Skip to content

IA y RGPD en WordPress: Guía práctica para agencias y freelancers

Marina Brocca
Smartphone screen displaying an AI assistant interface, with a dark background and blurred text in the background.

Todo empezó en la primera WordCamp del año, en Zaragoza. Allí coincidí con el equipo de Modular DS y entre croqueta y croqueta en una cena al finalizar la jornada, nació la idea de este post.

Lo cierto es que mi ponencia trataba precisamente sobre este tema, y no imaginaba el polvorín que se iba a levantar. Es lógico: hoy todo el mundo usa IA en sus negocios, pero casi nadie conoce las reglas del juego. Y navegar sin brújula en este terreno es un riesgo que puede comprometer tu reputación, la de tus clientes y, por supuesto, tus resultados.

Si gestionas webs para clientes, habrás notado que la inteligencia artificial ya forma parte de tu trabajo: está en los chatbots, en las recomendaciones de WooCommerce y en la generación de contenidos. Pero la tecnología corre más que las leyes, y el 2 de agosto de 2025 entró en juego el nuevo Reglamento Europeo de IA (AI Act).

¿Cómo afecta esto a tu día a día gestionando webs?

Para un profesional que vive de crear o mantener webs ajenas, este es el punto más importante:

No eres un simple espectador; eres quien «instala el motor» en el coche del cliente, y eso conlleva una responsabilidad técnica y legal que debes conocer.

Cuando integras IA en la web de un tercero, el Reglamento de IA y el RGPD te asignan un lugar muy concreto. Entenderlo es lo que te permite elevar muchísimo tu estándar profesional y tu diferenciación.

Tú eres el “Desplegador” o “Integrador”: En la inmensa mayoría de los casos, tu labor es coger una tecnología de terceros (como la API de OpenAI o un plugin de IA de WordPress) y ponerla al servicio de tu cliente. Tu obligación básica es asegurar que se use de forma legal y segura.

Tu cliente es el “Responsable”: Ante la ley, el dueño de la web es quien responde por los datos de sus usuarios. Pero cuidado: él confía en que tú, como experto, le entregues algo que no le vaya a traer problemas.

Tu obligación principal: El deber de información y diligencia

Tu trabajo ya no termina cuando el plugin de IA marca “activo”. Ahora, tu responsabilidad como profesional incluye:

  • Elegir proveedores “compliance”: No vale cualquier plugin. Debes priorizar herramientas que cumplan con los estándares europeos y que te faciliten la documentación necesaria.
  • Configurar la transparencia: Es tu tarea técnica asegurar que aparezcan los avisos de «Soy un bot» o las etiquetas de «Contenido generado por IA». Si no los pones, la negligencia técnica es tuya.
  • Advertir al cliente: Tienes el deber de explicarle al cliente qué nivel de riesgo tiene la IA que le estás instalando (¿es un simple buscador o es un sistema que descarta currículums?).

1. Cómo clasificar tus proyectos: El “semáforo” del reglamento de IA

Si trabajas con WordPress, no necesitas ser abogado, pero sí saber en qué cajón cae cada plugin de IA que instalas. La normativa europea en materia de IA la divide en cuatro niveles según su riesgo.

Como agencia o freelance, tu papel suele ser el de Desplegador” (el que integra la herramienta).

Te explico cómo evaluarlo en tus auditorías de mantenimiento o propuestas:

1. Riesgo Inaceptable. Lo prohibido

Son sistemas que manipulan el comportamiento o explotan vulnerabilidades.

Un plugin que use IA para “adivinar” debilidades emocionales de un usuario para forzar una venta agresiva.

Si por casualidad, algún cliente te lo pide, no lo instales. Si un cliente lo pide, recházalo. Es ilegal y las multas son masivas (hasta el 7% de los ingresos globales).

2. Riesgo Alto. Máxima precaución

Sistemas que afectan a la vida o derechos de las personas.

Plugins de selección de personal (screening de CVs), calculadoras de solvencia para créditos o diagnósticos de salud.

En el ecosistema WordPress, es muy raro encontrar estos casos, en cualquier caso, es importante que tengas claro esto.

En este caso, se debería exigir al proveedor del plugin una Declaración de Conformidad. Debes asegurar que hay una supervisión humana (que un humano valide el resultado final) y llevar un registro detallado de uso.

Y un dato que te gustará: si un proyecto es de riesgo alto, podrías cobrar hasta un extra (20-30%) por la gestión de este cumplimiento técnico y legal.

3. Riesgo Limitado. El estándar actual (Transparencia)

Aquí caen la mayoría de integraciones que ya usas o que puedes utilizar en tus proyectos de WordPress.

Chatbots de soporte, generadores de texto automáticos o sistemas de recomendación. Como conté en mi ponencia, es un punto crucial, pero nadie lo está haciendo como toca.

La clave aquí es la transparencia. El usuario debe saber que interactúa con una IA desde el primer segundo. Puedes implementarlo de estas dos formas:

En chatbots:

Añade un mensaje de bienvenida automático que diga: «Hola, soy el asistente virtual de [Nombre de la Empresa]. Estás interactuando con un sistema de IA. Si prefieres hablar con una persona, puedes solicitar la intervención humana en cualquier momento haciendo clic aquí.»

En contenido generado:

Si usas IA para crear textos o imágenes en el sitio, añade una pequeña etiqueta o nota al pie: «Este contenido ha sido generado o asistido por IA. Revisado por nuestro equipo editorial para garantizar su exactitud.»

Este punto es el que más ampollas generó en mi charla, a los expertos en SEO les dio varios microinfartos, pero es lo que hay.

Y una regla que debes recordar: si el usuario no sabe que interactúa con una IA, el fallo no es legal, es técnico… y es tuyo.

4. Riesgo Mínimo. Uso cotidiano

La mayoría de las funciones invisibles que ya usas.

Filtros de spam (como Akismet), motores de búsqueda internos o correctores gramaticales.

En estos casos, no tienes obligaciones legales extra, pero es buena práctica documentar brevemente, en forma de “protocolo interno IA”, que el sitio los usa y el tipo de información que recogen. Es una forma de venderte como una agencia «compliant by default».

2. Textos legales: Tu primera línea de defensa

Los textos legales no son relleno, son la carta de presentación de la credibilidad de un negocio. Con el nuevo marco legal, debes actualizarlos así:

  • Referencias actualizadas: Asegúrate de mencionar la Ley de IA junto al RGPD. Elimina menciones obsoletas (como el sistema ODR si ya no aplica).
  • Sección específica de IA: En la Política de Privacidad, explica: «Usamos IA para [finalidad]. Los datos se procesan con [proveedor], cumpliendo el RGPD. Puedes oponerte en [email]».
  • Derechos y decisiones: Informa sobre el derecho a la oposición a decisiones automatizadas (Art. 22 RGPD). El usuario debe poder pedir que un humano revise lo que la IA ha decidido.

Consejo práctico: No redactes desde cero. Usa plantillas profesionales como estos Kits Legales para webs con IA para asegurar que cubres todos los puntos.

3. Cookies y consentimiento: El motor de la IA

Esta es una parte muy descuidada pero no menos importante y casi nadie lo está haciendo bien. Para que una IA recomiende productos, necesita rastrear. Pero el rastreo exige permiso.

  • Implementa un CMP (Consent Management Platform): No uses banners simples. Necesitas una herramienta que gestione consentimientos de forma granular. Mi recomendación es Usercentrics Cookiebot, que está certificada por Google y es súper fiable para cumplir con el RGPD.
  • Diferencia finalidades: Si usas cookies para analítica y otras para personalización mediante IA, el usuario debe poder aceptar unas y rechazar otras.
  • Auditoría de cookies: Escanea la web periódicamente para detectar rastreadores ocultos que puedan comprometer la legalidad del sitio.

4. Chatbots y recomendaciones: Transparencia total

Si instalas un chatbot o un motor de recomendaciones en un e-commerce, la ley te exige ser claro:

  • Identificación: El bot debe decir siempre: «Hola, soy un asistente de IA». No intentes ocultarlo.
  • Consentimiento granular en formularios: Si el chatbot o un formulario de lead scoring recogen datos, usa checkboxes específicos. Si vas a usar los datos para dos cosas distintas (ej: gestionar el pedido y marketing con IA), necesitas un checkbox por cada finalidad.
  • No discriminación: Si usas IA para precios dinámicos o sugerencias, audita que el algoritmo no discrimine por factores como la IP o el dispositivo de forma injustificada.

Ofrecer alternativa humana: La ley exige que el usuario pueda “optar por salir” de la interacción con la IA si la transparencia no es suficiente o hay confusión.

La vía sencilla: El botón de «Hablar con agente».

Es la más clara. En la interfaz del chat (ya sea Tidio, Join.chat o el asistente de OpenAI que hayas integrado), añade un botón fijo o una opción en el menú inicial.

Texto sugerido: «¿No encuentras lo que buscas? Habla con un agente humano».

Acción: Este botón detiene el flujo de la IA y notifica al equipo de soporte por email o Slack.

5. Automatiza el cumplimiento: De “cruzar los dedos” al control total

En mi charla en Zaragoza, puse un ejemplo de lo que yo llamo “automatizar a ciegas”, un auténtico mini Chernóbil digital: una empresa subió los datos de 700 personas de su CRM a una IA para personalizar mensajes de marketing.

¿El resultado? Un 2% de los mensajes contenían fallos garrafales; la IA “alucinó” e inventó cargos, empresas y datos que no existían. No hubo despliegue progresivo, ni revisión, ni botón del pánico. Se lanzó y a cruzar los dedos.

Para que esto no te pase a ti ni a tus clientes, aquí te explico cómo se debería haber gestionado ese proceso:

El “Botón del Pánico” y la supervisión humana

Lo primero que debes saber es que si tú instalas la IA, tú respondes de cómo se usa técnicamente. No eres responsable del negocio, pero sí del riesgo que introduces.

La IA no es infalible. Antes de lanzar una automatización masiva que afecte a cientos de usuarios, debes implementar estas tres capas de seguridad con herramientas como n8n:

  • Despliegue progresivo (Canary Testing): No lances los 700 correos a la vez. Configura un flujo que envíe los primeros 10 o 20 y se detenga. Si esos están bien, sigues.
  • Nodo de revisión humana: En lugar de enviar el mensaje directamente, haz que la IA envíe el resultado a un canal de Slack o a una línea de una tabla. Un humano valida que no hay “alucinaciones” y, al pulsar un botón, se dispara el envío real.
  • Filtros de calidad: Puedes programar a una segunda IA (un “auditor”) que revise el output de la primera buscando incoherencias antes de dar el visto bueno final.

Una vez controlas el riesgo, n8n es tu mejor aliado para el cumplimiento legal sin esfuerzo manual:

  • Gestión de derechos (borrado automático): Crea un flujo que reciba una petición de borrado de datos de un usuario y la ejecute al instante en todas tus bases de datos y herramientas de IA conectadas.
  • La “escoba” de logs: El RGPD prohíbe guardar datos personales para siempre. Programa una tarea automática (un cron) que elimine los historiales de chat antiguos cada 6 meses. Así cumples el principio de limitación de la conservación sin mover un dedo.
  • Trazabilidad del consentimiento: Usa n8n para registrar en un sitio seguro (fuera de la web) exactamente cuándo y cómo aceptó el usuario el uso de IA. Si tienes una inspección, este “notario digital” es tu mejor prueba.

En resumen: La automatización debe estar al servicio del control, no de la velocidad sin frenos. Automatizar el cumplimiento te permite escalar tu agencia, pero siempre con un ojo humano supervisando el proceso.

Y por favor, no uses nunca datos personales de clientes para entrenar modelos públicos (como el modo “entrenamiento” de ChatGPT).

6. Decisiones automatizadas: Cuándo debe intervenir un humano

No es lo mismo que una IA recomiende un champú a que decida si un cliente es apto para un seguro de salud.

Cuando una IA puede perjudicar a una persona, la ley exige que haya un humano capaz de corregirla.

Por ejemplo, cuando la IA toma una decisión “de peso” y el bot deniega un descuento, rechaza una devolución o cancela una suscripción. El usuario tiene derecho a que un humano revise esa decisión.

¿Cómo informar de esto?

No basta con decirlo en la letra pequeña. Si el proceso es automático, debes explicárselo al usuario de forma clara:

  • Qué está pasando: «Nuestro sistema está evaluando tu solicitud automáticamente».
  • La lógica aplicada: «Usamos criterios basados en [X, Y y Z] para darte una respuesta inmediata».
  • Consecuencias: Qué significa ese resultado para el usuario.

¿En qué casos es obligatoria la intervención humana?

Si la decisión de la IA puede perjudicar seriamente al usuario, este tiene el derecho a no ser objeto de una decisión basada únicamente en el procesamiento automatizado. Debes ofrecer siempre una «vía de escape» humana en casos como:

  • E-commerce y finanzas: Si usas IA para aprobar o denegar un pago a plazos o un crédito.
  • Recursos humanos: Si gestionas un portal de empleo donde una IA descarta candidatos automáticamente.
  • Suscripciones y servicios: Si un algoritmo decide cancelar la cuenta de un usuario por sospecha de fraude o comportamiento inusual.

Ejemplos aplicables en tus proyectos WordPress

Si una IA decide expulsar a un alumno por detectar “plagio” en un examen, el sistema debe permitir al alumno apelar y que un tutor humano vea la prueba.

Lo mismo ocurre con los precios dinámicos. Si la IA ajusta el precio de una entrada según el perfil del usuario, este debe tener derecho a entender por qué se le aplica esa tarifa y no otra.

Regla de oro para agencias: Si implementas un sistema de este tipo, asegúrate de que el cliente tiene un canal para poder pedir intervención humana o revisión (un email o un formulario) para atender estas peticiones. De nada sirve poner el botón si nadie responde al otro lado.

Checklist: Tu brújula de cumplimiento rápido

Aquí tienes la Brújula de Cumplimiento IA definitiva para tus entregas.

Antes de entregar un proyecto o cerrar una auditoría de mantenimiento, asegúrate de marcar todas estas casillas. Es tu seguro de vida y el de tu cliente.

Si no puedes justificar cada uno de estos puntos ante un cliente o una inspección, el proyecto no está terminado.

1. Transparencia y percepción del usuario

  • Identificación de IA: ¿El chatbot o asistente se identifica claramente como una máquina al inicio de la interacción?
  • Etiquetado de contenido: Si la web genera imágenes o textos automáticos, ¿existe una nota o marca de agua que indique «Generado por IA»?
  • Intervención humana: ¿Hay un botón o comando claro (ej. «Hablar con un agente») para que el usuario escape del bot si lo necesita?

2. Textos legales y privacidad (RGPD + AI Act)

  • Política de Privacidad actualizada: ¿Menciona específicamente qué herramientas de IA se usan, para qué finalidad y quién es el proveedor (ej. OpenAI, Tidio)?
  • Derechos del usuario: ¿Se informa de que el usuario puede oponerse a decisiones automatizadas (Art. 22 RGPD)?

3. Consentimiento y captación de datos

  • Gestión de cookies: ¿Utilizas un CMP certificado (como Usercentrics Cookiebot) para bloquear las cookies de IA hasta que el usuario acepte?
  • Consentimiento granular: En los formularios, ¿existen checkboxes separados para la finalidad del servicio y para el uso de esos datos en marketing o entrenamiento de IA?
  • Datos sensibles: Si la IA procesa datos de salud, religión o biometría, ¿el consentimiento es explícito y reforzado?

4. Gestión de riesgos y responsabilidad

  • Clasificación de riesgo: ¿Has identificado si el sistema es de Riesgo Mínimo, Limitado o Alto? (Si es Alto, ¿tienes la declaración de conformidad del proveedor?).
  • Auditoría de sesgos: ¿Has verificado que la IA de recomendaciones o filtrado no discrimina por sexo, edad o ubicación?
  • Anexo de responsabilidad: ¿Has firmado con tu cliente un documento donde se delimita quién responde por el uso de la IA una vez entregada la web?

5. Seguridad y automatización (mantenimiento)

  • Cifrado: ¿Los datos que viajan hacia la API de la IA van cifrados (SSL/TLS)?
  • Limpieza de logs: ¿Está configurada la automatización (ej. con n8n) para borrar historiales de chat y datos antiguos según el plazo de conservación?
  • Trazabilidad: ¿Tienes un registro (log) de cuándo y cómo dieron los usuarios su consentimiento por si hay una inspección?

Conclusión: De la obligación a la oportunidad competitiva

El cumplimiento del RGPD y la nueva Ley de IA no es un freno, es un marco para construir webs más robustas y éticas. Como agencia o freelance, entregar un proyecto que no solo sea bonito, sino legalmente blindado, te posiciona como un profesional de alto nivel y genera una confianza imbatible en tus clientes.

En este contexto, si además gestionas múltiples webs de WordPress, la responsabilidad profesional no termina en el diseño o el desarrollo. Mantener una web actualizada y segura también forma parte de las buenas prácticas sobre las que se apoya el cumplimiento normativo.

Como agencia, tu valor no es sólo técnico, sino la tranquilidad y confiabilidad que le das a tu cliente.

Imagen de Marina Brocca sobre fondo morado
Autor
Marina Brocca
Especialista en normativa digital, protección de datos y reglamento IA
Marina cuenta con amplia experiencia asesorando a emprendedores, marcas y proyectos online que quieren crecer sin asumir riesgos legales innecesarios. Es ponente, divulgadora y bloguera especializada en legalidad digital.
Web

No te pierdas nada

Suscríbete a nuestra newsletter para enterarte antes que nadie de todas las novedades y lanzamientos de Modular DS. Luego no digas que no avisamos 😉

    Artículos relacionados