Saltar al contenido
Guía Web • Políticas de IA
UE & España · Ética y cumplimiento
Plantilla 100% editable · Sin dependencias

Cómo crear una web sobre políticas de uso ético y legal de la IA según la normativa de la UE y España

Esta plantilla te guía, paso a paso, para publicar una web sólida que explique y aplique políticas de IA conforme al RGPD, la LOPDGDD, la LSSI (cookies), el AI Act de la UE, el DSA y el Data Act. Incluye ejemplos textuales, checklists, tablas de plazos, avisos de transparencia para IA generativa, matrices de riesgo y modelos de políticas internas. Contenido divulgativo, no asesoramiento jurídico.

Empezar ahora Ver plantillas Plazos del AI Act

Guía rápida de implementación

El objetivo es publicar una página web clara y completa que: (1) explique el uso que haces de la IA, (2) cumpla con la normativa aplicable, (3) inspira confianza y (4) facilite el ejercicio de derechos. A continuación, un itinerario práctico.

1. Levantamiento

Haz un inventario de datos, modelos, casos de uso y proveedores de IA. Identifica si hay datos personales, decisiones automatizadas, perfiles, biometría o menores. Señala responsables y encargados.

2. Riesgos & DPIA

Evalúa impacto en derechos y libertades (DPIA) cuando proceda. Considera sesgos, explicabilidad, seguridad, privacidad, acceso indebido, errores, alucinaciones, e impacto social.

3. Bases legales

Determina la base de legitimación del tratamiento (consentimiento, contrato, interés legítimo, obligación legal). Define plazos de conservación y medidas técnicas.

4. Transparencia

Prepara avisos claros: privacidad, cookies, uso de IA, toma de decisiones automatizadas, deepfakes y generación de contenidos. Ofrece vías de contacto y reclamación.

5. Gobernanza

Define roles (DPO, Responsable de IA, seguridad, legal). Establece revisiones periódicas, auditorías internas y registro de incidencias. Capacita a equipos.

6. Publicación

Publica y versiona Política de IA, Privacidad, Cookies y Aviso de Transparencia. Añade un centro de preferencias y formularios para derechos.

Pasos esenciales (de 0 a 100)

  1. Diseño: delimita objetivos de tu web de políticas de IA y su público. Evita jerga innecesaria; prioriza claridad y capas de información (resumen → detalle).
  2. Mapa de tratamientos: documenta qué datos, para qué finalidades, con qué base jurídica, quién accede y cuánto tiempo conservas.
  3. Clasifica los casos de uso de IA: apoyo a usuarios, moderación, scoring, biometría, selección de candidatos, mantenimiento predictivo, IA generativa, etc. Marca los que puedan ser alto riesgo según el AI Act o que impliquen decisiones con efectos jurídicos.
  4. Evalúa riesgos: privacidad, seguridad, sesgos, explicabilidad, robustez, continuidad de negocio. Usa la matriz de riesgos.
  5. DPIA/Evaluación: si hay alto riesgo para derechos y libertades, realiza DPIA (y consulta a la AEPD si el riesgo persiste) y/o evaluación algorítmica.
  6. Contratos y proveedores: firma acuerdos de encargo de tratamiento (DPA), cláusulas de subencargados, ubicación de datos, transferencias internacionales, niveles de servicio y derechos de auditoría. Para IA, añade obligaciones de datos de entrenamiento, evaluación, seguridad y trazabilidad.
  7. Transparencia reforzada: incorpora avisos de uso de IA, explicación de lógica general, intervención humana y posibilidad de opt-out cuando sea viable. Etiqueta contenidos generados artificialmente.
  8. Cookies y trazadores: panel de preferencias conforme a LSSI; bloqueo previo hasta consentimiento (salvo exentas); registro del consentimiento y prueba.
  9. Seguridad: cifrado en tránsito/rep, control de acceso, registro de eventos, pruebas de robustez del modelo, rate limiting, detección de abusos y gestión de incidentes (72h RGPD cuando aplique).
  10. Publica y mantén: versiona políticas, añade historial de cambios, monitoriza KPIs, resuelve incidencias, audita periódicamente y prepara reportes de cumplimiento.
Consejo: declara explícitamente qué no haces (p.ej., vigilancia biométrica, reconocimiento de emociones, segmentación por categorías sensibles) si no forma parte de tu actividad.

Gobernanza y roles

  • Responsable del tratamiento: determina fines y medios. Publica esta guía y responde solicitudes de derechos.
  • DPO/DPD: supervisa cumplimiento de RGPD/LOPDGDD, asesora en DPIA y es punto de contacto con la AEPD.
  • Responsable de IA: coordina inventario de modelos, validación, documentación, model cards, pruebas de sesgo y robustez, y diálogo con supervisores.
  • Seguridad (CISO): protege datos y modelos; gestiona incidentes y continuidad.
  • Producto/UX: diseña avisos comprensibles, accesibles y centrados en el usuario.
  • Legal/Compliance: revisa contratos, transferencias internacionales, licencias de datos y contenidos.

RGPD & LOPDGDD (España)

El Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD 3/2018 establecen el marco de protección de datos personales en España. Si tu web describe o soporta el uso de IA con datos personales, deberás cumplir con principios como licitud, lealtad, transparencia, minimización, limitación de finalidad y responsabilidad proactiva. Puntos clave:

  • Bases de legitimación: consentimiento explícito, contrato, obligación legal, interés público o interés legítimo ponderado.
  • Transparencia: capas informativas claras; explicación de decisiones automatizadas y perfilado cuando correspondan; derecho a intervención humana.
  • DPIA: obligatoria cuando el tratamiento pueda implicar alto riesgo (p.ej., supervisión sistemática, uso de biometría, evaluación de aspectos personales a gran escala).
  • Encargados y subencargados: contratos adecuados; instrucciones documentadas; medidas técnicas y organizativas.
  • Transferencias internacionales: decisiones de adecuación, cláusulas contractuales tipo, BCR u otros instrumentos.
  • Plazos de conservación y registro de actividades actualizados.
  • Menores: especial cuidado con el consentimiento y el diseño.
Incluye en tu web formularios para derechos ARCO-POL (acceso, rectificación, supresión, oposición, portabilidad, limitación) y para oponerse al perfilado o a ciertas funciones de IA.

LSSI y cookies

El art. 22.2 de la LSSI exige consentimiento informado previo para almacenar o acceder a información en el dispositivo (cookies/identificadores), salvo las estrictamente necesarias. Recomendaciones prácticas:

  • Banner inicial con opciones visibles: Aceptar, Rechazar y Configurar (preferible en el mismo nivel).
  • Bloqueo previo de cookies no exentas hasta que exista consentimiento.
  • Panel granular: categorías (analítica, publicidad, personalización) con descripciones y proveedores.
  • Prueba de consentimiento: registra fecha, versión y preferencias, y permite retirar el consentimiento fácilmente.
  • Cookie walls: evitar salvo que se ofrezcan alternativas equivalentes no condicionadas.
Demo educativa de banner (no funcional)

Este ejemplo muestra el texto recomendado y botones equilibrados:

Texto corto
Usamos cookies para analizar el tráfico, personalizar contenido y (si lo aceptas) mostrar publicidad personalizada. Puedes tus preferencias y cambiar tu elección en cualquier momento.
Botones
Panel
Categorías claras, proveedores identificados, enlace a Política de cookies y fecha de última revisión.

AI Act (UE): enfoque por riesgos y plazos

El Reglamento de IA de la UE (AI Act) introduce exigencias diferenciadas según el nivel de riesgo del sistema y obligaciones de transparencia para ciertos casos (p.ej., deepfakes). También regula los modelos de propósito general (GPAI). Fechas destacadas:

FechaQué aplicaNotas
2 feb 2025Prohibiciones y disposiciones generalesGuías sobre prácticas prohibidas (art. 5). Transparencia básica.
2 may 2025Códigos de práctica GPAI listosModelos de propósito general: códigos voluntarios iniciales.
2 ago 2025Capítulos de GPAI y gobernanzaAutoridades/notified bodies, gobernanza y parte del régimen sancionador.
2 feb 2026Guías sobre clasificación de alto riesgoOrientaciones para aplicar el art. 6 (alto riesgo).
2 ago 2026Resto de obligacionesAplicación general del AI Act; multas a GPAI (salvo excepción art. 6.1).
2 ago 2027Clasificación y obligaciones de alto riesgoEntrada plena del art. 6.1 y obligaciones asociadas.

En tu web, explica qué sistemas usas, su categoría de riesgo (si aplica), medidas de gestión (datos, evaluación, supervisión humana) y cómo las personas pueden obtener información o cuestionar decisiones automatizadas.

Transparencia reforzada: indica cuando un contenido es generado o manipulado artificialmente y, si un usuario interactúa con un sistema conversacional, informa de que está tratando con una IA.

DSA (Reglamento de Servicios Digitales)

Si tu web opera como plataforma con contenidos de terceros, el DSA exige procesos de notificación y retirada de contenidos ilícitos, transparencia de moderación, repositorios de anuncios y mayores obligaciones si eres una plataforma muy grande. Aunque no seas plataforma, toma estas buenas prácticas:

  • Incluye canales claros para reportar contenidos y apelar decisiones.
  • Explica reglas de la comunidad y criterios de moderación (humanos + IA).
  • Publica informes de transparencia razonados y métricas clave.

Data Act (UE)

El Data Act regula el acceso, uso y compartición de datos generados por dispositivos y servicios (frecuentemente no personales), mejores portabilidades y reglas para contratos de servicios de datos. Prepara cláusulas sobre acceso, seguridad, interoperabilidad y limitaciones de uso por terceros.

AESIA (España)

La Agencia Española de Supervisión de la IA (AESIA) promueve un uso ético y seguro de la IA, ofrece orientación y, en coordinación con la UE y autoridades nacionales, supervisará ámbitos cubiertos por el AI Act. Vigila novedades y guías prácticas de AESIA para alinear tu web y tus procesos internos.

Políticas que tu web debería incluir

Política de IA
Alcance, principios, usos permitidos, prohibiciones, responsabilidades, ciclo de vida del modelo, métricas, auditorías.
Privacidad
Capas informativas, finalidades, bases, derechos, transferencias, DPO, plazos y medidas técnicas.
Cookies
Panel de preferencias, categorías y proveedores, mecanismo de retirada y prueba de consentimiento.
Transparencia de IA
Avisos de interacción con IA, deepfakes, criterios de decisión y vías de reclamación.
Seguridad
Gestión de vulnerabilidades, registro de incidentes, notificación, continuidad y backups.
Propiedad intelectual
Licencias, uso de datasets y contenidos generados por IA; marca de agua/etiquetado.

Modelo de Política de IA (extracto editable)

1. Alcance y objetivo
Esta Política aplica a todo uso de sistemas de IA por [Organización], incluyendo modelos de terceros y herramientas de propósito general. Su objetivo es garantizar un uso lícito, ético, seguro y responsable conforme a la normativa de la UE y España.

2. Principios
Legalidad y lealtad · Minimización de datos · Seguridad y resiliencia · No discriminación · Transparencia · Supervisión humana · Rendición de cuentas.

3. Usos permitidos y prohibidos
Permitidos: asistencia al usuario, analítica no invasiva, automatización de procesos con revisión humana.
Prohibidos: vigilancia biométrica a distancia, reconocimiento de emociones en trabajo/educación, manipulación subliminal o explotación de vulnerabilidades, predicción de delitos.

4. Ciclo de vida
Documentación (fichas del modelo), evaluación de impacto (DPIA cuando proceda), pruebas de sesgo y robustez, control de versiones, trazabilidad de datos y prompts, auditorías periódicas.

5. Datos
Bases legales, retención, eliminación, transferencias, pruebas de privacidad (enmascaramiento, anonimización), registro de accesos.

6. Gobernanza
Rol del Responsable de IA, DPO y CISO. Comité de revisión. Formación continua y canal de incidencias.

7. Transparencia
Avisos claros al usuario cuando interactúe con IA o cuando un contenido esté generado artificialmente. Mecanismos de explicación y revisión humana.

8. Proveedores
Cláusulas contractuales sobre seguridad, datos de entrenamiento, evaluación, métricas, vulnerabilidades y terminación segura.

9. Incidentes
Proceso de gestión y notificación de incidentes, incluyendo comunicación a autoridades cuando corresponda.

Aviso de Transparencia de IA (ejemplo para tu web)

Usa este texto, adaptándolo a tus casos de uso. Inclúyelo en páginas de ayuda, pie de página y en puntos de contacto con chatbots o generadores.

Cómo usamos la Inteligencia Artificial
En [Sitio] utilizamos sistemas de IA para [finalidades], como por ejemplo [asistencia, recomendaciones, revisión de calidad]. Siempre aplicamos supervisión humana y controles para evitar sesgos y errores.

Interacción con sistemas automatizados
Cuando converses con nuestro asistente o recibas contenido generado por IA, te lo indicaremos. Puedes solicitar atención humana en cualquier momento.

Decisiones automatizadas
Si alguna decisión pudiera producir efectos jurídicos o similares, te explicaremos la lógica general, su importancia y las consecuencias previstas, y podrás solicitar revisión humana.

Datos y privacidad
Tratamos tus datos conforme al RGPD y a la LOPDGDD. Consulta la Política de privacidad para conocer bases legales, destinatarios y tus derechos.

Cómo reportar un problema
Si detectas un error, sesgo o uso indebido, escríbenos a [contacto] o usa nuestro formulario de incidencias.

Política de privacidad (estructura sugerida)

  1. Identidad del responsable y contacto del DPO.
  2. Finalidades y bases legales (por categoría de dato/proceso).
  3. Plazos de conservación y criterios de minimización.
  4. Destinatarios, encargados y transferencias internacionales.
  5. Decisiones automatizadas y perfilado: lógica, importancia y consecuencias, derecho a intervención humana.
  6. Derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad y cómo ejercerlos.
  7. Medidas de seguridad y notificación de incidentes.
  8. Menores y consentimiento reforzado.
  9. Actualizaciones y control de versiones.

Política de cookies (estructura sugerida)

  • Definiciones y tipos de cookies. Identificadores equivalentes (SDKs, local storage).
  • Tabla de cookies por categoría: proveedor, finalidad, duración, tipo.
  • Cómo configurar o retirar el consentimiento; enlace permanente al centro de preferencias.
  • Impacto al rechazar categorías no esenciales (servicio sigue funcionando).
  • Fecha de la última revisión y contacto.

Seguridad y gestión de incidentes

Establece controles proporcionales: cifrado TLS en tránsito y AES en reposo, gestión de claves, aislamiento de entornos, control de accesos (least privilege), MFA, registros inmutables, rate limiting para APIs de IA, listas de denegación de prompts, validación de entradas, detección de fugas de datos y protección contra abuso de tokens.

Plan de respuesta a incidentes (resumen)
  1. Detección y clasificación (privacidad, seguridad, modelo).
  2. Contención y análisis forense.
  3. Notificación (72h a autoridad si implica datos personales) y comunicación a interesados cuando proceda.
  4. Remediación, lecciones aprendidas y actualización de controles.

Propiedad intelectual y contenidos generados por IA

Documenta licencias de datos y contenido, derechos y limitaciones, y cómo marcas o etiquetas contenido sintético. Si permites text and data mining (TDM) o te acoges a excepciones, indícalo. Evita usar datasets con restricciones incompatibles con tus fines o con derechos de terceros no autorizados.

Accesibilidad

Aunque la obligación estricta aplica principalmente a sector público (RD 1112/2018), diseña la web conforme a WCAG 2.1 AA: contraste suficiente, navegación por teclado, etiquetas ARIA, textos alternativos, foco visible, contenidos no parpadeantes y formularios accesibles.

Inventario de sistemas de IA (plantilla)

NombreTipoFinalidadDatosBase legalRiesgoProveedorMedidas
Chat de soporteConversacional (GPAI)Atención al clienteConsultas, metadatosContrato/Interés legítimoLimitadoProveedor X (UE)Pseudonimización, revisión humana
Detección de fraudeClasificaciónSeguridadHistorial transaccionalInterés legítimoAltoInternoDPIA, pruebas de sesgo, umbrales explicables
ProspecciónGenerativoMarketingDatos de navegación (consentidos)ConsentimientoLimitadoProveedor Y (EEE)Filtrado PII, registro de prompts

DPIA / Evaluación de impacto (pasos)

  1. Descripción detallada del tratamiento y la tecnología de IA utilizada.
  2. Necesidad y proporcionalidad respecto a la finalidad.
  3. Identificación de riesgos (privacidad, discriminación, seguridad, explicabilidad, error).
  4. Medidas previstas: técnicas (privacidad por diseño, robustez), organizativas (políticas, formación) y contractuales.
  5. Determinación del riesgo residual y decisión (seguir, mitigar, no proceder). Consulta previa a AEPD si persiste alto riesgo.

Matriz de riesgos (ejemplo)

RiesgoProb.ImpactoNivelMitigaciónPropietario
Sesgo en clasificaciónMediaAltoAltoDataset balanceado, pruebas A/B, revisión humanaResp. IA
Filtración de PII en promptsMediaMedioMedioControl de entradas, mascarado, DLPCISO
AlucinacionesAltaMedioAltoRAG con fuentes fiables, disclaimers, revisiónProducto
Caída del proveedorBajaAltoMedioEstrategia multicloud, circuit breakersCTO

KPIs y auditorías

  • Precisión/Recall por segmento; tasa de falsos positivos/negativos.
  • Tiempo medio de explicación entregada al usuario.
  • Incidentes de privacidad/seguridad por trimestre.
  • Porcentaje de peticiones de derechos atendidas en < 30 días.
  • Desviaciones de sesgo detectadas y corregidas.
  • Disponibilidad del servicio y tiempos de respuesta.

Programa auditorías internas (y, cuando proceda, externas) anuales sobre datos, modelos, seguridad y transparencia.

Plantillas listas para copiar

Cláusulas para proveedores de IA 
• Seguridad y confidencialidad: medidas técnicas y organizativas equivalentes o superiores a las propias.
• Datos de entrenamiento y evaluación: origen lícito, licencias y ausencia de sesgos conocidos; documentación accesible.
• Trazabilidad: registros de versiones, prompts, parámetros y datos de evaluación.
• Subencargados: autorización previa y lista actualizada.
• Incidentes: notificación sin dilación indebida, cooperación y remedios.
• Transferencias internacionales: mecanismos válidos y evaluación de impacto.
• Terminación: borrado o devolución segura de datos y artefactos.
Formulario de ejercicio de derechos 
Nombre y apellidos · Email · Derecho que ejerce (acceso/rectificación/supresión/oposición/portabilidad/limitación) · Identificación del proceso de IA (si aplica) · Información adicional. 
Adjunta documento de identidad. Responderemos en el plazo máximo de 1 mes.
Aviso legal (identidad y contacto) 
• Identidad o denominación social · NIF/CIF · Domicilio · Email de contacto · Datos registrales.
• Condiciones de uso del sitio · Limitación de responsabilidad · Propiedad intelectual.

Checklist de publicación

  • [ ] Inventario de sistemas de IA y datos documentado
  • [ ] DPIA realizada o justificada
  • [ ] Políticas publicadas: IA, Privacidad, Cookies, Seguridad
  • [ ] Aviso de transparencia de IA visible en puntos clave
  • [ ] Centro de preferencias de cookies y registros de consentimiento
  • [ ] Formularios de derechos y contacto de DPO
  • [ ] Tabla de plazos del AI Act y categoría de riesgo explicada
  • [ ] Plan de respuesta a incidentes y canal de reporte
  • [ ] Accesibilidad (WCAG 2.1 AA) y pruebas de usabilidad
  • [ ] Control de versiones y fecha de última actualización

Preguntas frecuentes (FAQ)

¿Necesito consentimiento para usar IA?

No por el hecho de usar IA, sino por el tratamiento de datos personales y el uso de cookies/IDs. La base legal dependerá de la finalidad concreta.

¿Tengo que explicar las decisiones automatizadas?

Sí, si producen efectos jurídicos o te afectan significativamente de modo similar. Debes dar información sobre la lógica, la importancia y las consecuencias, y ofrecer intervención humana.

¿Qué hago con contenidos generados por IA?

Indícalo claramente. Si pueden confundirse con reales (deepfakes), debes etiquetarlos y ofrecer contexto.

¿Qué pasa si mi proveedor está fuera de la UE?

Verifica transferencias internacionales válidas, medidas complementarias y evaluación de impacto en la transferencia.

Glosario básico

DPIA: Evaluación de impacto en protección de datos. · GPAI: Modelo de IA de propósito general. · Deepfake: Contenido sintético que aparenta ser real. · Encargado: trata datos por cuenta del responsable. · Sesgo: desviación sistemática que genera resultados injustos. · Trazabilidad: capacidad de reconstruir acciones, datos y versiones de un sistema.

Recursos y fuentes útiles

  • RGPD (Reglamento UE 2016/679) – texto en EUR-Lex.
  • LOPDGDD (Ley Orgánica 3/2018) – BOE.
  • LSSI 34/2002 – BOE y Guía de cookies AEPD.
  • AI Act – cronograma de implementación y documentos oficiales (DOUE).
  • DSA (Reglamento 2022/2065) – EUR-Lex.
  • Data Act – ficha de la Comisión Europea.
  • AESIA – portal oficial de la Agencia Española de Supervisión de la IA.

Mantén esta sección actualizada con enlaces a documentos oficiales, guías y FAQs de autoridades (AEPD, Comisión Europea, AESIA).

Canal de incidencias (modelo)

Habilita un formulario sencillo para reportar problemas de precisión, sesgo, privacidad o seguridad. Comprométete a responder en plazos razonables, explicar resultados y documentar acciones correctivas.

Notas y descargo de responsabilidad

Esta plantilla es informativa y puede quedar desactualizada. No constituye asesoramiento jurídico. La normativa puede cambiar. Verifica siempre los textos oficiales y, en caso de duda, busca apoyo especializado.