Locations
Contexto y antecedentes
El pasado 10 de abril de 2025, el Garante per la Protezione dei Dati Personali (Autoridad Italiana de Protección de Datos, en adelante, el “Garante”) dictó una resolución sancionadora contra una empresa que ofrecía servicios de chatbot a sus usuarios, imponiéndole una sanción de 5.000.000 EUR por infracciones del Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, “RGPD”).
El servicio objeto de sanción, se trataba de un chatbot basado en un gran modelo de lenguaje (Large Language Model – LLM). A través de interfaces de texto y voz, el chatbot se presentaba como un “compañero virtual” que ofrecía apoyo emocional, seguimiento del estado de ánimo, ejercicios para combatir la ansiedad e incluso funciones de conversación de tipo romántico o terapéutico, en función de la configuración elegida por el usuario. Como consecuencia de diversos informes de prensa y evidencias preliminares, el Garante inició una investigación de oficio al detectarse que dicho chatbot podría estar tratando datos personales de menores sin filtros adecuados y ofreciendo contenidos potencialmente nocivos. Para contener estos riesgos, el Garante ordenó el bloqueo temporal del acceso al servicio desde Italia y exigió la implantación de un sistema de verificación de edad y la actualización de la política de privacidad, entre otros, antes del 28 de julio de 2023.
Este pronunciamiento cobra especial relevancia al tratarse de un servicio de inteligencia artificial generativa (LLM) que opera a escala internacional y que, sin los debidos controles, puede poner en riesgo los datos personales de usuarios, incluidos menores, en toda la Unión Europea. A continuación, se detalla el contenido esencial de la resolución, los fundamentos jurídicos del Garante y las conclusiones y recomendaciones más relevantes para los Responsables del Tratamiento.
Principales incumplimientos detectados
Tras recibir la información por parte de la empresa sancionada, y tras realizar las comprobaciones técnicas correspondientes, el Garante concluyó que, al menos hasta el 2 de febrero de 2023, existieron deficiencias graves en varias dimensiones.
Primero, en relación con la base jurídica de los tratamientos, la versión de la política de privacidad vigente (actualizada por última vez el 5 de julio de 2022) no detallaba de forma granular ni vinculaba cada finalidad de tratamiento con su preceptiva base legal (Art. 6 RGPD). Las referencias genéricas a “necesario para prestar el servicio”, “consentimiento” o “autorización legal” no especificaban a qué tratamiento concreto correspondía cada base de licitud. Además, no se identificó base alguna para el tratamiento destinado al entrenamiento del propio LLM.
En segundo lugar, se detectaron deficiencias en materia de transparencia e información. La política de privacidad solo estaba disponible en inglés, sin versión en italiano, lo que dificultaba su comprensión por parte de los usuarios de dicho país. Asimismo, no se especificaban con claridad los propósitos diferenciados (interacción vía chatbot frente a desarrollo del modelo) ni el tipo de datos objeto de cada actividad de tratamiento. Tampoco se informaba de forma precisa sobre los períodos de conservación de datos ni de los mecanismos de transferencia fuera del Espacio Económico Europeo; el texto aparentaba autorizar la transferencia a EE. UU. de manera genérica, contradiciendo las manifestaciones de la empresa en otros escritos. Por último, la inclusión de una mención a decisiones completamente automáticas bajo el Art. 22 RGPD generó la falsa percepción de que existían “automatizaciones con efectos jurídicos”, pese a que la empresa negó cualquier toma de decisión con efectos legales.
El tercer gran bloque de incumplimientos versó sobre la protección de menores y la falta de aplicación del principio de “Privacy by Design” y de minimización de datos (Art. 5.1(c), 24 y 25.1 RGPD). Hasta el 2 de febrero de 2023, no existía en el servicio ningún procedimiento de verificación fiable de la edad: bastaba con indicar nombre, correo y género en un formulario. Además, el acceso no era bloqueado cuando el usuario declaraba ser menor de 18 años, y el chatbot podía proporcionar contenido inapropiado para una audiencia infantil o adolescente. Asimismo, no se evaluaron ni mitigaron adecuadamente los riesgos para la intimidad de menores, a pesar de que el servicio se orientaba a adultos y podía implicar intercambio de datos sensibles en conversaciones de carácter emocional o de salud mental.
Fundamentos jurídicos de la sanción
El Garante consideró que las conductas descritas anteriormente constituían infracciones de varios preceptos del RGPD, empezando por los artículos 5.1.(a) y 6, relativos al principio de licitud, lealtad y transparencia, y a la obligatoriedad de contar con una base jurídica válida. Al no identificar ni documentar la base de licitud para cada tratamiento (especialmente para el desarrollo del LLM), se vulneró el principio de licitud, lealtad y transparencia que exige el RGPD.
En materia de transparencia e información, el Garante detectó que la falta de información adecuada, tanto por no ofrecer la política en el idioma de los interesados como por la omisión de detalles fundamentales, infringía los artículos 12 y 13 RGPD y vulneraba derechos de los usuarios a recibir información clara y comprensible.
Por último, en relación con los artículos 5.1.(c), 24 y 25.1 RGPD, el diseño del servicio no incorporó medidas técnicas y organizativas que garantizasen que solo se trataran los datos estrictamente necesarios. La ausencia de un sistema eficaz de verificación de edad y de salvaguardas para impedir que menores accedieran o revelaran datos sensibles contravenía el deber de “Privacy by Design” y “Privacy by Default” exigido por el RGPD.
Cuantificación de la sanción
Por todo ello, el Garante ha impuesto una sanción cuyo importe se desglosa en tres partidas:
- Para la infracción más grave vinculada a la transparencia e información se ha impuesto una sanción de 3.000.000 EUR;
- Por otra parte, la falta de bases legitimadoras específicas para cada tratamiento ha comportado una sanción de 1.000.000 EUR;
- Asimismo, el Garante, ha impuesto una sanción de 1.000.000 EUR adicionales por las carencias relativas al principio de “Privacy by Design” y la protección de menores.
En total, la sanción asciende a 5.000.000 EUR.
Conclusiones
La sanción impuesta por el Garante pone de manifiesto la tolerancia cero frente a servicios digitales basados en IA que no cumplan debidamente con las obligaciones establecidas en el RGPD. En este sentido, las autoridades europeas ya han empezado a imponer sanciones significativas a este tipo de compañías. Precisamente, fue el propio Garante quien a inicios de este año 2025 bloqueó un conocido modelo de IA por motivos similares a los anteriormente descritos.
Por ende, para cualquier Responsable de Tratamiento, deviene necesario enfocar este tipo de servicios no solo desde el prisma del Reglamento de Inteligencia Artificial, sino que también debe asumir que sin un cumplimiento estricto del RGPD, las consecuencias económicas y reputacionales pueden resultar extremadamente graves.
Agradecemos al abogado Albert Betorz del área de Tech & Data por la redacción de este artículo.
El contenido de esta publicación es meramente informativo, sin que el interesado deba tomar una decisión basada en la misma; en tal caso debería solicitar asesoramiento jurídico específico adaptado a sus circunstancias concretas.