La inteligencia artificial (IA) agéntica crece exponencialmente. De hecho, un reciente informe de KPMG titulado “Agentic AI advantage: Unlocking next-level value” destaca que el 96% de las organizaciones que trabaja con modelos o sistemas de IA están, en estos momentos, explorando la IA agéntica.
De hecho, Gartner predice que, para finales de 2028, el 40% de las aplicaciones empresariales incorporarán agentes de IA específicos para tareas corporativas y que, gran parte de las interacciones de GenAI involucrarán agentes autónomos, pasando de herramientas de asistencia a sistemas activos. Asimismo, estima que para 2029, la IA agéntica gestionará autónomamente el 80% de las consultas de servicio al cliente, reduciendo costes operativos significativamente, y que para 2028 el 60% de las marcas utilizarán IA agéntica para facilitar interacciones personalizadas uno a uno.
Asimismo, la tendencia va hacia la orquestación de múltiples agentes trabajando juntos, pasando de agentes únicos a redes colaborativas, lo que requiere de una estrategia y gobernanza reforzada en las organizaciones en torno a estos sistemas y realidad.
De hecho, la gobernanza de la IA agéntica es un aspecto fundamental para garantizar su uso responsable, seguro y conforme a la normativa vigente. Y es que, a medida que estos sistemas adquieren mayor autonomía y capacidad para interactuar con diversos entornos y actores, se hace imprescindible establecer marcos de control, supervisión y toma de decisiones que permitan gestionar sus riesgos y maximizar sus oportunidades.
La correcta gobernanza implica definir roles, responsabilidades, procedimientos y mecanismos de supervisión, auditoría y de rendición de cuentas, asegurando que la IA agéntica opera de manera transparente, legal, ética y alineada con los objetivos de la organización. Implica cumplir con la normativa vigente de Inteligencia Artificial, pero también con otras importantes como la normativa de propiedad intelectual, o la de privacidad.
En particular, respecto a la privacidad, diversas autoridades de supervisión y control europeas se han posicionado en este sentido. Por ejemplo, la Agencia Española de Protección de Datos (AEPD), en línea con otras autoridades europeas competentes como el Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés), ha publicado una sobre aspectos a considerar en el despliegue de estos sistemas de IA, lo que resulta importante considerar en el ámbito de la citada gobernanza por los equipos dedicados a la supervisión del cumplimiento interno en estas materias.
La adopción de IA agéntica en tratamientos de datos personales supone retos y oportunidades en materia de protección de datos. No basta con el conocimiento superficial como usuario: se requiere una comprensión profunda de su funcionamiento, alcance, límites y riesgos, así como de las obligaciones legales y las garantías que deben implementarse. La AEPD se centra en identificar y gestionar las peculiaridades de la IA agéntica en el tratamiento de datos personales, diferenciando sus vulnerabilidades y amenazas respecto a otras formas y sistemas de inteligencia artificial.
Un agente de IA se caracteriza por su autonomía, capacidad de percibir el entorno (mediante sensores, APIs,interacciones y bases de datos), ejecutar acciones externas, anticipar necesidades (proactividad), planificar y razonar, y adaptar su comportamiento a través de la memoria y el aprendizaje (planificación y razonamiento). La arquitectura puede ser simple (un solo agente) o compleja (multiagente), con diferentes grados de colaboración, competencia y negociación entre ellos.
La incorporación de IA agéntica en tratamientos de datos personales son medios que pueden transformar la naturaleza, el contexto, el ámbito, los fines y los riesgos inherentes a dichos tratamientos. Es esencial revisar los tratamientos preexistentes al introducir IA agéntica, así como también adaptar los nuevos tratamientos que se proyecten usando agentes desde su diseño, garantizando el cumplimiento normativo y el principio de privacy by design & by default: privacidad desde el diseño y por defecto.
La IA agéntica puede interactuar con numerosos servicios internos y externos, lo que incrementa la exposición de los datos personales y la complejidad en la gestión de la privacidad. Además, la flexibilidad y autonomía del sistema pueden dar lugar a nuevas finalidades, mayor extensión de datos tratados, mayor número de intervinientes (cadena de procesamiento) potencialmente sujetos a políticas y condiciones de privacidad que pueden diferir, así como riesgos adicionales para los derechos y libertades de los interesados.
La adopción de IA agéntica requiere una reflexión profunda sobre la gobernanza de datos: ¿cómo se definen los roles y responsabilidades en la cadena de suministro?, ¿qué mecanismos de transparencia garantizan el deber de información? y ¿cuáles son los riesgos y vulnerabilidades críticos? Entre otros aspectos importantes reflejados en la citada Guía de la AEPD, se destacan los siguientes:
El responsable del tratamiento debe garantizar el cumplimiento normativo y gestionar los riesgos asociados a la IA agéntica. Cuando se recurre a servicios de terceros, es fundamental identificar los roles (responsable, encargado, subencargado) y adoptar las garantías adecuadas en cada caso.
La transparencia exige informar adecuadamente a los interesados sobre los destinatarios, finalidades, plazos de conservación y decisiones automatizadas adicionales. Cualquier tratamiento ulterior debe ser comunicado antes de su realización, sin perjuicio de lo dispuesto en la normativa aplicable. Además, la base legitimadora (consentimiento, interés legítimo, obligación legal, etc.) debe estar claramente identificada y justificada, y deben aplicarse medidas de minimización y limitación desde el diseño y por defecto, entre otras asociadas a los principios esenciales del tratamiento.
La automatización con IA agéntica requiere actualizar el registro de actividades de tratamiento (RAT) en el sentido dispuesto en el RGPD, disponiendo de los requisitos mínimos legales por relación al RAT.
La configuración de la memoria y los logs debe permitir la trazabilidad y la gestión de estos derechos, permitiendo en todo caso su ejercicio por relación a los tratamientos de datos efectuados a partir de la IA agéntica.
La IA agéntica puede implicar decisiones automatizadas reguladas por el artículo 22 del RGPD. Es necesario evaluar si estas decisiones producen efectos jurídicos o afectan significativamente a los interesados, y aplicar las garantías y limitaciones previstas en la normativa.
La gestión del riesgo debe ser proactiva, identificando, evaluando y mitigando los riesgos para los derechos y libertades de los interesados, e integrando la protección de datos desde el diseño y por defecto. Al mismo tiempo se deberán realizar las evaluaciones de impacto en la protección de datos que resulten necesarias, conforme lo dispuesto en el RGPD.
Si la inclusión de IA agéntica implica transferencias de datos a terceros países, deben cumplirse las garantías del RGPD, e informarse adecuadamente en el registro de actividades.
Lo que, a su vez, conecta con los actuales requerimientos de alfabetización en IA presenten en el Reglamento europeo de IA.
En definitiva, la IA agéntica, sin lugar a duda, ofrece oportunidades, incluso, para una mejor protección de datos personales, pero también presenta retos inéditos en materia de privacidad, seguridad y, en general, de cumplimiento normativo y ético. Adoptar la senda correcta en su despliegue permitirá aprovechar todas estas oportunidades, siempre aplicando un enfoque responsable desde el diseño que permita mitigar, al máximo, posibles riesgos legales asociados a diferente nivel.
Deja un comentario