IA Generativa en la Tesis Doctoral: la Guía de la URJC

El 29 de mayo de 2026, el Consejo de Gobierno de la Universidad Rey Juan Carlos aprobó por unanimidad, en el punto 18 del orden del día de su sesión ordinaria, la Guía de Buenas Prácticas en el Uso de la Inteligencia Artificial Generativa en la Investigación Doctoral, elaborada por la Escuela Internacional de Doctorado (EID). El dato no es menor: se trata de un texto institucional con valor normativo interno, no de una recomendación difusa, y su génesis —una comisión constituida el 4 de febrero de 2026 a iniciativa de la Comisión Permanente de la EID— revela algo que merece atención doctrinal: la universidad española está empezando a transponer, a escala de reglamento interno, los principios de la Guía 2025 de la Comisión Europea sobre uso responsable de la IA generativa en investigación y la Guía Viva para Investigadores desarrollada conjuntamente por la Comisión y el European Research Area Forum.

Lo interesante del documento no es que prohíba o permita el uso de herramientas como Claude, ChatGPT o Gemini en la elaboración de una tesis —eso ya lo intuía cualquier doctorando con sentido común—, sino cómo construye la arquitectura de control: ocho principios éticos que se despliegan en un catálogo de buenas prácticas diferenciado por fase de la tesis y por rol institucional, un mapa de la normativa española, europea e internacional que puede verse comprometida por un uso indebido, y —el elemento más original del texto— un modelo de niveles de riesgo para el tratamiento de datos sensibles introducido a iniciativa del responsable de seguridad de la información de la URJC. El texto completo puede consultarse en el repositorio institucional de la Escuela Internacional de Doctorado de la URJC.

La arquitectura de principios: de la fiabilidad a la sostenibilidad

La Guía distingue entre principios éticos básicos —fiabilidad, honestidad, respeto y responsabilidad— y ocho principios específicos que operacionalizan los anteriores: integridad científica y autoría, transparencia y trazabilidad, responsabilidad y rendición de cuentas, autonomía académica y control humano significativo, protección de datos y confidencialidad, justicia y no discriminación, verificabilidad y rigor metodológico, y prudencia técnica con actualización continua.

La construcción no es original en su núcleo —reproduce, con matices, el armazón conceptual de las Directrices del Grupo de Expertos de Alto Nivel de la Comisión Europea (2019) y de la Recomendación de la UNESCO sobre la ética de la IA (2021)— pero sí lo es en un punto: la vinculación explícita del uso de IA generativa con la Agenda 2030 y los Objetivos de Desarrollo Sostenible, en particular el ODS 9 (innovación responsable), el ODS 12 (producción y consumo responsables) y el ODS 13 (acción climática). La Guía exige que el recurso a estas herramientas se justifique por su necesidad y proporcionalidad respecto al objetivo científico perseguido, evitando usos reiterativos o meramente sustitutivos del razonamiento humano, con atención expresa al consumo de recursos computacionales y energéticos.

Este encaje entre ética de la IA y sostenibilidad ambiental no es habitual en las guías universitarias de IA que han ido apareciendo en el panorama español desde 2024, más centradas en plagio, autoría e integridad académica. Su inclusión convierte el principio de prudencia técnica en algo más que una cláusula de revisión periódica: introduce un criterio de proporcionalidad ambiental que, llevado a sus últimas consecuencias, podría exigir al doctorando justificar —documentalmente, si se sigue la lógica de la trazabilidad— por qué empleó un modelo de gran escala para una tarea que un sistema más ligero podría haber resuelto. Es una exigencia razonable en el plano normativo, pero de difícil verificación práctica: la Guía no aporta un estándar mínimo de proporcionalidad computacional, de modo que su aplicación dependerá, en la práctica, de la sensibilidad de cada comisión académica.

El verdadero centro de gravedad del documento, sin embargo, es el principio de autonomía académica y control humano significativo, que actúa como cláusula general aplicable a todas las fases del proceso investigador: la IA puede asistir en tareas técnicas o mecánicas, pero nunca sustituir la actividad intelectual sustantiva que define la formación doctoral. Este principio funciona, en la estructura del documento, de forma análoga a como opera la supervisión humana significativa en el artículo 14 del Reglamento (UE) 2024/1689 —el AI Act— para los sistemas de alto riesgo: no como una prohibición de uso, sino como una condición de validez del proceso en el que la herramienta interviene.

Buenas prácticas por fase: una lógica de "apoyo nunca sustitución"

La Guía despliega un catálogo de buenas prácticas para el doctorando organizado en ocho fases —estructura y planificación, búsqueda de ideas, redacción y estilo, marco técnico, metodología, análisis de datos, conclusiones y revisión del manuscrito— con diez recomendaciones por fase. Repetir aquí las ochenta resultaría poco útil; lo relevante es identificar el patrón subyacente, porque ese patrón es el que un evaluador, un director de tesis o el propio doctorando deberán aplicar ante supuestos no previstos expresamente.

El patrón es una gradación de admisibilidad que se estrecha a medida que la tarea se acerca al núcleo de la autoría intelectual. En el extremo más permisivo se sitúan las tareas instrumentales sin incidencia directa en el contenido científico: corrección ortográfica y gramatical, traducción de fragmentos propios, generación de mapas conceptuales preliminares, visualización de datos ya analizados por el investigador o estructuración inicial de un dataset. En el extremo opuesto, categóricamente vetado, se encuentra cualquier intervención de la IA en la redacción de las conclusiones —la Guía es taxativa al respecto: ni total ni parcialmente—, en la definición del objeto de estudio, en la selección de la metodología o en la interpretación de los resultados.

Entre ambos polos existe una zona intermedia que la Guía regula mediante el criterio de "trazabilidad reforzada": tareas en las que la IA puede intervenir (síntesis bibliográfica preliminar, generación de código para análisis de datos, propuestas de estructura del marco técnico) siempre que el resultado sea sometido a verificación humana sistemática y su uso quede documentado en el apartado metodológico de la tesis. Aquí reside la aportación más operativa del documento: convierte la declaración de uso de IA, históricamente entendida como un ejercicio de transparencia genérica, en un instrumento de imputación de responsabilidad. Si el doctorando declara haber usado IA para generar código de análisis estadístico y ese código contiene un error metodológico que vicia los resultados, la declaración no le exime de responsabilidad —el principio de responsabilidad y rendición de cuentas es expreso en este punto, dado que los sistemas de IA carecen de personalidad jurídica—, pero sí permite reconstruir la cadena causal del error, lo cual tiene consecuencias prácticas en sede de defensa de tesis y, eventualmente, en procedimientos de revisión por sospecha de fraude académico.

Conviene detenerse en un matiz que la Guía introduce sin destacarlo suficientemente: la distinción entre uso de IA en la generación de código y uso de IA en su ejecución o automatización agéntica. La tabla dedicada a la generación y modificación de código distingue cuatro niveles de intervención —ayuda puntual a programación, generación de scripts de investigación, refactorización o traducción de código y ejecución agéntica automatizada— con exigencias de cautela crecientes. Cuando el código generado o modificado por IA incide en la obtención, limpieza, análisis o visualización de los datos de la tesis, dejará de considerarse un mero apoyo técnico para integrarse como componente metodológico, sometido a las mismas exigencias de comprensión, validación y documentación que cualquier otra decisión metodológica. Es una precisión jurídicamente relevante porque traslada al ámbito doctoral una lógica que el AI Act aplica a los sistemas de IA en general: la intensidad regulatoria no depende del nombre de la herramienta, sino de la función que cumple en el proceso y del riesgo que esa función comporta.

Los roles institucionales: una cadena de supervisión distribuida

Uno de los aciertos estructurales del documento es no limitar las obligaciones al doctorando. La Guía construye una cadena de supervisión distribuida entre cuatro actores adicionales —directores y tutores, comisiones académicas, evaluadores externos y miembros del tribunal de tesis— bajo la premisa de que limitar las recomendaciones a quien redacta la tesis generaría asimetrías y dejaría sin cobertura buena parte del ciclo de control de calidad doctoral.

A los directores y tutores corresponde la supervisión continuada: deben recordar al doctorando que la IA no puede ser autora ni coautora, exigir declaración explícita del uso de IA en la memoria, vigilar que la metodología haya sido diseñada por el propio investigador y no por sugerencia algorítmica acrítica, y reforzar la verificación de referencias para detectar alucinaciones bibliográficas. La Guía les exige además pedir evidencia del proceso intelectual humano —borradores intermedios, esquemas, reescrituras— como forma de acreditar la evolución real del trabajo, una recomendación que en la práctica desplaza parte de la carga probatoria de la autenticidad hacia el propio proceso documental de la investigación, no solo hacia el producto final.

A las comisiones académicas corresponde un papel de garante institucional: revisar la declaración de uso de IA al autorizar el depósito de la tesis, comprobar que no existe plagio ni generación indebida de contenido sustantivo, y promover la actualización normativa interna. La Guía es explícita en que las comisiones no deben entrar a evaluar el contenido científico generado con apoyo de IA —esa es función de evaluadores y tribunal— sino el cumplimiento ético, la transparencia y la integridad formal del proceso.

A evaluadores externos y miembros del tribunal corresponde la función más delicada desde el punto de vista probatorio: detectar signos de uso indebido de IA en la redacción —estilo excesivamente uniforme y despersonalizado, transiciones poco naturales, cambios abruptos de registro entre capítulos— y valorar, en la defensa oral, si el doctorando domina realmente las decisiones metodológicas que dice haber tomado. La Guía no proporciona un protocolo técnico de detección —ni lo podría hacer con solidez, dada la fiabilidad limitada de los detectores automáticos de texto generado por IA—, de modo que la verificación recae, en última instancia, en el juicio experto del tribunal y en la coherencia entre lo escrito y lo defendido oralmente. Esta es, probablemente, la mayor limitación práctica del sistema de control que diseña la Guía: convierte la defensa oral en el filtro de última instancia frente al fraude por sustitución de autoría, en un contexto en el que la detección estilométrica de texto generado por IA no constituye, a día de hoy, un estándar pericial consolidado ni en España ni en el derecho comparado.

El modelo de niveles de riesgo: la aportación más original del texto

Si hay un elemento de la Guía que merece ser señalado como genuinamente novedoso, es el modelo orientativo de niveles de riesgo para el tratamiento de información mediante IA, incorporado —según indica el propio documento en nota a pie— a iniciativa del responsable de Seguridad de la Información de la URJC. Se trata de una clasificación tripartita.

El Nivel 1 comprende los supuestos en los que el uso de IA generativa resulta desaconsejado o directamente incompatible, incluso recurriendo a herramientas con licencia corporativa: tratamiento de datos personales de terceros sin las garantías legales correspondientes —lo que remite, implícitamente, a la necesidad de contrato de encargado del tratamiento y, en su caso, evaluación de impacto bajo el artículo 35 del RGPD—, información sujeta a acuerdos de confidencialidad con empresas u otras instituciones, y datos sensibles o clasificados en proyectos con restricciones específicas.

El Nivel 2 recomienda priorizar herramientas con licencia institucional cuando se trate de datos generados en proyectos oficiales de la universidad, acceso a repositorios institucionales, datos personales anonimizados procedentes de estudios universitarios o información derivada de convenios institucionales.

El Nivel 3 admite el uso de herramientas de IA no corporativas, siempre con declaración transparente, para búsqueda y síntesis de literatura científica de acceso público, mejora de redacción sobre textos de autoría propia, generación de código sobre datos propios o públicos no sensibles, traducción de fragmentos propios y apoyo a la ideación.

La analogía con el sistema de clasificación de riesgo del AI Act es evidente —prohibido, alto riesgo con licencia controlada, riesgo limitado con obligación de transparencia— pero el criterio de clasificación es distinto: el AI Act gradúa el riesgo en función de la naturaleza del sistema de IA y su finalidad de uso, mientras que la Guía gradúa el riesgo en función de la naturaleza del dato introducido en el sistema, con independencia de qué sistema se trate. Es un enfoque más cercano a la lógica del RGPD —centrado en la sensibilidad de la información tratada— que a la lógica del AI Act, y resulta coherente con el hecho de que, para una universidad pública, el riesgo más inmediato y mejor controlable no es el desarrollo o despliegue de sistemas de IA de alto riesgo, sino la introducción de información confidencial, patentable o personal en plataformas de terceros sobre cuya gobernanza de datos la institución no tiene control directo.

Esta es, además, la puerta de entrada a uno de los puntos de mayor interés doctrinal de todo el documento: la intersección entre el uso de IA generativa y la normativa de patentes y secretos empresariales, un terreno que las guías universitarias de IA publicadas hasta ahora en España apenas habían explorado con el detalle que aquí se le dedica.

El entramado normativo en riesgo: más allá del fraude académico

La Guía dedica un apartado completo a sistematizar las normas —internas, nacionales, europeas e internacionales— que pueden verse comprometidas por un uso incorrecto de la IA en la elaboración de una tesis. El ejercicio tiene mérito porque trasciende el lugar común de la integridad académica para adentrarse en consecuencias jurídicas de calado distinto.

En el plano interno, la Normativa de Evaluación en los Estudios de Doctorado y la Normativa reguladora de los estudios de doctorado de la URJC quedan comprometidas cuando se presenta como propio contenido generado por IA —lo que la Guía califica de falsificación o suplantación intelectual— o cuando las alucinaciones del sistema introducen referencias inexistentes que incumplen los estándares de evidencia exigidos en la evaluación. La Normativa de Convivencia Universitaria, que desarrolla la Ley 3/2022 de Convivencia Universitaria, habilita la respuesta sancionadora ante fraude, suplantación o plagio derivados de un uso encubierto de estas herramientas.

En el plano nacional, el Real Decreto 99/2011 y su modificación por el Real Decreto 576/2023 —que regulan las enseñanzas oficiales de doctorado— exigen originalidad, supervisión y verificabilidad del trabajo, exigencias que un uso indebido de IA puede vulnerar directamente. Pero el ejercicio más interesante de la Guía es el que conecta el uso de IA con normativa que, a primera vista, nada tiene que ver con la integridad académica: la Ley 1/2019 de Secretos Empresariales y la Ley 24/2015 de Patentes.

El razonamiento es el siguiente. Cuando un doctorando introduce en un sistema de IA generativa —especialmente en modelos sin garantías contractuales de confidencialidad sobre los datos de entrada— información técnica suministrada por una empresa en el marco de un proyecto de cotutela industrial, una fórmula, un algoritmo o un know-how protegido, puede estar comunicando ese secreto a un tercero sin consentimiento, lo que constituiría una "obtención, utilización o revelación ilícita" en los términos de la Ley de Secretos Empresariales. Y si esa información se refiere a una invención todavía no protegida mediante patente, la introducción en un sistema de IA puede operar como una divulgación pública no controlada que destruye el requisito de novedad exigido por la Ley de Patentes y por el Convenio de la Patente Europea para acceder a la protección registral. La cuestión no es hipotética: buena parte de las plataformas de IA generativa de uso masivo no garantizan, salvo contratación empresarial específica, que los datos introducidos no sean empleados para entrenamiento o retenidos de forma indefinida, de modo que la frontera entre "consulta privada" y "divulgación pública" a efectos de novedad patentable es, en la práctica, mucho más delgada de lo que intuye un investigador que no provenga del ámbito de la propiedad industrial.

Esta conexión entre integridad doctoral y derecho de patentes constituye, en mi valoración, el hallazgo doctrinal más relevante del documento, porque traslada el debate sobre IA y tesis doctoral del terreno —ya bastante explorado— del fraude de autoría al terreno —mucho menos explorado en el contexto universitario español— de la pérdida irreversible de derechos de propiedad industrial por un uso descuidado de herramientas conversacionales. Un doctorando en ingeniería que, buscando ayuda para depurar un algoritmo patentable desarrollado en colaboración con una empresa, lo pegue en un chatbot de acceso abierto sin verificar las condiciones de tratamiento de datos del proveedor, puede estar destruyendo —sin saberlo, y sin que exista dolo alguno— la posibilidad de patentar esa invención. Ninguna declaración de uso de IA en la memoria de la tesis repara ese daño, porque la novedad, una vez destruida, no se recupera.

En el plano europeo, la Guía sitúa el AI Act, el RGPD, el Reglamento (CE) 6/2002 sobre dibujos y modelos comunitarios y el Convenio de la Patente Europea. Sobre el AI Act, la Guía hace una precisión correcta y poco comentada en el debate público: el Reglamento no contiene disposiciones específicas para Administraciones Públicas como una universidad, pero en la medida en que la institución actúe como responsable del despliegue de sistemas de IA —por ejemplo, al adoptar herramientas con licencia institucional para uso de su comunidad investigadora— quedará sometida a las obligaciones que el artículo 26 RIA impone a los responsables del despliegue, incluida la transparencia frente a las personas que interactúan con el sistema. La excepción de uso puramente personal y no profesional del artículo 2.10 RIA no protege, en consecuencia, ni a la universidad como institución ni, probablemente, al doctorando cuando actúa en el marco de su actividad investigadora reglada.

En el plano internacional, la Guía recurre al soft law de mayor autoridad académica: el Código Europeo de Conducta para la Integridad en la Investigación de ALLEA (2023), las directrices del Committee on Publication Ethics, la Recomendación de la UNESCO de 2021 y el Acuerdo ADPIC/TRIPS de la OMC en relación con la protección internacional de los secretos empresariales. Es un catálogo bien seleccionado, que sitúa correctamente la Guía dentro de la corriente internacional dominante en ética de la investigación e IA, sin pretensión de innovar en ese plano —cosa que tampoco le correspondía.

Las tablas-herramienta: utilidad operativa y fecha de caducidad

La segunda mitad del documento abandona el registro principial para adoptar un formato de tablas de clasificación funcional: categorías de sistemas de IA en el entorno académico, plataformas científicas con IA integrada (Scopus AI, Web of Science Research Assistant, Elicit, Scite, entre otras), tipos de servicio académico-comercial, herramientas comerciales occidentales y asiáticas, usos en generación de código, en producción de imagen, sonido y traducción, en ciencias de la salud, ámbitos especialmente sensibles del doctorado y automatización agéntica de tareas.

El valor de estas tablas es eminentemente operativo: ofrecen a un doctorando sin formación técnica previa un mapa rápido de qué tipo de herramienta está usando y qué nivel de cautela le corresponde. La inclusión de un listado de sistemas chinos, surcoreanos, indios y japoneses —DeepSeek, Qwen, ERNIE, HyperCLOVA X, Sarvam, Sakana AI— junto a los proveedores occidentales habituales es un acierto de actualidad que pocas guías universitarias incorporan todavía, y conecta con un problema real: la procedencia geográfica del sistema condiciona la gobernanza del dato, la soberanía tecnológica y el marco regulatorio aplicable a la transferencia internacional de información, cuestión que el RGPD trata con particular rigor en sus artículos 44 a 49 y que la Guía, sin embargo, no desarrolla con el mismo nivel de detalle que dedica a la propiedad industrial.

La propia Guía es consciente de la fragilidad temporal de este aparato clasificatorio: el principio de prudencia técnica exige actualización periódica precisamente porque, como advierte el documento, el ecosistema de IA evoluciona con una velocidad que vuelve obsoletas las clasificaciones técnicas cerradas. Es una autoadvertencia honesta, pero también una limitación estructural inevitable: cualquier tabla de herramientas comerciales fechada en 2026 tendrá un valor decreciente a partir del momento de su publicación, y la Guía no establece un mecanismo concreto —periodicidad, órgano responsable, procedimiento simplificado— para su revisión, más allá del compromiso genérico de "actualización periódica" enunciado en el preámbulo.

Valoración crítica: lo que la Guía no resuelve

Una lectura doctrinal exige también señalar lo que el documento deja sin resolver, porque ahí reside buena parte de su interés para la práctica jurídica universitaria en los próximos años.

En primer lugar, el modelo de control descansa casi por completo en la declaración voluntaria del doctorando, recogida en el Anexo I mediante un formulario de marcado de casillas. La arquitectura de transparencia es coherente con los principios de honestidad y trazabilidad que la propia Guía proclama, pero no incorpora ningún mecanismo de verificación independiente más allá del juicio experto de directores, evaluadores y tribunal en la lectura del texto y en la defensa oral. Esto convierte la eficacia real del sistema en una cuestión de cultura institucional y de pericia humana, no de garantía procedimental objetiva, lo que contrasta con la exigencia de "verificabilidad y rigor metodológico" que el propio documento erige como principio específico.

En segundo lugar, la Guía no aclara la relación entre sus propias categorías de riesgo y las competencias de la futura Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) en su despliegue como autoridad de vigilancia del mercado del AI Act en España, ni anticipa cómo se articulará un eventual conflicto entre las recomendaciones internas de la URJC y guías sectoriales que AESIA pudiera emitir en el futuro para el ámbito universitario. Dado que el propio texto admite la naturaleza cambiante del marco regulatorio, esta omisión es comprensible, pero deja una zona de incertidumbre sobre la jerarquía normativa aplicable en caso de divergencia.

En tercer lugar, y es quizá la observación más relevante desde la perspectiva de la seguridad jurídica del doctorando, la Guía no establece un régimen sancionador propio y diferenciado para los incumplimientos relacionados específicamente con IA, remitiéndose en su lugar al régimen disciplinario general de fraude, plagio y suplantación de la Ley de Convivencia Universitaria. Esto significa que, ante un mismo hecho —por ejemplo, la inclusión no declarada de un párrafo de conclusiones redactado por un asistente conversacional—, la consecuencia jurídica dependerá de la calificación que la comisión académica o el tribunal hagan del hecho como "fraude académico" en sentido genérico, sin un baremo específico que distinga, por ejemplo, entre omisión de declaración por desconocimiento de la norma y ocultación deliberada con intención de engaño. Esa graduación, que sí aparece en otros marcos de integridad científica como las directrices JAMA o GAMER para publicaciones biomédicas, sería un desarrollo natural de una segunda versión de la Guía.

Conclusión: una guía de transición, no un punto de llegada

La Guía de Buenas Prácticas de la URJC es, en mi valoración, un ejercicio de gobernanza institucional sólido y, en algunos puntos —particularmente en la conexión entre uso de IA generativa y pérdida de novedad patentable—, genuinamente original dentro del panorama universitario español. Su mayor virtud no es la exhaustividad del catálogo de buenas prácticas, que en última instancia reproduce un patrón de gradación de admisibilidad ya familiar en la literatura sobre IA y ética de la investigación, sino la construcción de una cadena de responsabilidad distribuida entre doctorando, dirección, comisión académica, evaluadores y tribunal, y la introducción de un modelo de niveles de riesgo centrado en la naturaleza del dato tratado, más que en la herramienta empleada.

Su mayor fragilidad es estructural y, hasta cierto punto, inevitable en cualquier instrumento de esta naturaleza: descansa en la declaración voluntaria, carece de un régimen sancionador diferenciado y opera sobre un ecosistema tecnológico cuya velocidad de cambio desborda la capacidad de actualización de cualquier documento aprobado por Consejo de Gobierno. La propia Guía lo admite al erigir la prudencia técnica como principio autónomo. Para quien dirige una tesis, la evalúa o la defiende, el documento ofrece ya un marco de referencia operativo y defendible. Para el legislador universitario, deja planteada la tarea pendiente de dotarlo de mecanismos de verificación y de un régimen disciplinario propio que acompañen, con la misma precisión con que se ha tratado la cuestión de las patentes, al resto del catálogo de buenas prácticas.