La AEPD ha abierto 147 expedientes de investigación relacionados con inteligencia artificial entre enero de 2025 y marzo de 2026, un incremento del 340% respecto al periodo anterior. Este salto se debe a tres factores: la entrada en vigor del AI Act europeo en febrero de 2026, el aumento exponencial del uso de IA en empresas españolas, del 23% al 47% según el INE, y las denuncias de trabajadores sobre vigilancia algorítmica.
España lidera el volumen de acciones sancionadoras con 923 multas que totalizan aproximadamente 96 millones de euros, seguida de Italia con 397 multas y Alemania con 203. En 2025, la AEPD impuso más de 50 millones de euros en multas a empresas españolas. Las más recientes incluyen una sanción de más de 10 millones de euros a Aena por implementar sistemas de reconocimiento facial sin Evaluación de Impacto en Protección de Datos, y 80.000 euros a Bizum por una brecha de seguridad que afectó a más de 20.000 usuarios.
El representante de la AEPD advirtió que el número de reclamaciones relacionadas con IA todavía es bajo, pero las primeras sanciones de calado están a la vuelta de la esquina. Para las empresas españolas que usan herramientas de IA para procesar documentos con datos personales sin haber verificado su conformidad con el RGPD, ese aviso tiene un destinatario muy concreto.
Qué Ocurre Cuando Subes un Documento a una Herramienta de IA
Cuando un profesional español copia un texto con datos personales en un servicio de IA de terceros, ocurren tres cosas que la mayoría de las empresas no considera:
- Los datos salen del perímetro empresarial. El texto se envía a los servidores del proveedor del servicio, que en el caso de ChatGPT significa OpenAI en Estados Unidos, en el caso de DeepL significa servidores en Alemania pero con políticas de uso de datos que varían. El informe del EDPB de abril de 2025 aclara que los modelos de lenguaje de gran tamaño raramente alcanzan los estándares de anonimización, los responsables que despliegan LLM de terceros deben realizar evaluaciones completas de intereses legítimos.
- El tratamiento de datos exige una base jurídica. Bajo el RGPD y la LOPDGDD, cualquier tratamiento de datos personales, incluida la traducción de un documento que contiene nombres, DNIs, datos de salud o información económica, requiere una base jurídica válida. Usar una herramienta de IA externa para traducir ese documento sin verificar que el proveedor actúe como encargado del tratamiento conforme al artículo 28 del RGPD es una infracción, independientemente de la calidad de la traducción.
- Los datos pueden utilizarse para entrenar modelos. Las políticas por defecto de muchos servicios de IA prevén que los datos enviados puedan usarse para mejorar los modelos, salvo exclusión expresa. Para datos personales de terceros, clientes, empleados, pacientes, la empresa no tiene legitimación para consentir ese uso.
Los Documentos de Alto Riesgo que las Empresas Españolas Traducen con IA
No todos los documentos tienen el mismo perfil de riesgo. Estos son los que generan mayor exposición:
- Contratos con datos personales de las partes - Nombres, DNIs, domicilios, condiciones económicas. Traducir un contrato comercial mediante una herramienta de IA externa configura una transferencia de datos personales no autorizada si no existe un acuerdo de encargado del tratamiento con el proveedor.
- Documentación médica y sanitaria - Los datos de salud son datos especialmente protegidos bajo el artículo 9 del RGPD y requieren garantías reforzadas. Traducir un informe médico, una historia clínica o un resultado de laboratorio con ChatGPT expone a la empresa a infracciones de categoría especial, las de mayor sanción posible.
- Comunicaciones legales y documentos judiciales - Contenidos cubiertos por secreto profesional u obligaciones contractuales de confidencialidad. Un abogado que traduce documentos de un expediente con una herramienta de IA no certificada viola no solo el RGPD sino potencialmente también el secreto profesional y el Código Deontológico de la Abogacía.
- Balances y documentación financiera reservada - Datos económicos de sociedades, condiciones de financiación, información sobre operaciones corporativas. Si estos datos llegan a servidores de un proveedor de IA sin acuerdo contractual, la empresa tiene un problema tanto bajo el RGPD como bajo eventuales acuerdos de confidencialidad con terceros.
- Documentación de RRHH y datos de empleados - Nóminas, evaluaciones del desempeño, expedientes disciplinarios. La vigilancia algorítmica de empleados es la práctica que más denuncias genera ante la AEPD, con 31 expedientes abiertos en 2025-2026. La traducción de documentos de RRHH con IA externa sin base jurídica es exactamente el tipo de tratamiento que la AEPD está investigando.
¿Tienes documentos que entran en estas categorías? Descubre cómo Polilingua gestiona la traducción confidencial conforme al RGPD, con acuerdo ex art. 28, medidas ISO 17100 y traductores especializados por sector. Solicita información.
RGPD y AI Act Simultáneamente
La Ley de IA entró en vigor el 1 de agosto de 2024, con aplicación escalonada. El 2 de agosto de 2026 la normativa será plenamente aplicable para el resto de obligaciones, proveedores, desplegadores, transparencia. Las empresas deben cumplir simultáneamente el RGPD, multas hasta 20 millones de euros o el 4% de la facturación global, y el AI Act, multas hasta 35 millones o el 7% de la facturación, con sanciones acumulativas que pueden superar el 10% de la facturación global.
El 68% de las empresas españolas que usan IA no han realizado una Evaluación de Impacto en Protección de Datos, un requisito obligatorio del RGPD cuando el tratamiento implica decisiones automatizadas. Una empresa que usa ChatGPT para traducir documentos con datos personales sin haber evaluado ese tratamiento está operando en infracción desde el primer documento.
La AEPD ha publicado en enero de 2026 un resumen de obligaciones y recomendaciones para la gestión de IA generativa en procesos administrativos. El mensaje es inequívoco, el uso de herramientas de IA con datos personales requiere base jurídica, información adecuada, medidas de seguridad y control humano suficiente.
Por Qué la Traducción Automática Segura Requiere Más que un Buen Modelo
Una agencia de traducción profesional que opera bajo un acuerdo de encargado del tratamiento conforme al artículo 28 del RGPD ofrece algo que ninguna herramienta de IA genérica puede ofrecer, responsabilidad jurídica documentada sobre el tratamiento de los datos.
Esto significa:
- Ninguna transferencia de datos a terceros no autorizados. Los documentos permanecen dentro de un perímetro contractualmente definido, con procedimientos de seguridad verificables.
- Ningún uso de los datos para entrenar modelos de IA. La traducción profesional confidencial no alimenta conjuntos de datos de entrenamiento de terceros, los datos del cliente se usan exclusivamente para producir la traducción solicitada.
- Conformidad RGPD documentada. En caso de inspección de la AEPD, la empresa puede demostrar que ha tratado los datos personales de sus documentos a través de un proveedor con acuerdo contractual conforme al artículo 28, con medidas técnicas y organizativas adecuadas.
- Precisión terminológica especializada. Un traductor profesional con especialización en el sector específico, jurídico, médico, financiero, produce una traducción precisa. Un sistema de IA genérico produce una traducción rápida que puede contener errores terminológicos con consecuencias legales o clínicas reales.
La pregunta que toda empresa debería hacerse antes de pegar un documento en ChatGPT no es "¿es buena la traducción?" Es: "¿tengo base jurídica para este tratamiento, y puedo demostrarlo?"
El Coste Real del Ahorro
Traducir un documento con una herramienta de IA gratuita cuesta cero euros. El coste medio de un ciberataque para una pequeña empresa oscila entre 35.000 y 80.000 euros. Añadiendo la posible sanción administrativa, que en infracciones graves puede alcanzar los 10 millones de euros o el 2% del volumen de negocio global anual, el balance cambia radicalmente.
Una infracción del RGPD relacionada con el tratamiento no autorizado de datos personales a través de una herramienta de IA puede configurar una infracción grave bajo el artículo 83(4) del RGPD, hasta 10 millones de euros o el 2% del volumen de negocio, o una infracción muy grave bajo el artículo 83(5) si afecta a principios fundamentales del tratamiento o categorías especiales de datos, hasta 20 millones o el 4%.
El ahorro en el coste de traducción profesional confidencial es real. La exposición que lo sustituye también lo es.
¿Tienes documentos confidenciales que necesitan traducción conforme al RGPD? Polilingua actúa como encargada del tratamiento conforme al artículo 28 del RGPD, con acuerdos contractuales conformes, medidas de seguridad certificadas ISO 17100 y traductores especializados por sector. Tus datos empresariales no salen del perímetro contractual definido. Solicita presupuesto gratuito.
Preguntas Frecuentes
¿Es Legal Usar ChatGPT para Traducir Documentos de Empresa en España? Depende del contenido del documento. Si el documento contiene datos personales de terceros, clientes, empleados, pacientes, su carga en una herramienta de IA externa configura un tratamiento de datos personales bajo el RGPD y la LOPDGDD. Este tratamiento requiere una base jurídica válida y, en la mayoría de los casos, un acuerdo con el proveedor como encargado del tratamiento conforme al artículo 28 del RGPD. Sin estos elementos, el uso no es conforme a la normativa vigente.
¿Qué Riesgo Tiene una Empresa Española que usa IA para Traducir Documentos Confidenciales? Las infracciones graves bajo el artículo 83(4) del RGPD conllevan sanciones de hasta 10 millones de euros o el 2% del volumen de negocio global. Las infracciones muy graves, que afectan a categorías especiales de datos como datos de salud o vulneran principios fundamentales del tratamiento, alcanzan los 20 millones o el 4% del volumen de negocio. A esto se suma el AI Act, con multas adicionales de hasta 35 millones o el 7% de la facturación, con sanciones acumulativas que pueden superar el 10% del volumen de negocio global.
¿Qué es un Acuerdo de Encargado del Tratamiento ex Artículo 28 RGPD y por Qué Importa para la Traducción? Es un contrato obligatorio entre el responsable del tratamiento, la empresa que posee los datos, y el encargado, el proveedor del servicio. Este acuerdo define las finalidades del tratamiento, las medidas de seguridad adoptadas, la prohibición de usar los datos para fines propios y los procedimientos en caso de brecha. Una agencia de traducción que no ofrece este acuerdo no puede tratar legalmente datos personales en nombre de sus clientes bajo el RGPD.
¿Es Seguro DeepL para Traducir Documentos Empresariales Confidenciales? DeepL ofrece un plan empresarial con Acuerdo de Procesamiento de Datos que puede cumplir los requisitos del artículo 28 del RGPD si se configura correctamente. Sin embargo, el plan gratuito y el plan básico no incluyen este acuerdo, los textos enviados pueden usarse para entrenar los modelos. Para documentos con datos personales sensibles, la única opción segura es un servicio profesional con DPA firmado y medidas de seguridad certificadas.