El Supervisor Europeo de Protección de Datos publica una guía para la gestión de riesgos de los sistemas de inteligencia artificial

El Supervisor Europeo de Protección de Datos (SEPD) ha publicado, el 11-11-2025, la «Guía para la gestión de riesgos de los sistemas de inteligencia artificial» (IA), con la finalidad, como recoge su página web, de «proporcionar información valiosa y recomendaciones prácticas para ayudar a identificar y mitigar los riesgos técnicos comunes asociados con los sistemas de IA, contribuyendo a la protección de los datos personales».

Esta guía se basa en la norma ISO 31000:2018, que estructura el proceso de gestión de riesgos en tres fases: identificación, análisis y evaluación de los riesgos relacionados con el tratamiento de datos personales en sistemas de IA.

Resumimos los aspectos principales.

Exigencias de cualquier tratamiento

El SEPD entiende que las cualidades de interpretable y de explicable (interpretability y explainability) son exigencias de carácter transversal, que deben cumplirse antes de llevar a cabo cualquier tratamiento:

1. Con «interpretable» alude al nivel de comprensión humana del modelo o de una decisión “de caja negra”. Implica entender cómo genera sus resultados el sistema y cómo se relacionan sus entradas y salidas, de manera que un humano pueda describir su funcionamiento de forma clara.
2. Con «explicable» se refiere a ofrecer razones comprensibles para una predicción o decisión concreta del modelo. Busca aclarar por qué el sistema ha llegado a un resultado determinado.

Estos conceptos se diferencian de la transparencia, pues se refieren al nivel de comprensión que el responsable del tratamiento tiene sobre el funcionamiento del sistema, mientras que la transparencia apunta a la obligación del responsable del tratamiento de proporcionar información significativa a los interesados.

Principios de protección de datos y riesgos asociados

La guía recoge con atención especial los riesgos técnicos vinculados a cinco principios fundamentales de la protección de datos:

• Equidad.
• Exactitud o precisión.
• Minimización de datos.
• Seguridad.
• Derechos de los interesados.

Ciclo de vida como marco para la gestión de riesgos

El SEPD advierte de que los riesgos vinculados al tratamiento de datos personales pueden aparecer en diferentes fases del ciclo de vida de un sistema de IA.

La guía recoge nueve fases, desde el inicio hasta la retirada del sistema y subraya la necesidad de comprender las particularidades y riesgos que pueden surgir en cada una de ellas.