La Agencia Española de Protección de Datos (“AEPD”) ha publicado recientemente orientaciones específicas sobre los sistemas de inteligencia artificial agéntica, una tipología de IA que va más allá de la simple generación de respuestas y se caracteriza por su capacidad para actuar de forma autónoma con el fin de alcanzar determinados objetivos.
Las orientaciones están dirigidas a responsables y encargados del tratamiento que valoren el uso de sistemas de IA agéntica en tratamientos que impliquen datos personales, con el fin de identificar los principales riesgos y obligaciones asociadas. Sudespliegue plantea retos específicos desde la perspectiva de la protección de datos, que requieren un análisis diferenciado respecto de otros sistemas de IA más tradicionales.
Pero ¿qué es un agente de IA?
Según la AEPD, un agente de IA es un sistema de inteligencia artificial que utiliza modelos de lenguaje (habitualmente grandes modelos de lenguaje o LLMs) para planificar y ejecutar acciones orientadas al cumplimiento de un objetivo. Los agentes de IA se pueden definir por las siguientes características:
✓ operan con autonomía;
✓ son capaces de percibir el entorno;
✓ interactúan con el exterior;
✓ son proactivos al detectar necesidades y problemas;
✓ planifican y razonan;
✓ se retroalimentan o autoevalúan con memoria a corto y largo plazo.
La importancia de conocer su funcionamiento
La AEPD subraya que comprender el funcionamiento de la IA agéntica es esencial para adoptar decisiones informadas cuando se pretende tratar datos personales a través de estos sistemas. No basta con un conocimiento superficial como usuarios finales sino quees necesario entender sus fundamentos, su alcance, sus límites y la forma en que se integran en los procesos de tratamiento.
En este sentido, la AEPD destaca la importancia de aprovechar de manera proactiva las oportunidades que ofrece esta tecnología para reforzar la protección de datos desde el diseño, advirtiendo asimismo de que tanto su rechazo infundado como su adopción acrítica pueden resultar perjudiciales.
Contenido y estructura de las recomendaciones
Las orientaciones comienzan con una descripción general de los sistemas de IA agéntica y de sus características distintivas, como su capacidad para planificar y ejecutar acciones de forma autónoma, decidiendo qué herramientas utilizar o qué fuentes de información consultar sin intervención humana en cada paso.
A continuación, analiza las vulnerabilidades específicas que pueden surgir desde la perspectiva de la protección de datos, como el acceso a datos personales más allá de lo necesario, la reutilización de información para finalidades no previstas o los riesgos derivados de la interacción del agente con servicios de terceros.
Finalmente, las orientaciones recogen medidas dirigidas a responsables y encargados del tratamiento para limitar estos riesgos, entre ellas la definición clara de los objetivos y límites del agente, y la incorporación de mecanismos de supervisión humana.