Hace unos días comenzábamos nuestra serie de artículos sobre legislación e IA, explicando la importancia de la AI Act en la Unión Europea como pieza central del marco que regula el uso de la inteligencia artificial. Sin embargo, la regulación se apoya en todo un ecosistema de “piezas” que ya se habían venido desarrollando a medida que la tecnología ha ido avanzando y dando forma a nuestro día a día.
RGPD y directiva ePrivacy
La RGPD y la directiva ePrivacy son bases fundamentales para cualquier ley que ataña a la inteligencia artificial ya que es bien sabido que está basada en datos y la privacidad y protección de los mismos es clave.
Aunque aceptemos cookies, términos y condiciones para poder hacer uso de tantos servicios en nuestro día a día hay una serie de regulaciones para que nuestros datos tengan una cierta privacidad y protección.
El Comité Europeo de Protección de Datos ha publicado la Opinión 28/2024 sobre modelos de IA para dilucidar:
- Cuando pueden considerarse anónimos los datos usados para entrenar los modelos.
- En qué condiciones se puede considerar de interés legítimo.
- Qué límite debería tener el alcance del scraping (el buscar y recoger datos de internet de forma masiva) para entrenar la IA.
La ley de protección de datos es un asunto de gran extensión en sí mismo y cubre muchísimos puntos, como por ejemplo, los datos de un ciudadano europeo no pueden salir físicamente de Europa si no hay una serie de garantías legales de protección de datos sobre el lugar físico en el que se almacenarán fuera de la Unión.
Otras normas
Además de la IA Act contamos con otras 2 normas sobre cómo se despliega la IA o lo que podríamos llamar “las tuberías” por donde circula:
La DSA o Digital Services Act que afecta directamente a las grandes plataformas y negocios de marketing online, como Google, ya que obliga a una cierta transparencia, a limitar el targeting sensible y a menores.
Por otro lado, la DMA o Digital Markets Act regula a los grandes “gatekeepers” de internet y prohíbe su autoprivilegio o refuerza la interoperabilidad y acceso a datos entre IAs de terceros.
Luego tenemos la Data Act que entró en aplicación hace relativamente poco, el 12 de septiembre de 2025, un pilar en la estrategia europea de datos que pretende regular el uso de datos en dispositivos conectados (Internet de las Cosas), da a los consumidores la posibilidad de tener más interoperabilidad entre proveedores de servicios en la nube, prohíbe contratos abusivos, etc. También permite que los gobiernos de los Estados miembros, en casos justificados, accedan a datos de empresas privadas en pro del interés público como en casos de emergencia.
¿De quién es el copyright de las creaciones?
Finalmente, una pieza muy importante para encajar nuestro puzle regulatorio y que afecta precisamente al mundo de la publicidad, la creatividad y el marketing de forma especial es la regulación sobre copyright. Precisamente se trata de un terreno pantanoso. La Directiva DSM permite ciertas formas de TDM (minería de textos y datos) sobre obras protegidas, pero reconoce un “opt-out” para usos comerciales: los titulares de derechos pueden excluir sus contenidos, por ejemplo, mediante señales machine-readable.
Estudios recientes del Parlamento Europeo subrayan que el contenido generado por IA puede no estar claramente protegido por copyright si falta “creatividad humana”, lo que deja a empresas y creadores en un limbo sobre propiedad y explotación.
Sin embargo, no se trata directamente de una ley. Autores y entidades de gestión han criticado que el AI Act deje un “agujero de copyright” y no aborde de forma frontal la remuneración por usos masivos en entrenamiento. El artículo 50 de la AI Act es dónde se presentan las reglas específicas sobre IA generativa y contenido sintético.
¿Qué ampara cada normativa?
A modo resumen, podemos decir que:
- AI Act: define qué puedes hacer con IA y con qué garantías según el nivel de riesgo.
- RGPD / ePrivacy: siguen mandando en todo lo que implique datos personales, incluidos prompts y logs.
- DSA / DMA: obligan a las grandes plataformas y gatekeepers a hacer sus algoritmos más transparentes y controlables, lo que cambia el “terreno de juego” para quienes hacen negocio encima: medios, ecommerce o publicidad.
- Data Act: regula el acceso y uso de datos industriales/IoT y la portabilidad en la nube, afectando a los datasets que alimentan la IA.
- Copyright: aún está en fase de ajuste, intentando encajar entrenamiento masivo y outputs generados en un marco pensado para obras humanas.
Queda claro que la regulación de una tecnología tan completa y tan usada, supone un estudio minucioso de todos los usos y escenarios en los que se aplica y que los supuestos con los que los responsables se encuentran irán cada vez a más.
