Derecho Artificial
analisis-juridico

Del Dragón de la NSA al Ojo Algorítmico: Una Década de Erosión de la Privacidad en la Era de la Inteligencia Artificial

PorRicardo Scarpa

Introducción

El 5 de junio de 2013, el mundo tomó conciencia de una realidad hasta entonces confinada a los círculos de inteligencia y a la especulación académica: la vigilancia masiva, global e indiscriminada, era un hecho documentado. Edward Snowden, excontratista de la Agencia de Seguridad Nacional (NSA), filtró a los periodistas Glenn Greenwald, Laura Poitras y Ewen MacAskill documentos clasificados que desvelaban la existencia de programas como PRISM y XKeyscore, mediante los cuales el gobierno de Estados Unidos recolectaba metadatos de comunicaciones telefónicas y electrónicas de millones de personas en todo el mundo, sin distinción entre sospechosos de terrorismo y ciudadanos comunes (1). El documental Citizenfour, dirigido por Laura Poitras y estrenado en 2014, capturó en tiempo real el momento en que Snowden decidió hacer públicas estas revelaciones desde una habitación de hotel en Hong Kong, ofreciendo un testimonio visual y ético de una de las mayores crisis de confianza en la historia de la democracia liberal (2).

Once años después, el escenario tecnológico, social y legal ha mutado de forma tan profunda que el debate sobre la privacidad ya no puede circunscribirse a los términos de aquella década. En 2014, la preocupación central era el volumen de datos: la NSA almacenaba metadatos ---quién llamó a quién, cuándo y durante cuánto tiempo--- pero el contenido de las comunicaciones permanecía, en teoría, fuera del alcance sin una orden judicial específica. El temor residía en la capacidad del Estado para construir mapas de asociación y patrones de comportamiento a partir de agregados masivos de información, una práctica intrusiva basada en un modelo estadístico y determinista (3). Sin embargo, la irrupción de la Inteligencia Artificial (IA) en la última década ha transformado radicalmente esta ecuación. Hoy, la vigilancia no solo recolecta datos; los interpreta, los infiere y los anticipa. Los sistemas de IA generativa, el reconocimiento facial biométrico y los algoritmos de policía predictiva no se limitan a observar lo que ha ocurrido, sino que pretenden predecir lo que aún no ha sucedido, construyendo perfiles de riesgo, emociones y comportamiento con un nivel de granularidad y opacidad sin precedentes (4).

La tesis central de este artículo sostiene que el salto cualitativo de la vigilancia de la era Snowden a la era de la IA representa una mutación ontológica del problema: mientras la primera era un desafío de volumen y control democrático sobre la recolección de datos, la segunda es un desafío de inteligencia algorítmica y pérdida de autonomía individual, donde el derecho a la privacidad no solo se ve amenazado por la extracción de información, sino por la construcción de identidades digitales a partir de inferencias automatizadas, muchas veces erróneas, sesgadas o inapelables (5). Este artículo analiza, con rigor jurídico y perspectiva comparada, la evolución de los riesgos para la privacidad desde 2014 hasta la actualidad, evaluando críticamente si las respuestas normativas ---tanto la USA FREEDOM Act de 2015 como el Reglamento General de Protección de Datos (RGPD) y el Reglamento (UE) 2024/1689 de Inteligencia Artificial--- han sido suficientes para contrarrestar estas nuevas dinámicas, o si la inercia legislativa y la captura tecnológica han consagrado un nuevo paradigma de vigilancia permanente y ubicua (6).

El artículo se estructura en cuatro capítulos. El Capítulo I examina el legado inmediato de Snowden: el impacto de las filtraciones en la opinión pública, las reformas legales en Estados Unidos y la respuesta del sector tecnológico, que adoptó el cifrado masivo como mecanismo de defensa. El Capítulo II aborda la evolución normativa europea, centrada en la saga Schrems, la invalidación del Privacy Shield y la consolidación del RGPD, marcado por un enfoque en el consentimiento individual que se ha revelado insuficiente frente a los desafíos sistémicos de la vigilancia (6). El Capítulo III constituye el núcleo del análisis, desglosando los riesgos específicos de la IA: la vigilancia biométrica y el reconocimiento facial, la policía predictiva, el scraping masivo de datos por parte de sistemas generativos y la preocupante convergencia entre el poder gubernamental y las grandes corporaciones tecnológicas (7). El Capítulo IV evalúa la respuesta regulatoria con centro en el Reglamento (UE) 2024/1689 [en adelante, RIA], sus aciertos y sus limitaciones, contrastándolo con el enfoque de Estados Unidos, Reino Unido y China. Las conclusiones ofrecen una reflexión sobre la viabilidad del derecho a la privacidad en el siglo XXI y un conjunto de propuestas de lege ferenda.

La metodología empleada es jurídico-dogmática y de análisis de políticas públicas, con un enfoque crítico y comparado. Las fuentes abarcan informes de organizaciones de derechos civiles (EDRi, Amnistía Internacional, ACLU), pronunciamientos judiciales del Tribunal de Justicia de la Unión Europea (TJUE), legislación primaria y secundaria de la UE, y análisis académicos de primer nivel. El sistema de citas numéricas que se emplea remite a las veinte fuentes documentales que constituyen la base empírica y normativa del estudio, cuya referencia completa se recoge al final del texto.

Capítulo I: El Legado de Snowden y el Paradigma de la Vigilancia Masiva (2013-2015)

1.1. Las Revelaciones de 2013: El Despertar de la Conciencia Global

El impacto de las filtraciones de Edward Snowden no puede medirse únicamente por el volumen de documentos revelados ---más de 1,5 millones--- sino por la sacudida sísmica que provocaron en los cimientos del contrato social entre el ciudadano y el Estado. La existencia de programas como PRISM, que otorgaba a la NSA acceso directo a los servidores de las principales empresas tecnológicas (Google, Facebook, Microsoft, Yahoo), y XKeyscore, que permitía el análisis prácticamente irrestricto de metadatos de correos electrónicos, llamadas telefónicas y navegación web, demostró que la vigilancia masiva no era una herramienta excepcional reservada para casos de terrorismo, sino una práctica sistemática, global y carente de supervisión judicial efectiva (1). El documental Citizenfour capturó con crudeza la atmósfera de convicción ética que rodeó la decisión de Snowden, mostrando a un hombre consciente de que su vida nunca volvería a ser la misma, dispuesto a sacrificarla en aras de la transparencia y el control democrático (2).

Desde una perspectiva jurídica, las revelaciones evidenciaron una profunda disfunción en el equilibrio entre seguridad nacional y libertades civiles. La Sección 215 de la USA PATRIOT Act, renovada y ampliada tras los atentados del 11 de septiembre, había sido interpretada por las Administraciones Bush y Obama como una autorización para la recolección masiva de metadatos telefónicos, bajo la teoría de que dichos metadatos ---a diferencia del contenido de las comunicaciones--- no estaban protegidos por la Cuarta Enmienda. La Corte Suprema, en su jurisprudencia anterior (Smith v. Maryland, 1979), había sostenido que los números marcados voluntariamente por el usuario eran «información comercial» entregada a un tercero (la compañía telefónica), por lo que no existía una expectativa razonable de privacidad. Snowden demostró que esta doctrina, concebida para una era de centralitas mecánicas, era completamente inadecuada para la era digital, donde los metadatos revelan no solo contactos, sino patrones de vida, ideología, salud y relaciones íntimas (8).

1.2. La Respuesta Inmediata: Del Shock a la Acción Ciudadana

El impacto social de las filtraciones fue inmediato y global. Encuestas realizadas a finales de 2013 en Estados Unidos mostraron que más del 70% de los ciudadanos consideraba que la vigilancia masiva afectaba sus derechos constitucionales, aunque existía una división significativa entre quienes priorizaban la seguridad nacional (5). En Europa, donde la memoria de los totalitarismos y la protección de datos como derecho fundamental están más arraigados, la reacción fue de indignación y exigencia de reformas. La Comisión Europea suspendió las negociaciones sobre el acuerdo Safe Harbour y abrió una investigación sobre las transferencias de datos personales a Estados Unidos, lo que culminaría años después en el caso Schrems (9).

Uno de los efectos más significativos del legado de Snowden fue el impulso al cifrado de extremo a extremo como herramienta de empoderamiento ciudadano. Empresas como Google, Apple y Facebook, presionadas por la opinión pública y por la necesidad de restaurar la confianza de sus usuarios, adoptaron protocolos de cifrado que impedían que incluso ellas mismas pudieran acceder al contenido de las comunicaciones. Este movimiento representó una respuesta tecnológica a un problema legal, pero también generó una tensión creciente con los gobiernos, que argumentaban que el cifrado inaccesible dificultaba la lucha contra el terrorismo y el crimen organizado (3). Sin embargo, el cifrado, aunque necesario, era una solución insuficiente: protegía el contenido de las comunicaciones, pero no los metadatos, que seguían siendo recolectados en masa por las agencias de inteligencia y, en paralelo, por las plataformas digitales con fines comerciales (1).

1.3. La USA FREEDOM Act de 2015: ¿Reforma o Maquillaje?

La presión política y judicial forzó al Congreso estadounidense a aprobar, en junio de 2015, la USA FREEDOM Act (Uniting and Strengthening America by Fulfilling Rights and Ensuring Effective Discipline Over Monitoring Act), considerada la mayor reforma de inteligencia en cuarenta años (9). La ley puso fin formalmente a la recolección masiva de metadatos telefónicos por parte de la NSA, estableciendo que dichos datos debían ser conservados por las compañías telefónicas y que el acceso a los mismos requería una orden judicial específica vinculada a un número de teléfono concreto. Además, creó la figura de un abogado defensor ante el Tribunal de Vigilancia de Inteligencia Extranjera (FISC), una concesión a las críticas de que dicho tribunal operaba como una cámara de aprobación automática de las solicitudes gubernamentales (9).

A pesar de su carácter aparentemente transformador, la USA FREEDOM Act fue recibida con escepticismo por los defensores de los derechos civiles. En primer lugar, la ley no afectaba a otros programas de vigilancia masiva, como la recolección de metadatos de comunicaciones internacionales al amparo de la Sección 702 de la FISA Amendments Act, que seguía permitiendo la recolección sin orden judicial de comunicaciones de extranjeros no residentes (6). En segundo lugar, el estándar de «sospecha razonable» seguía siendo un umbral bajo, y el control judicial, aunque mejorado, resultaba difícilmente efectivo dada la opacidad de los procedimientos y la clasificación de las pruebas. Bruce Schneier calificó la reforma como «un paso en la dirección correcta, pero insuficiente para abordar el problema estructural de una cultura de inteligencia habituada a la recolección masiva y al secreto» (7).

Resulta paradigmático que la USA FREEDOM Act no abordara en modo alguno los algoritmos de análisis de datos, el machine learning o la IA, que ya comenzaban a utilizarse en las agencias de inteligencia para procesar los ingentes volúmenes de información recabada. Esta omisión representa el primer eslabón de una cadena de inercia normativa que, como se analizará en los capítulos siguientes, ha permitido que la vigilancia evolucione muy por delante de sus reguladores (8).

1.4. El Efecto Disuasorio sobre la Libertad de Expresión

Uno de los hallazgos más perturbadores de la investigación posterior a Snowden fue el denominado chilling effect o efecto disuasorio sobre la libertad de expresión. La simple conciencia de que las comunicaciones podían ser monitorizadas inducía a la autocensura, especialmente entre periodistas, activistas, abogados y fuentes confidenciales (1). Un estudio del Pew Research Center de 2015 reveló que el 43% de los estadounidenses había adoptado medidas para ocultar su actividad digital, y que el 20% había evitado discutir temas controvertidos por miedo a la vigilancia gubernamental (3). Este fenómeno tiene implicaciones profundas para la democracia: cuando los ciudadanos temen expresar sus opiniones, investigar o asociarse, la esfera pública se empobrece y el control social sobre el poder se debilita (4).

El propio Citizenfour ilustra este fenómeno a través de la figura de Snowden, quien, sabiéndose vigilado y perseguido, se vio obligado a adoptar medidas extremas de seguridad, cambiando constantemente de ubicación y evitando cualquier rastro digital que pudiera ser utilizado para localizarlo. Para ejercer su derecho a la libertad de expresión y denunciar violaciones de los derechos humanos, Snowden hubo de renunciar a su propia privacidad de forma radical, y aun así enfrentó cargos de espionaje que podrían haberle llevado a cadena perpetua. Esta asimetría entre el poder del Estado y el individuo es la esencia del problema que las filtraciones de 2013 pusieron al descubierto (5).

1.5. El Cifrado y la Batalla Tecnológica

El legado de Snowden en el ámbito tecnológico es, quizás, el más duradero. La presión de la opinión pública llevó a una adopción masiva del cifrado de extremo a extremo en aplicaciones de mensajería (Signal, WhatsApp, Telegram), correo electrónico (PGP) y navegación web (HTTPS). En 2016, el FBI intentó forzar a Apple a desbloquear el iPhone de un terrorista en el caso de San Bernardino, conflicto que simbolizó la tensión irresuelta entre la seguridad pública y la privacidad (8). La legislación estadounidense, en particular la All Writs Act, fue invocada por el gobierno para exigir a las empresas tecnológicas que facilitaran el acceso a dispositivos y comunicaciones cifradas, mientras que la UE adoptó un enfoque más ambiguo, promoviendo el cifrado fuerte pero discutiendo al mismo tiempo propuestas de «cifrado escaneable» para la detección de abuso infantil (9). Lo que Snowden demostró, en definitiva, es que la tecnología por sí sola no basta: sin un marco legal que proteja la privacidad y limite la vigilancia, el cifrado se convierte en una carrera de armamentos entre los ciudadanos y el Estado, en la que el poder de este último, en términos de recursos y capacidad técnica, resulta siempre superior (1).

1.6. Balance de la Primera Era (2013-2015)

El período 2013-2015 fue testigo de una concienciación global sin precedentes sobre la vigilancia masiva, pero también de una respuesta institucional insuficiente y tecnológicamente reactiva. La USA FREEDOM Act no fue la reforma estructural que muchos esperaban, y dejó intactos los pilares de la vigilancia masiva internacional y el análisis de datos a gran escala. El cifrado, aunque empoderador, es una defensa imperfecta frente a un Estado que puede acceder a metadatos y reconstruir perfiles de comportamiento sin necesidad de acceder al contenido de las comunicaciones (6).

Sin embargo, el legado más importante de Snowden fue político y cultural: rompió el tabú de la vigilancia, generó un debate público permanente y creó las condiciones para que movimientos ciudadanos, organizaciones de derechos civiles y legisladores críticos presionaran por reformas más profundas. El problema es que, mientras el debate legal y político se estancaba, la tecnología avanzaba a una velocidad vertiginosa. La IA, el machine learning y el análisis predictivo comenzaron a filtrarse en las agencias de inteligencia y en el sector privado, abriendo una nueva frontera en la invasión de la privacidad para la que las herramientas legales existentes eran completamente inadecuadas (3).

Capítulo II: La Evolución Normativa y los Fallos Estructurales (2015-2022)

2.1. El Impacto de Snowden en el Derecho Europeo

Mientras Estados Unidos respondía a las revelaciones de Snowden con una reforma legislativa de alcance limitado, Europa emprendió un camino sustancialmente distinto, marcado por una concepción más arraigada de la privacidad como derecho fundamental y por una desconfianza histórica hacia la vigilancia gubernamental. El artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea consagra el derecho a la protección de datos personales como un derecho autónomo, distinto del derecho a la vida privada, y establece el principio de que dichos datos deben ser tratados de manera leal, con el consentimiento de la persona afectada y bajo control independiente. Esta base normativa, combinada con la indignación pública generada por las filtraciones de Snowden, proporcionó el sustrato para una respuesta legal ambiciosa (6).

El primer efecto inmediato fue la suspensión y posterior revisión del acuerdo Safe Harbour, que desde el año 2000 había permitido la transferencia de datos personales de la UE a Estados Unidos bajo la premisa de que este país ofrecía un nivel de protección adecuado. Las revelaciones de que la NSA tenía acceso directo a los datos de empresas estadounidenses bajo el programa PRISM demostraron que la protección declarada por el Safe Harbour era, en la práctica, inexistente (9). La Comisión Europea, bajo presión del Parlamento y de las autoridades de protección de datos, abrió una investigación y estableció un diálogo con el gobierno estadounidense que se materializaría en 2016 con la adopción del Privacy Shield, nuevo marco que incorporaba salvaguardas y mecanismos de control más rigurosos. Sin embargo, como se analiza a continuación, tampoco este marco resistiría el escrutinio judicial (6).

2.2. El Caso Schrems: La Judicialización de la Vigilancia

El caso más emblemático de la respuesta europea a la vigilancia masiva es, sin duda, la saga judicial iniciada por Max Schrems, activista austriaco que, con base en las revelaciones de Snowden, presentó una queja ante la autoridad de protección de datos de Irlanda contra la transferencia de sus datos personales por parte de Facebook a Estados Unidos (9). La demanda no cuestionaba la legalidad de la vigilancia en sí, sino la adecuación de la protección ofrecida por el marco legal estadounidense, argumentando que las leyes de vigilancia masiva (Sección 702 de la FISA, Orden Ejecutiva 12333) no proporcionaban garantías suficientes contra la injerencia arbitraria en los derechos fundamentales de los ciudadanos europeos.

El TJUE, en su sentencia de 2015 (Schrems I), invalidó la decisión de la Comisión Europea que aprobaba el Safe Harbour, declarando que el derecho estadounidense no garantizaba un nivel de protección esencialmente equivalente al exigido por el ordenamiento jurídico de la UE. El Tribunal sostuvo que la legislación estadounidense permitía una injerencia masiva, indiscriminada y sin garantías judiciales efectivas en los derechos fundamentales de los ciudadanos europeos, vulnerando los principios de proporcionalidad y el derecho a la tutela judicial efectiva. Esta sentencia fue un terremoto jurídico: por primera vez, un tribunal internacional declaraba que el sistema de vigilancia de una superpotencia era incompatible con los estándares europeos de protección de datos (6).

Max Schrems no se rindió y presentó una nueva impugnación ante el TJUE, que en 2020 (sentencia Schrems II) declaró también inválido el Privacy Shield, reiterando las deficiencias estructurales del sistema de vigilancia estadounidense y señalando que las salvaguardas introducidas no resolvían el problema de fondo: la posibilidad de que las agencias de inteligencia accedieran a los datos sin supervisión judicial efectiva, sin ofrecer a los ciudadanos europeos vías de recurso equiparables a las de los ciudadanos estadounidenses (9).

2.3. El RGPD como Respuesta Sistémica

Paralelamente al proceso judicial, la Unión Europea culminó la reforma de su marco de protección de datos con la aprobación del Reglamento (UE) 2016/679, General de Protección de Datos [en adelante, RGPD], que entró en vigor en mayo de 2018 (6). El RGPD representa el intento más ambicioso de la historia para armonizar y fortalecer la protección de datos personales, estableciendo principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación e integridad y confidencialidad. Introduce asimismo derechos reforzados para los titulares de datos (derecho al olvido, derecho a la portabilidad, derecho a oponerse al tratamiento automatizado) y un régimen sancionador sin precedentes, con multas de hasta el 4% del volumen de negocios mundial de las empresas infractoras (6).

Sin embargo, el RGPD no es una panacea. Su enfoque se centra en el consentimiento individual y en la transparencia informativa, un modelo que la doctrina ha calificado como «individualista» e inadecuado para hacer frente a los desafíos sistémicos de la vigilancia algorítmica. Exigir a un ciudadano que consienta el tratamiento de sus datos por parte de una plataforma o una agencia gubernamental es un ejercicio de ficción cuando no existe una verdadera alternativa, cuando la asimetría de poder es abismal y cuando los algoritmos procesan datos de forma agregada e inferencial que trasciende el consentimiento original (5). Además, el RGPD se enfrenta a serias dificultades de aplicación extraterritorial, especialmente frente a Estados Unidos, donde la Cloud Act de 2018 obliga a las empresas estadounidenses a entregar datos almacenados en servidores extranjeros a las autoridades de su país, en conflicto directo con las disposiciones del RGPD sobre transferencias internacionales (9).

2.4. La Inercia Legislativa y la Persistencia de la Vigilancia Masiva

A pesar de las sentencias del TJUE y de la entrada en vigor del RGPD, la vigilancia masiva no solo ha persistido, sino que se ha profundizado. En Estados Unidos, la Sección 702 de la FISA Amendments Act y la Orden Ejecutiva 12333 siguen vigentes, y el acceso de la NSA a los cables de fibra óptica (programa Upstream) continúa sin supervisión judicial efectiva (6). La EDRi, en su balance de 2023, advirtió que la vigilancia masiva se ha convertido en un elemento estructural de la gobernanza global, alimentada por el uso creciente de machine learning e IA por parte de agencias como el GCHQ británico y la NSA (12). La diferencia con 2013 es que la vigilancia ya no solo recolecta datos, sino que los analiza en tiempo real, los cruza con otras fuentes y los utiliza para generar alertas, perfiles de riesgo y recomendaciones operativas sin intervención humana sustancial (3).

Un ejemplo de esta tendencia es el uso de sistemas de IA por parte de los servicios de inteligencia para analizar comunicaciones interceptadas, identificar patrones de comportamiento y predecir amenazas. Según documentos filtrados y análisis académicos, la NSA y sus homólogas europeas han desarrollado algoritmos capaces de inferir relaciones sociales, rutinas diarias, ideología política e incluso estados de salud de las personas, sin necesidad de acceder al contenido de las comunicaciones (8). Esta capacidad inferencial, basada en el machine learning, convierte a los metadatos en el núcleo mismo de la privacidad, ya que a través de ellos se puede reconstruir prácticamente toda la vida de una persona.

2.5. Las Transferencias Internacionales y el Nudo Gordiano del Control de Datos

El conflicto entre el enfoque europeo y el estadounidense sobre la vigilancia y la protección de datos ha creado un nudo gordiano que las empresas multinacionales y los ciudadanos no pueden desatar fácilmente. El Schrems II obligó a miles de empresas a suspender sus transferencias de datos a Estados Unidos o a recurrir a mecanismos alternativos, como las cláusulas contractuales tipo (CCTs) o las reglas corporativas vinculantes (BCRs), que ofrecen salvaguardas adicionales pero no resuelven el problema de fondo: la capacidad del gobierno estadounidense para acceder a los datos por razones de seguridad nacional (9).

En 2023, la Unión Europea y Estados Unidos alcanzaron un nuevo acuerdo, el EU-US Data Privacy Framework, que pretendía resolver las deficiencias señaladas por el TJUE. Este marco introduce salvaguardas específicas para la vigilancia, incluyendo limitaciones a la recolección masiva, la creación de un mecanismo de reparación independiente para ciudadanos europeos y la obligación de las agencias de inteligencia de respetar los principios de proporcionalidad y necesidad (6). Sin embargo, organizaciones de derechos civiles como EDRi y NOYB han denunciado que el nuevo marco no corrige los problemas estructurales del sistema estadounidense, y han anunciado nuevas impugnaciones judiciales (6). La historia se repite: un acuerdo que intenta conciliar dos visiones antagónicas de la privacidad sin abordar la raíz del problema, que es el modelo de vigilancia masiva y secreta del Estado estadounidense, potenciado ahora por la IA.

2.6. Balance de la Segunda Era (2015-2022)

El período 2015-2022 muestra una contradicción profunda entre la evolución normativa y la evolución tecnológica. Por un lado, el RGPD, la jurisprudencia del TJUE y la presión de la sociedad civil han elevado los estándares de protección de datos a nivel global. Por otro lado, la vigilancia masiva ha persistido y se ha amplificado mediante el uso de IA, el análisis predictivo y la convergencia entre el sector público y el privado, mientras que los mecanismos de control y supervisión han demostrado ser insuficientes frente a una tecnología que opera en tiempo real y a una escala que desborda la capacidad de los reguladores (12). El efecto chilling sobre la libertad de expresión y la autonomía personal, lejos de disminuir, se ha intensificado en la era de la IA, ya que los ciudadanos no solo saben que pueden ser vigilados, sino que los algoritmos pueden inferir aspectos de su vida que ni siquiera han revelado conscientemente (4).

Capítulo III: La Inteligencia Artificial como Multiplicador de la Vigilancia (2022-2026)

3.1. El Salto Cualitativo: Del Volumen a la Inteligencia

La década transcurrida desde las revelaciones de Snowden ha presenciado una transformación tecnológica que ningún legislador pudo anticipar en toda su dimensión. Si la era de la vigilancia masiva de metadatos planteaba un problema de volumen ---la capacidad del Estado para almacenar y correlacionar ingentes cantidades de información sobre la vida de los ciudadanos---, la era de la Inteligencia Artificial plantea un problema radicalmente distinto: el de la inteligencia predictiva e inferencial. Los sistemas de IA no se limitan a recolectar datos; los procesan, interpretan y contextualizan y, lo más inquietante, los utilizan para anticipar comportamientos, emociones, intenciones y riesgos que el propio individuo desconoce o no ha manifestado (3). Snowden ha advertido en sus declaraciones más recientes que la IA está profundizando el poder sobre la privacidad y la libertad de una manera que hace que la vigilancia de la NSA en 2013 parezca «primitiva» en comparación (5).

Desde una perspectiva jurídica, esta mutación supone un desafío existencial para los marcos normativos diseñados en torno al concepto de «datos personales» como información identificativa o identificable. El RGPD, la USA FREEDOM Act y el propio RIA se basan en una distinción fundamental entre datos y su tratamiento, y entre fines legítimos e ilegítimos. La IA difumina estas distinciones: los datos, especialmente los metadatos y los datos derivados (inferencias), pueden ser tratados con fines que no fueron previstos en el momento de la recolección, y la opacidad algorítmica impide que el ciudadano sepa cómo, por qué y con qué consecuencias se están utilizando (4). La advertencia de Amnistía Internacional de que los sistemas de IA generativa «se basan, por diseño, en la invasión masiva de la privacidad» (13) pone de manifiesto que el problema no es ya un defecto de diseño o una desviación de la norma, sino una característica estructural de la propia tecnología.

3.2. Vigilancia Biométrica y Reconocimiento Facial

La biometría representa la frontera más avanzada de la vigilancia impulsada por IA. Sistemas de reconocimiento facial, análisis de la marcha, detección de emociones y reconocimiento de voz permiten identificar y monitorizar a individuos en espacios públicos y privados sin su conocimiento ni consentimiento, en tiempo real y a escala masiva. La propuesta del gobierno alemán de expandir la vigilancia biométrica con el uso de software de Palantir (16) es un ejemplo de cómo la IA está siendo institucionalizada como herramienta de control social. Palantir, fundada con el apoyo de la CIA, ha desarrollado plataformas de análisis de datos que integran información de múltiples fuentes ---cámaras de seguridad, redes sociales, registros de telefonía, bases de datos policiales--- para generar perfiles de riesgo y alertas automáticas, sin necesidad de orden judicial ni supervisión efectiva (16).

La literatura académica ha documentado extensamente los riesgos de estas tecnologías. El reconocimiento facial ha demostrado ser especialmente propenso a sesgos raciales y de género, con tasas de error significativamente más altas para personas de piel oscura y para mujeres, lo que plantea graves problemas de discriminación algorítmica y vulneración del principio de igualdad (17). Además, la capacidad de los sistemas de IA para inferir emociones o estados mentales a partir de expresiones faciales, aunque científicamente controvertida, está siendo utilizada por las fuerzas policiales y los servicios de inteligencia para evaluar la «peligrosidad» de los individuos, sustituyendo el juicio humano por una predicción algorítmica que, con frecuencia, carece de base empírica sólida (16).

Desde el punto de vista legal, la vigilancia biométrica masiva choca frontalmente con los principios de proporcionalidad y necesidad que rigen la injerencia en los derechos fundamentales. El Tribunal Europeo de Derechos Humanos ha exigido que cualquier medida de este tipo esté prevista en la ley, persiga un objetivo legítimo y sea necesaria en una sociedad democrática. Sin embargo, el despliegue de sistemas biométricos a gran escala en aeropuertos, estaciones de tren, estadios y espacios urbanos raramente supera este test, ya que se apoya en justificaciones vagas y carece de evaluaciones de impacto independientes y transparentes (12). La EDRi ha denunciado que la normalización de la vigilancia biométrica está creando un «estado de vigilancia» permanente, donde la excepción se convierte en regla y la privacidad en un lujo residual (10).

3.3. Policía Predictiva y Perfilado Algorítmico

La policía predictiva es otra de las manifestaciones más preocupantes de la aplicación de la IA a la vigilancia. Sistemas algorítmicos que analizan datos históricos de delincuencia, patrones de movilidad, características socioeconómicas y otros indicadores para predecir dónde y cuándo se producirán futuros delitos están siendo adoptados en ciudades de Estados Unidos, Reino Unido y, en menor medida, Europa (20). El análisis de la legalidad de estos sistemas en el marco de la UE ha revelado que, en la mayoría de los casos, no superan el test de proporcionalidad y vulneran el derecho a la no discriminación, ya que los algoritmos tienden a reproducir y amplificar los sesgos históricos de los sistemas policiales, sobre todo en comunidades racializadas y marginadas (20).

El perfilado algorítmico, entendido como el tratamiento automatizado de datos personales para evaluar ciertos aspectos de la personalidad de una persona, está regulado por el artículo 22 del RGPD, que otorga a los ciudadanos el derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o les afecten significativamente. No obstante, la aplicabilidad de este artículo en el contexto de la vigilancia preventiva es discutible: muchas decisiones basadas en perfiles algorítmicos no son formalmente «decisiones» en el sentido jurídico, sino recomendaciones, alertas o puntuaciones de riesgo que luego son interpretadas por agentes humanos, eludiendo así la prohibición del tratamiento automatizado (6).

La experiencia de sistemas como el PredPol en Los Ángeles o el HART en el Reino Unido muestra que la policía predictiva no solo no reduce la criminalidad de forma significativa, sino que genera un efecto de retroalimentación perverso: las patrullas policiales se concentran en las zonas señaladas por el algoritmo, lo que incrementa el número de detenciones en esas zonas, lo que a su vez refuerza la predicción del algoritmo, creando un círculo vicioso de sobrevigilancia y estigmatización (20). Este fenómeno, conocido como «perfilamiento anticipatorio», representa una violación del principio de presunción de inocencia, ya que las personas son tratadas como sospechosas potenciales no por lo que han hecho, sino por lo que un algoritmo predice que podrían hacer (4).

3.4. IA Generativa y Scraping Masivo de Datos

El auge de la IA generativa (modelos como ChatGPT, Gemini, DeepSeek) ha añadido una nueva dimensión al problema de la privacidad. Estos sistemas se entrenan con cantidades ingentes de datos extraídos de internet mediante técnicas de scraping masivo, que recopilan información personal de millones de personas sin su conocimiento ni consentimiento, incluyendo publicaciones en redes sociales, comentarios en foros, correos electrónicos, fotografías y documentos personales publicados o filtrados (13). Amnistía Internacional ha calificado esta práctica como una «invasión masiva de la privacidad» y ha exigido la prohibición de los sistemas de IA que se basen en el scraping ilegal de datos, argumentando que vulneran el artículo 8 del Convenio Europeo de Derechos Humanos y el artículo 7 de la Carta de los Derechos Fundamentales de la UE (13).

Un estudio reciente de la University College London (UCL) demostró que los asistentes de navegador impulsados por IA generativa están recopilando y compartiendo datos sensibles ---historiales médicos, números de seguridad social, conversaciones privadas--- sin las salvaguardas adecuadas, y a menudo con la complicidad de las empresas tecnológicas que los comercializan (19). La opacidad de estos sistemas es total: el usuario medio no sabe qué datos se recopilan, con qué fines se utilizan, con quién se comparten o durante cuánto tiempo se conservan, lo que convierte el consentimiento, cuando existe, en un acto de fe más que en un ejercicio de autonomía informada (13). Las autoridades de protección de datos han abierto procedimientos sancionadores contra varias empresas de IA que han recurrido al «interés legítimo» como base legal para el scraping, una interpretación que el TJUE ha cuestionado en su jurisprudencia al exigir que dicho interés no prevalezca sobre los derechos fundamentales de los afectados cuando el tratamiento sea masivo e intrusivo (6).

3.5. La Convergencia entre el Poder Gubernamental y las Grandes Tecnológicas

Uno de los desarrollos más alarmantes de la última década es la creciente convergencia entre los aparatos de inteligencia estatales y las grandes empresas tecnológicas que dominan el mercado de la IA. El nombramiento de Paul M. Nakasone, exdirector de la NSA y excomandante del Cyber Command de Estados Unidos, en la junta directiva de OpenAI en junio de 2024, fue calificado por Snowden como una «traición calculada a los derechos de cada persona en la Tierra» (15). La incorporación de un exdirector de la agencia de vigilancia más poderosa del mundo a la empresa que lidera el desarrollo de la IA generativa representa la culminación de un proceso de simbiosis entre el Estado y el sector privado que convierte la tecnología en un instrumento de control global, al servicio no de la humanidad, sino de los intereses geopolíticos de las superpotencias (5).

Las empresas tecnológicas colaboran con los servicios de inteligencia en el desarrollo de sistemas de análisis de datos, reconocimiento facial y vigilancia predictiva, a menudo a través de contratos opacos y con escasa supervisión parlamentaria (12). La Cloud Act de 2018 obliga a las empresas estadounidenses a entregar datos almacenados en servidores extranjeros a las autoridades de su país, en conflicto directo con las disposiciones del RGPD y con los principios de soberanía digital europea (9). El resultado es un ecosistema de vigilancia integrado, donde el sector público y el privado comparten datos, algoritmos y objetivos, y donde los ciudadanos se convierten en objeto de un escrutinio permanente sin que existan contrapesos efectivos (4).

3.6. El Efecto Chilling 2.0: La Autocensura en la Era de la Inferencia Algorítmica

El efecto chilling de la vigilancia, documentado por Snowden en 2013, se ha intensificado y transformado en la era de la IA. Los ciudadanos no solo saben que pueden ser vigilados, sino que son conscientes de que los algoritmos pueden inferir de sus datos aspectos de su vida que ellos mismos no han revelado, y que estas inferencias pueden utilizarse para tomar decisiones sobre su acceso al empleo, al crédito, a la vivienda, a la educación o incluso a la libertad (3). Esta conciencia genera una autocensura más profunda y generalizada, ya que el individuo no sabe qué aspecto de su comportamiento digital puede ser malinterpretado o utilizado en su contra, y por tanto tiende a moderar toda su actividad en línea (4).

Este «chilling effect 2.0» tiene implicaciones devastadoras para la democracia, la innovación y la autonomía personal, pues convierte a cada ciudadano en su propio censor, anticipando los juicios de un algoritmo que no conoce y que no puede recurrir (12). La EDRi ha documentado cómo este fenómeno está afectando especialmente a periodistas, activistas y grupos vulnerables, que no se atreven a investigar, denunciar o asociarse por miedo a ser etiquetados como «sospechosos» o «riesgosos» por los sistemas algorítmicos (10).

3.7. Balance: La Vigilancia como Nueva Normalidad

El análisis de los riesgos específicos de la IA revela un panorama sombrío. La vigilancia biométrica, la policía predictiva, el scraping masivo de datos y la convergencia entre el poder gubernamental y las grandes tecnológicas han creado un ecosistema de control sin parangón en la historia de la humanidad. Los marcos legales existentes ---el RGPD, la USA FREEDOM Act, las sentencias del TJUE--- se han mostrado insuficientes, no porque sean inadecuados en sus principios, sino porque están diseñados para una realidad tecnológica que ya no existe (3). La pregunta que se impone es si los marcos regulatorios actualmente en construcción, en particular el RIA, son capaces de abordar estos desafíos o si están condenados a ser un nuevo capítulo de la misma historia de inercia normativa y captura tecnológica (18).

Capítulo IV: La Respuesta Regulatoria ante el Desafío de la IA (2024-2026)

4.1. La Necesidad de un Nuevo Marco Normativo

El análisis desarrollado en los capítulos anteriores ha demostrado que los marcos legales existentes, tanto en Estados Unidos como en la Unión Europea, fueron concebidos para una realidad tecnológica que ya no existe. El RGPD, la USA FREEDOM Act y la jurisprudencia del TJUE operan bajo una lógica de «datos personales» como información estática e identificable, y de «tratamiento» como proceso lineal y transparente. La IA ha introducido una lógica radicalmente distinta: la de la inferencia automatizada, la opacidad algorítmica y la vigilancia predictiva, que desbordan los conceptos y categorías del derecho de la privacidad heredado del siglo XX (3). Ante esta evidencia, la Unión Europea ha asumido el liderazgo normativo global con la aprobación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, relativo a la inteligencia artificial [en adelante, RIA], publicado en el Diario Oficial de la UE el 12 de julio de 2024, el primer marco legal integral para la IA en el mundo, que entró en vigor en agosto de 2024 y establece un estándar de gobernanza basado en el enfoque de riesgos (18).

La tesis que se sostiene en este capítulo es que, aunque el RIA representa un avance histórico y un modelo a seguir, sus limitaciones ---en particular la exclusión de los sistemas utilizados con fines de seguridad nacional, las ambigüedades en la regulación de la vigilancia biométrica en espacios públicos y las exenciones para sistemas de código abierto--- dejan importantes brechas que la vigilancia masiva y el uso abusivo de la IA pueden explotar, perpetuando la erosión de la privacidad que Snowden denunció hace una década (5).

4.2. El Reglamento de IA: Estructura y Principios

El RIA adopta un enfoque basado en el riesgo, clasificando los sistemas de IA en cuatro categorías: (i) riesgo inaceptable (prohibidos), (ii) alto riesgo (sujetos a requisitos estrictos), (iii) riesgo limitado (sujetos a obligaciones de transparencia) y (iv) riesgo mínimo (sin regulación específica) (18). Desde la perspectiva de la privacidad, las disposiciones más relevantes son las que prohíben determinadas prácticas de vigilancia y establecen requisitos para los sistemas de alto riesgo. El artículo 5 del RIA prohíbe expresamente:

  • Los sistemas de IA que manipulen el comportamiento humano de manera subliminal o engañosa.
  • Los sistemas de IA que exploten las vulnerabilidades de personas por razón de su edad, discapacidad o situación socioeconómica.
  • Los sistemas de IA utilizados para la puntuación social por parte de las autoridades públicas.
  • Los sistemas de identificación biométrica remota en tiempo real en espacios de acceso público para fines de aplicación de la ley, con excepciones muy limitadas (búsqueda de víctimas, prevención de amenazas terroristas inminentes, localización de sospechosos de delitos graves) (18).

Esta última prohibición, aunque aparentemente robusta, contiene excepciones que organizaciones de derechos civiles como EDRi y Amnistía Internacional consideran que constituyen, incluso con autorización judicial, una injerencia desproporcionada en el derecho a la privacidad y generan un efecto chilling sobre la libertad de circulación y de reunión (10). La experiencia alemana con el despliegue de software de Palantir (16) demuestra que las excepciones legales tienden a ser ampliadas por las autoridades policiales, convirtiendo la excepción en regla y la regla en papel mojado.

4.3. Los Sistemas de Alto Riesgo y los Requisitos de Cumplimiento

El RIA establece una categoría amplia de sistemas de «alto riesgo», que incluye los utilizados por las autoridades policiales y judiciales para la detección, investigación y persecución de delitos (18). Para estos sistemas, el Reglamento exige un sistema de gestión de riesgos a lo largo de todo el ciclo de vida, el uso de conjuntos de datos de entrenamiento representativos y libres de sesgos, la elaboración de documentación técnica detallada, la transparencia hacia los usuarios y la supervisión humana efectiva con posibilidad de intervención.

La aplicación práctica de estos requisitos enfrenta serios desafíos. La evaluación de la conformidad de los sistemas de alto riesgo se basa en gran medida en estándares técnicos que aún no han sido desarrollados por los organismos de normalización europeos, lo que crea un vacío regulatorio durante los primeros años de aplicación (18). Además, la supervisión humana efectiva puede ser eludida si los agentes policiales y judiciales carecen de la formación adecuada para comprender los algoritmos y sus sesgos, o si la presión institucional por la eficiencia lleva a una confianza acrítica en las recomendaciones automatizadas (20).

El RIA no modifica el RGPD, sino que se superpone a él, lo que significa que los sistemas de IA de alto riesgo deben cumplir tanto con los requisitos del RIA como con los principios de protección de datos del RGPD. Esta doble regulación puede generar complejidades y conflictos interpretativos, especialmente en lo que respecta a la base legal para el tratamiento de datos personales, la minimización de datos y el derecho de los afectados previsto en el artículo 22 del RGPD a no ser objeto de decisiones basadas únicamente en tratamiento automatizado (6). La ausencia de una armonización expresa entre ambos reglamentos generará inevitablemente inseguridad jurídica y litigios durante los próximos años.

4.4. Las Limitaciones del RIA: Seguridad Nacional y Código Abierto

Dos de las críticas más recurrentes al RIA se refieren a la exclusión de los sistemas utilizados con fines de seguridad nacional y a las exenciones para los sistemas de código abierto. El artículo 2, apartado 3, del RIA establece que no se aplica a los sistemas de IA desarrollados o utilizados exclusivamente con fines militares o de seguridad nacional, reproduciendo la lógica de exclusión del RGPD (6). Esta exclusión crea un vacío regulatorio en el que las agencias de inteligencia y las fuerzas armadas pueden desplegar sistemas de vigilancia masiva basados en IA sin ningún tipo de control externo, evaluación de impacto o supervisión judicial efectiva (12). Las declaraciones de Snowden sobre la convergencia entre la NSA y OpenAI (5) adquieren aquí una relevancia crítica: si los sistemas de IA más avanzados son desarrollados con la colaboración de las agencias de inteligencia y se utilizan para fines de seguridad nacional, quedan fuera del alcance del RIA, perpetuando la falta de transparencia y control (1).

La exención para los sistemas de IA de código abierto, prevista en el artículo 2, apartado 12, del RIA, ha sido igualmente objeto de un intenso debate. El RIA exime de la mayoría de los requisitos a los sistemas de código abierto disponibles al público de forma gratuita y con licencia que permita el acceso, uso, modificación y distribución, salvo que sean sistemas de alto riesgo o prohibidos. Amnistía Internacional ha advertido que esta exención, combinada con la práctica del scraping masivo de datos, puede convertir a la IA de código abierto en un vehículo para la invasión de la privacidad a gran escala, sin que existan mecanismos efectivos de responsabilidad y reparación (13).

4.5. El Enfoque de Estados Unidos: Desregulación y Voluntarismo

Frente al enfoque regulatorio europeo, Estados Unidos ha optado por un modelo basado en la desregulación y la confianza en la autorregulación del sector privado. Aunque la Administración Biden publicó en octubre de 2023 una Orden Ejecutiva sobre el desarrollo y uso seguro de la IA que establece principios de seguridad, privacidad, equidad y protección de los consumidores, su alcance es limitado y su cumplimiento voluntario, sin un marco legislativo federal que imponga obligaciones vinculantes a los desarrolladores y usuarios de IA (7). Bruce Schneier ha señalado que la ausencia de una ley federal de privacidad integral en Estados Unidos, combinada con la cultura de vigilancia estatal y corporativa, deja a los ciudadanos estadounidenses en una posición de vulnerabilidad extrema frente a la IA, mucho mayor que la de sus homólogos europeos (7).

La Cloud Act de 2018 y la Sección 702 de la FISA siguen vigentes y operan en conflicto directo con los estándares europeos de protección de datos (9). El nuevo EU-US Data Privacy Framework ha sido recibido con escepticismo por la sociedad civil europea, que considera que no resuelve el problema de la vigilancia masiva. Max Schrems ha anunciado nuevas impugnaciones, lo que sugiere que el conflicto transatlántico sobre la privacidad está lejos de resolverse (9).

4.6. El Enfoque del Reino Unido: Pragmatismo Post-Brexit

Tras su salida de la Unión Europea, el Reino Unido ha desarrollado un enfoque regulatorio propio en materia de IA, plasmado en el White Paper de 2023 Pro-innovation Approach to AI Regulation, que apuesta por un modelo sectorial y basado en principios, sin crear una nueva legislación horizontal vinculante. Este enfoque, que delega la responsabilidad regulatoria en los organismos de supervisión sectoriales existentes, ha sido criticado por organizaciones de derechos civiles como una estrategia de laissez-faire que prioriza la competitividad económica sobre la protección de los derechos fundamentales. No obstante, el ICO (Information Commissioner's Office) ha publicado orientaciones específicas sobre IA y protección de datos que establecen expectativas claras sobre el uso de sistemas de tratamiento automatizado en el ámbito público y privado. La experiencia del HART en el contexto de la policía predictiva (20) demuestra que, incluso en un entorno de autorregulación, los riesgos de discriminación algorítmica son reales y exigen una supervisión proactiva.

4.7. El Enfoque de China: La IA como Herramienta de Control Estatal

China representa el modelo más extremo desde la perspectiva de los derechos humanos y la privacidad. El gobierno chino ha desarrollado un sistema integral de vigilancia masiva basado en IA, que incluye el reconocimiento facial en espacios públicos, el sistema de crédito social, la vigilancia de las minorías étnicas ---especialmente en Xinjiang--- y el control de las comunicaciones y la actividad en línea a través del «Gran Cortafuegos» y sistemas de censura algorítmica (20). La Ley de Seguridad de Datos y la Ley de Protección de Información Personal chinas, aunque existen en el papel, están subordinadas a los intereses de la seguridad nacional y del Partido Comunista, lo que las convierte en instrumentos de control más que en garantías de derechos (5). El modelo chino demuestra que la IA, en ausencia de controles democráticos y de un compromiso con los derechos fundamentales, puede convertirse en la herramienta de control social más poderosa jamás concebida.

4.8. Balance: Un Marco Inacabado

El análisis comparado de los enfoques regulatorios de la UE, EE.UU., Reino Unido y China revela un panorama profundamente fragmentado. La UE ha asumido el liderazgo normativo con el RIA, pero sus limitaciones ---la exclusión de la seguridad nacional, las exenciones para el código abierto, las ambigüedades en la vigilancia biométrica y la complejidad de la doble regulación con el RGPD--- dejan brechas significativas. EE.UU. ha optado por un enfoque voluntarista que favorece la innovación pero deja a los ciudadanos desprotegidos frente a la vigilancia estatal y corporativa. China ha adoptado un modelo de control que utiliza la IA como instrumento de dominación, convirtiendo la privacidad en un concepto residual. El RIA, a pesar de sus limitaciones, sigue siendo el estándar global más avanzado; su eficacia dependerá de su aplicación rigurosa y de la voluntad política de los Estados miembros para cerrar las brechas normativas (18).

Conclusiones

1. Síntesis de Hallazgos: De la Vigilancia de Volumen a la Vigilancia de Inteligencia

El análisis desarrollado a lo largo de este artículo ha permitido trazar un mapa crítico de la evolución de los riesgos para la privacidad desde las revelaciones de Edward Snowden en 2013 hasta la actualidad. La tesis central ---que la vigilancia masiva de metadatos era un problema de volumen y control democrático, mientras que la vigilancia impulsada por IA es un problema de inteligencia algorítmica y pérdida de autonomía individual--- ha sido confirmada y matizada a lo largo de los cuatro capítulos.

El Capítulo I demostró que las filtraciones de Snowden y el documental Citizenfour (1) marcaron un punto de inflexión histórico, desvelando un aparato de vigilancia global, secreto y carente de controles efectivos. La respuesta institucional, materializada en la USA FREEDOM Act de 2015 (9), resultó insuficiente para abordar la cultura de secreto y la capacidad tecnológica de las agencias de inteligencia. El cifrado masivo se reveló como una defensa imperfecta frente a un Estado que podía acceder a metadatos y reconstruir perfiles de comportamiento sin necesidad de acceder al contenido de las comunicaciones (3).

El Capítulo II examinó la evolución normativa en la Unión Europea, que respondió al desafío de la vigilancia masiva con una combinación de activismo judicial (caso Schrems) y reforma legislativa ambiciosa (RGPD) (6). A pesar de estos avances, la vigilancia masiva ha persistido y se ha profundizado, alimentada por el uso creciente de machine learning e IA por parte de las agencias de inteligencia (12). El conflicto entre el enfoque europeo y el estadounidense ha creado un nudo gordiano que las sucesivas rondas de negociación transatlántica no han logrado desatar (9).

El Capítulo III constituyó el núcleo analítico del artículo, desglosando los riesgos específicos de la IA: la vigilancia biométrica y el reconocimiento facial (16), la policía predictiva y el perfilado algorítmico (20), el scraping masivo de datos por parte de sistemas generativos (13) y la convergencia entre el poder gubernamental y las grandes corporaciones tecnológicas (15). La IA no solo amplifica la capacidad de vigilancia, sino que la transforma en una herramienta de poder predictivo, generando un «chilling effect 2.0» que afecta a la totalidad de la vida digital y a la autonomía personal (4).

El Capítulo IV evaluó la respuesta regulatoria centrándose en el RIA (18). Aunque este reglamento representa un avance histórico, sus limitaciones ---la exclusión de los sistemas utilizados con fines de seguridad nacional, las exenciones para sistemas de código abierto y las ambigüedades en la vigilancia biométrica--- dejan brechas importantes (10). El enfoque desregulado de Estados Unidos (7) y el modelo de control totalitario de China (5) subrayan la urgencia de un marco normativo global que proteja los derechos fundamentales frente al poder algorítmico.

2. Reflexión Final: ¿Puede Sobrevivir la Privacidad a la IA?

La pregunta que subyace a todo el análisis es si la privacidad, tal como la concebimos en el marco de los derechos fundamentales del siglo XX, puede sobrevivir a la Inteligencia Artificial. La respuesta es necesariamente matizada. Por un lado, la IA no es inherentemente incompatible con la privacidad; es una tecnología que puede ser diseñada, desarrollada y utilizada de manera que respete los derechos fundamentales, siempre que existan marcos normativos adecuados, controles democráticos efectivos y una cultura de transparencia y rendición de cuentas (18). El RIA, con todas sus limitaciones, demuestra que es posible regular la IA con un enfoque basado en los derechos humanos y en el principio de proporcionalidad.

Por otro lado, la inercia institucional, el poder de las grandes tecnológicas, los intereses geopolíticos de las superpotencias y la propia complejidad tecnológica hacen extremadamente difícil que los marcos normativos existentes puedan hacer frente al ritmo vertiginoso de la innovación. La experiencia de la última década, desde Snowden hasta la IA generativa, muestra que los legisladores y los tribunales van siempre un paso por detrás de la tecnología, y que las reformas legales, por ambiciosas que sean, tienden a ser sobrepasadas por la capacidad de innovación de los sectores público y privado (3). El resultado es una «carrera de armamentos» normativa en la que la vigilancia se normaliza y la privacidad se convierte en un lujo reservado a quienes tienen los recursos técnicos y legales para protegerse (7).

3. Propuesta de Lege Ferenda: Un Nuevo Paradigma para la Privacidad

Con base en el diagnóstico anterior, cabe formular las siguientes propuestas de reforma:

  • Ampliación del ámbito de aplicación del RIA a los sistemas utilizados con fines de seguridad nacional, o en su defecto, la creación de un marco específico de supervisión judicial y control parlamentario para la IA en el ámbito de la inteligencia y la defensa, que garantice la transparencia, la proporcionalidad y la posibilidad de recurso para los ciudadanos afectados (12).

  • Eliminación o limitación estricta de las exenciones para los sistemas de IA de código abierto, especialmente en lo que respecta a la vigilancia biométrica y el scraping masivo de datos, con establecimiento de mecanismos de responsabilidad y reparación para los casos de uso malicioso o lesivo de estos sistemas (13).

  • Fortalecimiento de los derechos de los ciudadanos frente a las decisiones automatizadas, ampliando el alcance del artículo 22 del RGPD para incluir no solo las decisiones formales, sino también las recomendaciones, alertas y puntuaciones de riesgo generadas por sistemas de IA que afecten significativamente a la vida de las personas, y estableciendo un derecho a la explicación individualizada y al recurso humano efectivo (6).

  • Creación de una autoridad europea independiente de supervisión de la IA, con competencias para auditar sistemas de alto riesgo, evaluar su impacto en los derechos fundamentales y sancionar a los infractores, de forma similar al modelo del Comité Europeo de Protección de Datos, pero con poderes específicos para la IA (18).

  • Adhesión al Convenio Marco sobre Inteligencia Artificial y Derechos Humanos, Democracia y Estado de Derecho del Consejo de Europa (CETS núm. 225, 2024), primer tratado internacional jurídicamente vinculante sobre IA, que establece principios comunes de transparencia, proporcionalidad, no discriminación y supervisión judicial, y que constituye el instrumento idóneo para construir un estándar internacional mínimo de protección de la privacidad en la era de la IA (9).

4. Coda: El Legado de Snowden en la Era de la IA

A modo de epílogo, conviene recordar que el legado de Edward Snowden no se limita a las revelaciones de 2013, sino que se extiende a la conciencia crítica que ha despertado en millones de personas sobre la necesidad de defender la privacidad, la transparencia y el control democrático frente a los poderes fácticos, sean estatales o corporativos (1). Sus advertencias sobre los peligros de la IA (5) y su denuncia de la convergencia entre las agencias de inteligencia y las grandes tecnológicas (15) son un recordatorio de que el desafío de la privacidad no es únicamente técnico o legal, sino ético y político. La privacidad, en su sentido más profundo, no es solo el derecho a ser dejado en paz, sino el derecho a construir una identidad autónoma, a equivocarse sin ser etiquetado, a pensar sin ser vigilado y a vivir sin ser anticipado por un algoritmo.

En última instancia, el futuro de la privacidad depende de la capacidad de la sociedad civil, de los legisladores, de los tribunales y de los ciudadanos para resistir la seducción de la eficiencia algorítmica y para reclamar un espacio de autonomía y dignidad que la tecnología no debe erosionar. Como ha escrito Snowden, «la privacidad no es secreto; es el derecho a que el mundo no te defina sin tu consentimiento». Once años después de Citizenfour, esa frase resuena con más urgencia que nunca.

Referencias Bibliográficas

I. Fuentes documentales primarias y periodísticas

(1) POITRAS, Laura, Citizenfour (documental), Praxis Films / Participant Media, 2014. Disponible también a través de la Courage Foundation.

(2) «Behind the scenes at the start of the Snowden era -- Citizenfour is crucial viewing». The Conversation, 24 de octubre de 2014.

(3) «Citizenfour: why we need truthtellers, and why they need us». Courage Foundation, 17 de noviembre de 2014.

(4) «From Citizenfour to Citizensmany? The world needs more Snowdens». Policy Alternatives (Canadian Centre for Policy Alternatives), 1 de diciembre de 2014.

(5) «Snowden Warns AI Surveillance Threatens Privacy and Freedom». MediaNama, 24 de junio de 2025.

(7) «Nearly 10 Years After Data and Goliath, Bruce Schneier Says: Privacy's Still Screwed». The Register / Schneier on Security, 15 de febrero de 2025.

(10) «Promises unkept: The EU-US Data Privacy Framework under fire». European Digital Rights (EDRi), 20 de noviembre de 2024.

(12) «Snowden revelations: ten years on». European Digital Rights (EDRi), 14 de junio de 2023.

(13) AMNISTÍA INTERNACIONAL, «Los enormes flujos de datos que alimentan los principales sistemas de inteligencia artificial generativa se basan, por diseño, en la invasión masiva de la privacidad», nota de prensa, 28 de mayo de 2026.

(15) «Edward Snowden Says OpenAI Just Performed a 'Calculated Betrayal of the Rights of Every Person on Earth'». Futurism, 17 de junio de 2024.

(16) «Germany's massive biometric surveillance to strengthen security or undermine freedoms?». Anadolu Agency, 28 de octubre de 2025.

(19) «AI web browser assistants raise serious privacy concerns». EurekAlert! / University College London (UCL), 13 de agosto de 2025.

II. Normativa

(6) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [RGPD], DO L 119, 4.5.2016. --- Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial [RIA], DO L, 12.7.2024. --- USA FREEDOM Act de 2015 (Pub. L. 114-23, 129 Stat. 268, 2 de junio de 2015). --- Constitutionalizing Mass Surveillance in the EU: Civil Society Demands, Judicial Activism, and Legislative Inertia (fuente académica complementaria).

(9) IAPP, «The USA FREEDOM Act, the President's Review Group and the Biggest Intelligence Reform in 40 Years», 13 de noviembre de 2023. --- Idem, «US Surveillance Law, Safe Harbour and Reforms Since 2013», Cambridge University Press, 29 de septiembre de 2018. --- Idem, «Schrems v Data Protection Commissioner Just Got a Lot More Interesting», 13 de noviembre de 2023.

(11) IAPP, «US Surveillance Law, Safe Harbour and Reforms Since 2013», Cambridge University Press, 29 de septiembre de 2018.

III. Jurisprudencia

(14) STJUE de 6 de octubre de 2015, Maximillian Schrems c. Data Protection Commissioner, C-362/14, EU:C:2015:650 (Schrems I). --- STJUE de 16 de julio de 2020, Data Protection Commissioner c. Facebook Ireland Limited y Maximillian Schrems, C-311/18, EU:C:2020:559 (Schrems II). [Referencia académica: «Schrems v Data Protection Commissioner Just Got a Lot More Interesting». IAPP, 13 de noviembre de 2023.]

IV. Doctrina y literatura académica

(8) IAPP, «The Snowden disclosures, 10 years on». International Association of Privacy Professionals, 2023.

(17) Facial Recognition Surveillance: Policing and Human Rights in the Age of Artificial Intelligence. Oxford Academic (OUP), 19 de junio de 2025.

(18) «The EU AI Act Explained: A Practical Overview». DQS Global, 2024.

(20) «Mass data surveillance and predictive policing: contested foundations and human rights impact». Duke University Library Collections (publicación académica con arbitraje). Listo

Artículos relacionados

La Frontera Cognitiva del Consumo: Desafío para los Neuroderechos (2021-2026)

analisis juridico

Análisis doctrinal sobre regulación de neurodatos en el consumo: autonomía, neuroexcepcionalismo y arquitectura regulatoria global 2021-2026.

Liderazgo y realidad: claves críticas del Proyecto de Ley español de inteligencia artificial (2026)

analisis juridico

Análisis crítico del Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA en España: AESIA, régimen sancionador, sandboxes y deficiencias técnicas.

AEPD: 20.000 € por tratar datos sexuales sin verificar edad

AEPD

La AEPD sanciona con 20.000 € a una web de contactos sin verificación de edad por tratar datos sobre vida sexual y omitir información al usuario.

Shadow AI legal: cuando el bot graba lo que no debes revelar

firma scarpa

El 92% de los juristas ya usa IA. Solo el 34% tiene políticas para controlarla. Análisis completo sobre Shadow AI, transcripción automática y el colapso del secreto profesional bajo el AI Act y el RGPD.