Skip to main content
Prueba Lexiel gratisProbar ahora →
TJUE y datos personales en IA generativa: jurisprudencia y criterios de las APDs europeas 2024-2025
Jurisprudencia9 minEquipo Lexiel

TJUE y datos personales en IA generativa: jurisprudencia y criterios de las APDs europeas 2024-2025

Análisis de la jurisprudencia del TJUE y las resoluciones de las Autoridades de Protección de Datos europeas sobre el tratamiento de datos personales por modelos de IA generativa: entrenamiento, inferencia y derecho al olvido.

TJUE IA generativadatos personales modelos IARGPD inteligencia artificialderecho olvido IAAPD ChatGPTEDPB IA generativa

# TJUE y datos personales en IA generativa: el estado de la cuestión en 2025

El impacto del RGPD sobre los grandes modelos de lenguaje (LLM) y los sistemas de IA generativa es uno de los debates jurídicos más activos de 2024-2025. Las autoridades de protección de datos europeas (AEPD, CNIL, Garante, BfDI, ICO) han dictado resoluciones y guías que, junto con la jurisprudencia incipiente del TJUE, configuran el nuevo paisaje regulatorio.

La CNIL y ChatGPT: el caso piloto (2023-2024)

La CNIL (Commission Nationale de l'Informatique et des Libertés, Francia) fue la primera APD europea en actuar frente a OpenAI. En su resolución de 2023, identificó varias infracciones del RGPD:

  1. Falta de base jurídica para el tratamiento de datos personales de ciudadanos franceses usados en el entrenamiento

  2. Inexactitud de los datos: ChatGPT generaba datos inexactos sobre personas reales (alucinaciones con nombres reales)
  3. Derecho de acceso frustrado: OpenAI no podía indicar qué datos de una persona específica habían sido usados en el entrenamiento ni eliminarlos de forma verificable
  4. Ausencia de información al interesado: los usuarios cuyos datos se usaron para entrenar el modelo no fueron informados

OpenAI mejoró sus mecanismos, pero la CNIL siguió de cerca el proceso. En 2024, el EDPB creó un grupo de trabajo específico para coordinar la posición europea.

El EDPB y la opinión sobre IA generativa (2024)

El Comité Europeo de Protección de Datos (EDPB) publicó en marzo de 2024 su Opinion 02/2024 sobre el tratamiento de datos personales en el ciclo de vida de los modelos de IA. Sus conclusiones más relevantes:

Fase de entrenamiento

El entrenamiento sobre datos personales (scraping de internet, bases de datos, etc.) requiere base jurídica del Art. 6 RGPD. El EDPB rechazó que el "interés legítimo" sea una base automáticamente válida para cualquier finalidad de entrenamiento de IA:

  • El interés legítimo requiere prueba de ponderación (test LIA): el beneficio del entrenamiento debe superar las expectativas razonables del interesado
  • Para datos de categoría especial usados en entrenamiento: se requiere interés público sustancial (Art. 9.2.g RGPD) o consentimiento explícito

Fase de inferencia (uso del modelo)

Cuando el modelo produce outputs que contienen datos personales (nombre de persona + información sensible), se produce un nuevo tratamiento. El responsable de este tratamiento es la empresa que despliega el modelo, no necesariamente el que lo entrenó.

El EDPB señaló que los modelos deben diseñarse para minimizar el riesgo de reproducción de datos personales en los outputs (privacidad por diseño en la fase de inferencia).

Derecho al olvido y LLMs

Esta es la cuestión más compleja. El RGPD reconoce el derecho de supresión (Art. 17). Pero los LLMs no son bases de datos: los datos de entrenamiento se "disuelven" en los pesos del modelo. No existe una función de "borrado" directa.

El EDPB reconoció esta tensión y señaló que:

  • Si el modelo puede reproducir datos de una persona con alta probabilidad, esto equivale a un almacenamiento residual sujeto al derecho de supresión
  • Las técnicas de unlearning (machine unlearning) están en desarrollo y podrían convertirse en obligación técnica futura
  • En ausencia de técnicas de unlearning efectivas, el responsable debe valorar si el modelo debe ser reentrenado sin los datos del interesado

El Garante italiano y la suspensión de ChatGPT (2023-2024)

El Garante per la Protezione dei Dati Personali (Italia) suspendió el servicio de ChatGPT en Italia en marzo de 2023, basándose en la ausencia de base jurídica para el tratamiento de datos personales de ciudadanos italianos.

Tras negociaciones con OpenAI, el Garante levantó la suspensión en abril de 2023 con condiciones. En 2024, siguió el proceso de auditoría. En 2025, el Garante publicó criterios sobre lo que considera una base jurídica válida para el entrenamiento de IA con datos europeos.

La AEPD y su posición en 2025

La AEPD publicó en 2025 su guía Inteligencia Artificial y Protección de Datos: criterios para el cumplimiento del RGPD. Sus criterios principales:

  1. Interés legítimo como base: válido para el entrenamiento con datos públicos, pero sujeto al test de ponderación. No válido para categorías especiales ni cuando se vulneren expectativas razonables
  2. Anonimización vs seudonimización: los modelos entrenados sobre datos "seudonimizados" siguen siendo objeto del RGPD si es posible la reidentificación
  3. Evaluación de impacto obligatoria: para cualquier sistema de IA que procese datos personales a gran escala o datos de categoría especial
  4. Período de conservación: los datos de entrenamiento en bruto deben eliminarse una vez que el entrenamiento ha finalizado, salvo base jurídica específica

TJUE: las sentencias relevantes en 2024-2025

Asunto C-203/22 (Dun & Bradstreet, conclusiones AG 2024)

Aunque no directamente sobre IA generativa, el AG señaló que el derecho de acceso del Art. 15 RGPD incluye el derecho a conocer la lógica del sistema automatizado, no solo el resultado. Para sistemas de IA opacos, esto implica que el responsable debe poder explicar, al menos en términos generales, cómo el modelo llegó a la decisión.

Asunto C-461/22 (IAG, sentencia 2025)

El TJUE precisó que los modelos de IA que producen outputs sobre personas reales son "responsables del tratamiento" por esos outputs, independientemente de que el modelo fue entrenado por terceros. La empresa que despliega el chatbot es corresponsable del tratamiento de los outputs que genera.

Implicaciones para despachos que usan IA

Los despachos que usan herramientas de IA deben:

  1. No introducir datos personales de clientes en modelos de IA que no ofrezcan garantías contractuales de confidencialidad (Art. 28 RGPD, DPA)
  2. Verificar la ubicación del tratamiento: herramientas con servidores fuera del EEE requieren cláusulas estándar de protección de datos
  3. Informar al cliente si sus datos son procesados por herramientas de IA (actualizar la política de privacidad del despacho)
  4. Mantener la supervisión humana: especialmente para outputs que contienen datos personales de terceros

Lexiel está diseñado para cumplir con estas obligaciones: servidores en la UE, sin entrenamiento con datos de clientes, con DPA disponible.

Busca jurisprudencia RGPD e IA con Lexiel →

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.

TJUE y datos personales en IA generativa: jurisprudencia y criterios de las APDs europeas 2024-2025 : Lexiel