I
Impetora

Artículo 22 del RGPD: cómo diseñar IA que cumpla decisiones automatizadas

By Impetora -

El artículo 22 del RGPD reconoce el derecho del interesado a no ser objeto de una decisión basada únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente de modo similar. Para sistemas de IA, esto fija un marco preciso de salvaguardas que la AEPD aplica con rigor.

Cuándo aplica el artículo 22?

Aplica cuando concurren tres condiciones. La decisión está basada únicamente en tratamiento automatizado (sin intervención humana significativa). Produce efectos jurídicos sobre la persona o le afecta de modo similar. Los datos tratados son personales. Si falta cualquiera de las tres, el artículo 22 no aplica, aunque puedan aplicar otras disposiciones del RGPD.

El artículo 22.2 lista tres excepciones que permiten la decisión automatizada. Necesidad para celebrar o ejecutar un contrato. Autorización legal con salvaguardas. Consentimiento explícito. En las tres se aplican salvaguardas mínimas; en las dos primeras, el responsable debe documentar la base.

Qué salvaguardas exige?

El artículo 22.3 fija tres salvaguardas mínimas. Derecho a obtener intervención humana por parte del responsable. Derecho a expresar el punto de vista del interesado. Derecho a impugnar la decisión. Las directrices del antiguo WP29 (WP251) y la jurisprudencia europea precisan que la intervención humana debe ser significativa, no formal: una persona con autoridad y capacidad real para revisar y revertir.

Para sistemas de IA esto se traduce en cuatro elementos de diseño. Un canal explícito y accesible para solicitar revisión humana. Un revisor con tiempo, formación y autoridad para revertir la decisión. Un registro por caso que documente quién revisó y qué decidió. Un procedimiento de impugnación con tiempos comprometidos.

Existe derecho a explicación?

Los artículos 13.2.f, 14.2.g y 15.1.h obligan a informar sobre la existencia de decisiones automatizadas, la lógica aplicada y la importancia y consecuencias previstas. La AEPD interpreta esto como derecho a una explicación significativa que el interesado pueda entender y usar para impugnar. La práctica que sobrevive al examen.

Tres niveles de explicabilidad. Sistémico: cómo funciona el sistema en general (lógica, factores, datos). Específico: por qué este caso fue decidido así (factores principales, ponderación). Contrafactual: qué cambiaría la decisión. La obligación legal cubre los dos primeros; el contrafactual es buena práctica que reduce litigios.

Cómo se conecta con la Ley de IA?

La Ley de IA y el artículo 22 del RGPD son complementarios. La Ley fija obligaciones técnicas sobre el sistema (gestión de riesgos, documentación, supervisión humana). El RGPD fija derechos de la persona afectada. Una empresa que cumple la Ley de IA en alto riesgo cumple gran parte del artículo 22, pero no todo: el derecho a impugnar y a expresar punto de vista son específicos del RGPD.

La estrategia operativa: un único procedimiento de revisión humana que cubra ambas normas, con tres salidas (mantener decisión, modificar decisión, escalar a comité). El registro alimenta tanto la documentación técnica de la Ley como las solicitudes de derechos del RGPD.

Preguntas frecuentes

Una IA que solo recomienda, sin decidir, está fuera del 22?
Solo si la persona que decide tiene autoridad real y revisa el caso. Si la recomendación se acepta automáticamente o sin revisión sustantiva, la AEPD trata la decisión como automatizada. La diferencia se demuestra con registros, no con declaraciones.
El consentimiento basta para decisiones automatizadas?
Es una de las tres bases del 22.2. El consentimiento debe ser explícito, libre, específico, informado e inequívoco. Las salvaguardas siguen aplicando aunque haya consentimiento. La práctica recomendada: usar consentimiento solo cuando el contrato no basta.
Qué pasa con el scoring crediticio?
El TJUE dictó en 2023 (asunto C-634/21, SCHUFA) que el scoring que tiene peso decisivo en una concesión es decisión automatizada del 22. La salvaguarda no es opcional. Para España, la AEPD ha aplicado este criterio en sus inspecciones.
Cómo demostramos intervención humana significativa?
Con tres elementos. Tiempo medio de revisión por caso superior a un umbral (generalmente varios minutos, no segundos). Tasa de revisión que muestra revisor activo, no automatización oculta. Registro por caso con motivación que demuestre análisis sustantivo.
Impetora

Ready to scope your project? Submit a short brief and we reply within one business day.

Fuentes

Sources cited (4) - show
  1. Reglamento (UE) 2016/679 - artículo 22. EUR-Lex, 2016-04-27. https://eur-lex.europa.eu/eli/reg/2016/679/oj
  2. AEPD - Decisiones automatizadas e IA. AEPD, 2024. https://www.aepd.es/areas-de-actuacion/innovacion-y-tecnologia/inteligencia-artificial
  3. TJUE - Asunto C-634/21 (SCHUFA). TJUE, 2023-12-07. https://curia.europa.eu/
  4. WP29 - Directrices sobre decisiones automatizadas (WP251). EDPB, 2018. https://edpb.europa.eu/
About Impetora
Impetora designs, builds, and deploys custom AI systems for enterprises in regulated industries. We operate from Vilnius and Amsterdam and work in five languages.
Llamada de descubrimiento

Reserva una llamada de descubrimiento

Cuéntanos qué quieres construir. Respondemos en un día hábil.

Llamada de 30 minutos. Gratis. Sin compromiso.