de datos planteados por la IA agencial. Se trata de una de las primeras publicaciones regulatorias integrales en la UE que aborda directamente la intersección entre los agentes autónomos de IA y la normativa de privacidad.

Para los Delegados de Protección de Datos (DPO), esta guía es lectura esencial. Incluso si su organización opera fuera de España, el análisis de la AEPD se basa en el RGPD — lo que lo hace directamente relevante en todo el Espacio Económico Europeo y más allá. Este artículo desglosa los puntos clave, destaca las recomendaciones más prácticas y describe los pasos concretos que los DPO deben tomar en respuesta.

¿Qué es la IA agencial según la AEPD?

La AEPD define la IA agencial como sistemas que utilizan modelos de lenguaje avanzados (LLM) para lograr objetivos específicos adaptando su comportamiento en función de metas cambiantes y circunstancias del entorno. Se trata de una definición deliberada y precisa — distingue la IA agencial de interfaces de chatbot más simples o de automatizaciones basadas en reglas estáticas.

La guía identifica seis características definitorias de la IA agencial:

1. Autonomía — El sistema opera independientemente, tomando decisiones sin requerir instrucciones humanas paso a paso.
2. Percepción ambiental — Ingiere e interpreta datos de su entorno operativo (correos electrónicos, calendarios, bases de datos, APIs, contenido web).
3. Capacidad de acción — No solo recomienda; ejecuta. Puede enviar correos, reservar viajes, modificar registros o activar flujos de trabajo.
4. Proactividad — Anticipa necesidades e inicia acciones en lugar de esperar órdenes explícitas.
5. Planificación y razonamiento — Descompone objetivos complejos en subtareas y las secuencia lógicamente.
6. Memoria y adaptabilidad — Retiene contexto entre sesiones y ajusta su comportamiento basándose en interacciones previas.

Para concretar esto, la AEPD utiliza un ejemplo práctico a lo largo de la guía: un agente de IA encargado de gestionar un viaje de negocios de un empleado. Este agente accede autónomamente al calendario del empleado, contacta hoteles, compra billetes de avión, monitorea condiciones climáticas y ajusta los planes en consecuencia. El ejemplo es deliberadamente mundano — lo suficientemente realista, pero que inmediatamente evidencia las complejidades de protección de datos. En el curso de una sola tarea, el agente procesa datos personales de múltiples fuentes, interactúa con servicios de terceros, toma decisiones que afectan al interesado y retiene información a lo largo del tiempo.

Lo que cubre la guía

El documento de la AEPD es exhaustivo. Mapea la IA agencial frente a las obligaciones principales del RGPD y requisitos operativos, cubriendo:

• Roles de responsable y encargado del tratamiento — ¿Quién es el responsable cuando un agente de IA contrata autónomamente un servicio de terceros? La guía examina cómo el marco tradicional responsable-encargado se tensiona en arquitecturas multiagente donde es el sistema de IA, no un humano, quien selecciona subencargados.
• Obligaciones de transparencia — ¿Cómo proporcionar información significativa a los interesados cuando el proceso de decisión del agente de IA es opaco o emergente? La guía enfatiza que la transparencia debe extenderse a la lógica del agente, no solo a la existencia de un tratamiento automatizado.
• Derechos de los interesados — Ejercer derechos como acceso, supresión o rectificación se vuelve significativamente más complejo cuando los datos personales están distribuidos en la memoria del agente, llamadas a herramientas externas y sistemas de terceros.
• Registros de Actividades de Tratamiento (RAT) — La IA agencial complica el mantenimiento del RAT porque el agente puede crear dinámicamente nuevas actividades de tratamiento no anticipadas en el diseño.
• Toma de decisiones automatizada — Implicaciones del Artículo 22 del RGPD cuando los agentes toman o influyen materialmente en decisiones que afectan a individuos.
• Evaluaciones de Impacto en la Protección de Datos (EIPD) — La guía deja claro que desplegar IA agencial casi seguramente activará el requisito de EIPD bajo el Artículo 35, dado el monitoreo sistemático, tratamiento a gran escala y tecnología novedosa involucrados.
• Gestión de brechas — Cómo detectar, contener y reportar violaciones en sistemas donde el propio agente de IA puede ser el vector o la vulnerabilidad.

Vulnerabilidades de privacidad: La superficie de ataque es diferente

Una de las secciones más valiosas de la guía de la AEPD es su análisis detallado de vulnerabilidades de privacidad específicas de la IA agencial. El documento categoriza los riesgos en tres grupos distintos:

Riesgos autorizados (Riesgos del uso legítimo)

Incluso funcionando como fue diseñado, la IA agencial introduce riesgos de privacidad que los sistemas tradicionales no tienen. La AEPD destaca:

• Falta de rendición de cuentas — Cuando un agente de IA encadena múltiples acciones autónomamente, se dificulta atribuir decisiones específicas de tratamiento a un humano responsable.
• Gestión deficiente de accesos — Los agentes suelen requerir amplios accesos a datos para funcionar efectivamente, creando tensión con el principio de minimización.
• "Exfiltración por sombra" — Concepto particularmente preocupante: el agente puede filtrar involuntariamente datos personales a servicios o contextos externos durante su operación normal, sin intención maliciosa. Por ejemplo, un agente consultando una API de hotel podría transmitir restricciones dietéticas, información de salud o patrones de viaje de un empleado a un tercero sin instrucción explícita para hacerlo.

Riesgos no autorizados (Vectores de ataque)

La guía cataloga vectores de ataque únicos o amplificados por arquitecturas agentes:

• Inyección de prompts — Manipular las instrucciones del agente mediante datos de entrada diseñados.
• Envenenamiento de memoria — Corromper la memoria persistente del agente para alterar su comportamiento futuro.
• Secuestro de sesión — Tomar control de una sesión activa del agente para redirigir sus acciones.
• Escalada de privilegios — Explotar los permisos de acceso del agente para alcanzar datos o sistemas más allá del alcance previsto.

Riesgos de resiliencia

• Dependencia de servicios externos — La IA agencial suele depender de APIs de terceros, servicios en la nube y proveedores de modelos. La interrupción o compromiso de cualquier eslabón puede propagarse.
• Ataques de Denegación de Servicio — Dirigidos a la infraestructura del agente para interrumpir operaciones o forzar comportamientos de respaldo menos protectores de la privacidad.

Lo que esto significa para los DPO

La guía de la AEPD transmite un mensaje claro: el DPO debe involucrarse temprana y sustantivamente en cualquier despliegue de IA agencial. No se trata de un mero ejercicio de marcar casillas de cumplimiento.

La gobernanza debe ser específica

La guía llama a un marco de gobierno de la información específico — no una política genérica de IA añadida a documentación existente. El DPO debe ser un arquitecto clave de este marco, asegurando que aborde las características específicas de los sistemas agentes: su autonomía, su memoria, su capacidad de interactuar con servicios externos y su habilidad para crear dinámicamente nuevas actividades de tratamiento.

Evaluación continua, no evaluación puntual

Los enfoques tradicionales de cumplimiento — realizar una EIPD, documentarla, revisarla anualmente — son insuficientes para la IA agencial. La AEPD recomienda evaluación continua basada en evidencia, incluyendo monitoreo automatizado del comportamiento del agente, benchmarking regular contra resultados esperados y supervisión humana significativa. Esto cambia el rol del DPO de revisor periódico a monitor continuo.

La minimización de datos requiere aplicación activa

Los sistemas de IA agencial son, por naturaleza, voraces en datos. Rinden mejor con más contexto, más memoria, más acceso. La AEPD es explícita: las organizaciones deben implementar políticas estrictas de retención de datos, deshabilitar almacenamiento persistente innecesario y desplegar herramientas de Prevención de Pérdida de Datos (DLP) para evitar exfiltración por sombra. El DPO debe ser la voz que insista en estas restricciones incluso cuando reduzcan el rendimiento del agente.

La supervisión humana debe ser significativa

La guía enfatiza repetidamente supervisión humana significativa en cada etapa — no una aprobación simbólica, sino una revisión genuina por alguien que comprenda tanto el tratamiento como sus implicaciones. Para acciones sensibles o de alto riesgo, la AEPD recomienda requerir aprobación humana explícita antes de que el agente ejecute.

Acciones prácticas para DPOs

Basado en la guía de la AEPD y el análisis publicado por Alston & Bird, estos son pasos concretos que los DPO deben tomar ahora:

1. Inventariar despliegues de IA agencial (incluyendo despliegues en la sombra). Mapear cada instancia donde agentes de IA operan con algún grado de autonomía en su organización. Esto incluye herramientas oficialmente sancionadas y — críticamente — cualquier despliegue no oficial o experimental por equipos individuales. No se puede gobernar lo que no se sabe que existe.

2. Realizar o actualizar EIPDs específicas para casos de uso de IA agencial. Las EIPDs genéricas de IA no son suficientes. Cada despliegue agencial necesita una evaluación que aborde específicamente las seis características identificadas por la AEPD: autonomía, percepción ambiental, capacidad de acción, proactividad, planificación/razonamiento y memoria. Prestar especial atención a rutas de exfiltración por sombra y alcance de privilegios.

3. Establecer un régimen de monitoreo continuo. Trabajar con los equipos de TI y seguridad para implementar monitoreo automatizado del comportamiento del agente — qué datos accede, qué servicios externos contacta, qué acciones ejecuta, y si esto alinea con el propósito declarado. Definir umbrales de anomalía y procedimientos de respuesta a incidentes.

4. Definir y aplicar requisitos de supervisión humana. Para cada despliegue de IA agencial, definir explícitamente qué acciones requieren aprobación humana previa a la ejecución. Documentar estos umbrales, comunicarlos a los equipos que operan los agentes y auditar el cumplimiento regularmente. Inclinarse por más supervisión durante fases iniciales de despliegue.

5. Revisar y ajustar controles de acceso y retención de datos. Auditar los permisos otorgados a agentes de IA. Aplicar agresivamente el principio de minimización. Deshabilitar memoria persistente donde no sea estrictamente necesaria. Implementar controles DLP para detectar y prevenir flujos no autorizados de datos a terceros durante la operación del agente.

Conclusión

La guía de la AEPD sobre IA agencial es un documento histórico — no porque invente nuevas reglas, sino porque aplica metódicamente los principios existentes del RGPD a una categoría tecnológica que muchas organizaciones están adoptando más rápido de lo que sus marcos de gobernanza pueden seguir. La guía deja claro que la IA agencial no es solo otra aplicación de IA; su autonomía, memoria y capacidades de acción crean riesgos de privacidad fundamentalmente diferentes que requieren enfoques de supervisión fundamentalmente distintos.

Para los DPO, el mensaje es directo: act