Cualquiera que haya trabajado en atención al cliente en los últimos cinco años probablemente esté familiarizado con el Reglamento General de Protección de Datos (GDPR) y cómo afecta la forma en que las organizaciones manejan la información de los clientes. A partir de 2026, entrará en vigor una nueva regulación de la UE: la Ley de IA, que ha generado cierta ansiedad en algunas empresas. Sin embargo, según un experto en privacidad de datos, esto no debería ser motivo de preocupación.

En una reciente conferencia de ISACA en Dublín, la Dra. Valerie Lyons, autora de “The Privacy Leader”, compartió su opinión sobre la nueva regulación y los cambios que podría traer. Ella afirmó: “No veo que la Ley de IA aporte mucho más de lo que ya proporciona el GDPR. Los principios son exactamente los mismos: transparencia, seguridad y consentimiento”.

Hay una superposición significativa entre ambas legislaciones, principalmente debido a la gran cantidad de datos que los sistemas de IA almacenan y procesan, y porque la Ley de IA utiliza una definición muy amplia de inteligencia artificial. La Dra. Lyons explica que el cumplimiento del GDPR no es una ciencia exacta y es probable que la Ley de IA utilice principios similares de “necesidad y proporcionalidad”.

Es importante entender el contexto y las intenciones detrás de estas regulaciones. La Dra. Lyons recordó que Giovanni Buttarelli, considerado el padre del GDPR, dijo que se puede cumplir con el espíritu de la ley o con la letra de la ley. “Si nos adherimos a la letra del GDPR, nunca funcionará. Debemos cumplir con el espíritu de la ley”, afirmó.

Se habla mucho sobre las grandes multas que enfrentan las empresas por no cumplir con el GDPR, pero la Dra. Lyons sugiere que no se está contando toda la historia. “Las multas no están funcionando porque, de hecho, nadie las está pagando, así que el tesoro público ni siquiera está recibiendo el dinero”, comentó. A pesar de que la Comisión de Protección de Datos de Irlanda ha impuesto multas por miles de millones de euros, menos del 1% de estas han sido realmente cobradas debido a procesos de apelación.

Incluso cuando se imponen multas, estas no afectan a las empresas de la manera que las estadísticas sugieren, y generalmente es el contribuyente quien termina pagando. “¿Quién paga por la DPC para ir a estos tribunales? El tesoro público”, dijo la Dra. Lyons. “Esencialmente, el contribuyente sigue pagando”.

Se espera que la Ley de IA sea regulada por la misma organización, la Comisión de Protección de Datos, que la Dra. Lyons describe como “sin dientes”, sugiriendo que la falta de seguimiento podría continuar con las nuevas regulaciones.

Entonces, ¿qué significa la Ley de IA para las empresas en los próximos meses? Para las pequeñas empresas, la mayoría son implementadoras de IA (es decir, proporcionan sistemas de IA a los usuarios), en lugar de distribuidoras o desarrolladoras. “Su siguiente paso es simple: realizar un análisis de brechas. Usar estándares como ISO o NIST será muy útil y puede proporcionar una hoja de ruta estructurada para los próximos pasos. A menudo, las empresas más pequeñas se quejan del costo, sin embargo, los estándares de NIST están disponibles de forma gratuita”, explicó la Dra. Lyons.

Cumplir con el GDPR ya es un buen primer paso, así que se debe desarrollar una política de IA e implementarla, además de asegurarse de realizar capacitación sobre alfabetización en IA antes de febrero de 2025. Es fundamental actualizar todos los avisos de ROPA, políticas y DPIAs con el sistema de IA. “Después de eso, se trata de garantizar que haya un proceso sólido para monitorear la introducción de sistemas de IA en la organización”, concluyó la Dra. Lyons.