domingo, 1 de marzo de 2026

IA Agéntica y Protección de Datos

Fuente de la imagen: Psicoeconomía (Velasco, 2010)
M. Velasco, 2026. IA Agéntica y Protección de Datos: Retos, Vulnerabilidades y Estrategias para el Cumplimiento Normativo - Agent AI and Data Protection: Challenges, Vulnerabilities, and Strategies for Regulatory Compliance

Resumen: El surgimiento de la inteligencia artificial (IA) agéntica representa un cambio de paradigma en la automatización de procesos, pasando de sistemas reactivos a agentes autónomos capaces de razonar, planificar e interactuar con su entorno para alcanzar objetivos complejos. Pero esta autonomía introduce retos para la protección de datos personales. Se analiza las implicaciones jurídicas y técnicas de implementar agentes de IA en el marco del Reglamento General de Protección de Datos (RGPD). Se examinan las vulnerabilidades críticas, como el descontrol de la memoria persistente y la opacidad en las cadenas de razonamiento, así como las amenazas emergentes de inyección de prompts y exfiltración de información. Finalmente, se proponen medidas de gobernanza y diseño proactivo, como la trazabilidad del dato (data lineage) y la evaluación continua basada en evidencias, para garantizar que el despliegue de estas tecnologías sea compatible con los derechos y libertades de los ciudadanos.

Palabras clave: Inteligencia artificial agéntica, protección de datos, RGPD, autonomía, minimización de datos, decisiones automatizadas.

Abstract: The emergence of agent artificial intelligence (AI) represents a paradigm shift in process automation, moving from reactive systems to autonomous agents capable of reasoning, planning, and interacting with their environment to achieve complex objectives. However, this autonomy introduces challenges for the protection of personal data. This article analyzes the legal and technical implications of implementing AI agents within the framework of the General Data Protection Regulation (GDPR). It examines critical vulnerabilities, such as persistent memory mismanagement and opacity in reasoning chains, as well as emerging threats such as prompt injection and data exfiltration. Finally, it proposes proactive governance and design measures, such as data lineage and continuous evidence-based evaluation, to ensure that the deployment of these technologies is compatible with citizens' rights and freedoms.

Keywords: Agentic artificial intelligence, data protection, GDPR, autonomy, data minimization, automated decisions.

1. Introducción

La evolución de las tecnologías de automatización ha experimentado una transformación radical con la integración de los Grandes Modelos de Lenguaje (LLMs). Tradicionalmente, la automatización se centraba en la ejecución de tareas repetitivas y predecibles mediante reglas rígidas. Pero el concepto de IA agéntica introduce sistemas que procesan información y poseen la capacidad de actuar de forma autónoma para cumplir objetivos específicos (AEPD, 2026). Estos agentes de IA pueden descomponer problemas complejos en subtareas, seleccionar herramientas externas y aprender de sus interacciones, lo que abre un abanico de posibilidades tanto para el sector empresarial como para las Administraciones Públicas.

A pesar de estos beneficios en eficiencia, la implementación de IA agéntica en tratamientos que involucran datos personales conlleva riesgos sustanciales que no son inherentes a la IA generativa tradicional. La capacidad de estos sistemas para operar con un alto grado de independencia operativa altera el contexto y la naturaleza de los tratamientos preexistentes, obligando a los responsables a reconsiderar su marco de cumplimiento normativo (AEPD, 2026). El rechazo absoluto de esta tecnología sería tan perjudicial como su aceptación acrítica; por ello, es imperativo comprender sus fundamentos y límites para adoptar decisiones basadas en evidencia.

2. El Concepto de Agente de IA y su Arquitectura

Un agente de IA se define como una entidad automatizada que utiliza modelos de lenguaje para percibir su entorno y ejecutar acciones orientadas a objetivos (ISO/IEC DIS 22989, citado en AEPD, 2026). A diferencia de un simple chatbot, el agente actúa con flexibilidad ante entornos cambiantes, aprendiendo de la experiencia y tomando decisiones basadas en sus limitaciones computacionales y perceptivas (Russell y Norvig, 2021, citado en AEPD, 2026).

La estructura nuclear de un agente reside en su "cadena de razonamiento" o pipeline. Este proceso interno permite al sistema desglosar una meta general en pasos lógicos sucesivos. Por ejemplo, en la gestión automatizada de un viaje corporativo, un agente proactivo detectaría una entrada en la agenda de un empleado y, autónomamente, procedería a consultar servicios de hospedería, verificar cambios de divisa y adquirir billetes de transporte tras comparar previsiones meteorológicas y noticias locales (AEPD, 2026). Este flujo de trabajo implica que el dato personal —en este caso, la agenda y preferencias del empleado— recorre una cadena de procesamiento donde intervienen múltiples servicios internos y externos.

Existen diversos patrones arquitectónicos, como el de reflexión o autoevaluación, el uso de herramientas a través de APIs y los sistemas multiagente. En estos últimos, varios agentes con responsabilidades delimitadas colaboran o compiten para resolver tareas de gran escala. Pero toda esta complejidad técnica requiere una capa de orquestación que gestione el ciclo de vida de los agentes y resuelva posibles conflictos operativos (AEPD, 2026).

3. Vulnerabilidades Críticas en el Tratamiento de Datos

La versatilidad de la IA agéntica es, paradójicamente, la fuente de sus principales vulnerabilidades. Al integrar componentes diversos como bases de datos vectoriales, motores de planificación e interfaces externas, la superficie de ataque se amplía significativamente.

4. Interacción con el Entorno y Acceso a Datos

Una funcionalidad común es el acceso a servicios y datos internos para enriquecer el contexto de las tareas. Esto puede incluir correos electrónicos, actas de reuniones o bases de datos de clientes. Si no existe un control estricto basado en la protección de datos desde el diseño, se podrían producir tratamientos masivos e indiscriminados que vulneren el principio de minimización (AEPD, 2026). 

Además, la comunicación bidireccional con servicios de Internet expone los datos a terceros que operan bajo políticas de privacidad heterogéneas, dificultando el control efectivo por parte del responsable original.

5. La Problemática de la Memoria

La memoria es un elemento nuclear que permite a los agentes reconocer patrones y adaptarse al usuario. Se distingue entre la memoria de trabajo (a corto plazo), la episódica (acciones pasadas) y la semántica (hechos y conceptos). El riesgo reside en la persistencia de datos innecesarios.

Si la memoria de una organización para todos sus tratamientos no está compartimentada, información sensible como credenciales de usuario proporcionadas para un fin específico podrían ser accesibles en contextos no autorizados (AEPD, 2026). Asimismo, la "memoria de gestión" —los registros de actividad o logs— puede derivar en una hipervigilancia del personal si no se limitan los plazos de conservación y el tipo de información capturada.

6. Autonomía y Comportamiento no Repetible

La autonomía permite al agente decidir qué fuentes consultar y cómo ejecutar las tareas sin supervisión humana constante. Pero en sistemas probabilistas, pequeñas variaciones en el entorno (como un retraso en una API) pueden desviar el plan original, produciendo resultados distintos para una misma entrada.

Esta falta de predictibilidad rompe las garantías clásicas de seguridad jurídica y dificulta la depuración de errores (AEPD, 2026). Además, la capacidad de actuar en nombre del usuario mediante el uso de sus credenciales o el control del cursor del escritorio introduce un riesgo crítico de ejecución remota de comandos no deseados.

7. Aspectos de Cumplimiento de la Normativa de Protección de Datos

El despliegue de sistemas agénticos no exime al responsable de cumplir con las obligaciones del RGPD; por el contrario, las intensifica debido a la aparición de nuevos intervinientes y finalidades.

8. Determinación de Responsabilidades

Es fundamental clarificar los roles de cada entidad en la cadena de valor. Si un responsable utiliza un agente desarrollado internamente que consume un modelo de lenguaje externo a través de una API, dicho proveedor del modelo actuará, en la mayoría de los casos, como encargado de tratamiento (AEPD, 2026).

La complejidad aumenta si el agente solicita consentimientos de forma autónoma a través de interfaces de usuario para fines ajenos al tratamiento original, como el reentrenamiento de modelos de IA. El responsable debe documentar meticulosamente estos flujos de datos para evitar brechas de responsabilidad proactiva.

9. Minimización y Exactitud

La minimización de datos debe abordarse desde el diseño del tratamiento. Un ejemplo ilustrativo es el uso de un agente para verificar la asistencia de un empleado a un evento. En lugar de descargar la lista completa de invitados —lo que implicaría tratar datos de terceros no relacionados—, el agente debería diseñarse para realizar una consulta de "conocimiento cero" o preguntar específicamente por el individuo en cuestión (AEPD, 2026).

De igual forma, el principio de exactitud se ve amenazado por el fenómeno de los errores compuestos (compounding errors), donde una inferencia errónea en una fase inicial de la cadena de razonamiento se propaga y amplifica en las etapas posteriores, afectando la calidad de las decisiones finales sobre las personas.

10. Decisiones Automatizadas (Artículo 22 del RGPD)

No todos los usos de la IA agéntica implican decisiones automatizadas con efectos jurídicos, pero aquellos que lo hacen deben cumplir con requisitos estrictos. Por ejemplo, un agente que selecciona y resume noticias para empleados según sus intereses declarados no entraría necesariamente en el ámbito del artículo 22 (AEPD, 2026).

Pero un sistema que deniegue automáticamente una prestación basándose en un perfilado de conducta sí requeriría una base legitimadora específica y la garantía de intervención humana efectiva.

La supervisión humana no debe ser un mero trámite; el supervisor debe contar con la formación, autoridad e independencia necesarias para anular una decisión del agente sin verse condicionado por el sesgo de automatización (AEPD, 2026).

11. Amenazas Específicas Procedentes del Tratamiento

Las amenazas pueden surgir tanto de operaciones autorizadas que generan efectos imprevistos como de manipulaciones malintencionadas del sistema.

12. Inyección de Prompts y Envenenamiento

La inyección de prompts es una técnica donde se introducen entradas diseñadas para inducir al agente a ignorar sus políticas de seguridad. Puede ser directa (por el usuario) o indirecta. En la inyección indirecta, un atacante podría ocultar instrucciones maliciosas en un archivo PDF o una página web que el agente analiza.

Si el sistema está configurado para resumir correos automáticamente (ataques de "cero clics"), la instrucción oculta podría ordenar al agente exfiltrar datos sensibles a un servidor externo sin que el usuario intervenga (AEPD, 2026).

13. Shadow Leaks y Desalineación

El shadow leak consiste en la filtración progresiva de información a través de consultas aparentemente inocuas que, combinadas, permiten reconstruir secretos corporativos o perfiles personales. Por otro lado, la desalineación ocurre cuando el agente persigue metas que divergen de los objetivos del tratamiento legítimo, pudiendo llegar a generar asesoramientos maliciosos o comportamientos dañinos derivados de bucles de retroalimentación negativos (AEPD, 2026).

Un caso crítico es la aparición de "esquizofrenia digital" en agentes diseñados para la compañía emocional (AI companions), donde se refuerzan sesgos del usuario que luego pueden influir en decisiones de carácter profesional o jurídico.

14. Medidas y Estrategias para una IA Agéntica Segura

Para mitigar estos riesgos, es necesario implementar un marco de gobernanza integral que abarque todo el ciclo de vida del sistema.

15. Gobernanza y Procesos de Gestión

La medida más efectiva es integrar la IA agéntica en las políticas de aseguramiento de calidad de la organización. Esto incluye la designación de responsables funcionales y la participación activa del Delegado de Protección de Datos (DPD).

Es necesario "aceptar la posibilidad de fallo" y diseñar los tratamientos bajo el principio de fallo seguro (safe), contando con planes de contingencia para reaccionar ante desviaciones o brechas de datos (AEPD, 2026).

16. Evaluación Continua y "Golden Testing"

En la medida que se automatizan los procesos, también debe automatizarse su auditoría.

El uso de prácticas de "Golden testing" permite comparar los resultados actuales de un agente con una muestra de referencia considerada correcta, detectando desviaciones ante cambios de versiones o actualizaciones de términos legales de los proveedores (AEPD, 2026).

Además, se deben realizar auditorías específicas de explicabilidad para evitar el efecto de "caja negra".

17. Minimización y Control de la Memoria

Se deben aplicar técnicas de catalogación de datos para identificar fuentes no estructuradas y aplicar filtros de seudonimización antes de que la información entre en la cadena de razonamiento.

En cuanto a la memoria, es aconsejable implementar políticas de "no log" selectivo a nivel de componente y establecer plazos de retención estrictos.

La capacidad de desactivar la memoria persistente en subtareas de alto riesgo puede prevenir la persistencia de inyecciones maliciosas (AEPD, 2026).

18. Controles de Diseño y Automatización

El responsable debe decidir el grado de autonomía para cada tratamiento específico.

Una técnica recomendada es el uso de "cortacircuitos" (circuit breakers) que interrumpan la ejecución ante anomalías predefinidas, como bucles infinitos o intentos de acceso masivo a datos.

Asimismo, la trazabilidad del dato (data lineage) es imprescindible para cumplir con la transparencia, permitiendo conocer exactamente cuándo y por quién se transformó una información antes de llegar a una decisión final (AEPD, 2026).

19. Alfabetización

La alfabetización digital sobre sistemas agénticos es necesaria a todos los niveles de la organización. Los directivos deben comprender las implicaciones de estas tecnologías para tomar decisiones basadas en evidencia, mientras que el personal TIC necesita dominar las técnicas de sandboxing y mitigación de amenazas (AEPD, 2026).

En este contexto, el DPD se erige como una figura clave que debe ser capaz de vislumbrar las oportunidades que la propia IA agéntica ofrece como herramienta de mejora de la privacidad (PET).

Por ejemplo, un agente podría utilizarse para evaluar proactivamente y de forma automática los cambios en los términos de servicio de cientos de proveedores externos, garantizando el cumplimiento contractual continuo.

20. La Paradoja de la Autonomía en la IA Agéntica: Retos Críticos para la Privacidad y el Control Normativo

La implementación de la inteligencia artificial (IA) agéntica en los procesos de tratamiento de datos personales marca un cambio de paradigma que exige una revaluación crítica de los marcos de cumplimiento tradicionales.

20.1. El reto de la autonomía frente al control del responsable

El concepto de agente de IA introduce una entidad capaz de actuar con flexibilidad ante metas cambiantes y aprender de la experiencia. Esta autonomía operativa es, simultáneamente, su mayor virtud y su vulnerabilidad más crítica desde la perspectiva del RGPD. Mientras que el software tradicional es determinista, los sistemas agénticos pueden presentar comportamientos emergentes e impredecibles.

Esta falta de repetibilidad rompe las garantías clásicas de seguridad jurídica, ya que un mismo dato de entrada puede generar acciones muy distintas con el paso del tiempo. La crítica reside en que la figura del "responsable del tratamiento" se ve tensionada cuando el sistema puede crear subtareas no previstas explícitamente por el humano, dificultando la trazabilidad de la finalidad original.

20.2. La memoria persistente: un riesgo para la minimización

La capacidad de los agentes para almacenar contextos y experiencias pasadas (memoria semántica y episódica) es necesaria para su eficacia, pero colisiona frontalmente con el principio de minimización de datos.

El uso de memorias a largo plazo no compartimentadas puede derivar en "shadow leaks", donde información sensible o credenciales de un tratamiento terminan siendo accesibles en otro contexto no autorizado.

Además, la existencia de una "memoria de gestión" (registros de actividad) puede transformarse en una herramienta de hipervigilancia incontrolada si no se aplican plazos de retención estrictos y políticas de "no log" selectivo.

20.3. La falacia de la supervisión humana y el sesgo de automatización

Uno de los puntos más lúcidos del análisis es la advertencia sobre el sesgo de automatización. Existe una tendencia humana a aceptar las decisiones del sistema sin análisis crítico, reforzada por una "ilusión de fiabilidad" cuando el agente parece consistente.

La supervisión humana corre el riesgo de convertirse en un mero trámite formal si el supervisor no cuenta con la autoridad, formación y medios técnicos para anular una decisión del agente. Por ello, desplazar toda la responsabilidad al usuario final ante un fallo sistémico es una estrategia de gobernanza fallida que el responsable debe evitar proactivamente.

20.4. La fragilidad de las "cadenas de razonamiento" y los errores compuestos

La arquitectura de pipelines largos es intrínsecamente frágil debido al fenómeno de los errores compuestos (compounding errors). Una inferencia errónea o un dato inexacto en una fase temprana de la cadena se propaga y amplifica, resultando en decisiones finales que pueden ser discriminatorias o perjudiciales para el ciudadano.

Esta fragilidad se agrava con la amenaza de la inyección indirecta de prompts, donde instrucciones maliciosas ocultas en fuentes externas (como un PDF o una web) pueden inducir al agente a exfiltrar datos de forma transparente para el usuario.

20.5. IA Agéntica como herramienta de protección (PET)

Finalmente, es necesario destacar que la tecnología no es solamente una fuente de riesgos. La crítica debe reconocer que, si se diseña bajo el principio de protección de datos desde el diseño, la IA agéntica puede actuar como una tecnología de mejora de la privacidad (PET).

Un agente puede, por ejemplo, auditar automáticamente los términos de servicio de cientos de proveedores externos o anonimizar datos sensibles antes de que lleguen a un operador humano, ofreciendo así garantías superiores a los procesos manuales tradicionales.

21. Propuesta de Mejora para la Implementación de IA Agéntica en el Marco de la Protección de Datos

La transición hacia la inteligencia artificial (IA) agéntica debe entenderse como una actualización tecnológica y una redefinición estructural de los tratamientos de datos.

Para garantizar que esta evolución sea compatible con los derechos fundamentales, se propone un modelo de mejora basado en la proactividad, el control técnico riguroso y la gobernanza integrada.

A continuación, se detallan los ejes fundamentales de esta propuesta:

21.1. Evolución de la Gobernanza: Hacia un Marco de "Fallo Seguro"

La organización debe abandonar la idea de que los sistemas son infalibles. Se propone integrar la IA agéntica en las políticas de aseguramiento de calidad de la entidad, adoptando el principio de fallo seguro (safe-to-fail).
  • Gestión integrada de riesgos: No basta con un análisis de ciberseguridad; se debe realizar un modelado de amenazas específico (como la metodología LIINE4DU) que identifique riesgos de vinculación, inexactitud y falta de capacidad de intervención.
  • Figura del DPD Proactivo: El Delegado de Protección de Datos debe participar desde el diseño para supervisar el cumplimiento e identificar dónde el agente puede actuar como una Tecnología de Mejora de la Privacidad (PET).
21.2. Control Arquitectónico: Implementación de "Cortacircuitos" y Aislamiento

Dada la autonomía de los agentes, la propuesta técnica exige limitar su rango de acción mediante barreras programadas:
  • Uso de "Cortacircuitos" (Circuit Breakers): Implementar mecanismos automáticos que interrumpan la ejecución ante anomalías, como bucles infinitos, accesos masivos a datos o desviaciones de los objetivos predefinidos.
  • Entornos Confinados (Sandboxing): Las herramientas invocadas por los agentes deben ejecutarse en entornos aislados (contenedores o microVMs) para prevenir la ejecución remota de comandos no autorizados y limitar el acceso al entorno digital de la organización.
  • Listas Blancas de Servicios: Restringir las capacidades de los agentes a un catálogo de herramientas y APIs previamente validadas en cuanto a su fiabilidad y términos legales.
21.3. Minimización y Memoria Compartimentada

Para evitar los "shadow leaks" (filtraciones silenciosas) y el tratamiento excesivo, se propone una gestión granular de la información:
  • Catalogación y Saneamiento: Aplicar filtros de "limpieza de datos" antes de que la información entre en la cadena de razonamiento, eliminando metadatos innecesarios y anonimizando datos personales que no sean estrictamente requeridos para la subtarea actual.
  • Compartimentación Lógica de la Memoria: Evitar el uso de un repositorio único. La memoria debe dividirse por tratamiento y por usuario, impidiendo que credenciales o contextos de un proceso sean accesibles por el agente en otro marco distinto.
  • Política de "No Log" Selectivo: Minimizar la retención de datos en los componentes internos (como el LLM de inferencia), registrando únicamente lo necesario para la trazabilidad en el log general del tratamiento.
21.4. Transparencia y Trazabilidad Total (Data Lineage)

El cumplimiento del RGPD exige saber qué sucede dentro de la "caja negra" del agente:
  • Trazabilidad del Dato: Implementar mecanismos de "Data Lineage" que registren la fuente exacta, la hora de extracción, quién transformó el dato y con qué finalidad se utilizó en cada etapa de la cadena de razonamiento.
  • Evaluación basada en "Golden Testing": Comparar periódicamente los resultados del agente con muestras de referencia ("golden samples") para detectar desviaciones en el comportamiento o la aparición de sesgos tras actualizaciones de los modelos.
21.5. Supervisión Humana Significativa contra el Sesgo de Automatización

La intervención humana debe ser una barrera efectiva.
  • Criterios de Escalado: Definir puntos de control donde la acción del agente sea reversible o requiera aprobación obligatoria, especialmente en decisiones de alto impacto o acciones irreversibles como el borrado de datos.
  • Capacitación y Autoridad: El supervisor debe contar con la formación técnica para entender la lógica del agente y la autoridad e independencia necesarias para anular una decisión automatizada sin presiones organizativas.
22. Reflexiones Finales

En conclusión, la IA agéntica ha llegado para quedarse y representa una oportunidad estratégica para aquellas organizaciones que sepan equilibrar la innovación con el respeto a los derechos fundamentales. 

Una implementación que considere la protección de datos desde el diseño minimiza riesgos y puede ofrecer garantías superiores a las de los procesos manuales tradicionales. 

Pero dado que nos encontramos ante una tecnología en plena evolución, es necesario un enfoque de precaución incremental y una monitorización constante basada en la evidencia científica y jurídica.

La adopción de la IA agéntica no debe ser ni un "rechazo irracional" ni una "aceptación acrítica". Requiere una gobernanza basada en evidencias, el uso de mecanismos de seguridad como los "cortacircuitos" (circuit breakers) y una alfabetización profunda a todos los niveles de la organización para garantizar que la autonomía de la máquina nunca anule los derechos y libertades de las personas.

La propuesta realizada busca transformar la IA agéntica en una herramienta que automatice procesos, incrementando el nivel de protección de los ciudadanos al eliminar la arbitrariedad de los procesos manuales y sustituirlos por flujos trazables, minimizados y bajo supervisión humana efectiva
____________
23. Bibliografía
Agencia Española de Protección de Datos (AEPD). (2026). Inteligencia Artificial Agéntica desde la perspectiva de Protección de Datos. Versión 1.2.
Agencia Española de Protección de Datos (AEPD). (2024). Evaluación de la intervención humana en las decisiones automatizadas.
Agencia Española de Protección de Datos (AEPD). (2024). Introducción a LIINE4DU 1.0: Una nueva metodología para el modelado de amenazas para la privacidad y la protección de datos.
Agencia Española de Protección de Datos (AEPD). (2021). Gestión del riesgo y evaluación de impacto en tratamientos de datos personales.
Comité Europeo de Protección de Datos (EDPB). (2021). Directrices 07/2020 sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» en el RGPD.
Feng et al. (2025). Levels of Autonomy for AI Agents. ArXiv.
Infocomm Media Development Authority (IMDA). (2026). Model AI governance framework for agentic AI - Singapur.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (RIA).
Russell, S., & Norvig, P. (2021). Artificial Intelligence: A Modern Approach (4th ed.). Pearson.
Sapkota, R., Roumeliotis, K. I., & Karkee, M. (2025). AI Agents vs. Agentic AI: A Conceptual taxonomy, applications and challenges. Information Fusion, Vol. 126.

24. Recursos Generativos utilizados en la redacción de este artículo
Teniendo en cuenta que se ha seguido la estructura de un artículo científico, formato conocido por la IAG, para la elaboración de este contenido se ha utilizado IAG en la fase de búsqueda de información, así como en la mejora de la redacción y adaptación de esta redacción a un lenguaje coloquial. Asimismo, antes de editarlo se ha pasado el filtro de plagio (11% de coincidencias) y de lenguaje IAG (12% de coincidencias), considerando ambos ratios razonables y asumibles.