IA, GDPR y normativa de seguros: checklist mínima antes de lanzar un proyecto de IA en tu correduría

Lanzar un proyecto de IA en una correduría sin haber hecho los deberes de cumplimiento es una de las formas más rápidas de meterse en problemas. No suele ser por mala fe: es por desconocimiento del cruce de tres marcos normativos relevantes —RGPD, AI Act y normativa específica de seguros— que aplican simultáneamente. Cada uno tiene sus propias exigencias y sus propias sanciones. Y, lo más importante, ninguno se puede ignorar suponiendo que "no nos pasará a nosotros".

La buena noticia: cumplir con los tres marcos no es una odisea. Hay una checklist concreta de comprobaciones que, hechas antes de lanzar cualquier proyecto, evitan la mayoría de los problemas. Este artículo plantea esa checklist en términos prácticos, sin convertirla en un tratado jurídico.

Por qué tres marcos a la vez

El cruce normativo en una correduría con IA es real y conviene tenerlo claro:

• RGPD regula cualquier tratamiento de datos personales. En seguros, casi todo proyecto los toca.
• AI Act regula los sistemas de inteligencia artificial. Algunos casos de uso entran en categorías reguladas.
• Normativa de seguros (Ley de Distribución de Seguros y Reaseguros, normativa autonómica si aplica, supervisión de la DGSFP) impone obligaciones específicas a la mediación.

Además hay que considerar contratos con compañías, que pueden añadir restricciones contractuales sobre tratamiento de datos del cliente.

Ninguno de estos marcos sustituye a los otros. Hay que cumplir con todos.

La checklist en cinco bloques

Una checklist mínima viable antes de lanzar un proyecto de IA en una correduría:

Bloque 1 — Datos y RGPD

• Base legal identificada para cada tratamiento del proyecto.
• Política de privacidad actualizada si la finalidad es nueva.
• Información al cliente revisada y actualizada cuando aplique.
• Minimización: solo se tratan los datos estrictamente necesarios.
• Tratamientos especiales (datos de salud, biométricos, etc.) revisados específicamente.
• Transferencias internacionales identificadas y con garantías adecuadas.
• Acuerdo de tratamiento (DPA) firmado con cualquier proveedor que procese datos.
• Plazos de conservación revisados y consistentes con la finalidad.
• Derechos del afectado (acceso, rectificación, oposición, supresión, portabilidad) operativos.
• Análisis de impacto (DPIA) realizado cuando aplique.
• Registro de actividades de tratamiento actualizado.

Bloque 2 — IA y AI Act

• Clasificación del sistema según niveles de riesgo del AI Act.
• Obligaciones de transparencia cumplidas (aviso al usuario en chatbots y similares).
• Supervisión humana real en decisiones con efectos significativos.
• Documentación técnica básica del sistema (proveedor, función, límites).
• Si aplica alto riesgo: cumplimiento específico (gobernanza, registros, evaluación de conformidad, gestión del riesgo).
• Procedimiento de impugnación disponible para el afectado en decisiones automatizadas.

Bloque 3 — Normativa de seguros

• Compatibilidad con obligaciones de información precontractual al cliente.
• Conformidad con deberes de asesoramiento profesional (la IA apoya, no sustituye al criterio profesional).
• Respeto del deber de buena fe y debido cuidado.
• Cumplimiento de las exigencias específicas del producto cuando aplique (vida, salud, etc.).
• Comunicación con compañías revisada para identificar restricciones contractuales.

Bloque 4 — Seguridad

• Cifrado en tránsito y en reposo.
• Controles de acceso robustos (autenticación, autorización, mínimo privilegio).
• Trazabilidad y auditoría de operaciones críticas.
• Plan de respuesta a incidentes definido.
• Backups y recuperación.
• Política de credenciales y rotación.

Bloque 5 — Gobernanza interna

• Política de uso de IA firmada por dirección.
• Responsable identificado del proyecto y del cumplimiento.
• Formación al equipo que va a usar el sistema.
• Procedimiento de duda establecido (a quién consultar).
• Revisión periódica del cumplimiento programada.
• Documentación del proceso de toma de decisión del proyecto.

Cómo aplicar la checklist

No todas las casillas tienen el mismo peso para todos los proyectos. Una sesión razonable de aplicación:

1. Tres horas iniciales con responsable interno + asesor legal + responsable técnico.
2. Repaso de las 30 casillas marcando estado actual: cumplido, pendiente, no aplica.
3. Plan de acción para las pendientes con responsable y plazo.
4. Reunión de cierre cuando todas las casillas críticas estén marcadas.

Sin esa sesión, los proyectos parten con riesgos que aparecen más adelante en peor momento.

Errores frecuentes en cumplimiento

• Confundir "tener política de privacidad" con cumplir con RGPD. La política es solo una parte.
• Asumir que el AI Act no aplica porque "solo usamos IA para tareas administrativas".
• Olvidar las restricciones contractuales con compañías.
• Descuidar la formación del equipo asumiendo que la política se cumple sola.
• No actualizar cuando cambian los proyectos o los proveedores.
• No revisar tratamientos heredados que pueden estar fuera de cumplimiento desde hace tiempo.

Cuándo conviene una asesoría jurídica externa

Hay momentos donde la asesoría externa es muy recomendable:

• Antes del primer despliegue serio.
• Cuando se introduce un proveedor nuevo con tratamiento de datos.
• Cuando el caso de uso entra potencialmente en alto riesgo del AI Act.
• En cualquier caso que toque salud, vida o biométricos.
• Cuando hay dudas sobre transferencias internacionales.
• Cuando se firma un acuerdo de partnership con plataforma que maneja datos.
• Cuando aparece un incidente o reclamación.

El coste de la asesoría es siempre mucho menor que el de una sanción o un episodio reputacional.

Mini-casos

Correduría que se anticipó. Antes de su primer proyecto serio, contrataron una sesión específica con asesoría especializada. Diseñaron política, plan de cumplimiento y comunicación al cliente. Tres años después, llevan media docena de proyectos sin un solo incidente regulatorio.

Correduría que aprendió la lección. Lanzaron un proyecto de cualificación automatizada de leads sin revisión legal. Al detectar que el flujo tomaba decisiones automatizadas con efecto significativo (rechazo de lead) sin supervisión humana, ajustaron rápidamente. No hubo consecuencias, pero la lección quedó: revisión legal previa siempre.

Correduría que tuvo un episodio. Un comercial usó una versión gratuita de un asistente para procesar un cuestionario con datos personales. La política interna no estaba clara. Sin consecuencias externas pero sí internas: revisión del cumplimiento, política firmada, formación obligatoria.

Cómo empezar: el primer paso

Para cualquier correduría que quiera tener cumplimiento sólido:

1. Auditoría inicial de cumplimiento de IA con asesoría especializada (medio día).
2. Política interna elaborada y firmada.
3. Formación corta al equipo.
4. Aplicación de la checklist a cada proyecto futuro antes de lanzarlo.

Esto sentará la base para que los siguientes proyectos arranquen con buen pie.

Cierre

El cumplimiento normativo en proyectos de IA no es una traba: es la condición para que la IA aporte valor sin convertirse en un problema. Las corredurías que tratan estos puntos con seriedad —checklist, política, revisión legal— pueden avanzar con tranquilidad. Las que los descuidan acaban descubriéndolos en mal momento.

La inversión es modesta. La tranquilidad y la prevención de incidentes, alta. Y, además, esa disciplina se traduce en mejor confianza del cliente y mejor relación con compañías.

Si quieres aplicar esta checklist a tu correduría y revisar tus proyectos actuales o futuros, una sesión específica con asesoramiento profesional es probablemente la mejor forma de empezar con base sólida.