El 5 de enero de 2026, la Comisión Nacional de Libertades Informáticas de Francia (CNIL) publicó unas nuevas guías que tratan de resumir las cuestiones claves que deben abordar los responsables y encargados del tratamiento para garantizar el cumplimiento del RGPD en el desarrollo y uso de sistemas de inteligencia artificial (IA).
Las guías contienen una checklist para el desarrollo de sistemas de IA que ofrece un conjunto estructurado de controles destinados a garantizar la conformidad con el RGPD durante todas las fases del ciclo de vida de un sistema de inteligencia artificial: desde la recolección de datos, pasando por el entrenamiento, la estructuración, hasta la integración del modelo.
El documento comienza exigiendo que los desarrolladores consideren el régimen jurídico aplicable, identifiquen la responsabilidad de cada actor involucrado (responsable, encargado, corresponsable…) y determinen si las bases de datos de entrenamiento contienen datos personales, incluso cuando son recogidos mediante técnicas de web scraping. También destaca la necesidad de evaluar si el modelo puede considerarse anónimo o si existe riesgo de re-identificación, lo que requiere pruebas activas mediante ataques controlados y documentados.
Luego, se pide definir claramente las finalidades del sistema y la base jurídica aplicable (consentimiento, interés legítimo, contrato, etc.). En caso de invocar el interés legítimo, deben verificarse la necesidad del tratamiento, la ausencia de alternativas menos intrusivas, la minimización de datos y la implementación de garantías adecuadas, especialmente en escenarios de recolección masiva.
Si se reutilizan datos provenientes de otras actividades (o empresas), la checklist exige comprobar la compatibilidad entre finalidades y validar la licitud de fuentes externas. En cuanto a la minimización, se pide justificar tanto la tipología como el volumen de datos, favorecer formatos menos intrusivos, excluir datos sensibles salvo casos justificados y aplicar técnicas de protección desde el diseño.
Esta guía trata de resumir los puntos claves que deben abordar las empresas en un lenguaje claro y sencillo para que, tanto departamentos jurídicos como desarrolladores puedan comprender los riesgos a los que se enfrentan, y cómo mitigarlos debidamente, evitando sanciones, reclamaciones y daños reputacionales.