Si tienes un chatbot con IA en una web española en 2026, te aplican dos regulaciones simultáneamente: el RGPD (vigente desde 2018) y el AI Act (cuya pieza clave para chatbots —el Art. 50 sobre transparencia— es aplicable desde 2 de agosto de 2026). La AEPD lleva publicando guías específicas sobre chatbots IA desde 2025 y, en 2026, las inspecciones a empresas españolas que los usan se han disparado.
Este artículo es la versión digerible: qué tienes que cumplir, cómo se cumple en la práctica, y qué se está pasando por alto sistemáticamente.
Para el contexto general de IA y RGPD, te dejamos primero el pillar sobre IA y RGPD para empresas y la evaluación AIPD para sistemas IA.
Lo que cambió con el AI Act
El AI Act introduce desde agosto de 2026 una obligación que el RGPD no tenía explícita: avisar al usuario que está hablando con una IA.
Art. 50.1 AI Act: el operador del sistema "debe garantizar que las personas físicas afectadas estén informadas de que están interactuando con un sistema de IA, salvo que esto resulte evidente desde el punto de vista de una persona razonablemente informada".
En la práctica:
Avisar al inicio del chat con un texto claro: "Estás hablando con un asistente de IA".
Posibilidad de pasar a humano disponible y visible.
Sanción: hasta 15 M € o 3% facturación global.
Se acabó el chatbot que finge ser una "Lucía del equipo". Si es IA, dilo.
Las 6 obligaciones RGPD que un chatbot no puede saltarse
1. Base legal del tratamiento
Toda conversación implica tratar datos personales. Necesitas una base legal válida del Art. 6:
Consentimiento (6.1.a): el más común para chatbots web. Tiene que ser libre, específico, informado e inequívoco. Sin casillas premarcadas, sin "al usar este servicio aceptas...". Botón explícito al iniciar el chat.
Ejecución de contrato (6.1.b): si el usuario inicia el chat para gestionar un pedido o contratar servicio.
Interés legítimo (6.1.f): con prudencia. Sirve para chatbots de pre-sales muy básicos donde el balance de derechos lo justifique. Documenta el test de balance.
Obligación legal (6.1.c): prácticamente nunca aplica.
⚠️ Si tu chatbot procesa datos especiales (Art. 9: salud, religión, orientación, etc.), el listón sube: necesitas consentimiento explícito o una de las excepciones del 9.2.
2. Información clara antes de empezar
El usuario debe saber, antes de escribir nada:
Quién es el responsable del tratamiento (con CIF, dirección, DPO).
Para qué se usan sus datos.
Cuánto tiempo se conservan.
Si hay cesiones (ej: tu proveedor de IA, OpenAI, Anthropic, Google).
Si hay transferencias internacionales (USA, UK, etc.) y bajo qué garantías. Lo cubrimos en transferencias internacionales en IA RGPD.
Qué derechos tiene y cómo ejercerlos.
Patrón limpio: al abrir el chat, pop-up con resumen de 5 líneas + enlace a la política completa. Botón "He leído y acepto" antes del primer mensaje.
3. Transparencia algorítmica (Art. 22 RGPD + AI Act)
Si el chatbot toma decisiones automatizadas que afectan al usuario (autoaprobar préstamo, denegar acceso, calcular riesgo), entran:
Art. 22 RGPD: el usuario tiene derecho a no ser objeto de decisión automatizada salvo consentimiento explícito o necesidad contractual, y siempre con intervención humana disponible.
AI Act Art. 13 (high-risk): información sobre propósito, capacidades y limitaciones.
AI Act Art. 27 (FRIA, desde 2026-08-02 para entidades públicas y aseguradoras de vida/salud y crédito).
Detalle DPIA vs AIPD vs FRIA aquí.
4. Derechos ARCO+ vivos en el chat
El usuario puede pedir:
Acceso a sus datos.
Rectificación.
Supresión ("borra todo lo que tienes mío").
Oposición, portabilidad, limitación.
Problema típico: el chatbot no entiende "borra mis datos" como ejercicio de derecho. La AEPD ha sancionado en 2025-2026 a varias empresas porque su IA "no reconocía" un derecho expresado en lenguaje natural.
Solución: detectar intenciones tipo "borra mis datos", "qué datos tienes de mí", "no quiero que me llames más" y escalarlas a humano o a un flujo formal que registre la solicitud, dé respuesta en plazo (1 mes) y deje rastro.
5. Minimización y plazos
No guardes la transcripción completa si no la necesitas. Si solo necesitas el ticket creado, guarda eso, no las 47 líneas de chat.
Define plazos: 30 días para soporte, 6 meses si hay obligación contable, luego anonimiza o borra.
Si usas la conversación para reentrenar tu IA: pide consentimiento separado y específico.
6. Seguridad
Cifrado en tránsito (TLS 1.3) y en reposo.
Logs con accesos a datos.
Si tu chatbot se conecta a un LLM externo (OpenAI, Anthropic, Google), tu DPA (data processing agreement) tiene que cubrirlo. Más aún si los datos salen de la UE: transferencias internacionales.
Cómo no romper la UX
La trampa: cumplir → chatbot insufrible. Patrones que funcionan en la práctica:
Patrón "tres líneas + enlace"
Antes del primer mensaje, modal de 3 líneas:
Estás hablando con un asistente IA de [Empresa].
Tus mensajes se procesan en [proveedor IA] bajo nuestro acuerdo de protección de datos.
Política completa · [Hablar con humano][ Aceptar y continuar ]
Cumple Art. 50 AI Act + Art. 13/14 RGPD. Tarda 4 segundos en leerse.
Patrón "huella ligera"
No persistas el historial completo en BD por defecto. Persiste solo:
ID de sesión (anónimo).
Intención detectada (clasificación, no texto).
Resultado (ticket creado, info dada).
Si el usuario quiere "ver todo lo que has hablado conmigo", contesta sinceramente: "no guardo el contenido por defecto, solo lo necesario para darte servicio".
Patrón "escape hatch claro"
Botón visible "Hablar con persona". No solo cuando el bot no entiende, sino siempre. Es derecho RGPD + buena UX.
Patrón "command words" para derechos
Detectar frases como "borra mis datos", "qué información tienes" y disparar un flujo formal. No dejar al LLM contestar libremente, porque puede confundir con otras peticiones.
Stack típico que cumple
Si construyes desde cero en 2026, una arquitectura razonable:
Frontend: chatbot con consent modal + escape humano + detección de intenciones de derechos.
Backend: middleware que loguea solo lo mínimo, anonimiza tras 30 días.
LLM: en infraestructura europea o con DPF + DPA firmado. Si quieres soberanía total, Levante Platform te da Tensorix (inferencia europea) con Zero Data Retention.
DPO: nombrado y accesible en la política.
Para empresas que no quieren el lío: usar un proveedor con todo esto resuelto evita el 80% de los riesgos.
Errores comunes que sancionan
Casos reales que han llegado a sanción AEPD en 2025-2026:
Chatbot que no avisa de IA: 30 K € a una empresa de telecom. El bot decía llamarse "Marta" y atendía consultas comerciales. AI Act + Art. 5 RGPD (lealtad).
Falta de consentimiento explícito en datos especiales: una clínica privada usaba un chatbot que recogía síntomas (datos de salud) sin consentimiento explícito separado. 80 K €.
Transferencias internacionales no informadas: e-commerce con chatbot OpenAI sin avisar de transferencia a USA ni DPA. 25 K €.
Imposibilidad de ejercer derechos: chatbot bancario que no escalaba "borra mis datos" — la solicitud quedaba en el limbo. AEPD sancionó por falta de canal efectivo.
Conservación excesiva: empresa que guardaba transcripciones completas durante 5 años "por si se necesita en juicio". Sin justificación documentada.
Checklist práctico
Antes de poner un chatbot IA en producción:
Recursos AEPD y AI Act
Recomendaciones AEPD para chatbots IA — documento oficial.
AEPD: cuando la IA no reconoce los derechos — criterio legal.
AI Act texto consolidado — Reglamento (UE) 2024/1689.
AEPD investiga uso de IA en empresas españolas 2026 — campañas de inspección.
Para profundizar en RGPD aplicado a IA, mira el pillar IA y RGPD para empresas y la checklist proveedor IA RGPD.
Conclusión
Un chatbot RGPD-compliant en 2026 no es un chatbot con menos features. Es un chatbot que avisa, pregunta, registra solo lo necesario y escala cuando toca. Cumplir bien suele mejorar la UX (los usuarios prefieren saber con quién hablan), no empeorarla.
Lo que sí cambia es el stack: usar un proveedor IA con base europea o ZDR, tener DPA firmado y documentar la AIPD/FRIA antes de lanzar son los tres movimientos que separan a las empresas multables de las que duermen tranquilas. Si no quieres montártelo a mano, el camino más corto es elegir un proveedor que ya cumple por defecto.
