La Agencia Española de Protección de Datos ha archivado las actuaciones de investigación abiertas contra OpenAI por el tratamiento de datos personales en ChatGPT. La decisión no entra a resolver si la compañía vulneró o no la normativa, pero sí deja una conclusión de gran impacto práctico: la AEPD considera que ya no es competente para continuar el expediente porque OpenAI Ireland Limited actúa desde el 15 de febrero de 2024 como responsable del tratamiento para los usuarios del Espacio Económico Europeo y Suiza.
El caso es relevante porque toca uno de los puntos más sensibles del Reglamento General de Protección de Datos: el mecanismo de ventanilla única. Bajo este sistema, cuando una empresa realiza tratamientos transfronterizos desde un establecimiento principal en la Unión Europea, la autoridad de protección de datos de ese país pasa a actuar como autoridad principal. En este caso, la supervisión de los tratamientos de datos personales efectuados por ChatGPT en Europa queda en manos de la Data Protection Commission irlandesa, no de la autoridad española.
La consecuencia inmediata es clara. La AEPD no puede imponer una sanción económica propia a OpenAI por ese expediente concreto, aunque mantiene funciones de cooperación y asistencia mutua dentro del marco europeo. El archivo no equivale a una absolución de OpenAI, ni cierra la discusión sobre el uso de datos personales para entrenar o hacer funcionar modelos de Inteligencia Artificial. Traslada el centro de gravedad a Irlanda.
Un expediente que empezó en 2023 y acaba en Irlanda
La investigación española arrancó en abril de 2023, en plena preocupación europea por ChatGPT. La AEPD inició actuaciones previas contra OpenAI OpCo, LLC para analizar las implicaciones del servicio en materia de protección de datos personales. En paralelo, el Comité Europeo de Protección de Datos creó una task force específica sobre ChatGPT para coordinar criterios entre autoridades nacionales, porque el caso afectaba a millones de usuarios y planteaba dudas comunes sobre transparencia, base jurídica, extracción de datos, derechos de los interesados y uso de información personal en sistemas de IA.
La primera fase del expediente ya había mostrado la dificultad del asunto. La propia AEPD declaró en 2024 la caducidad de unas actuaciones previas por haber superado el plazo legal, aunque abrió nuevas actuaciones al considerar que los hechos no estaban prescritos y que la investigación era técnicamente compleja. Ese punto ayuda a entender el contexto: no se trataba de un caso sencillo de cookies, brecha de seguridad o publicidad no solicitada, sino de un servicio global basado en modelos de lenguaje y con tratamientos difíciles de delimitar.
El cambio decisivo llegó con la actualización de la política de privacidad de OpenAI. La compañía pasó a identificar a OpenAI Ireland Limited como responsable del tratamiento para residentes en el Espacio Económico Europeo y Suiza. La política de privacidad actual de OpenAI mantiene esa estructura y señala a la filial irlandesa como responsable para esos territorios.
Con ese movimiento, la AEPD aplica el artículo 56 del RGPD, que atribuye la competencia principal a la autoridad del Estado miembro donde se encuentra el establecimiento principal del responsable o encargado del tratamiento cuando se trata de actividades transfronterizas. En la práctica, la autoridad irlandesa se convierte en el interlocutor principal para este tipo de tratamiento europeo de ChatGPT.
La ventanilla única: una ventaja para empresas y un reto para usuarios
El mecanismo de ventanilla única se diseñó para evitar que una compañía con actividad en toda la Unión Europea tuviera que enfrentarse a 27 investigaciones nacionales paralelas por los mismos tratamientos. Desde el punto de vista empresarial, aporta seguridad jurídica y simplifica la relación con los reguladores. Desde el punto de vista de los ciudadanos, el sistema busca mantener la protección mediante cooperación entre autoridades.
El problema es que, en casos de grandes tecnológicas, la ventanilla única también concentra mucho poder en unas pocas autoridades. Irlanda ha sido durante años la sede europea de compañías como Meta, Google, Apple, Microsoft, TikTok u OpenAI, lo que ha convertido a su regulador en una pieza central de la privacidad digital europea. Para países como España, el margen de actuación directa se reduce cuando la empresa logra encajar sus tratamientos transfronterizos bajo una autoridad principal.
Eso no significa que la AEPD desaparezca del mapa. El RGPD permite que las autoridades de otros Estados miembros participen como autoridades interesadas cuando el tratamiento afecta a residentes en su territorio. También pueden cooperar, formular observaciones, recibir reclamaciones y participar en el procedimiento regulado por el artículo 60. Pero la capacidad de liderar la investigación y de dictar la decisión principal recae en la autoridad irlandesa.
La diferencia es importante para cualquier ciudadano o empresa española que use ChatGPT. Una reclamación puede presentarse ante la AEPD, pero el cauce europeo puede llevar el expediente hacia la DPC irlandesa si afecta a tratamientos transfronterizos cuya autoridad principal esté en Irlanda. Es un sistema más coordinado, aunque no siempre más rápido ni más comprensible para el usuario final.
Qué implica para la regulación de la Inteligencia Artificial
El archivo del expediente español llega en un momento en el que la Inteligencia Artificial generativa está obligando a reinterpretar herramientas jurídicas diseñadas antes de la explosión de los grandes modelos de lenguaje. ChatGPT no es una simple aplicación que almacena un formulario. Interactúa con usuarios, genera contenido, puede recibir datos sensibles introducidos por error o por desconocimiento, y se apoya en políticas complejas sobre conservación, entrenamiento, mejora del servicio y derechos de los usuarios.
La cuestión de fondo sigue abierta: cómo deben cumplir los modelos de IA con principios clásicos del RGPD como transparencia, minimización de datos, limitación de finalidad, exactitud, derecho de acceso, derecho de supresión u oposición al tratamiento. El hecho de que la AEPD archive por falta de competencia no resuelve esas dudas. Solo establece quién debe llevar la batuta regulatoria en Europa para ese expediente.
Para OpenAI, la centralización en Irlanda reduce el riesgo de investigaciones fragmentadas y posibles sanciones nacionales múltiples por los mismos tratamientos. Para los reguladores europeos, el reto será demostrar que la cooperación funciona también ante empresas de IA con una escala técnica y económica muy superior a la de muchos actores tradicionales. Y para los usuarios, el caso recuerda algo incómodo: la protección de datos en Europa es fuerte sobre el papel, pero su aplicación real depende mucho de la arquitectura societaria de las grandes tecnológicas.
El movimiento también envía un mensaje al resto del sector. Cualquier compañía de Inteligencia Artificial que opere en Europa tendrá incentivos para ordenar su estructura jurídica y fijar un establecimiento principal claro dentro de la UE. Esa decisión puede determinar qué autoridad nacional lidera las investigaciones más relevantes. No es solo una cuestión administrativa; puede influir en tiempos, criterios, sanciones y estrategia de cumplimiento.
La AEPD pierde la posibilidad de sancionar directamente a OpenAI en este expediente, pero no queda completamente fuera. Podrá cooperar con Irlanda y con el resto de autoridades europeas. La pregunta es si ese modelo será suficiente para dar respuestas rápidas y efectivas a una tecnología que evoluciona más deprisa que los procedimientos administrativos.
Preguntas frecuentes
¿Por qué la AEPD archiva la investigación contra OpenAI?
Porque considera que desde el 15 de febrero de 2024 OpenAI Ireland Limited actúa como responsable del tratamiento para usuarios del Espacio Económico Europeo y Suiza. Por eso la autoridad principal pasa a ser la DPC de Irlanda.
¿Significa esto que OpenAI no vulneró el RGPD?
No. El archivo se debe a una cuestión de competencia, no a una resolución sobre el fondo del asunto. No supone una declaración de cumplimiento ni una absolución material.
¿Qué es el mecanismo de ventanilla única del RGPD?
Es un sistema por el que una empresa con tratamientos transfronterizos en la UE se relaciona principalmente con la autoridad de protección de datos del país donde tiene su establecimiento principal.
¿Puede la AEPD seguir actuando de alguna forma?
Sí. La AEPD puede cooperar con la autoridad irlandesa y participar como autoridad interesada dentro de los mecanismos de cooperación y asistencia mutua previstos en el RGPD.
vía: confilegal
