Contacto

Reglamento de IA de la UE y GDPR: qué debe saber un corredor de seguros antes de usar chatbots y asistentes internos

by Enrique Sobrino, Consultor IA para corredurías

Reglamento de IA de la UE y GDPR: qué debe saber un corredor de seguros antes de usar chatbots y asistentes internos

El Reglamento de IA de la Unión Europea (AI Act) y el RGPD son las dos referencias normativas que cualquier correduría debería tener identificadas antes de poner en marcha un proyecto de IA. La cuestión no es académica: la mayoría de casos de uso interesantes en una correduría —chatbots, asistentes internos, clasificación de leads, soporte a siniestros— tocan datos personales y, en algunos casos, entran en categorías reguladas por el AI Act.

Este artículo no pretende ser un análisis legal exhaustivo. Pretende algo más útil: dar a un director o responsable de correduría la lista de cosas mínimas que tiene que saber para no meter la pata, identificar dónde necesita apoyo profesional cualificado y poder hablar con su asesoría jurídica con conocimiento de causa.

Por qué este tema importa antes que la tecnología

Es habitual que en una correduría se decida primero la herramienta y, después, alguien pregunte si es legal usarla. El orden correcto es el inverso. Y no por un escrúpulo formal: en seguros, el cumplimiento normativo forma parte del producto. Una correduría no puede permitirse un susto de protección de datos o un caso público de uso indebido de IA.

Hay tres motivos prácticos para tomarse el tema en serio antes del primer despliegue:

  • Riesgo reputacional. Un episodio mal gestionado con datos personales puede comerse años de reputación construida.
  • Riesgo regulatorio. El RGPD lleva años con sanciones efectivas. El AI Act ha empezado a aplicarse de forma escalonada.
  • Riesgo contractual con compañías. Muchos contratos de mediación incluyen cláusulas sobre tratamiento de datos y deber de secreto que no se pueden ignorar al introducir herramientas externas.

El AI Act, en términos prácticos para corredurías

El AI Act clasifica los sistemas de IA por niveles de riesgo. Para una correduría, lo relevante se concentra en dos capas.

Sistemas de "riesgo limitado": chatbots y asistentes

La mayoría de chatbots y asistentes virtuales que una correduría puede desplegar caen en esta categoría. Las obligaciones principales son de transparencia:

  • El usuario debe saber con claridad que está interactuando con una IA, no con una persona.
  • Los contenidos generados (texto, imagen) deben poder identificarse como tales cuando proceda.

En la práctica, esto significa que un asistente en la web tiene que dejar claro que es un sistema automatizado, ofrecer escalado a humano y no presentarse como un comercial real.

Sistemas de "alto riesgo": atención cuando aparecen

El AI Act marca como alto riesgo determinados usos en seguros, especialmente los relacionados con evaluación de riesgo y fijación de precio en seguros de vida y salud cuando se aplican a personas físicas. Esto afecta sobre todo a aseguradoras, pero un corredor que ofrezca a sus clientes herramientas de tarificación con IA propia debería revisar este punto con su asesor.

Las obligaciones para sistemas de alto riesgo incluyen documentación técnica, gestión del riesgo, supervisión humana, gobernanza de datos, registros y evaluación de conformidad. Es una capa exigente que rara vez se monta en una correduría sin acompañamiento experto.

Lo que probablemente no aplica a una correduría típica

  • Los modelos de propósito general que la correduría usa como cliente (ChatGPT, Claude, Gemini) no convierten a la correduría en proveedor de un sistema de alto riesgo por el simple hecho de usarlos.
  • Resumir un condicionado, redactar un correo o clasificar un email no es por sí mismo un sistema de alto riesgo.

Pero hay matices: si esa clasificación de email decide automáticamente algo que afecta al cliente (rechazo de cobertura, denegación de servicio, decisión de precio), el análisis cambia.

El RGPD, donde se concentra la mayoría de los riesgos

Para una correduría que arranca con IA, el RGPD es probablemente más urgente que el AI Act. Los puntos críticos:

Base legal del tratamiento

Cualquier dato personal que se procese con IA tiene que tener una base legal clara: ejecución de contrato, consentimiento, interés legítimo, obligación legal. En el caso de una correduría, la mayoría de tratamientos están cubiertos por la ejecución del contrato de mediación, pero el uso de IA puede introducir nuevas finalidades que requieren justificación específica.

Información al cliente

El cliente tiene derecho a saber qué se hace con sus datos. Si una correduría introduce IA en flujos que tocan datos personales (clasificación de correos, asistentes de cualificación, generación de comunicaciones personalizadas), la política de privacidad de la web y la información contractual al cliente deberían reflejarlo.

Transferencias internacionales

Muchos modelos comerciales (OpenAI, Anthropic, Google) procesan datos en infraestructura situada total o parcialmente fuera del Espacio Económico Europeo. Eso no es ilegal, pero requiere garantías específicas: cláusulas contractuales tipo, evaluaciones de impacto cuando proceda, y asegurarse de que el proveedor cumple con sus obligaciones de transferencia internacional. En 2026 hay opciones de despliegue en regiones europeas para los principales proveedores; suele ser la vía más limpia.

Datos de categoría especial

Salud, datos biométricos, antecedentes penales y otros datos sensibles tienen un régimen reforzado. Los seguros de salud, vida y accidentes tocan estos datos con frecuencia. Aquí la prudencia es máxima: no usar herramientas no aprobadas, no enviar estos datos a servicios gratuitos y, en caso de duda, evaluar impacto previa al despliegue.

Decisiones automatizadas

El RGPD reconoce el derecho del afectado a no ser sometido a decisiones automatizadas con efectos significativos. Si un flujo de IA decide automáticamente algo relevante sobre un cliente (precio, denegación, cobertura), hace falta intervención humana significativa, información clara al afectado y posibilidad de impugnación.

El deber de secreto y los contratos con compañías

A los dos textos anteriores hay que sumar una capa que a menudo se olvida: las obligaciones contractuales con las compañías aseguradoras. Muchos acuerdos de mediación incluyen cláusulas estrictas sobre tratamiento de datos, secreto profesional y uso de información del cliente.

Antes de meter datos de pólizas o clientes en herramientas de IA externas, conviene:

  • Revisar contratos vigentes con las principales compañías para identificar cláusulas relevantes.
  • Comprobar si hay restricciones expresas sobre uso de servicios cloud o IA generativa para procesar información del cliente.
  • Documentar la decisión y, en caso de duda, consultar con el departamento de cumplimiento de la compañía.

Esto evita situaciones desagradables a posteriori, sobre todo con compañías que están cada vez más atentas a este tema.

Mini-casos: cómo se traduce en decisiones reales

Correduría que quería poner un chatbot público. Antes de lanzarlo se hicieron tres ajustes: aviso visible de que era un sistema automatizado, política de privacidad actualizada con la nueva finalidad, y configuración del proveedor para procesar en región europea con cláusulas firmadas. Coste total: una mañana de su asesoría legal y una pequeña tarifa adicional al proveedor. Riesgo evitado: difícil de cuantificar, pero no menor.

Correduría con asistente interno alimentado con condicionados. El asistente solo veía documentación de productos y manuales internos, no datos personales de clientes. Eso simplificó muchísimo el cumplimiento. Aprendizaje: cuando se puede separar la información sensible del flujo de IA, el problema regulatorio se simplifica drásticamente.

Correduría que automatizó comunicaciones con clientes. Las plantillas se generaban con IA, pero se rellenaban con datos del gestor de pólizas. La capa de IA nunca tuvo acceso directo al CRM completo; solo a los campos necesarios para la plantilla. El equipo legal validó el flujo en una sesión corta y se pudo desplegar sin sobresaltos.

Una checklist mínima antes de cualquier despliegue

Antes de poner en producción cualquier sistema de IA en la correduría, lo razonable es comprobar:

  • Hay una base legal identificada para los tratamientos que va a realizar el sistema.
  • El proveedor de IA tiene contrato adecuado (DPA, transferencias internacionales, ubicación de procesamiento).
  • La política de privacidad y la información al cliente están actualizadas si aplica.
  • Los datos de categoría especial tienen un tratamiento explícitamente revisado.
  • Existe transparencia hacia el usuario cuando interactúa con un sistema automatizado.
  • Hay supervisión humana real en cualquier decisión con efectos significativos para el cliente.
  • Existe un registro del despliegue y de las decisiones tomadas, para poder demostrar cumplimiento si fuera necesario.
  • Se han revisado los contratos con compañías para identificar restricciones relevantes.

Este checklist no sustituye a una asesoría jurídica especializada, pero filtra la mayoría de los problemas más obvios.

Cómo empezar: tres pasos prácticos

  1. Auditoría rápida de cumplimiento de IA. Una sesión de dos horas con la asesoría legal o un consultor especializado, repasando los flujos previstos. Mucho más barato que una sanción o un episodio reputacional.
  2. Política interna de uso de IA. Una página, firmada por dirección. Qué herramientas autorizadas, qué tipos de datos en cada una, qué requiere autorización adicional.
  3. Formación corta al equipo. 30 minutos. Lo esencial: qué herramientas se pueden usar, con qué datos, qué prohibiciones explícitas existen y a quién consultar antes de improvisar.

Esos tres pasos, hechos antes del primer despliegue, suelen ser suficientes para arrancar con tranquilidad razonable.

Cierre

El AI Act y el RGPD no son un obstáculo para que una correduría incorpore IA: son el marco que la convierte en una decisión profesional, no en una imprudencia. La mayoría de proyectos viables en una correduría se pueden encajar en el marco normativo sin grandes complicaciones, siempre que el cumplimiento se piense antes del despliegue, no después.

La diferencia entre una correduría que adopta IA con cabeza y otra que se mete en problemas suele estar en una conversación de un par de horas con su asesoría legal y en una política interna de una página. No es un coste prohibitivo y es la mejor inversión disponible para evitar disgustos serios.

Si quieres revisar cómo aplica todo esto a tu caso concreto y a las herramientas que estás considerando, una sesión inicial específica de cumplimiento es probablemente el mejor punto de partida antes de tocar ninguna tecnología.

Más artículos

Lo que nos enseñan los primeros lanzamientos de seguros dentro de ChatGPT sobre el futuro del canal corredor

A lo largo de los últimos meses se han producido los primeros lanzamientos comerciales de aplicaciones de seguros dentro de asistentes generales como ChatGPT. No son experimentos académicos: son...

Read more

Modelos open-source vs propietarios en seguros: privacidad, costes y en qué casos tiene sentido desplegar modelos propios

Cuando una correduría se plantea el tipo de IA que va a usar, antes o después aparece la pregunta: ¿modelos comerciales propietarios (los grandes asistentes que todos conocen) o modelos open-source...

Read more

¿Tiene sentido la IA para tu correduría?

Cada negocio es diferente. En una primera conversación entendemos tu operativa y te decimos honestamente si hay oportunidades reales de automatización — y cuánto podrías ahorrar.

Te valoramos tu caso en una primera conversación

Nuestra oficina

  • Andorra la Vella
    Princep Benlloch 66
    AD500, Andorra la Vella