Forgeron3
Iniciar sesión Demo
/ Seguridad4 ago 20258 min de lectura

RGPD y asistentes IA: las claves de la conformidad

Encargo de tratamiento artículo 28, EIPD, derechos de las personas, plazos de conservación: la lista operativa para poner su asistente IA en conformidad — sin pagar 5.000 € a un abogado por nada.

F3
El equipo Forgeron3Marsella & Paris

1. Calificar los roles: quién es responsable de qué

Primer reflejo: identificar quién hace qué.

  • Usted es responsable del tratamiento (decide qué documentos se ingieren, con qué finalidad, para quién).
  • El proveedor del asistente es encargado del tratamiento según el artículo 28 RGPD (trata datos personales por su cuenta).
  • El alojador del proveedor es subencargado (encargado de segundo nivel).

Esta calificación activa todo lo demás — contratos, garantías, auditoría, registro.

2. El DPA (Data Processing Agreement) artículo 28

Antes de la primera ingesta, firme un DPA conforme al artículo 28 RGPD. Seis cláusulas no negociables:

  1. El objeto, la duración, la naturaleza y la finalidad del tratamiento.
  2. Los tipos de datos y categorías de personas afectadas.
  3. Las obligaciones del encargado (instrucción documentada, confidencialidad, seguridad, auditoría).
  4. La autorización y la lista de subencargados.
  5. Las modalidades de fin de contrato (restitución o destrucción de los datos).
  6. Las modalidades de auditoría (su derecho a auditar al encargado).

Si su proveedor no facilita este documento de forma espontánea, es mala señal. Nuestro DPA está disponible en nuestra página de seguridad.

3. La EIPD: cuándo es obligatoria, cómo hacerla

La evaluación de impacto (EIPD) es obligatoria si el tratamiento presenta un riesgo alto para los derechos y libertades. Para un asistente IA, se considera obligatoria en cuanto:

  • Trata datos sensibles (salud, judiciales, opiniones).
  • Trata datos de menores o personas vulnerables.
  • El tratamiento es masivo y sistemático de datos personales.

En los demás casos (FAQ de producto, búsqueda documental interna sin datos personales sensibles), la EIPD no es obligatoria pero sigue siendo recomendable.

Una EIPD básica se hace en dos semanas con su DPO o un despacho asociado. Calcule entre 2.000 y 5.000 € según la complejidad.

Idea falsa extendida”Haremos la EIPD más tarde, cuando el proyecto esté más avanzado.” No. La EIPD se hace antes del inicio del tratamiento. Si no, descubrirá en septiembre que el proyecto no se puede mantener como está.

4. Los derechos de las personas: lo que debe poder hacer su asistente

Una persona cuyos datos hayan sido ingeridos debe poder ejercer cinco derechos:

  1. Acceso: conocer qué datos suyos están almacenados.
  2. Rectificación: corregir un dato inexacto.
  3. Supresión: que se eliminen sus datos.
  4. Limitación: que se congele el tratamiento de sus datos.
  5. Portabilidad: recuperar sus datos en un formato utilizable.

Compruebe que su proveedor cuenta con un procedimiento documentado para tratar estas solicitudes en menos de un mes. Si no, usted estará en infracción.

5. Los plazos de conservación

Defina, y documente, el plazo de conservación de cada tipo de dato:

  • Documentos ingeridos (duración de la misión o uso legítimo, normalmente entre 1 y 10 años).
  • Conversaciones de usuarios (normalmente de 6 a 12 meses).
  • Registros de auditoría (normalmente de 12 meses a 3 años según la criticidad).

Pasado ese plazo, supresión automática. Es un parámetro del lado del proveedor, hay que verificarlo explícitamente.

6. Las transferencias fuera de la UE: evitarlas, o encuadrarlas

El RGPD solo autoriza las transferencias fuera de la UE con garantías específicas (cláusulas contractuales tipo, decisión de adecuación, BCR). Mejor todavía: ninguna transferencia. Ese es el sentido de la IA soberana: alojamiento en Francia, bajo jurisdicción francesa, operador francés.

7. El registro de actividades: lo que debe contener

Añada el asistente IA a su registro de actividades de tratamiento (artículo 30 RGPD), con:

  • Finalidad del tratamiento.
  • Categorías de personas y de datos.
  • Destinatarios (internos, encargados).
  • Plazo de conservación.
  • Medidas de seguridad.
  • Transferencias eventuales.

Es un documento interno, pero será requerido en caso de control de la CNIL — calcule dos horas para redactar una ficha correcta.

Para el detalle de los compromisos Forgeron3 en estos siete puntos, vea nuestra página seguridad y RGPD.

Revisar el DPA

Veinte minutos para revisar el DPA punto por punto, e identificar los ajustes necesarios para su contexto (asesoría, administración local, PyME industrial).

Reservar demo

Leer a continuación.

/ Soberanía9 min

Por qué elegir una IA soberana en 2026

Siete criterios concretos para distinguir el marketing de la soberanía seria.

Leer →
/ Seguridad7 min

Las preguntas esenciales que hacer a su proveedor IA

Quince preguntas precisas, con las respuestas que exigir en 2026.

Leer →
/ Método7 min

Integrar un asistente IA en su infraestructura IT

SSO, ACL, registros, copias de seguridad: lo que el área IT debe encuadrar antes de la ingesta.

Leer →