L'Agència Espanyola de Protecció de Dades va publicar aquest 24 de març de 2026 unes noves orientacions sobre intel·ligència artificial agèntica des de la perspectiva de protecció de dades, en les quals avisa que incorporar aquest tipus de sistemes a un procés, servei o producte sol suposar una alteració real del tractament de dades i obliga a revisar el compliment.
L'organisme situa el focus en els supòsits en què un agent pot planificar subtasques, consultar memòria, invocar eines, connectar-se amb tercers o executar accions de manera autònoma. En aquest escenari, sosté que la IA agèntica no s'ha d'analitzar com una tecnologia aïllada, sinó com una manera d'implementar, totalment o parcialment, tractaments de dades personals.
Revisió del tractament i de tota la traçabilitat de la dada
Les orientacions recullen que l'ús d'aquests agents pot modificar la manera com s'accedeix a les dades, com es transformen, a qui es comuniquen o durant quant de temps es conserven. Per això, l'AEPD apunta que la seva incorporació pot obligar a revisar el registre d'activitats, les categories de dades tractades, els destinataris, les transferències internacionals, els terminis de conservació i les mesures de seguretat.
L'agència subratlla que no n'hi ha prou de conèixer l'entrada i la sortida del sistema. Reclama entendre quines fonts consulta l'agent, quina memòria reutilitza, quines eines activa, quines transformacions intermèdies realitza i quines dades persisteixen al final del procés.
En aquesta línia, el document destaca que conèixer la cadena de raonament permet conèixer el cicle de vida de la dada. Si no pot reconstruir-se amb prou detall per on ha passat aquesta informació, serà més difícil justificar principis com la minimització, la proporcionalitat o la limitació de la finalitat.
L'organització, a més, ha de poder identificar quina part del resultat depèn de fonts, inferències o memòries concretes. L'AEPD adverteix que sense aquesta visibilitat resulta més complex detectar errors encadenats o usos no previstos de dades personals.
Control sobre eines externes i serveis de tercers
Un altre dels avisos del document se centra en l'ús d'eines o recursos de tercers per part d'agents. L'AEPD alerta que aquest recurs pot introduir nous encarregats, subencarregats, responsables independents o fins i tot escenaris de corresponsabilitat.
També pot activar noves memòries persistents, nous fluxos internacionals de dades i noves obligacions contractuals o informatives. En aquest context, l'agència considera que una crida a una eina externa pot convertir-se de facto en una sortida parcial del tractament amb rellevància pròpia.
Per això recomana revisar no només els contractes, sinó també els termes i condicions, les polítiques de privadesa, les condicions d'ús i, si escau, els canvis de versió o funcionalitat d'aquests serveis. Entre les mesures pràctiques, planteja llistes blanques de serveis, limitació d'eines accessibles i control de paràmetres i respostes en cada trucada.
Governança interna i avaluació contínua
L'AEPD insisteix en la necessitat d'una governança transversal, amb participació de responsables funcionals, equips TIC, qualitat i la figura del delegat de protecció de dades. La revisió del tractament, afegeix, s'ha de fer des del disseny i mantenir-se durant tot el cicle de vida del sistema, no només en el moment inicial del desplegament.
El document aposta per una avaluació contínua basada en evidències, amb mètriques clares, proves de referència i revisió d'incidents. També assenyala que les organitzacions haurien d'analitzar si la incorporació de l'agent obliga a realitzar o actualitzar una avaluació d'impacte.
Minimització de dades i control de memòria
Les orientacions reforcen el principi de minimització en advertir que aquests agents poden tendir a buscar eficàcia mitjançant més dades, més context i més memòria de l'estrictament necessària. Per evitar-ho, l'AEPD proposa definir polítiques d'accés segons cada tractament, catalogar les dades disponibles i les seves fonts, i aplicar controls sobre la qualitat, procedència i coherència de la informació utilitzada.
El text adverteix que una mala gestió de repositoris, metadades o etiquetes pot portar a tractar de manera indiscriminada informació personal irrellevant, reutilitzar context fora de finalitat o accedir a categories especials de dades sense necessitat real.
En matèria de memòria, l'agència reclama mesures específiques. Entre elles cita la compartimentació per tractaments, casos o usuaris, la separació entre memòria de l'organització i memòria de la persona usuària, terminis estrictes de retenció i tècniques d'higienització sobre la memòria persistent.
La localització de les dades ha d'abastar també els prompts i altres elements intermedis quan continguin informació personal. Aquesta traçabilitat, precisa l'AEPD, és necessària per poder atendre sol·licituds d'accés, rectificació, supressió, limitació, oposició o portabilitat.
L'organisme conclou que desplegar IA agèntica sense redissenyar prèviament el tractament, sense reforçar la traçabilitat i sense delimitar amb precisió eines, memòries, autonomies i responsabilitats eleva el risc d'incompliment en matèria de protecció de dades.