Saltar al contenido principal
Volver a recursos
RGPD y seguridad · 11 min lectura

RGPD y asistente IA municipal: qué obligaciones aplica a un Ayuntamiento en 2026

Implicaciones legales del tratamiento de datos ciudadanos por inteligencia artificial. Encargado del tratamiento, RGPD, no entrenamiento, registro de actividades y derecho a explicación.

Implementar un asistente IA municipal supone tratar datos personales de ciudadanos. Esto activa una serie de obligaciones legales que conviene tener clarísimas antes de firmar nada. Esta guía resume el marco aplicable en España en 2026.

Aviso: No es asesoramiento jurídico individualizado. Para casos concretos, consulta con el delegado de protección de datos de tu municipio o con un especialista en RGPD del sector público.

Marco normativo aplicable

Para un asistente IA municipal aplica el siguiente conjunto:

  • Reglamento (UE) 2016/679 (RGPD) — principios generales.
  • LO 3/2018 (LOPDGDD) — desarrollo nacional + derechos digitales.
  • Reglamento (UE) 2024/1689 (AI Act / Ley de IA europea) — desde agosto de 2026, obligaciones específicas para sistemas IA en administraciones.
  • Ley 40/2015 y Ley 39/2015 — régimen jurídico del sector público y procedimiento administrativo.
  • Ley 7/2021 de transparencia (donde aplique a nivel autonómico).

Roles que se activan

En el contexto de un asistente IA municipal:

RolQuiénResponsabilidad
Responsable del tratamientoEl AyuntamientoDefine finalidad, base jurídica, plazos, derechos del ciudadano
Encargado del tratamientoEl proveedor SaaS (ej. Pueblania)Trata datos por cuenta del responsable, bajo contrato
SubencargadosHetzner, Google Cloud, etc.Infraestructura cloud, autorizados por contrato
Delegado de protección de datosPersona designada por el municipioSupervisión y enlace con autoridad de control

El contrato de encargado del tratamiento (art. 28 RGPD) es obligatorio antes de la activación del servicio.

Bases jurídicas posibles

Las bases jurídicas habitualmente aplicables:

  • Misión en interés público o ejercicio de poderes públicos (art. 6.1.e RGPD) — atención al ciudadano forma parte de las competencias municipales.
  • Cumplimiento de obligación legal (art. 6.1.c) — cuando la atención al ciudadano deriva de una ley específica.
  • Consentimiento del interesado (art. 6.1.a) — para tratamientos accesorios (marketing, newsletter, analítica).

El simple hecho de que el ciudadano interactúe con el asistente puede considerarse consentimiento implícito solo si el aviso de privacidad está claramente visible antes de empezar la conversación.

Información que debes dar al ciudadano

Antes de la primera interacción con el asistente IA, el ciudadano debe conocer (art. 13 RGPD):

  1. Identidad del responsable (el Ayuntamiento) y del encargado (el proveedor).
  2. Finalidades del tratamiento.
  3. Base jurídica aplicable.
  4. Destinatarios o categorías de destinatarios.
  5. Plazos de conservación.
  6. Derechos del interesado (acceso, rectificación, supresión, oposición, limitación, portabilidad).
  7. Derecho a presentar reclamación ante la AEPD.
  8. Existencia o no de decisiones automatizadas (importante con IA).

Lo habitual es una capa breve visible junto al chat (“Hablas con un asistente IA. Tus datos se tratan conforme a [enlace política de privacidad]”) + capa completa enlazada.

Decisiones automatizadas y derecho a explicación

El art. 22 RGPD limita las decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o significativamente afecten al ciudadano.

Implicación práctica: un asistente IA municipal no debe denegar trámites, sancionar ni resolver expedientes sin intervención humana. Sí puede:

  • Informar.
  • Consultar datos del propio usuario.
  • Agendar reservas (sujetas a confirmación humana posterior cuando proceda).
  • Abrir puertas si hay reserva previa validada por humano.
  • Escalar al funcionariado para decisiones formales.

El AI Act introduce además el derecho a saber que se está interactuando con un sistema IA (transparencia obligatoria) y a recibir una explicación general de su funcionamiento.

No entrenamiento con datos ciudadanos

Una de las cláusulas clave del contrato debe ser que el proveedor no utiliza los datos del Ayuntamiento para entrenar modelos públicos. Esto se ha vuelto crítico porque los modelos generativos requieren grandes corpus, y la tentación de usar conversaciones reales para “mejorar” es alta.

En el caso de Pueblania, la cláusula es expresa: las conversaciones, documentos y datos ciudadanos se utilizan exclusivamente para prestar el servicio al Ayuntamiento responsable. No se comparten con OpenAI, Google, Anthropic ni ningún tercero para entrenamiento. Auditable en logs.

Datos sensibles: cómo se tratan

El asistente IA municipal puede recibir, sin pretenderlo, datos sensibles del ciudadano (salud, religión, ideología, etc.) durante una conversación. Las medidas técnicas habituales:

  • Redacción PII automática — detección y filtrado de DNI, IBAN, teléfono, dirección, etc. antes de llegar al modelo.
  • Doble capa — filtro en resultados de búsqueda interna + filtro en respuesta final.
  • Logs auditables — quién, qué y cuándo se preguntó.
  • Retención limitada — conversaciones se conservan el tiempo necesario para la finalidad, no más.

Transferencias internacionales

Si el proveedor utiliza infraestructura fuera del Espacio Económico Europeo, aplican las cláusulas tipo del Capítulo V del RGPD. Lo recomendable y lo que aplica Pueblania:

  • Servidores en territorio UE (Hetzner Alemania, Google Cloud Frankfurt).
  • Sin subencargados fuera del EEE sin consentimiento expreso del Ayuntamiento.
  • Cumplimiento del Marco UE-EE.UU. de Privacidad de Datos cuando aplique a proveedores subyacentes.

Registro de actividades del tratamiento

El Ayuntamiento (como responsable) debe incluir el tratamiento en su Registro de Actividades del Tratamiento (RAT), conforme al art. 30 RGPD. Datos a registrar:

  • Nombre del tratamiento (“Asistente IA municipal”).
  • Responsable (Ayuntamiento).
  • Encargado (proveedor SaaS).
  • Finalidades.
  • Categorías de interesados (ciudadanos del municipio).
  • Categorías de datos.
  • Plazos de conservación.
  • Transferencias internacionales (si aplica).
  • Medidas de seguridad técnicas y organizativas.

Pueblania te proporciona la ficha tipo lista para anexar al RAT durante la implementación.

Evaluación de impacto (EIPD)

¿Hace falta hacer EIPD (art. 35 RGPD)?

En la mayoría de implementaciones de asistente IA municipal sí es recomendable, aunque no siempre obligatorio. Especialmente si:

  • Se tratan datos de un colectivo extenso (todo el municipio).
  • Se incluyen tratamientos automatizados.
  • Se combinan fuentes (ordenanzas + reservas + bonos + accesos físicos).

Una EIPD bien hecha tarda 2-4 semanas. Pueblania puede aportar la documentación técnica que requiere el DPO para realizarla.

Brechas de seguridad

Notificación a la AEPD en 72 h conforme al art. 33 RGPD. El proveedor debe notificar al responsable sin dilación. En el contrato de encargado del tratamiento debe constar el procedimiento de notificación.

Conclusión

Cumplir el RGPD con un asistente IA municipal no es complicado, pero exige diligencia. Los puntos críticos:

  1. Contrato de encargado del tratamiento bien redactado.
  2. Aviso de privacidad visible antes de la primera interacción.
  3. No entrenamiento con datos ciudadanos garantizado por contrato.
  4. Servidores en UE o cláusulas tipo válidas.
  5. EIPD recomendada antes del despliegue.
  6. Inclusión en el RAT del Ayuntamiento.

Si el proveedor que estás evaluando no puede aportar respuesta clara a cada uno de estos puntos, mejor no contratar.