🎓

Tesify

¡Empieza gratis! 🚀
,

Privacidad de Datos en Tesis con IA: Marco RGPD y AI Act 2026

Avatar de thesify.team@gmail.com
thesify.team@gmail.com

·

Privacidad de Datos en Tesis con IA: Marco RGPD y AI Act 2026

La privacidad de datos en tesis doctorales que utilizan IA es uno de los ámbitos normativos más complejos y cambiantes al que se enfrentan los investigadores en 2026. La confluencia del Reglamento General de Protección de Datos (RGPD, 2016/679) con el nuevo Reglamento de Inteligencia Artificial (AI Act, 2024/1689) —plenamente aplicable en sus disposiciones principales desde agosto de 2026— genera un marco de obligaciones que los doctorandos, sus directores de tesis y los programas de doctorado deben conocer en detalle.

Cuando una tesis doctoral incorpora herramientas de IA generativa en el procesamiento de datos personales —entrevistas transcritas, encuestas, historiales clínicos, datos educativos, grabaciones de voz— el investigador asume obligaciones específicas que van más allá del consentimiento informado convencional. Este artículo examina esas obligaciones con rigor jurídico y metodológico, orientado específicamente a investigadores en España y el espacio europeo de educación superior (EHEA).

Respuesta rápida: El uso de IA con datos personales en una tesis doctoral está regulado por el RGPD (principios de minimización, limitación de finalidad, privacy by design) y, desde 2026, por el AI Act. Las obligaciones clave incluyen: consentimiento informado específico para el uso de IA, evaluación de impacto (EIPD) si los datos son sensibles, anonimización antes de procesar con herramientas de IA externas, y declaración en la sección metodológica. La responsabilidad recae en la universidad como responsable del tratamiento.

RGPD e investigación académica: principios fundamentales

El Reglamento General de Protección de Datos (UE 2016/679) establece un conjunto de principios que se aplican a todo tratamiento de datos personales, incluyendo el realizado en el contexto de la investigación académica. Los siete principios del artículo 5 RGPD son directamente aplicables a las tesis doctorales:

Principio RGPD Implicación para tesis con IA
Licitud, lealtad y transparencia Declarar en la hoja de información al participante que se utilizará IA
Limitación de finalidad No usar datos recogidos para la tesis en otras finalidades con IA
Minimización de datos No procesar con IA más datos de los estrictamente necesarios
Exactitud Verificar que la IA no distorsiona ni altera los datos originales
Limitación del plazo de conservación Establecer periodos de conservación para datos y outputs de IA
Integridad y confidencialidad Garantizar seguridad en transmisión de datos a herramientas IA externas
Responsabilidad proactiva Documentar todas las decisiones de tratamiento, incluido el uso de IA

El RGPD permite la investigación científica como base legitimadora del tratamiento (artículo 89), pero esta excepción no exime del cumplimiento de los principios básicos ni de las garantías adicionales para datos sensibles.

El AI Act 2024/1689 y su aplicación a la investigación doctoral

El Reglamento de Inteligencia Artificial de la Unión Europea (Reglamento 2024/1689, conocido como AI Act), que entró en vigor en agosto de 2024 y cuyos plazos de aplicación escalonados culminan en agosto de 2026, introduce una categorización de sistemas de IA por nivel de riesgo con implicaciones directas para la investigación académica:

Sistemas de IA prohibidos (artículo 5 AI Act)

Con independencia del contexto investigador, están prohibidos los sistemas de IA que impliquen manipulación subliminal, explotación de vulnerabilidades, puntuación social o identificación biométrica remota en espacios públicos (con excepciones limitadas para las fuerzas de seguridad). Ninguna investigación académica puede utilizar estos sistemas.

Sistemas de IA de alto riesgo (artículo 6 y Anexo III)

Los sistemas de IA de alto riesgo relevantes para la investigación académica incluyen: sistemas utilizados en educación y formación profesional (evaluación de estudiantes), sistemas de gestión de empleo y de recursos humanos, sistemas de asistencia sanitaria, y sistemas de identificación biométrica. Si una tesis doctoral emplea sistemas de IA que encajan en estas categorías —por ejemplo, IA para diagnóstico clínico en una tesis de medicina, o IA para evaluación de candidatos en un estudio sobre RRHH— el investigador debe asegurarse de que el sistema cumple los requisitos del Capítulo 3 del AI Act (gestión de riesgos, datos de entrenamiento, documentación técnica, supervisión humana).

Sistemas de IA de propósito general (GPAI)

Los grandes modelos de lenguaje como GPT-4, Claude o Gemini están clasificados como sistemas GPAI en el AI Act. Sus proveedores deben cumplir obligaciones de transparencia y, para los modelos con riesgo sistémico (más de 10^25 FLOPs de entrenamiento), requisitos adicionales de evaluación de riesgos. Para el investigador-usuario, la implicación práctica más relevante es la obligación de transparencia: cuando utilice GPAI para procesar datos personales de su investigación, debe informar a los participantes.

Privacy by design en el diseño de la tesis

El artículo 25 del RGPD establece el principio de «privacidad desde el diseño y por defecto» (privacy by design and by default), que obliga a integrar las medidas de protección de datos desde la fase de concepción de la investigación. Para una tesis doctoral con uso de IA, esto implica:

  • Evaluación inicial: antes de elegir las herramientas de IA a utilizar, evaluar si permiten el procesamiento local de datos (sin enviarlos a servidores externos) o si son herramientas en la nube con posible acceso de terceros.
  • Minimización de datos: diseñar los instrumentos de recogida de datos (encuestas, guías de entrevista) de forma que se recoja solo la información estrictamente necesaria para los objetivos de investigación.
  • Separación identificadores: mantener separados los datos identificativos de los datos de contenido desde la fase de recogida, asignando códigos que solo el investigador puede vincular a los participantes.
  • Configuración por defecto más restrictiva: si las herramientas de IA permiten configurar el nivel de privacidad, elegir siempre la configuración más restrictiva como punto de partida.

Para una perspectiva complementaria sobre los aspectos éticos —que van más allá de los legales— véase nuestro análisis del marco ético para el uso de IA en tesis doctorales.

Consentimiento informado específico para el uso de IA

El consentimiento informado para participar en una investigación que utiliza IA debe ir más allá del formulario estándar de investigación académica. La AEPD y los comités de ética de investigación (CEI) de las universidades españolas exigen que los participantes sean informados específicamente de:

  1. Qué herramientas de IA se utilizarán para procesar sus datos.
  2. Qué tipo de datos serán procesados por la IA (transcripciones, respuestas a encuestas, imágenes).
  3. Si los datos se enviarán a servidores externos (indicando el país de almacenamiento y si está dentro del EEE).
  4. Qué medidas de anonimización se aplicarán antes del procesamiento.
  5. Si los outputs de la IA (categorías, etiquetas, análisis) serán almacenados o compartidos.
  6. Cómo pueden ejercer su derecho de supresión de los datos procesados por la IA.
Recomendación práctica: Consulte el Delegado de Protección de Datos (DPD) de su universidad antes de comenzar la recogida de datos. Muchas universidades españolas han actualizado sus plantillas de consentimiento informado para incluir cláusulas específicas sobre IA. El CEI de su institución puede rechazar el protocolo si el uso de IA no está adecuadamente contemplado en el formulario de consentimiento.

Anonimización y pseudonimización de datos antes de usar IA

La distinción entre anonimización (irreversible) y pseudonimización (reversible con clave secreta) es fundamental para determinar el régimen jurídico aplicable al tratamiento:

Datos verdaderamente anonimizados

Cuando los datos han sido anonimizados de forma que no es posible identificar al interesado —ni directamente ni mediante información adicional razonablemente disponible— el RGPD deja de aplicarse a ese conjunto de datos. Puede procesarlos con cualquier herramienta de IA sin restricciones jurídicas adicionales. Sin embargo, la anonimización genuina es técnicamente difícil: los LLMs pueden potencialmente reidentificar personas a partir de combinaciones de atributos aparentemente anónimos.

Datos pseudonimizados

La pseudonimización (sustitución de identificadores por códigos) no exime del RGPD, pero reduce el riesgo y puede justificar el uso de herramientas de IA en la nube con contratos de tratamiento de datos adecuados. Exige mantener la «clave de correspondencia» estrictamente separada y segura.

Recomendaciones técnicas para el procesamiento de datos cualitativos con IA

  • Antes de subir transcripciones de entrevistas a plataformas de IA: eliminar o sustituir nombres, lugares específicos, datos de contacto y cualquier información que permita identificar al participante.
  • Utilizar herramientas de anonimización automática (Presidio de Microsoft, scrubadub en Python) como primera pasada, seguida de revisión manual.
  • Preferir herramientas de IA que se ejecuten localmente (LLaMA, Mistral vía Ollama) para datos especialmente sensibles.
  • Documentar el proceso de anonimización como parte del protocolo metodológico.

Evaluación de Impacto en Protección de Datos (EIPD)

El artículo 35 del RGPD obliga a realizar una Evaluación de Impacto en Protección de Datos (EIPD o DPIA, Data Protection Impact Assessment) cuando el tratamiento conlleva un alto riesgo para los derechos y libertades de las personas. En el contexto de tesis doctorales con IA, la EIPD es preceptiva cuando:

  • Se procesan datos de categorías especiales (salud, origen racial, orientación sexual, creencias religiosas) con herramientas de IA.
  • Se realiza perfilado sistemático de personas usando IA.
  • Se procesan datos de menores de edad con IA.
  • Se utilizan sistemas de IA de alto riesgo según el AI Act (identificación biométrica, diagnóstico clínico, evaluación educativa).

La EIPD no la realiza el doctorando individualmente: es una responsabilidad del responsable del tratamiento (la universidad) con la participación del Delegado de Protección de Datos. Sin embargo, el doctorando debe solicitar su realización al CEI antes de comenzar la investigación y proporcionar la información sobre el tratamiento previsto para que el DPD pueda efectuarla.

Datos especialmente sensibles: salud, origen étnico, menores

El artículo 9 del RGPD establece una categoría especial de datos que exige garantías adicionales cuando se procesan con IA:

Datos de salud en tesis médicas y de enfermería

El procesamiento de datos de salud con IA en el contexto de una tesis doctoral requiere: base jurídica específica (consentimiento explícito o necesidad para investigación en salud pública), medidas de seguridad técnicas adicionales (cifrado de extremo a extremo, acceso restringido), y en muchos casos, dictamen favorable del Comité de Ética de la Investigación (CEI) hospitalario o universitario. Los historiales clínicos no pueden subirse a plataformas de IA generativa comerciales sin anonimización rigurosa previa.

Origen racial y étnico en ciencias sociales

Las investigaciones sobre discriminación, diversidad o perfiles sociodemográficos pueden implicar datos sobre origen racial o étnico. Su procesamiento con IA requiere consentimiento explícito y una justificación específica de necesidad proporcional al objetivo de investigación.

Investigación con menores

El procesamiento de datos de menores con IA requiere consentimiento parental (para menores de 14 años en España), diseño especialmente protector de privacidad, y prohibición absoluta de uso de herramientas de IA que entrenen sus modelos con los datos proporcionados (verificar los términos de servicio de cada herramienta).

Posición de la AEPD y guías para investigadores

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control nacional competente en España para supervisar el cumplimiento del RGPD. Ha publicado múltiples guías relevantes para investigadores que trabajan con IA:

  • Guía de adecuación al RGPD de tratamientos que incorporan IA (AEPD, 2020, actualizada 2024): establece los requisitos técnicos y organizativos para el uso conforme de IA con datos personales.
  • Guía sobre sistemas de IA y protección de datos (AEPD, 2023): aborda específicamente los LLM y los generadores de contenido.
  • Marco regulatorio del AI Act para la AEPD: la AEPD ha sido designada como autoridad nacional de supervisión del AI Act en España, con competencias sobre el cumplimiento de las obligaciones de los proveedores y usuarios de sistemas de IA.

La AEPD ha enfatizado que el RGPD y el AI Act «deben aplicarse de forma complementaria» y que «el cumplimiento del AI Act irá de la mano del RGPD y la LOPDGDD». Esto significa que una tesis doctoral que utilice sistemas de IA de alto riesgo con datos personales debe cumplir simultáneamente los requisitos de ambas normativas.

Para el contexto más amplio de la regulación del uso de IA en el ámbito académico, véase nuestro artículo sobre el marco jurídico del uso de IA en TFGs en España y la discusión sobre los usos permitidos de IA en la universidad. Para la dimensión ética —que complementa la normativa— véase el marco ético para el uso de IA en tesis doctorales.

Herramientas académicas como Tesify están diseñadas con privacidad por diseño y no retienen datos personales de los usuarios para el entrenamiento de modelos, lo que facilita su uso en investigaciones con requisitos de protección de datos elevados.

Declaración metodológica en la tesis: modelo de texto

La sección de método de una tesis doctoral que utiliza IA con datos personales debe incluir una declaración específica de protección de datos. El siguiente modelo puede adaptarse:

Modelo de declaración de protección de datos para tesis doctoral con IA:

«El presente estudio fue aprobado por el Comité de Ética de la Investigación de la Universidad [X] (referencia [Y], fecha [Z]). Los participantes fueron informados mediante hoja de información específica sobre el uso de herramientas de inteligencia artificial en el procesamiento de sus datos, incluyendo [descripción de herramientas]. Se obtuvo consentimiento informado escrito y específico para dicho uso. Todos los datos personales identificables fueron pseudonimizados mediante sustitución de identificadores directos antes de su procesamiento por herramientas de IA. Las transcripciones de entrevistas fueron anonimizadas mediante el procedimiento [descripción] antes de su análisis con [herramienta IA]. El tratamiento de datos se realizó conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). La investigación no implicó el uso de sistemas de IA de alto riesgo según el Reglamento 2024/1689 (AI Act). Los datos anonimizados utilizados en el análisis están disponibles en [repositorio] con licencia [licencia].»

Para el formato de citación de las herramientas de IA utilizadas, consulte la guía sobre cómo citar IA en APA 7. Los sesgos que pueden introducir estas herramientas en el análisis se analizan en detalle en el artículo sobre sesgos en IA generativa e implicaciones metodológicas.

Preguntas frecuentes sobre privacidad, RGPD e IA en tesis

¿Puedo usar ChatGPT para analizar las transcripciones de mis entrevistas?

Solo si los datos están suficientemente anonimizados. La versión gratuita de ChatGPT y la API sin el opt-out de entrenamiento pueden usar los datos para mejorar el modelo, lo que vulneraría el RGPD si contienen datos personales. Para investigación con datos personales, use la API de OpenAI con el opt-out de entrenamiento habilitado, o una suscripción Team/Enterprise que incluya este compromiso contractual. Alternativamente, utilice modelos locales (LLaMA, Mistral via Ollama) que procesan los datos en su propio equipo. Siempre que sea posible, anonimice antes de subir a cualquier plataforma externa.

¿Mi universidad es la responsable del tratamiento de datos de mi tesis?

En general, sí. La universidad actúa como responsable del tratamiento cuando el doctorando realiza su investigación en el marco del programa de doctorado institucional. Esto significa que la universidad tiene obligaciones activas de protección de datos sobre la investigación doctoral y que el doctorando actúa como encargado de tratamiento o como parte de la estructura organizativa del responsable. Sin embargo, la responsabilidad práctica por el cumplimiento de las obligaciones del día a día recae sobre el investigador, con supervisión del director de tesis y el Delegado de Protección de Datos.

¿Qué ocurre si transfiero datos personales a una herramienta de IA con servidores fuera de la UE?

Las transferencias internacionales de datos personales a países fuera del EEE requieren una de las salvaguardias del Capítulo V RGPD: decisión de adecuación de la Comisión Europea (para EE.UU., actualmente bajo el Marco de Privacidad de Datos UE-EE.UU.), cláusulas contractuales tipo, o normas corporativas vinculantes. Los principales proveedores de IA (OpenAI, Google, Anthropic) con sus planes enterprise incluyen cláusulas contractuales tipo como salvaguardia. Para el investigador individual que usa planes gratuitos, esta salvaguardia no suele estar disponible, lo que hace especialmente importante la anonimización previa.

¿El AI Act afecta a los doctorandos que usan herramientas de IA comerciales?

El AI Act distingue entre proveedores (quienes desarrollan y comercializan sistemas de IA) y usuarios (quienes los despliegan en contextos profesionales). Como doctorando, eres un usuario. Las obligaciones de los usuarios según el AI Act son principalmente: utilizar los sistemas de IA conforme a las instrucciones del proveedor, ejercer supervisión humana apropiada, y no utilizar sistemas de IA prohibidos. Para sistemas de alto riesgo, los usuarios también deben realizar evaluaciones de impacto y registrar el uso. En la práctica, para el uso de GPAI como ChatGPT o Claude en la investigación doctoral, las obligaciones directas son limitadas, aunque la transparencia con los participantes y la supervisión humana son exigencias éticas y deontológicas.

¿Necesito el visto bueno del Comité de Ética antes de usar IA en mi investigación?

Depende del tipo de datos y de los procedimientos de tu institución. En España, el dictamen del CEI es obligatorio para investigación con personas en el ámbito sanitario, investigación con datos de categorías especiales, y cualquier investigación que implique un riesgo para los participantes. Para investigaciones en ciencias sociales y humanidades con datos no sensibles, muchos CEI universitarios han implementado un procedimiento simplificado o de auto-certificación. Consulte con el CEI de su universidad al inicio del proceso, ya que las exigencias varían entre instituciones y están siendo actualizadas para incluir explícitamente el uso de IA.

¿Cómo se conjuga el RGPD con el derecho a la ciencia abierta y el depósito de datos?

El RGPD permite el depósito de datos de investigación en repositorios abiertos siempre que los datos estén suficientemente anonimizados o que exista una base jurídica apropiada para compartirlos. En la práctica, para datos cualitativos, suele ser necesario anonimizar (eliminar o sustituir todos los identificadores) antes del depósito. Repositorios como Zenodo u OSF permiten establecer acceso restringido para datos que no pueden anonimizarse completamente. El DMP debe anticipar estas decisiones desde el inicio de la investigación, definiendo qué datos se compartirán en abierto, cuáles con acceso controlado y cuáles no podrán compartirse.

Referencias bibliográficas

  • Agencia Española de Protección de Datos (AEPD). (2024). Guía de adecuación al RGPD de tratamientos que incorporan inteligencia artificial. AEPD. https://www.aepd.es/guias/adecuacion-rgpd-ia.pdf
  • Comisión Europea. (2024). Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial). Diario Oficial de la Unión Europea, L, 2024/1689.
  • Comisión Europea. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos). Diario Oficial de la Unión Europea, L 119, 1–88.
  • España. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Boletín Oficial del Estado, 294, 119788–119857.
  • España. Ley 17/2022, de 5 de septiembre, por la que se modifica la Ley 14/2011, de 1 de junio, de la Ciencia, la Tecnología y la Innovación. Boletín Oficial del Estado, 214.
  • Mittelstadt, B. D., y Floridi, L. (2016). The ethics of big data: Current and foreseeable issues in biomedical contexts. Science and Engineering Ethics, 22(2), 303–341.
  • OECD. (2023). OECD principles on AI. OECD Publishing.
  • Peralta, A. (2024). La estrecha conexión entre la inteligencia artificial y la privacidad. Asociación Profesional de la Magistratura. https://magistratura.es/
  • ResearchGate. (2025). Inteligencia artificial y protección de datos en el ámbito de la educación en España. Revista de Derecho de la Educación. https://www.researchgate.net/
  • Stanford HAI. (2024). AI index report 2024. Stanford University. https://aiindex.stanford.edu

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

🎓

Escribe tu tesis con IA

Tesify te ayuda a estructurar, redactar y formatear tu TFG/TFM en tiempo record.

Empieza gratis

Articulos relacionados