La inteligencia artificial agéntica empieza a llegar a empresas, despachos, departamentos de atención al cliente, áreas de recursos humanos, equipos comerciales y administraciones públicas con una promesa atractiva: sistemas capaces de planificar tareas, consultar herramientas, recordar contexto y actuar con distintos grados de autonomía. Pero esa misma capacidad de actuar es la que ha llevado a la Agencia Española de Protección de Datos a publicar unas orientaciones específicas sobre sus riesgos.
La AEPD publicó el 18/02/2026 sus “Orientaciones sobre Inteligencia Artificial agéntica desde la perspectiva de protección de datos”, dirigidas a responsables y encargados que quieran utilizar agentes de IA en tratamientos de datos personales. El documento no pretende resolver casos concretos ni sustituir una evaluación jurídica específica, sino ayudar a entender cómo cambia el tratamiento cuando la IA deja de limitarse a responder y empieza a ejecutar pasos, usar memoria y conectarse con otros servicios.
Qué entiende la AEPD por IA agéntica
La Agencia define los agentes de IA como sistemas de inteligencia artificial que utilizan modelos de lenguaje para cumplir un objetivo. La diferencia frente a un chatbot convencional está en que el agente no se limita a contestar una pregunta aislada. Puede descomponer una tarea, decidir qué herramienta necesita, consultar datos, recordar información previa y actuar en varios pasos hasta alcanzar el resultado esperado.
Esa autonomía introduce riesgos distintos. Un asistente que resume un texto puntual puede tratar datos personales durante unos segundos y devolver una respuesta. Un agente, en cambio, puede acceder a una base de datos, consultar un correo, recuperar información de una memoria persistente, generar una respuesta y enviarla automáticamente. El tratamiento ya no se explica solo por el modelo, sino por todo el sistema que lo rodea.
La AEPD insiste en que no basta con conocer la herramienta “como usuario”. Las organizaciones deben comprender sus fundamentos, límites, alcance y forma de aplicación antes de incorporarla a tratamientos con datos personales. Rechazarla sin análisis puede hacer perder oportunidades de mejora; adoptarla sin control puede afectar a derechos y libertades de las personas.
El enfoque es relevante porque desplaza el debate. La pregunta ya no es únicamente qué datos se introducen en un prompt, sino qué datos consulta el agente por su cuenta, qué conserva, qué infiere, qué comparte con otros servicios y qué acciones ejecuta después. En un sistema agéntico, el riesgo nace del comportamiento completo del flujo.
La memoria, el punto más delicado
Uno de los elementos que más preocupan a la AEPD es la memoria. La guía distingue entre memoria de trabajo, memoria a largo plazo y memoria de gestión, formada por registros o logs de operación. La memoria puede mejorar la utilidad del agente, porque permite recordar preferencias, casos anteriores o instrucciones de la organización. Pero también puede acumular datos personales, sesgos, credenciales, información irrelevante o contexto que no debería reutilizarse en otros tratamientos.
La AEPD advierte de que la memoria debe estar compartimentada por tratamientos, casos y personas usuarias cuando sea necesario. No es lo mismo guardar políticas generales de la organización que conservar datos de un cliente, un empleado o un expediente. Si toda la información se vuelca en un repositorio común y se deja al agente decidir qué usar, el riesgo de quiebra del principio de minimización aumenta.
También aparece el problema de la conservación. En protección de datos no se trata de guardar todo “por si acaso”. La información almacenada debe ser la mínima necesaria para el funcionamiento del agente y debe tener plazos claros de retención. La guía recomienda gestionar la memoria con capacidades de búsqueda, borrado, trazabilidad, limitación del tratamiento y alertas de uso.
La Agencia propone medidas como desactivar memoria persistente por defecto en determinados tratamientos, permitir su desactivación por la persona usuaria, aplicar caducidades estrictas e higienizar la memoria a largo plazo. Esta higienización incluye eliminar credenciales innecesarias, revisar contenido obsoleto, detectar sesgos y depurar información que ya no sea relevante.
Riesgos: opacidad, inyección de prompts y filtraciones silenciosas
La AEPD no se queda en una advertencia genérica sobre “usar la IA con cuidado”. Identifica riesgos bastante concretos. Uno de ellos es la opacidad: si el agente combina inferencias, herramientas externas, memoria y acciones automáticas, puede ser difícil explicar por qué hizo algo, qué datos usó o qué componente falló. Esto afecta a la transparencia, a la supervisión humana y al ejercicio de derechos.
Otro riesgo es el acceso excesivo a información. Un agente con permisos amplios puede consultar más datos de los necesarios, hacer scraping masivo o reenviar información a otros sistemas sin una base adecuada. Aquí el principio de minimización cobra especial importancia: el agente no debe tener acceso a todo porque “así funciona mejor”. Debe acceder solo a lo necesario para cada tarea.
La inyección de prompts es otra amenaza central. Una instrucción maliciosa no siempre llega escrita por el usuario en la caja de texto. Puede estar escondida en una web, un correo, un PDF o un documento que el agente lee durante su trabajo. Si el sistema no filtra bien las entradas externas, el agente puede obedecer instrucciones que alteren su comportamiento, revelen datos o ejecuten acciones no previstas.
La guía también menciona las filtraciones shadow-leak, un concepto importante para organizaciones que manejan información sensible. No se trata de una fuga directa y evidente, sino de una exposición silenciosa y progresiva de datos, reglas internas, memoria, patrones o secretos a través de respuestas parciales, metadatos, tiempos de respuesta o comportamientos del sistema. Precisamente por ser difícil de detectar, este riesgo exige controles desde el diseño.
La “regla de 2” como alarma mínima
Uno de los puntos más útiles de la guía es la llamada “regla de 2”, inspirada en criterios de seguridad aplicados a sistemas que ejecutan contenido no confiable. La AEPD la adapta al contexto de agentes de IA como umbral mínimo de garantías.
La idea es sencilla: hay tres factores especialmente peligrosos si se combinan mal. El primero es tratar información no controlada, como correos, webs o documentos externos que pueden contener ataques. El segundo es acceder a información sensible o datos personales. El tercero es ejecutar acciones automáticas con efectos dentro o fuera de la organización.
La AEPD advierte de que una configuración que combine los tres elementos sin garantías no debería permitirse. Por ejemplo, un agente que recibe correos no verificados, puede acceder a datos sensibles del usuario y además responde o modifica repositorios de forma automática representa una configuración de riesgo alto.
| Combinación de riesgo | Qué debería evitarse |
|---|---|
| Entrada no controlada + acceso a datos sensibles | No permitir acciones automáticas sin supervisión humana |
| Acceso a datos sensibles + acciones automáticas | No operar sin garantías de integridad y seguridad de la información |
| Entrada no controlada + acciones automáticas | Impedir el acceso a información sensible o datos personales |
| Entrada no controlada + datos sensibles + acción automática | Configuración que no debería permitirse sin rediseño y garantías reforzadas |
Esta regla no sustituye una evaluación de riesgos ni una evaluación de impacto cuando proceda, pero sirve como señal de alarma. Si un proyecto de agente cumple dos o tres de esos factores, no debería tratarse como una simple integración tecnológica.
Qué deben hacer las organizaciones
La AEPD plantea una respuesta estructural. No basta con poner un aviso al usuario o pedirle que revise la respuesta final. La IA agéntica debe incorporarse a la gobernanza del tratamiento desde el diseño, con participación del Delegado de Protección de Datos cuando exista, análisis de riesgos, documentación de finalidades, control de intervinientes, gestión de proveedores y medidas técnicas proporcionadas.
La guía recuerda que la incorporación de IA agéntica puede cambiar la naturaleza del tratamiento. Puede modificar flujos de datos, categorías de información, plazos de conservación, destinatarios, finalidades y nivel de autonomía. Por eso puede exigir un nuevo ciclo de gestión del riesgo o revisar una evaluación de impacto ya realizada. No todos los casos obligarán automáticamente a una EIPD, pero sí habrá que justificarlo.
Entre las medidas recomendables destacan la minimización granular, el filtrado de flujos entre componentes, la eliminación de metadatos innecesarios, la seudonimización de usuarios, el control de memoria y logs, las listas blancas de servicios, la definición del grado de autonomía y la supervisión humana real en las decisiones o acciones sensibles.
Para empresas que empiezan a desplegar agentes, la lección práctica es clara: no se puede comprar una herramienta agéntica y conectarla a correos, CRM, expedientes, carpetas compartidas y sistemas internos sin rediseñar permisos, memoria y controles. Cuanto más útil sea el agente, más probable será que necesite acceso a datos valiosos. Y cuanto más acceso tenga, más exigente debe ser la gobernanza.
La IA agéntica puede ser una tecnología útil para mejorar procesos y reducir tareas repetitivas, pero la AEPD recuerda que su adopción exige madurez. Un agente que actúa sin entender límites puede convertir una buena automatización en un problema de protección de datos. La innovación no queda prohibida; queda condicionada a algo que el RGPD lleva años exigiendo: responsabilidad proactiva, privacidad desde el diseño y control real sobre el tratamiento.
Preguntas frecuentes
¿Qué son las orientaciones de la AEPD sobre IA agéntica?
Son un documento publicado por la Agencia Española de Protección de Datos para ayudar a responsables y encargados a identificar riesgos cuando usan agentes de IA en tratamientos de datos personales.
¿La IA agéntica obliga siempre a hacer una evaluación de impacto?
No siempre. Pero puede exigir una EIPD o la revisión de una ya existente si cambia el riesgo del tratamiento, los datos tratados, las finalidades, la autonomía o los flujos de información.
¿Qué es la regla de 2 en agentes de IA?
Es una regla mínima de seguridad que alerta sobre la combinación de entradas no controladas, acceso a datos sensibles y acciones automáticas. Si esos factores se combinan mal, el agente puede generar riesgos graves.
¿Qué medidas recomienda la AEPD?
Recomienda integrar la IA agéntica en la gobernanza del tratamiento, limitar accesos, minimizar datos, controlar memoria y logs, filtrar flujos entre componentes, seudonimizar cuando proceda y documentar el grado de autonomía del agente.
